チャレンジ
急速な成長により、Wolt のインフラストラクチャは短期間で数台のサーバーから数百台に拡大し、可視性にギャップが生じました。
Wolt が開発者やクラウドサービスを増やすにつれ、セキュリティは業務遂行の妨げにならずに、チーム全体でインフラストラクチャのリスクを管理する必要がありました。
Wolt は、クラウド環境全体を可視化し、サービス間の相互作用の複雑さをより深く理解する必要がありました。
ソリューション
成長するクラウド環境全体の可視性を高めることで、Wolt は問題が大きくなる前に検出できるようになりました。
Wolt はセキュリティ通知を自動化し、Wiz と Slack を統合してアラートを運用することで、チームはより簡単にデータを共有し、脅威に迅速に対応できるようになりました。
Wolt は、AWS クラウド内のさまざまなサービスがどのように相互作用しているかを把握することができ、接続されているシステムに影響を与えることなく、1つのシステムの問題を修正することができました。
想像できるものは何でもお届けします
Wolt は、人々が望むものを(ほぼ)何でも迅速かつ確実に配達し、地元の商人やレストランに追加の売上を提供し、地元の宅配業者に柔軟な収益を提供することで、都市を住みやすい場所にすることを使命としています。
Wolt のオンラインプラットフォームは、食品やその他の商品を注文したい人と、その販売や配達に関心のある人をつなぎます。 これを可能にするために、Wolt はローカルロジスティクスから小売ソフトウェア、金融ソリューションまで幅広いテクノロジーを開発し、Wolt Market ブランドで独自の食料品店を運営しています。 Wolt の製品には、Wolt +(顧客向けサブスクリプションサービス)、Wolt at Work(企業向け食事特典とオフィス配送)、Wolt Drive(販売者向けの高速ラストマイル配送)、Wolt Self-Delivery(独自の配達スタッフを抱える販売者パートナー向けサービス)などがあります。 Wolt のミッションは、地域社会に力を与え、成長させることで都市をより良くすることです。 Wolt は2014年にフィンランドのヘルシンキで設立され、2022年に DoorDash と提携しました。 DoorDash は現在27カ国で事業を展開しており、そのうち23カ国は Wolt の製品とブランドを使用しています。
これほど大規模で成長を続けるネットワークでは、セキュリティ上の課題は無限大にあります。
セキュリティ チームは、自らをビジネス イネーブラーであると考えており、会社全体のすべてのチームとの協力関係を育んでいます。 「私たちは イエスの部門です。私たちは、従業員が最善を尽くせるようにしたいと考えています。 私たちはノーと言うのではなく、どのようにするかを尋ねます」と Wolt のセキュリティ担当副社長であるトミ・トゥオミネン(Tomi Tuominen)氏は言います。
同社は AWS で生まれ、現在は独自のセルフホスト型 Kubernetes クラスタを運用しています。 「始まりは単純でした」と Wolt のセキュリティチームメンバーであるトゥオーマス・ヴェヘーネン氏は言います。 「データベースはいくつかありましたが、今では200個あります。 その管理はフルタイムの仕事です」
成長がインフラと人材に及ぼす影響を管理する
Wolt がチームに開発者を追加し、新しいプロダクトやサービスを構築するにつれて、増え続けるクラウドフットプリントの管理と保護に関する課題が明らかになりました。 AWS は何百ものサービスを提供していましたが、それらのサービス間の相互作用により、セキュリティ保護の複雑さが増しました。
「常に変化し続けるものを確保することは非常に困難です。 より安全なものにするために設定を変更した後、それが別のAmazonサービスで使用されていることに気付くと、他の場所に公開されることになります」と、WoltのセキュリティチームメンバーであるAdi Shammoutは述べています。 「クラウドのフットプリントが拡大するにつれて、複雑さが急速に増し、制御するために何かをする必要がありました。」
また、新入社員と終身雇用社員の給与も、特有の課題でした。 人によって異なるプロセスが持ち込まれるため、Woltは次のことを知る必要がありました。 どう チームは、何に取り組んでいるかだけでなく、働いていました。 セキュリティが業務遂行の妨げにならずにプロセスを標準化するにはどうすればよいでしょうか。 Tuominen氏は、週に100人のオンボーディングを行う場合は、すべてのプロセスに注意を払い、それらを非常によく文書化する必要があると指摘しています。
サービスが急速に成長しているということは、より多くのクラウドリソースが作成されていることを意味します。 それを把握するには、時間とコストがかかり、ストレスがたまります。 視認性が最大の課題になります。
Woltの事業規模では、個々の発見や脆弱性を探すことは現実的ではありません。 開発における問題を迅速に特定するために、Woltはより効率的な発想にシフトし、プロセスの早い段階でコードとインフラストラクチャのスキャンを開始しました。 これにより、Woltは後で問題を見つけて修正するためにより多くのリソースを費やす必要がなくなりました。 Woltのチームは、バグをシームレスに回避できるソリューションを見つける必要がありました。
「私たちは常に左にシフトしようとしています。私たちは常に、脆弱性のクラスや問題のクラスターを一挙に排除しようとしています」とTuominen氏は言います。 「日常的な使用で価値と時間効率を提供しないツールは選ばなかったでしょう。」
百聞は一見にしかず。
Wizは2020年に初めて導入され、セキュリティチームが会社の急成長を先取りするのに役立ちました。 Woltは、Wizのエージェントレススキャンのシンプルな展開、包括的なカバレッジ、最小限の管理で済むソリューションにすぐに価値を見出しました。 さらに、Vähänen氏は、Kubernetesを使用していることで、WoltのAWSアカウントへのエージェントレスデプロイが容易になったと指摘しています。
Woltは、ビルド時とランタイムの設定ミスを特定して修正し、Wizを使用した組み込みのコンプライアンスフレームワークを使用して、慎重に設計された独自のカスタムポリシーを適用します。 WoltのすべてのインフラストラクチャーチームがWizにアクセスし、各自の権限で問題を修復することで、セキュリティチームはより価値の高いプロジェクトに集中することができます。
セキュリティチームは、Wizの読みやすいダッシュボードを使用して、クラウド環境全体で増え続ける組織のリソースを監視しています。 「Wizのダッシュボードを開いて、すべてがうまくいくことに気づいたときの安心感は、非常に大きな感情的な影響を与えます」とShammout氏は言います。
さらに、Wiz Security Graphは、Woltのセキュリティチームが最も重要な問題に優先順位を付け、攻撃対象領域全体を評価することで、さらに時間を節約するのに役立ちます。 「点と点をつなぐのに役立ちます」とVähänen氏は言います。 一部のチームでは、Wiz Security Graphをセキュリティだけでなく運用目的で使用し、生成されたデータを活用して異なるノード間の接続を追跡しています。
この可視性を社内で提供できることは非常に重要です。 セキュリティチームだけの問題ではありません。 Wizは、すべてのチーム間のコラボレーションを促進します。
良いとこ取り
組織全体のチームが何に取り組んでいるかを確認できることで、Woltは自信を持って通常通りのビジネスを推進できるようになりました。 問題が検出されると、適切なチームに自動的に通知され、ワークフローを中断するゲートプロセスを回避できます。 Wiz と Slack を連携させることで、最も関連性の高いチームメンバーにすぐにアラートが届き、より迅速に問題を解決することができます。 また、チームは、問題が何であるか、そして将来どのようにそれらを防ぐかについて、すぐに同じページを持つことができます。
「最も重要なのは、クラウドプレゼンス全体に対するオブザーバビリティです」とTuominen氏は言います。 「私たちはブロッカーにはなりたくありません。 私たちは、製品チームが最善を尽くし、必要なものを展開できるようにしたいと考えていますが、製品チームが当社のセキュリティ基準に準拠していない場合は、それを確認し、より安全な環境で作業できるように支援することができます。」
一日の仕事のすべて
Wizは、Woltが重大なサイバー脅威に立ち向かうのに役立っていることをすでに証明しています。 Woltのセキュリティチームは、午前8時にログソフトウェアLog4jの脆弱性を初めて知りました。 朝、それは現れた。 何百ものマイクロサービスがあり、それぞれが独自のWebアプリケーションファイアウォールを必要としていたため、Log4jのペイロードをブロックすることができました。 しかし、午前 11 時までに、最初のペイロードの最も重要な資産をすべてブロックしていました。 そして、24時間も経たないうちに、脆弱性が通過していないことが確認されました。 「Wizが提供してくれた可視性がなければ、これは大変な仕事になっていたでしょう」とヴェヘーネン氏は言います。 最終的に、Wiz は Wolt が何を優先すべきかを特定し、Log4j がサーバークラスターに侵入するのを阻止しました。
Wiz は Log4j で非常に役に立ちました。 これにより、実際の攻撃対象領域を評価することができました。 自分がそこに何があるのかを知ることができれば、戦いは半分終わります。
セキュリティの時間の使い方に気を配る。
過去数年間の成長を通じて、Wiz は配信プラットフォームのセキュリティ体制を維持するのに役立ちました。 「可視性が必要です。 そうしないと、これは機能しません。 Wiz は、攻撃者の仕組みと、攻撃グラフとマップの概念を理解しています」とトゥオミネン氏は述べています。 「一歩ずつ、困難を乗り越えて、さまざまなことをするために方向転換するのです」
Woltは、プラットフォームのセキュリティを維持しながら成長を続けるためには、継続的な可視性が必要であることを理解しています。 成長の過程で、同社は自信を持って前進しながら、セキュリティの衛生状態を維持するためにWizを信頼しています。
