Ocado Technology が Security Command Center を使用してスマートで安全なオンライン食料品販売を実現した方法

※この投稿は米国時間 2022 年 7 月 9 日に、Google Cloud blog に投稿されたものの抄訳です。

Ocado Smart Platform の世界的な普及と運営の複雑化に伴い、セキュリティ資産に細心の注意を払っています。セキュリティの脆弱性を事前に特定して対処するために、Google Cloud の Security Command Center（SCC）プレミアムを脆弱性および脅威の一元化されたレポート サービスとして導入することにしました。

Ocado のクラウド資産への統合された可視性の獲得

当初から、デプロイのスピードと SCC で明らかになったセキュリティ検出結果が印象に残っていました。かつて他のソフトウェア ベンダーでは数週間かかりましたが、SCC は弊社の環境にすばやく設定でき、最も脆弱な資産の特定をすぐに開始できました。

現在、SCC を使用して、組織全体の数百のプロジェクトにわたる構成ミスや脆弱性を検出しています。また、セキュリティの健全性に関する検出結果の集計ビューも取得しています。その検出結果をフィルタしてから、Pub/Sub または Cloud Functions を使用して、各部門が業務で使用しているツール（Splunk や JIRA など）にアラートを直接送信します。このようにして、SCC がセキュリティ関連の問題に対する信頼できる唯一の情報源として機能し、各チームは、独自の環境でセキュリティ関連の検出結果を確認して対応できます。

セキュリティ検出結果の委任による自律性の向上

自律性は Ocado Technology でのイノベーションを促進します。そのため、チームをできる限り自律させたいと考えています。SCC は、部門を本部組織からより自律させるのに役立ちます。技術チームが賢明な意思決定を自らまた自分達のペースで行うために必要なセキュリティの分析情報が、すべて提供されるからです。

ここで、フォルダおよびプロジェクト レベルのアクセス制御を提供する SCC の委任機能が役立ちます。プラットフォームのきめ細かいアクセス制御機能により、Ocado Technology 組織全体のビューの提供を必要としないで、SCC の検出結果を特定のチームに委任できるようになります。ビジネス ユニットは、脆弱性を追跡するためにセキュリティ チームに連絡する必要がなくなり、コンプライアンスを実現する安全な方法により、自分たちで追跡できるようになります。これにより、作業の効率性と自律性が高まり、誰もが自分の専門分野と環境に集中できるようになります。

複数の脆弱性（中レベルおよび高レベル）の特定と修正

SCC の検出結果は非常に多彩で、潜在的な構成ミスや脆弱性の特定にとどまりません。さらに先に進んで、問題を解決するためのソリューションを推奨し、次のステップに関する明確なガイドラインを提供します。そのため、組織全体のユーザーからのフィードバックは、非常に良いものでした。

SCC は質と量の両方を提供します。実装以来、Google Cloud の資産から数百もの中レベルおよび高レベルの脆弱性を特定して削除する支援をしてきました。セキュリティ関連の検出結果数も四半期ごとに減少し、セキュリティ体制が実質的かつ具体的に改善されていることを示しています。SCC は、セキュリティ体制を維持するのに非常に役立ちます。問題がどこにあるかわかれば、問題に取り組むのは簡単だからです。

8 時間のセキュリティ スキャンから即時の分析情報へ

SCC でうまく処理できた特定の問題の一つは、Apache のロギング システム Log4j を標的とした脆弱性です。企てられたセキュリティ侵害、アクティブなセキュリティ侵害、または Dataproc イメージの脆弱性の曝露に関して、SCC から通知されました。Log4j への対応中、特にリソースが限られている場合、これらすべてを追跡するのは非常に大変なことだったでしょう。SCC を使用することで、Google Cloud のセキュリティの専門知識を活用して、最新のセキュリティの傾向に基づいて最新の脆弱性を特定し、迅速に対処することができました。

明らかに、脅威の低減に関してはスピードが重要であり、SCC により問題をより迅速に修正できるようになり、外部の脅威にさらされることが少なくなりました。以前は、すべてを 1 回スキャンするだけでも、最大 8 時間かかることがありました。SCC は最初から物事を加速させ、リアルタイムの Security Health Analytics のリリース以来、検出結果はほぼ即時に提供されています。

コンプライアンスの強化とステークホルダーへの基準の表示

SCC は、より優れたコンプライアンス基準を実現し、この基準をステークホルダーに示すのに役立ちます。最近、Ocado Technology 組織全体で内部監査の演習を実施しました。たとえば、この演習で、セキュリティ関連の検出結果が最も多くて深刻なプロジェクトを特定しました。SCC のレポートがなければ、これは非常に困難であり、不可能でさえあったかもしれません。

また、SCC からの Security Health Analytics 情報を使用して、プロジェクトごとのデータを可視化し、組織全体のセキュリティのヒートマップのようなものを作成しています。これにより、リソースを適切なプロジェクトに割り当て、それに応じて取り組みに優先順位を付け、戦略的な決定事項を知らせることができます。

トップダウンから開発者主導のセキュリティへ

セキュリティ運用には、パラダイム シフトがつきもので、物事はトップダウンのアプローチからより開発者主導の自律的なプロセスに移行しています。SCC は、Ocado Technology でのこのような変化を促進するために役立ちます。セキュリティ関連の問題に対する責任をリソースの所有者のより近くに置くことができます。潜在的な問題の影響を最も受けているチームが問題を修正できるチームであることを確認することで、チームが問題を積極的かつ効率的に解決できるようにしています。

SCC のさらなる進化が待ちきれません。楽しみにしています。私たちが特に期待している機能の一つは、カスタム検出結果（現在プレビュー版）と、自動化を可能にする新たな統合機能を実現できるようにするものです。SCC が提供するすべての機能を使用しているわけではありませんが、セキュリティ チームにとってはすでに不可欠なツールになっています。

Ocado Technology は、オンライン食料品販売の未来を開拓しています。この未来には、強力なセキュリティ基盤が必要です。SCC により、その基盤を強化して維持できるようになり、世界中のさらに多くの企業は収益性が高く、スケーラブルで、安全なオンライン食料品販売を実現できるようになります。