Bilfinger

課題

大規模な移行から約 1 年半が経過した頃、 Bilfinger はアイデンティティと権限に関するセキュリティを強化する必要があることに気づきました。Said Pfau, “Our cloud infrastructure was getting more and more complex — we wanted to understand our identities better. スケジュールが過密であるため、権限を過剰にプロビジョニングしても後で取り消すとは限りませんでした。私たちは、過剰に権限が付与されたアカウントの存在を、隠れたものも含め認識していました」と Pfau 氏は述べます。The organization also sought to better secure its growing number of Azure subscriptions, avoid manual hours spent on certain cloud risk detection processes and achieve transparency into its global multi-cloud operation.

A key goal was to automate least privilege access; compliance requirements — GDPR in particular — were another concern. Bilfinger は、社内のリスク評価の取り組みを補完するために、戦略レベルでリスクに関する独立した見解を求めていました。

Thomas Lützel, Service Owner of Identity & Authentication Services at Bilfinger, recalls, “I learned of [the solution] and told Andreas we should do a PoC.” Added Pfau: “Security was top of mind for our IAM team — they felt the could secure IAM more successfully with a tool like Ermetic [now Tenable Cloud Security].”

Pfau continued: “Our team evaluated several vendors. We found an array of marketing material, and it was obvious some vendors don’t know what CIEM means, and how it should be done. さらに、CIEM ソリューションは新しいテクノロジーであり、新しい考え方であるため、その評価と比較は困難です。All competing products, including cloud provider native tools, are using the same raw data — this levels the playing field. [Tenable] showed it gets more out of the raw data than the others can — the platform is very, very good at analyzing, at giving insights. 私にとっては、その点が重要でした」

ソリューション

現在、Bilfinger では異なる 3 つのチームが日常的に Tenable Cloud Security を使用しています。

• IAM team (manages identities and access, including cloud)
• Cloud Center of Excellence (handles cloud services operationally and architecturally, and lends cloud expertise to the business units)
• IT Security (responsible for cloud security posture and compliance overall)

Explained Pfau, “From my perspective, these three Bilfinger teams reflect the three pillars of cloud security that the platform is providing: IAM security, cloud expertise as a main asset, and overall cloud posture security and compliance. [Tenable Cloud Security] is an independent tool giving us overall transparency and deep, unified insight into our cloud architecture across both Azure and AWS, into the accounts of multiple tenants, subscriptions and whatever is in their identities.

「(Tenable Cloud Security が) 当社のクラウドインフラ全体を把握して、すべてのクラウド資産のインベントリを生成します。私たちは、このプラットフォームは、開発と有用性の点で同等の製品よりはるか先を行くことも確認しました。(Tenable Cloud Security の) リスク分析エンジンは、データを収集するだけでなく、データを分析し、行動につながる情報を提供してくれます」と Pfau 氏は述べます。

「(Tenable Cloud Security は) アクセス状況を非常に明確かつわかりやすく、単に権限レベルだけでなく、実際の使用状況も含めて可視化します。このソリューションを使用すると、権限が「過剰」であることがすぐにわかります。特定のアカウントやグループにその権限が必要だと考えた時点では適切だったかもしれませんが、(Tenable Cloud Security では) 権限が 6 か月間使用されていないなどの理由でその権限が不要であると示してくれます」

Bilfinger による Tenable の活用 - ユースケース

• Multi-cloud asset management and visibility
• アイデンティティと権限 (サードパーティを含む) に関するリスクのインサイト
• 過剰な権限の修正
• クラウドアイデンティティのためのクラウドガバナンスのプロセス
• ネットワークセキュリティ、インターネットへの露出、設定ミスの継続的な監視
• レポート作成およびコンプライアンス監査
• ゼロトラストの最小権限の適用 (次期)
• 脅威検出 (次期)

Bilfinger のクラウドインフラ

• Microsoft Azure (数百規模のサブスクリプション) を主要なビジネスアプリケーションとサービスのために使用、IdP として Azure Active Directory を使用
• AWS を仮想 CAD ワークロードなどのために使用
• 社内チームとサードパーティベンダーによるセキュリティ監査
• 社内チームがコンプライアンス監査の実施と調査結果/セキュリティギャップへの対処を担当
• SIEM
• ServiceNow

ROI と次のステップ

「(Tenable Cloud Security は) これまでとは違う角度で外側からの視点をもたらし、独立したアドバイザーとして当社の運用や業務についてインサイトを提供してくれる重要な存在です」と Pfau 氏は述べます。「このプラットフォームは絶えず適応しているので、クラウドの現状、ユースケース、脅威について知見が得られます。私たちは当初、クラウドアイデンティティとアイデンティティガバナンスのニーズの解決を重視していましたが、このソリューションのクラウドセキュリティ態勢管理の機能は思いがけないメリットであり、今後どのように前進するかという戦略にうまく適合します」

「当面は、Ermetic (現 Tenable Cloud Security) をセキュリティスキャンの基本とし、その結果に基づいてより的確に対応することを目指しています。当社では Ermetic (現 Tenable Cloud Security) を日常の業務プロセスにさらに緊密に統合していく予定です。具体的には、より多くのチケット発行を通じてポリシー修正に関する推奨事項を統合し、このソリューションを変革のためのプラットフォームとして推進していきます。SOC などさまざまなチームにチケットを送信して、それぞれのチームが担当領域のセキュリティを管理できるようにしたいと考えています」

「また、PDCA サイクル (計画-実行-評価-対策の継続的改善、現在 ISO 27001:2013 の要件) に当ソリューションのインサイトを導入することも目指しています。つまり、Ermetic (現 Tenable Cloud Security) を使用して権限を減らし、過剰に権限が付与されたプロビジョニングを抑制し、完了までを確認するつもりです。特権アカウントを閉鎖したり、あるロールに過剰な権限が付与されているという理由でロールを分割したりすると、変化がもたらされます。この完全な PDCA チェーンを配置し、Ermetic (現 Tenable Cloud Security) を使用して実行する予定です 」

まとめ

Pfau 氏は次のように総括しました。「私からのアドバイスは、Ermetic (現 Tenable Cloud Security) が間違いを見つけたり、何かがうまくできていないことやリスクが高いことを伝えたりしても恐れないようにということです。このようなツールは反復化を加速させるので、素早く学習し、異なる視点を得るのに役立ちます。In the fast-changing cloud platform world you need feedback loops that are internal and external – mirrors reflecting what you’re doing. [Tenable Cloud Security] provides an external feedback loop with fast insight that you can use to accelerate remediation and make incremental security improvements.

「最終的には (Tenable Cloud Security により) 透明性が確保されるため、クラウドインフラとリソースのリスク、そのリスクに対する対処方法について把握できるのです。2 回クリックするだけで実際に何が起きているのかを確認し行動に移せるということが、当社にとって大きな価値をもたらしています」

Tenable Cloud Security について

Tenable Cloud Security は、実用的なクラウドセキュリティの CNAPP であり、設定ミス、危険な権限、脆弱性などに起因する優先度の高いセキュリティギャップを短時間で可視化して解決します。クラウドリスクの発生源となる弱点を短時間で可視化して解決します。 Tenable は、インフラ、ワークロード、アイデンティティ、データ、AI サービスの全体にわたり、これらのエクスポージャーを大規模に隔離および払拭することに関して世界をリードしています。