こんにちは、SREチームの三橋です。
少し前になりますが、クラウドセキュリティSaaS 「Wiz Cloud」 を導入しました。
国内ではまだ導入事例が少ない中、Wizの日本法人経由での契約第1号だったこともあり、今回はその導入背景や実際に使ってみて感じた魅力についてご紹介したいと思います。
想定する読者
- 専任のセキュリティ担当がいないスタートアップで、クラウド環境のセキュリティを担っているインフラ/SREチームの方々
- 日々の脆弱性対応やクラウドリスク管理に疲弊しているセキュリティエンジニア
- 弊社にご興味をお持ちの方
Wiz Cloudとは
Wiz Cloudは、Wiz社が提供するクラウドネイティブ環境向けのセキュリティプラットフォームです。
Wiz社はアメリカ・ニューヨークに本社を置く企業で、プロダクトの完成度や先進性の高さから、国内でも徐々に話題になりつつあります。最近ではGoogleによる買収が発表されたこともあり、今後の展開にも大きな注目が集まっています。
日本法人であるWiz Cloud Japanはごく最近設立されたばかりで、国内市場への本格展開はまさにこれからといった段階です。
同社は「Wiz Cloud」以外にも、アプリケーションコードの脆弱性を検出するWiz Codeや、端末内部の脆弱性をリアルタイムで検出するWiz Defendなど、多面的なセキュリティ製品を展開しています。
参考
Wiz Cloudの特徴と強み
Wiz Cloudは、エージェントレスで利用可能なセキュリティプラットフォームです。
クラウド環境に最低限の権限を付与するだけで、セットアップ直後から脆弱性のスキャンやリスク可視化を開始できます。
一般的なCSPM(Cloud Security Posture Management)製品と同様に、クラウド設定のミスや過剰な権限の検出といった機能を備えつつ、Wiz Cloudはさらに、以下のような クラウド全体を俯瞰的に守る仕組みを一つに統合しています:
- VM やコンテナ内部のパッケージ脆弱性の検出
- IAM(アクセス制御)のリスク分析
- 保存されているデータの種類に応じた分類とリスク評価
- 各リスクを統合的に判定した 「Wiz Issue」 の生成
- それらのIssueを視覚的に把握できる 「Security Graph」 の提供
特に印象的なのが、この「Wiz Issue」と「Security Graph」の連携です。
Wiz Issueは、単に検出された問題の一覧ではなく、“実際に攻撃される可能性が高く、被害が大きくなりうる箇所”を総合的に評価して整理してくれる仕組み です。
その結果をSecurity Graph上で可視化することで、複雑なクラウド環境でもリスクの位置と関係性を一目で把握できます。
導入に至るまでの背景
弊社では主にエンタープライズ企業向けにプロダクトを提供しており、クライアントから高い水準のセキュリティレベルが求められます。
しかし、スタートアップという特性上、十分なセキュリティ人員を確保するのは難しく、ツールによる補完が不可欠な状況にありました。
Wiz自体は私自身も当初は認知していなかったのですが、社内の情報感度の高い情シスのメンバーからの紹介で知ることになりました。
検討段階では、セキュリティ領域を広くカバーできるプロダクトをいくつか比較していましたが、Wiz Issueによるリスクの自動整理とSecurity Graphによる視覚的な可視化機能が強力で、少人数体制でもセキュリティ水準を維持できる現実的な選択肢としての手応えを感じ、この時点で実質的に導入が決定していました。
トライアル利用期間
実際に契約を結ぶ前に、Wiz社との間でPoV(Proof of Value)期間が設定されました。
期間はおおよそ1ヶ月。週1回ほどのペースで、Wiz社の担当者とともに、検証の進捗確認や社内導入に向けた調整に関するディスカッションが行われました。
技術的な評価については、製品紹介の時点ですでに問題ないと判断できていたため、PoV期間では 「運用に無理なく落とし込めそうかどうか」 に主眼を置いて進めました。
実際の運用シーンを想定していく中で、特に印象的だったのが、Wiz Issueによってリスクレベルが付けられた事象に対し、Security Graphを活用しながら複数のアプローチが即座に検討できたことです。
単純に脆弱性を潰すだけでなく、権限設計やネットワーク構成を見直すといったリスク低減の代替手段を即座に選択肢として挙げられるのは、非常に実践的だと感じました。
また、導入にあたっては価格面のインパクトも無視できません。
Wiz Cloudは非常にリッチなサービスである一方、決して「目に優しい価格」とは言いづらいのが実際のところです。
そのため、上長や経営層にどのように価値を言語化して伝えるかについては非常に悩んでいました。
その点、PoV期間中にWiz社の担当者が導入提案に向けたストーリーメイクにも伴走してくれたことは、大きな助けになりました。
導入検討に伴う通常業務への負荷も最小限に抑えられ、PoV終了時には「これならいける」という感触を得ることができていました。
契約後の現状
現在はまず、SREチーム内でWiz Cloudの運用をスタートしています。
定期的にWiz Issueを確認し、リスクレベルの高いものが見つかればチケット化し、Security Graphを使って今すぐ対応可能なアプローチがあれば優先的に着手するというシンプルな運用フローを取っています。
また、脆弱性(CVEなど)の棚卸やトリアージはセキュリティエンジニアが担当しており、Wiz上で横断的に情報を把握しながら、対応優先度の整理に役立てています。
「Wizは機能が充実しており、幅広く脆弱性を拾えるので安心感がある」と本人も話しており、セキュリティエンジニアの心の支えにもなっています。
加えて、ダッシュボードの存在も日々の運用を後押ししてくれています。
Issueの解消や設定の改善がスコアやグラフに即反映されるため、改善の手応えが数字で見えることがチーム全体のモチベーションにつながっています。
さらに、開発メンバーや経営層にリスクを共有する場面でも、Security Graphをそのまま見せるだけで、ある程度の構造や影響範囲を伝えられるため、なぜ対応すべきか、何をしたらよいかについて格段に説明がしやすくなったと感じています。
今後の展望
Wiz Cloudが掲げる「セキュリティの民主化」という思想には、私たちも強く共感しています。
現在はSREチーム主導での運用ですが、今後はプロダクトチームにもオーナーシップを持ってもらい、開発の早い段階からリスクを意識した対応ができる体制を目指しています。
いわゆる “シフトレフト”の実践 により、セキュリティをより自然な形で開発プロセスに組み込んでいきたいと考えています。
このような体制の移行や文化づくりには時間とリソースが必要ですが、幸いなことに現在はWizのTAM(テクニカルアカウントマネージャー)が伴走支援してくれており、セキュリティ民主化に向けたロードマップの整理や運用フローの相談にも日々対応いただいています。
社内で手が回らない部分を補ってもらえることで、より中長期的な視点での取り組みが可能になってきました。
今後、Wiz Cloudの運用が社内に定着してきたタイミングで、Wiz CodeやWiz Defendといった他の製品の導入も前向きに検討していく予定です。
おわりに
Wiz Cloudを導入して感じているのは、これまで手が回らなかったセキュリティ対応を現実的なレベルで組織に取り込めるようになったということです。
今までのセキュリティ対応は、属人化しやすく、説明や判断に多くの時間を要していました。
しかし今では、可視化されたリスクをチームで共有し、優先順位をもって対応するという流れがごく自然に回り始めています。
人手不足の中で高いセキュリティレベルを求められているチームにとって、Wiz Cloudは非常に現実的かつ効果的な選択肢になり得ると感じています。
そして私たち自身も、こうしたツールの力を借りながら、セキュリティが当たり前に組み込まれた開発・運用の文化を育てていけるチームを目指していきたいと思っています。
もし今回のお話を聞いてご興味をお持ちいただけた方がいれば、ぜひ気軽にお話できれば嬉しいです。
Discussion