ドミノピザ、「攻撃者の視線で考える」ことで脅威を把握
Industries
Company Size
Products
Customer Website
About Domino's Pizza
日本でもよく知られるドミノピザは世界最大のピザチェーンで、ピザの配達とテイクアウトの両方で大規模な事業を展開しています。世界有数のレストランブランドに数えられ、5大陸90か国に18,300店を超える店舗をグローバルに展開しています。テクノロジーはオンライン注文・配達サービスのバックボーンであり、同社は最先端のテクノロジーを採用して最高の顧客体験を提供しています。
ドミノピザのテクノロジー部門は、同社のeコマース、POS、フランチャイズレポートシステムをサポートしており、その情報セキュリティチームは、ポリシーを重視する専門家、コンプライアンスの専門家、ハッカーの視点を持つテクノロジーの専門家で構成されています。メンバーが協力して業界で最も高度なセキュリティテクノロジーを実装・維持することで、ビジネス全体を攻撃から保護しています。
課題
ドミノピザのセキュリティオペレーションセンター(SOC)は24×365体制で稼働しています。チームが対処するセキュリティ上の最大の課題の1つにフィッシングがあります。サイバーセキュリティは、情報技術担当バイスプレジデントのAlexander Padilla氏とサイバーセキュリティ運用担当シニアマネージャーのBrian Duross氏が担当しています。「私のチームでは現在、フィッシング関連の問題に最優先で対処しています」とDuross氏。「最近はスピアフィッシングが多く見られ、脅威アクターの巧妙度がかなり増しているため、正直防御が難しい分野の1つです。」
脅威ハンティングも重要です。「国内市場と国際市場の両方を要する当社の攻撃可能領域はかなり広いため、自社環境で何が起こっているかを常に把握し、脅威が問題として具体化する前に検知するよう努力しています。これを実現するためには、SOCアナリストが攻撃者の視点で考える必要があると考えました。多くのアナリストは検知と対応のみに焦点を当てているため、攻撃者が実際に使用するビルディングブロックに関する知識がなく、敵対者としての視点がないためです。」
解決策
長年にわたり、ドミノピザはRapid7と提携して、実世界でのチーム評価を実施してきました。「過去にはレッドチーム/ブルーチームの演習を実行しました」と同氏は付け加えます。共同トレーニング体験を作成するため、両氏はRapid7にアプローチし、Rapid7の新しい検知・対応ワークショップを共同で開発しました。このワークショップは、インシデント対応コンサルタントの専門チームの主導で、検知機能をテストし、防御者向けの実践的なトレーニングを受けたいと考えているRapid7のお客様すべてが利用でき、アナリストがチームの既存のツールセット内の攻撃者のアクティビティを特定して調査するのに役立ちます。
「当社のアナリストをSOCから連れ出し、日々現実世界の事象を観察しているRapid7のセキュリティ専門家とのワークショップに参加させました」とDuross氏は説明します。「実際の事例や業務から、これまで聞いたことのない新しい攻撃シナリオについて学ぶことができ、非常に大きな成果を得られました。そうしたことを学べたことがアナリストからは本当に好評でした。」
ビジネス面での目標をサポート
「私たちの目標は、会社に価値を提供し、改善の機会がある場所、ネットワーク上で注意すべき要素や追加の確認が必要な箇所を理解することでしたが、Rapid7がまさにそれを提供してくれています」とPadilla氏は述べています。「ビジネスは常に動き続けるものですので、当然可視化への旅はまだ途上です。環境がますます複雑になる中、私たちはイノベーションや変革を追加しています。Rapid7は成熟した製品を提供し、学びを深めており、当社の組織により良い未来を提供してくれます。」
「Rapid7とのパートナーシップの目標には、ビジネスの視点でソリューションを提供することで付加価値を高めることもありました」とPadilla氏は続けます。「Rapid7は当社の環境を理解しています。ワークショップの準備においては、同社が当社のビジネスを文脈化できることが重要でした。当社の主要な資産やより複雑な資産、最大の収益創出の中心、これらすべてを考慮に入れてくれました。こうした演習を提供する一部のベンダーでは、基本的に同じサービスを何度も繰り返すなかでビジネス的な文脈から離れてしまうこともよくあります。」
実体験
「アナリストは、こうしたRapid7ワークショップを気に入っていました」とDuross氏は説明します。「学びに集中でき、机上の演習について心配する必要はありませんでした。また、アナリストがすでに精通しているツールを使用し、当社の環境を対象とした演習だったので非常に好評でした。アナリストをトレーニングに派遣すると、確かにたくさんのスキルなどを学べますが、重要なのは、その後、会社に戻ってきて学びを自社環境に適用することです。Rapid7の検知・対応ワークショップでは、自分の仕事に直接適用できるスキルを習得できました。」
「チームのメンバーのスキルセットはさまざまです」とDuross氏は付け加えます。「一部の人にとっては、攻撃の仕組みを理解し、自社環境で検出するのは本当に初めての体験ですし、また、そうではない人もいます。テクニックにかなり精通している脅威ハンターもいますが、彼にも学びがありました。まさに私たちがカバーすべき領域全体にわたる実りがあったといえます。」
環境内のコンテンツの全体像を把握
セキュリティへの影響に関し、Duross氏はワークショップから得られる実際のメリットを指摘しています。「当社にはコンテンツの開発と改良の継続的なモデルがあり、対応可能なアイテムを取得するのに必要なだけノイズをフィルタリングしていますが、これらのRapid7検知・対応ワークショップのプロセスが役立っています。また、アナリストは環境内のコンテンツをより包括的に把握することができます。」
「Rapid7の検知・対応ワークショップは、従来型のレッドチーム演習ではありません」とDuross氏は結論付けています。「当初の予想よりもはるかに多くの学びを得られました。自社のプログラムについて、想像もしなかったことを知ることができました。」
侵害には、金銭的損害にとどまらない莫大な損失が伴う可能性があり、企業の評判や顧客からの信頼も危機に瀕しますが、賢明な企業は、こうした方法で将来の脅威に備えています。