Lacework で AWS の規制コンプライアンスを最適化する Greenlight Guru

Amazon Web Services (AWS) に構築された Greenlight Guru は、医療機器企業に品質管理 Software as a Service (SaaS) を提供しています。顧客データのセキュリティ基準を高く保ち、医療機器業界で絶えず変化する規制に対応するために、Greenlight Guru は AWS パートナーである Lacework を採用しました。Lacework は、大規模なセキュリティを自動化するクラウドファーストのデータ主導型セキュリティプラットフォームです。

小さなチーム、シードファンディングの新しいラウンド、そして急速に拡大する顧客ベースを背景に、Greenlight Guru は社内の情報セキュリティシステムが最適に運用されていることを確認する必要がありました。既存のネットワーク/セキュリティモニタリングおよび管理システムを評価した結果、同社はより良いソリューションを探す時が来たと判断しました。これらのシステムは、主にネットワークモニター、ログウォッチャー、一部の外部パートナーからのサポートで構成されていました。効果はあるものの、ますます非効率になり、維持とモニタリングが困難になるリスクがありました。

医療機器業界で事業を行う企業として、標準化団体や規制機関から絶え間なく流入してくる新しい要件に精通することはもはや難しいと考え、Greenlight Guru は AWS パートナーの Lacework を利用することにしました。

Greenlight Guru は、設定のないデプロイを円滑に行った後、複数のポイントセキュリティソリューションを、アカウント、ワークロード、コンテナ、AWS 環境にわたるクラウドセキュリティとコンプライアンスのための単一のプラットフォームに置き換えることに成功しました。Greenlight Guru は、クラウドアカウントのアクティビティとワークロードの動作を継続的にモニタリングしながら、脆弱性や設定ミスによるリスクをより適切に管理します。この強力なモニタリングは構築から実行時まで及ぶため、インシデント対応、封じ込め、調査を迅速に行うことができます。Greenlight Guru は、Lacework を使用することで、悪質なアクティビティを特定し環境に侵入するリスクを軽減する、実用的な脅威インテリジェンスを得ることができます。

Greenlight Guru のセキュリティ責任者である David Odmark 氏は、AWS の Lacework サービスとソリューションへの移行プロセスについて次のように説明しています。「Lacework への移行は非常にスムーズでした。Lacework は設定不要を約束していますが、それが事実であることがわかりました。何か異常が発生しても、何が悪かったのか、またその問題に適切に対処する方法について、すぐにフィードバックを得ることができました」。

Lacework は、Greenlight Guru の業務とお客様のパフォーマンスにとって欠かせないものとなっています。同社はまた、Amazon EventBridge とインフラストラクチャをパイプラインのコードサービスとして使用しています。

AWS での Lacework は、効率的かつスケーラブルで、既存の DevSecOps ワークフローにシームレスに統合できる、セキュリティとコンプライアンス管理へのアプローチを Greenlight Guru に提供しました。

業界の性質上、Greenlight Guru は頻繁にサイト監査を受けるため、顧客データのセキュリティと保護に関して最高水準を満たす必要があります。データセキュリティと侵害防止に対する包括的なアプローチにより、Lacework は Greenlight Guru チームとお客様に安心をもたらしてきました。Lacework を使用することで、Greenlight Guru は顧客にエビデンス証跡を簡単に見せることができるため、懸念事項をすばやく緩和し、すべてのクライアントアセットに対する規制措置とセキュリティプロトコルが積極的に実施されていることを効果的に示すことができます。

Lacework は、Greenlight Guru の環境を包括的に把握し、ISO 27001 などの特定のコントロールを Lacework がモニタリングするクラウドセキュリティコントロールにマッピングすることで、監査に役立ちます。Greenlight Guru チームは、さまざまな期間にわたっていつでもレポートを作成して、環境に対するコンプライアンスを確認できます。これにより、レビュー、調査、修正が必要なコンプライアンスのドリフトをチームに知らせることができます。Greenlight Guru は、単一プラットフォームからの統合ビューにより、問題を防ぎ、監査が実施される前の証拠収集時間を短縮できます。Greenlight Guru の可視性の強化は AWS CloudTrail でもサポートされています。

Odmark 氏は次のように詳しく説明しています。「Lacework は規制環境を念頭に置いてセットアップされた、データ主導型のソリューションです。その環境のもとでのイベントへの対応を、実際にお客様にリアルタイムで示すことができます。これは当社のデータセキュリティツールキットの非常に重要な一部です」。

Lacework は、Greenlight Guru の環境全体を継続的にモニタリングしているため、構築時から実行時まで、ビジネスへのリスクを検出して対処できます。このため、Greenlight Guru チームは、手間のかかる手作業による調査をしなくても、異常なアクティビティに常に注意を払い、イベントに迅速に対応できます。「当社のセキュリティプログラムでは、多くのコンプライアンスシステム、任意の基準、業界ベンチマークに対する測定が必要です。Lacework のおかげで、これらのメトリクスを一元的に管理でき、変更が発生すると警告してくれます」と Odmark 氏は説明します。

Greenlight Guru は、セキュリティに対する階層型アプローチを採用しています。攻撃を最初に特定し、状況に応じた推奨事項に従わないことがあれば、適切なチームメンバーに警告し、効果的な修復を行います。

Lacework の Polygraph® Data Platform は、Greenlight Guru 環境全体のイベントを「高」、「中」、「低」に分類することで、セキュリティ管理プロセスを最適化し、組織全体でより効率的で生産的なワークフローを実現します。このプラットフォームは、Greenlight Guru 独自の環境に関する基本的な理解を深め、いつでもどのような動作が正常かを判断します。これにより、あらかじめ設定されたルールリストがなくても逸脱を検出し、チームにアラートを送信できます。これらのアラートにより、Greenlight Guru は大規模なクラウドの変化を確認して理解することができます。Greenlight Guru は、これらのアラートに関する内部ポリシーと自動化を実装しました。これは、チームのセキュリティプロトコルとレスポンスの標準化にも役立ちます。

3 人のチームでも、他の責任にも取り組みながら、セキュリティ運用を成功させることができます。

「Lacework プラットフォームが面倒な作業をすべて処理してくれます。つまり、当社のチームは社内の他の重要な活動やセキュリティの他の面に集中できるのです。とても助かっています」と Odmark 氏は言います。