Wiz Cloudで始めるセキュリティ民主化の第一歩

ツール導入前の課題

脆弱性情報の可視化が十分とは言えない状況でした。またリソース(人員)も少ないため脆弱性対応を行なっていくこと自体も難しい状況でした。

どのような状態を目指していたか

プロダクトに含まれるあらゆる脆弱性情報を可視化し、トリアージしていくことが可能な状態を目指しました。また対応を属人化させずに開発の早い段階でセキュリティ対策をしっかりしていける(セキュリティの民主化とシフトレフトを進められる)ことを目指しました。

• Snyk
• Shisho Cloud

• いかに効率よく脆弱性対応を実施していけるか (運用イメージが持てるか)
• どの領域をカバーしているか
• セキュリティの民主化を進めていくのに適した課金体系となっているか

• あらゆるレイヤーの脆弱性情報を可視化し、攻撃可能性を考慮した上で自動でリスク判定(Wiz Issue)と対応策の提示を行なってくれる点 (大きな工数をかけずに本当に必要な対応ができるという点で運用イメージがわきました。)
• ユーザ数ベースでの課金ではない点

• あらゆるレイヤーの脆弱性情報が可視化され、チーム内で週次で検出項目を観測する会が開かれるようになりました。その中で優先度の高いものからアサインを行い、スピーディに是正対応が行われるようになりました。
• 直近入社したセキュリティエンジニアのメンバーがWizの検出した脆弱性情報を各チームに展開し、対応状況のトラッキングを行っています。Wiz上で対応状況が一目瞭然であり、目に見える形で脆弱性が減少しています。
• プロダクトのメンバーも担当システムの脆弱性情報が見れるようになったため、セキュリティ意識も向上したように感じます。

金額が大きいため費用対効果を説明するのに苦労しました。社内調整なども大変でした。

上長を巻き込みながらトライアル利用からはじめてみることをオススメします。少し触っただけでこれは投資価値があると感じていただけると思います。導入検討時のWiz社の支援も手厚いです。

まずはWiz Cloudを導入したことで新たに発見された脆弱性の対応を行なっていく予定です。その上で徐々にプロダクトメンバーにオーナーシップを持っていただきながらセキュリティ対応を実施できる体制、運用を整備していきます。上記が運用に乗りはじめたところでWiz CodeやWiz Defendの導入も検討していきたいと考えています。
Wiz Cloud自体にもまだまだ使いこなせていない機能があるため、それらも使い倒していく所存です。