ユニバーサルの支払いの障壁を取り除くRapyd
Rapydは、グローバルな決済業界に存在する断片化に取り組んでいます。 クロスボーダーコマースのバックエンドの複雑性を排除するテクノロジーをローカルな支払い専門知識を提供しながら構築します。
グローバルなeコマース企業、テクノロジー企業、マーケットプレイス、金融機関は、Rapydのフィンテックとしてのサービスプラットフォームを使用し、ローカライズされたフィンテックと支払い機能をアプリケーションにシームレスに組み込むことができます。 Rapyd Global Payments Networkにより企業は、900を超える地域で好まれる決済方法を持つ世界最大のローカル決済ネットワークにアクセスすることができます。 これには、100ヶ国以上の銀行振替、電子ウォレット、現金などが含まれます。
Orcaはパッチ管理の課題を排除
今日のすべてのグローバルなデジタル決済システムは、永続的にセキュリティに焦点を当てなければなりません。 RapydのCISOであり、ITとセキュリティオペレーションを管理するNir Rothenberg氏にはこの役割があります。 Rapydは素晴らしいセキュリティプラクティスを実施しており、監査に挑戦していることを証明しました。
「当社のビジネスは決済システムであるため、PCI DSSに準拠する必要があり、当社自身に準拠する必要があります。」とRothenberg氏は述べています。 「監査は毎年、素晴らしいパッチプロセスが実施されていることを確認したいと考えています。永続的にパッチをすることができるのですが、さまざまな理由で100%になることはありません。すべてをドキュメント化して、証明することはOrcaを発見する前は本当に大変でした。」
Rapydはクラウドで完全に動作し、AWS上ですべてを完了します。 Rothenberg氏は、本当にパッチを必要としているサーバーを完全に可視化するインテリジェントなツールを望んでいました。 コンテキストのすべてで優先順位付けされたリストを求めていました。 多くのツールは、パッチを必要とするものをスキャンしてリストにリストにすることができますが、コンテキストなしではリストは長く、そのリストは無意味となります。
「ネイティブAWSツールにはインテリジェンスが欠如しています。AWSインスペクタースキャンは、結果を提供してくれますが、これらの結果が必ずしもコンテキストに合致するわけではありません。」とRothenberg氏は言います。 「1000のパッチのリストを取得することができ、それらのすべては非常に重要なものとみなされます。しかし、中には我々のディストリビューションと合わないためにデプロイできないものや、パッチを当てても問題ないオフラインのサーバー用のものもあります。そのような報告書を監査に見せたら、ビジネスが成り立っていないと思われてしまう可能性があります。」
「Orcaのスキャニングでは、必ずコンテキストに沿った有意義で実用的なレポートが返ってきます。結果のほかに、パッチ管理プロセスを導く考慮事項が提供されます。」
Nir Rothenberg
情報セキュリティ最高責任者
「深刻な脆弱性のあるサーバーがあると伝えています。Ubuntu 18.4で動作するパッチはありますが、当社には18.9があります。そのコンテキストで、パッチをすることはできません。それだけではありませんが、サーバーはインターネットに晒されていないので、あまり重要ではありません。Orcaは『重要なパッチ、中程度のリスク』は何かを教えてくれます。当社の行動を正当化するために監査に示すことができます。」
Rothenberg氏は、GuardDuty、Inspector、DetectiveなどのさまざまなAWSツールと従来のエージェントベースのセキュリティツールとネットワークスキャナーを評価しました。 彼は、これらのツールを機能させるためには多くの諸経費が必要ですが、Orcaがすぐに提供できる同等の機能であることを知りました。
「エージェントベースのツールでは、サーバーを作成、エージェントをデプロイ、スクリプトの書き込みおよび実行、当社の環境を知り、表示したいものを示すダッシュボードを設定することが必要でした。リスクのあるもの、ないものを教える必要があり、さらに当社自身が多くの分析処理をする必要がありました。そして、リスクは動的であり、変化していたため、常に微調整が行われていました。これらのステップはすべてOrcaで自動的に実行されます。」
Orcaは、CISコントロールとPIIへのリスクの不適合を特定
Rothenberg氏は、Rapydのインターネットセキュリティコントロールセンターへの遵守を監督しています。 そのため、彼はネイティブAWSツールを試みて、欠けていることがわかりました。 「当社は、スキャン結果が何を意味するかを把握する必要があります。しかし、Orcaを使用すると、スキャン結果はすべて消費され、集中すべきところを教えてくれます。最初に対処する必要があるCISへの不適合がすぐにわかります。DevOpsに作業を割り当てるためOrcaとJiraを統合しましたが、ボタンをクリックするだけでOKです。」
Rothenberg氏は、チケットを作成することは内部タスク追跡に不可欠であると述べています。 「瞬時にタスクと関連リスクを知ることで、圧倒されることがないようにDevOpsに送信する優先順位付けすることができます。監査の際に、『これが当社のパイプラインであり、当社の作業プランである』と提示することができます。Jiraにすべて記録されており、すべて監査証跡があります。」
「Orcaは、すべてのインフラを即座に、そして非侵襲的に可視化することができます。」
Nir Rothenberg
情報セキュリティ最高責任者
CISOは、PIIが適切に保護されていないファイルのリスクに晒されている状況を特定するためにOrcaを検討しています。 「決済システム提供企業として、PIIへの曝露に非常に敏感です。サーバーにPIIが含まれている場合、暗号化キーが公開されている場合、Orcaはすぐにその機器と特定のアセットに基づいてリスクがあることを通知してくれます。問題の発生を迅速に改善することができます。」
過去数年、RapydはExcelのスプレッドシートの脆弱性を追跡しました。 Orcaはそのプロセスを排除しました。 「今ではすべてが自動化され、CI/CDパイプラインが備わっています。次回監査の際、OrcaとJiraのレポートを提示し、追跡中のリスクと改善のために行っていることを示すことができます。」とRothenberg氏は述べています。 「今日のアセットを監視する方法により、パッチとコンプライアンスを示すことは非常に簡単になります。」
「シンプルさがセキュリティを容易にすると信じています。」
Nir Rothenberg
情報セキュリティ最高責任者
そのシンプルさがより良いセキュリティに
Orcaによってセキュリティチームはより簡素化した方法で協働できるようになりました。 「Orcaを環境に接続したとき、すぐに興味深いものがたくさん見つかりました。Orcaがなければ、この可視性を得られることはありませんでした。」
「OrcaはDevOpsと連携するのに役立ちます。」とRothenberg氏は述べています。 「システム管理者は、DevOpsと目を合わせて働くことが可能です。発見したこと表示して説明できるので、よりプロフェッショナルな仕事ができ、環境の理解にも役立っています。DevOpsと密に協力して、さらにサポートできるようになりました。DevSecOpsへの本当のステップとなりました。現在では一体となり、スムーズに作業が進んでいます。セキュリティとDevOpsの間の組織的摩擦がなくなりました。」
