Wiz Security Trust Center

強力な認証と承認

Wizは、従業員がWizシステムにアクセスするために、シングルサインオン(SSO)プラットフォームとフィッシングに強いFIDO2多要素認証(MFA)の使用を強制します。Wizは、クラウド環境へのアクセスにIAMロールと短命トークンを利用します。開発環境と本番環境へのアクセスは、ジャストインタイム管理プロセスを使用して、永続的な権限、デバイスポスチャチェック、およびゼロトラストネットワークアクセスソリューションの使用を最小限に抑えることで、さらに制限されます。

クラウドセキュリティアーキテクチャ

Wizの本番環境は不変のインフラストラクチャとして実行され、コードとしてのインフラストラクチャによって厳密に管理されます。SDLCプロセスとWizのCI/CDパイプラインに組み込まれた自動化メカニズムにより、構成の変更が厳密に管理され、セキュリティチェックを受け、監査と承認の対象となります。本番環境への不正な変更は自動的に検出され、セキュリティチームと運用チームにエスカレーションされます。 Wizは、クラウドネイティブのネットワークセキュリティメカニズムを認証および承認制御と組み合わせて利用し、クラウドインフラストラクチャへのリモートアクセスを制限し、安全な境界を適用し、内部環境を分離します。

Wiz4Wiz(ウィズ・フォー・ウィズ)

Wizは、自社製品(「Wiz4Wiz」)の内部展開を使用して、クラウド環境を継続的に監視および保護しています。セキュリティチームとエンジニアリングチームは、Wizプラットフォーム上で協力して、脆弱性の特定、優先順位付け、修正、予防的制御の実施と検証、潜在的な脅威の検出と対応を行います。Wizは、業界のベストプラクティスフレームワークと、Wiz独自の社内調査チームからのガイダンスを適用して、クラウド環境を継続的に強化および評価しています。

セキュアな開発ライフサイクル

Wizは、SDLC全体でインフラストラクチャと製品コードのセキュリティと整合性を確保します。これらのメカニズムには、自動シークレットスキャン、静的および動的セキュリティテスト、WizCLIを使用したコンテナイメージの脆弱性スキャン、コード変更の必須ピアレビュー、およびWizのソース管理およびCI/CDプラットフォーム内の追加のセキュリティ機能が含まれます。Wizのセキュリティチームは、エンジニアリング部門と連携して、新しい製品機能や開発および運用インフラストラクチャの変更について、脅威モデリング、セキュリティ設計レビュー、セキュリティ実装レビューを実施します。

セキュリティ意識

Wizの意識向上プログラムには、情報セキュリティとデータプライバシーに焦点を当てた定期的なトレーニング、新たな脅威に関する継続的なガイダンス、および従業員が日常業務で安全なプラクティスを採用できるようにするためのチーム固有のガイドラインと手順が含まれます。セキュリティ意識の文化を育むことで、Wizはデータ侵害やセキュリティインシデントにつながる人為的エラーのリスクを大幅に軽減できます。このプロアクティブなアプローチは、顧客データを保護するだけでなく、Wizの評判を高め、顧客の信頼を築き、規制コンプライアンスを確保し、最終的には長期的な成功に貢献します。

ログ記録、検出、および対応

Wizは、企業、開発、および本番環境のクラウド環境からセキュリティテレメトリを取り込むセキュリティ情報イベント管理システムを採用しています。受信データは検出パイプラインを介して処理され、セキュリティデータレイクに保持されます。検出とアラートは、チケット、メッセージング、ページングシステムを介してオンコールエンジニアにルーティングされます。Wizのセキュリティチームは、イベントを迅速にトリアージ、調査、修復するためにグローバルに活動しています。

エンドポイント セキュリティ

Wizワークステーションは、マルウェアや攻撃の防止、検出、アクティビティログ、封じ込め、および調査機能を提供するエンドポイント検出および応答ソフトウェアを実行します。Wizはさらに、データ損失防止ソフトウェアを導入して、Wizシステム内の機密情報の流れを保護および管理します。パッチ適用とセキュリティ構成管理は、モバイル デバイス管理およびモバイル アプリケーション管理ソリューションによって対処されます。

リスクマネジメント

Wizのリスク管理プロセスは、会社全体のビジネスおよび技術機能と統合されており、チームがセキュリティとプライバシーを改善し、脅威を軽減する機会を特定するのに役立ちます。これにより、Wizは重要な資産を保護し、顧客、規制、および法的コミットメントを維持することができます。また、効果的なリスク管理により、Wizは刻々と変化するサイバー脅威の状況に適応し、進化し、堅牢なセキュリティソリューションの提供において長期的な成功を収めることができます。

サプライヤーリスク管理

サプライヤーの製品とサービスのセキュリティと信頼性を確保することは、Wizが提供する製品の完全性を維持し、顧客データを保護するために不可欠です。堅牢なサプライヤーリスク管理プログラムは、潜在的な侵害を軽減し、規制コンプライアンスを確保し、顧客の信頼を維持するのに役立ち、Wizの全体的なセキュリティ戦略の不可欠な要素となっています。

監査とコンプライアンス

Wizは、世界中の業界標準、規制要件、データ保護法を遵守するために、包括的な監査およびコンプライアンスプログラムを維持しています。このようなプログラムにより、Wizの業務が確立されたガイドラインとベストプラクティスを満たしているか、それを上回っていることを確認し、潜在的な脆弱性の特定と修正を支援します。Wizは、組織全体のセキュリティおよびプライバシープログラムに対する第三者による監視、および製品とインフラストラクチャの侵入テストやレッドチームなどの定期的な技術評価に取り組んでいます。

暗号化とキー管理

Wizは、AWS KMSなどのクラウドネイティブなキーソリューションを使用して、安全なキーのストレージと管理を行っています。自動制御により、安全でない方法や承認されていない方法でキーが保存または転送されないようにします。