Zipは絶え間ない革新を信じています
Zip Coは、次世代の小売金融業界の主要企業です。 同社は、小売業、家庭用品、健康、自動車、旅行業界向けに、POSクレジットやデジタル決済サービスを提供しています。 2013年に設立し、オーストラリアのシドニーに本社を置くZipは急速に成長し、現在ではオーストラリア、ニュージーランド、南アフリカ、英国、米国にまたがり事業を展開しています。 北米、ヨーロッパ、中東でのさらなる拡大が計画されています。
Zipのコンピューティングプラットフォームは、完全にデジタルであり、クラウドでホストされています。 このプラットフォームは、独自の不正や与信判断テクノロジーのビッグデータを活用し、リアルタイムの応答を可能にします。 企業の成長に合わせて、クラウドエステートも急速に拡大しています。 1年前には、AWSアカウントが6件ありました。 現在、22件のAWSアカウントと9件のAzureアカウントがあり、今後さらに増やしていく予定です。
Peter Robinson氏は、サイバーセキュリティとビジネスITのディレクターであり、同社のサイバーリスクとセキュリティポスチャを担当しています。 「Zipはクラウドで生まれましたが、ここでは従来のセキュリティツールがうまく機能しないため、資産を守るには難しい環境です。」と彼は述べています。 Robinson氏は、Zipでの2年間のほとんど全てを、Zipが直面する脆弱性とリスクを可視化し、それらを軽減する適切なツールとの組み合わせを探すことに費やしてきました。
可視性の低い状態から午後には100%へ
Zipのプラットフォームは、クラウドテクノロジーの最先端にあります。 「当社は、コードとしてサーバーレスコンピューティングとインフラに大きく移行しました。」とRobinson氏は述べています。 「当社の環境の短期間的な性質により、これらのデバイスがなくなる前にエージェントを参入させることができない状況にあります。従来のようなネットワークスキャンもできず、稼働していない機器に接続してセキュリティ状態を評価する方法もありません。」
「Orcaを使う前は、全範囲のうち18%の脆弱性評価をカバーしていました。Orcaは1日未満で100%をカバーするようになりました。」
Peter Robinson
サイバー セキュリティとビジネスIT担当ディレクター
「また、さまざまなグループが運営する多くの環境があるという問題があります。当社には、6つのDevOpsチームが、インフラやその他のさまざまな課題に取り組んでいます。リスク評価を行うために何かを導入することは、ほぼ不可能です。」とRobinson氏は述べています。 「Orcaは、すぐにこの問題を解決しました。」
Robinson氏は、LinkedInの記事から、Orca Securityについて知りました。 「当初、Orcaの主張には懐疑的でしたが、試してみることにしました。何年間も続いた苦痛から、たった半日で完全な可視性を得ることができました。最前線にいた者からすると、それは奥が深いことなのです。」
Orcaは競争力のあるツールを強化
Robinson氏は、コンテナのような環境に特化した従来の脆弱性スキャンツールなどを2年間評価しました。 「ツールはすべて同じ問題を抱えていました。1つは、エージェントとスキャナーを導入するのに余りに多くのリソースが必要だったことです。2つ目は、実際に認証を行う資格情報が必要とすることで、当社の観点ではライセンスモデルが失敗しているということです。そして、3つ目は、自動的に優先順位付けと追跡を実行するツールがないことでした。」
「当社のDevOps担当者は、本来すべきことである当社製品に集中しています。エンドポイントエージェントをあちこちに導入し、スキャナーの認証情報を作成するのに労力を割けというのは無理な話です。」
Peter Robinson
サイバー セキュリティとビジネスIT担当ディレクター
また、ライセンス問題は、これらのツールにとって大きな問題となります。 「他のベンダーの場合、本格的な無限資産ライセンスを購入する必要がありました。短期間資産ではあるものの、ライセンスを使用するとすぐに支払いが発生します。サーバーは6時間しか使用していませんが、ライセンスを消費しています。これらのツールで仕事を行うには、さらに5倍以上の費用がかかります。」 Robinson氏は、この方法でライセンスを取得すると、月に25万円の費用がかかると報告しています。
これらのすべてのツールでの主要な問題は、リスクの優先順位付けがないことです。 たとえば、2,000の資産に対して129項目のルールがあり、そのルールが失敗した場合、多数のページの失敗のリストを出力してくるだけだとRobinson氏は語ります。 「リストで出来ることは何もありませんし、実用的でもありません。SIEMでさえ、この7日間で55,000件の失敗がありました。その評価さえできません。」
Orcaは、こういったすべての欠点を克服します。 導入はゼロタッチで、1つの役割の作成は数分で完了します。 エージェントをインストールする必要はありません。 ライセンスをより管理しやすくし、実際に使用されている資産に基づいて実行できるようになりました。
しかし、Orcaが本当に推奨しているのは、優先順位付けの機能です。 「Orcaは、28項目に今注目しなければならないことを教えてくれます。約840件のコンピューティング資産、VM、その他数1,000件のアセットがある25件のクラウドアカウントのうち、本当のリスクは、本日対応が必要な28項目に集約されていると教えてくれるのです。」とRobinson氏は述べています。 「これなら管理できます。」
Robinson氏のZipチームは小規模なため、目標を達成するのに役立つツールを活用する必要があります。 「Orcaのおかげで、自動化、優先順位付け、相関関係、そして本番環境へのゼロインパクトの導入が可能になりました。素晴らしいことです。」と、述べています。
「Orcaは、資産をすべて特定し、見つけた問題に優先順位をつけ、改善策を提案します。これは非常に価値のあることです。従来の脆弱性スキャンでは得られないものです。」
Peter Robinson
サイバー セキュリティとビジネスIT担当ディレクター
Orcaは、ITセキュリティとDevOpsの協力と生産性を向上
Robinson氏は、DevOpsチームは迅速に製品を市場投入できるように注力しており、 Zip製品の開発を停止して、エージェントとネットワークスキャナーを配備してくれるよう頼むのは無理だと言います。 Orcaは、その負担を軽減します。 実際、Orca Securityプラットフォームの導入を最も支援したのはDevOpsチームでした。
「重要なのは、DevOps担当者が何もする必要がないことです。彼らの仕事は役割を作るだけで、今後何もする必要はありません。導入やネットワークルール、セキュリティグループの変更をする必要はありません、エンドポイントアプリケーションやエージェントの導入も資格情報も何もいりません。これは私の世界を変えました。」とRobinson氏は述べています。
ITセキュリティとDevOpsチームは現在一緒に協力して取り組んでいます。 「Orcaが推奨する優先順位付けされた改善策を提供することができます。非常に重要な問題について非常に明確な指示があります。」とRobinson氏は述べています。 「そして、それはエンドポイントアセットのことだけではありません。たとえば、このネットワークACLのセキュリティグループ、このロードバランサー、そしてこのエンドポイントに問題があるとします。Orcaは、解決までの道しるべを提供します。チームは、『Orcaは、CloudFlareと内部ロードバランサーを迂回することができる方法を示してくれる。Orcaでマルチパスルーティングが表示されている。』と話します。これは、何者かが我々のWAFを迂回していることを意味するので、あってはならないことだとわかります。」
Robinson氏は、こういった情報は他のソースからは得られない内容だと語ります。 「Orcaは、設定ミスについて深い洞察を提供してくれます。視覚的に確認できます。また、セキュリティグループを強化または変更する必要があることを知っているため、ロードバランサーを介してのみ取得できます。さらに、ロードバランサーはCloudFlareからの入力だけを受け取るだけで、インターネットから直接ロードバランサーへアクセスすることができません。この種の洞察は、ワークロードを減らすのに非常に役に立ちます。」とRobinson氏は述べています。
Orcaは、役割ベースのアクセスコントロールなどのエンタープライズグレード機能をサポートします。 「本当に素晴らしいのは、新人が入社した際にその人にアカウントを割り当てることができることです。米国内のQuadpay担当者が、会社全体を見るのではなく、Quadpayのデータだけ見てQuadpayアカウントで作業することができるように設定することができます。必要なものだけを見ることができるのです。」とRobinson氏は述べています。
Zipが会社全体でOrcaを使っていないとしたら、6つのそれぞれの分野で少なくとも1人以上のフルタイムの従業員が必要だと、Robinson氏は推定します。 「おそらく、最優先順位付けされていない長い脆弱性リストを探り、何に取り組むべきで、改善策を作成し、エージェントをボックスなどに参入するための6つのフルタイム従業員が必要だと考えています。それはリスク管理の問題ではなく、時間、コスト、労力の問題でもあります。」とRobinson氏は述べています。 「Orcaは一石二鳥であり、リスクは少なくとも可視化の観点から直ちに解決され、コストも直ちに解決されます。」
「Orcaについて同僚から聞かれたら、ゼロタッチでフルカバーの脆弱性スキャンと優先順位付けを行えると答えるでしょう。クラウドは複雑なものであり、Orcaはリスクを軽減できるよう積極的に行動するために必要なツールです。」
Peter Robinson
サイバー セキュリティとビジネスIT担当ディレクター
Orcaは、Zipのリスク管理プロセスに適合
Robinson氏には、侵入テスト、外部からの脆弱性スキャン、内部スキャン、監視、インシデントまたは、その他の手段といった問題発見のための方法があり、リスク管理プロセスを通じてJiraに送ります。 「Jiraには、本来のリスクを評価するリスクボードがあります。その後、責任者にサブチケットやタスクを割り当て、必要な改善策を評価します。」とRobinson氏は述べています。 「OrcaとJiraとの統合が重要となり、間違いなくそれは当社にとって役立っています。」
Orcaの独自の機能は、自動的に解決することです。 問題を特定して解決した場合、Orcaは、改善されたことを通知します。 「これまでは、手動で評価し、この事が実際に改善されたかどうかを確認するテストを実行する必要がありました。一方、Orcaでは『解決しました。ありがとうございます。』と通知が来るだけです。残りのリスクをゼロにしてチケットを閉じることができます」とRobinson氏は述べています。 「それは非常に時間の節約になります。」
最近Zipがある企業を買収したとき、Robinson氏は買収された企業の資産を管理するよう依頼されました。 「2つの新しいAmazonアカウントがほんの数分で、完全に100%、自分の脆弱性管理範囲内となったのです。 」
Orcaは、ROIとビジネスケースを勝ち取ります
Zipには、外部から資産をスキャンするツールがあります。 「ドメイン名を指定すると、バグバウンティの手法で外部の脆弱性を評価してくれます。」とRobinson氏は述べています。 「しかし、Orcaに出会う前は、内部評価はより大きな課題でした。必要な内部スキャンを取得するために奮闘していました。予算を組み直し、手間や労力、Zip製品からの逸脱にコストをかけようとしました。その無形資産も含めて、ビジネスケースを書き上げました。私は、エージェントの配備やセットアップにおいて通常の業務から人の手がかからなくなることや、脆弱性を探って重要なものを見つけること、手作業で相関処理を行う場合にかかる時間について、膨大な時間と統合コストがかかると当社の経営陣に説明しました。」
Orcaを使用することにより100%カバーされるため、リスクは大幅に減少すると言います。 また、時間の節約は、他のどの製品と比較しても100%近くだということです。 「導入には20分かかり、バックエンドでJiraと統合されます」とRobinson氏は述べています。 「システム管理者、インフラ、DevOpsの観点からすると、今後やることは何も残っていません。Orcaのビジネスケースは強力です。」
