Lemonadeは保険市場に革命をもたらします
Lemonadeは、米国とヨーロッパで保険事業を展開しています。 「インシュアテック」市場の一つで、保険会社が先進的な技術を用いて、従来の保険会社では対応できない革新的な商品やサービスを提供しています。
比較的若い企業であるLemonadeは、100%オンラインでの運営を可能にするクラウドネイティブなテクノロジースタックを有しています。 これにより、Lemonadeは保険市場での鋭敏なライバルとなっています。 例えば、Lemonadeでは、AIを搭載したボットによる保険契約の見積もりをウェブやモバイルアプリで配信しています。 同時に、LemonadeはAランクで、完全に規制されており、最も信頼できる保険会社により再保険を受けています。
CISOのOrcaでの経験が道を拓きます
LemonadeのインフラはすべてAWSクラウド上にあり、脆弱性やセキュリティリスクについてリアルタイムでインサイトを得ることが困難になりかねません。 Amazonのネイティブツールでさえ、セキュリティやDevOpsの担当者が必要とするすべての情報を提供しているわけではありません。
Jonathan Jaffeは、2020年にLemonadeのCISOとして入社しました。 入社後直ぐに、セキュリティリスクを適切に評価するためにクラウドエステート全体に対して完全な可視性を得ようとしました。 「私が入社したとき、当社の脆弱性について教えてくれる適切なソリューションはありませんでした。」と述べています。 「私は、クラウドの脆弱性問題について、当社が有しているものよりもはるかに高い可視性を求めていました。」
出典:facebook.com/Lemonade
エージェントベースの競合他社、Lacework社やPalo Alto Prisma Cloudより勝るOrca
「当社は、Orca Securityをはじめ、Palo Alto Prisma Cloud、Lacework社などの評価をおこないました。」 「前の会社では、Laceworkを1年以上使っていました。退職する最後の4ヶ月間は、PoCでOrcaも作動していたので、Orcaとの対照比較も容易でした。そして、Prisma Cloudを広範囲にわたって評価しました。」
Lemonadeでは、評価チームはPrisma CloudとLaceworkの製品デモに頼らざるを得ませんでしたが、Jaffe氏はすでにOrcaとLaceworkの両方を熟知していました。 「Orcaとは異なり、DevOpsは、エージェントのインストールやメンテナンスに興味がありませんでした。DevOpsではまた、エージェントが当社のシステム、特に本番環境のパフォーマンスに影響を与えることを恐れていました。また、これまでのLaceworksでの経験から、エージェントが足りないために、見えない部分で戦うことになると思っていました。」
POCのためにOrcaをセットアップしてデプロイするのにかかった時間はわずか30分でした。 「稼働するのは簡単でした」とJaffeは述べています。 「すぐに効果を実感できました。24時間以内に、すべてのAWSアカウントですべてのリソースと環境を確認できたのです。さらに、Orcaが発見した問題点もすぐにわかりましたが、幸いなことに、それらは小さくて管理出来る範囲のものでした。」
「開発に影響するものは何であれ、抵抗にあうことになります。しかし、Orca SideScanningを使用すればシステムへの影響はありません。さらに使い方も簡単です。」
Jonathan Jaffe
Lemonadeの最高情報セキュリティ責 任者
100%のクラウドの可視性とセキュリティ問題の優先順位付けを行います
Jaffe氏は、セキュリティ・ソリューションにいくつかの重要な機能を求めていました。 「1つ目は100%のカバー率で、エージェントをインストールする必要があるものでは得られないものです。補償の不足がないという安心感が必要です。」
もう一つの必須機能は、修正が必要なものに優先順位を付ける機能です。「Laceworkは多くの情報を提供していますが、それが役に立つとは思いませんでした。それどころか、問題を改善する能力が損なわれていることがわかりました。逸品の価値を下げすぎると、それが表面化するかもしれません。さらに情報の優先順位付けも有益な方法でできません。Laceworkを使用していたとき、セキュリティアナリストは、どの問題を解決するために時間を費やすべきかを理解するのに、時間の大半を費やしていました。アナリストが今はこの問題をかわして、追いかけるべき問題を選ぶことができたとしても、次の問題にぶつかることになります。本当に侵入があったのか、それともまた誤検知なのか?これらはすべて、修復に取り掛かる前に起こるべきでした。Orcaを導入する前は、情報が整理されていないため、問題解決を諦めていました。
「Orcaは、その逆です。マトリックスに表示されている情報では、脅威の種類、脆弱性、アカウント、影響を受けるリソースなどで確認できます。無視されたアセットや脆弱性などのカテゴリー別に、上位5項目を確認できます。そのため、他の多くの製品にありがちな、「頭でっかち」になることなく、一つずつ噛み砕くことができるのです。当社では、優先順位の高い問題には迅速に対処し、重要性の低い問題は後回しにしたり、完全に却下することができます。 Jaffeと彼のチームにとって、Orcaのダッシュボードは情報量で圧倒されないので気持ちも楽です。 彼は「Orcaの真の価値は、私のクラウドセキュリティの膨大な量をカバーし、脆弱性や実際の脅威の度合いを大幅に軽減して通知してくれることです。」と述べています。
「Orcaは、クラウドに関するセキュリティリスクはどこにあるのか、という私たちの一番の痛みを和らげてくれます。Orcaを導入する前は、私が必要としていた可視性をたやすく手に入れることができませんでした。」
Jonathan Jaffe
Lemonadeの最高情報セキュリティ責 任者
監査に対するコントロールのエビデンス
本社はニューヨークにあるため、同州の金融サービス局(NYDFS)がLemonadeのビジネスを規制しています。 さらに、さまざまなEU規制の対象であり、独自のSOC 2監査を実施しています。 Orcaのレポートは、Jaffe氏がさまざまな規制や監査を管理するためのエビデンスを提供するのに役立ちます。 Orcaは監査の労力の軽減を支援してくれました。たとえば、最小の権限コントロールを維持し、マルチファクタ認証を使用していることを示すレポートを実行できます。
Orcaはまた、データの損失の可能性がある場合や、個人データがリスクの高いエリアにさらされている場合、Jaffe氏に警告を発します。 Lemonadeチームは、そのような問題が監査レポートに記載されるような問題になるずっと前に、その問題を修正することができます。 「Orcaは、クレジットカードのデータ、電子メールアドレス、社会保障番号やその他の国民IDが流出する可能性を検知するのに優れています」とJaffe氏は述べています。 「これらは、すぐに修正できる優先課題です。」
リスクにさらされているアイテムが大幅に減少
Lemonadeは、リスクにさらされているアイテムを大幅に削減しました。 「当社は、それらを6分の1に減らし、そして今ではそれらを監視することで、制御し続けることができるようになりました。」とJaffe氏は述べています。 「Orcaは、物事に光を当てはっきりさせてくれたので、何を修正すればいいのか、何を心配しなくてもいいのかがわかります。」
Jaffe氏がOrcaについて最も気に入っているところは、優先順位の高い問題をリストアップしてくれるところです。 「無視されたアセットや脆弱性などのカテゴリー別に、上位5項目を見ることができます。そのため、他の多くの製品のように圧倒されることなく、問題を消化しやすい量にして、1つずつ対処することができます。」
彼はまた、Orcaのインターフェースも気に入っていると言います。ダッシュボードは情報が多すぎて圧倒されることもなく、落ち着いて使用できると語ります。 「Orcaの本当の価値は、私のクラウド・セキュリティの大部分をカバーしていることです。脆弱性や、少なくとも実際の脅威についても通知してくれます。」
「Orcaにおいて、AWSの設定はOrcaの制御下にあります。私たちは12,000を超える資産を持っています。本当に現時点で、修正すべき優先順位としてそれらのうち3つだけがリストされています。特にクラウド環境が頻繁に変化することを考えると、これは素晴らしいことです。」
Jonathan Jaffe
Lemonadeの最高情報セキュリティ責 任者
