ウエスタンユニオンがIllumioセグメンテーションでスケーラブルなゼロトラストを構築した方法

毎日 200 の国と地域間で人々の資金移動をサポートする場合、サイバーセキュリティはビジネス上必須です。

ウエスタン ユニオンでは、サイバーセキュリティは、グローバルコミュニティに貢献し、金融犯罪と闘うという使命の基盤となっています。しかし、従来のアプローチでは、規制の進化、脅威の増大、M&Aのスピードに対応できませんでした。

そのため、Western Union はマイクロセグメンテーションに基づいたゼロトラスト戦略を採用しました。

Illumio の協力を得て、チームはスケーラブルなセグメンテーション戦略を構築し、PCI コンプライアンスの加速、取得時の滞留時間の短縮、脅威が広がる前にそれを発見するために必要な可視性を実現しました。

今年の Black Hat では、Western Union のサイバーセキュリティ アーキテクチャ戦略担当副社長 Rusty Perry 氏と、主任サイバーセキュリティ ソリューション アーキテクト Bruce Godbout 氏にインタビューを行い、Illumio を使用してスケーラブルなマイクロセグメンテーション戦略をどのように実装したか、またそれが同社のグローバル企業全体でどのような成果をもたらしているかについて学びました。

インタビュー全文はこちらをご覧ください:

コンプライアンスを超えたセキュリティ

ウエスタンユニオンの世界的な使命は、単なる送金だけにとどまりません。同社は、厳しい規制とコンプライアンス要求を順守しながら、サービスが行き届いていないコミュニティに奉仕し、教育を支援し、詐欺や人身売買と闘っています。

「当社は、伝統的な金融サービスにアクセスできない世界の多くの地域にサービスを提供しています」とラスティ氏は語った。「当社の顧客は、家族を養ったり、子供を大学に進学させたり、中小企業を支援するために送金することがよくあります。こうした取引とその背後にいる人々を保護することは極めて重要です。」

ブルース氏もこれに同意し、このミッションが同社のサイバーセキュリティへのアプローチを推進していると付け加えた。  

「セキュリティは、単にチェックボックスをチェックする作業以上のものでなければならない」と彼は述べた。ウエスタン ユニオンにとって、それは、セキュリティがビジネスを可能にしつつ、より迅速かつ安全なビジネス展開を支援する必要があることを意味します。

当社は、従来の金融サービスにアクセスできない世界の多くの地域にサービスを提供しています。当社の顧客は、家族を養ったり、子供を大学に通わせたり、中小企業を支援するために送金することがよくあります。こうした取引とその背後にいる人々を保護することは非常に重要です。

セグメンテーションに基づくゼロトラスト

ウエスタンユニオンは、保護のためだけでなく進歩のためにもゼロトラスト戦略を採用しました。マイクロセグメンテーションは、その戦略の基礎となります。

ブルース氏はゼロトラストをイネーブラーと呼んでいます。Western Union が新しい企業を買収する場合、マイクロセグメンテーションにより、企業全体を不必要なリスクにさらすことなく、新しい環境を統合することができます。

マイクロセグメンテーションを活用したゼロトラスト アプローチにより、Western Union チームは次のことが可能になります。

• 合併・買収（M&A）時のリスクを抑制する
• PCI DSS 4.0などの進化する規制に準拠
• 業務を遅らせることなく重要なシステムを分離
• 未知の資産とトラフィックパターンを可視化

「ゼロ トラストは、新しい環境を安全かつ的確に接続するのに役立ちます」とラスティ氏は述べています。これにより、企業はセキュリティ基準を維持し、滞留時間を短縮しながら、M&A による価値をより早く実感できるようになります。

セグメンテーションの触媒としてのコンプライアンス

Western Union のマイクロセグメンテーションの取り組みにおける最大の推進力の 1 つは、 PCI DSS 3.2.1 準拠からPCI DSS 4.0への移行でした。PCI 4.0 では、カード所有者データ環境 (CDE) 内のすべてのシステムにわたって多要素認証 (MFA) などの制御が求められるため、セグメンテーションが不可欠になりました。

「ほとんどの企業は、VPN をZTNA (ゼロ トラスト ネットワーク アクセス) に置き換えることからゼロ トラストを開始し、それで完了だと考えています」と Rusty 氏は述べています。「そうじゃないよ。」PCI は、私たちに、より速く、より遠くまで進む理由を与えてくれました。」

セグメンテーションがなければ、Western Union は環境全体を PCI DSS に準拠させる必要があり、コストがかかりリスクの高い作業になります。しかし、セグメント化によって、同社は CDE を分離し、コンプライアンス フットプリントを削減し、それを達成するために必要な労力を削減しました。

自社開発のセグメンテーションツールからIllumioまで

ウエスタンユニオンは以前にもセグメンテーションを実施したことがあったが、それは困難な方法だった。同社のチームは、ログを分析し、ホストベースのファイアウォール ルールをプッシュするための内部ツールを作成しました。このアプローチはクラウド環境で機能しました。しかし、オンプレミスでは、速度が遅く、面倒で、制限がありました。

今度はスピードとスケーラビリティが必要でした。そこでイルミオに頼ることになりました。Illumio を使用すると、ログを発送して保管したり、自動化を後から導入したりする必要がなくなりました。また、洞察を迅速に得て、他の利害関係者が理解できる形式で政策提言を共有することもできました。

「あれはすごいことだった」とブルースさんは言った。

部門横断的な社内パートナーシップを通じてセグメンテーションを拡大

セグメンテーション プロジェクトにおける最大の課題の 1 つは、アプリケーション チームとインフラストラクチャ チームからの承認を得ることです。だからこそパートナーシップが鍵だったとラスティ氏は言う。

「PCIの期限が迫っていたため、注目を集めるのに役立ちました」と彼は説明した。「しかし、さらに重要なのは、部門横断的なパートナーシップを構築したことです。私たちはチームに、自分たちが何をしているのか、なぜそれが重要なのか、そしてそれが彼らにどのような影響を与えるのかを伝え、サポートを提供しました。」

その結果、数千のワークロードにわたる緊密な連携と展開の成功が実現しました。それは簡単ではありませんでした。しかし、リーダーシップの連携と強力な関係により、チームは監査に合格しました。

ウエスタンユニオンが数千のワークロードをセグメント化して学んだこと

現在、セグメンテーションは、Western Union がコンプライアンス ボックスのチェック以上のことを行うのに役立っています。これにより、より優れたビジネス上の意思決定が可能になり、より迅速かつ安全な運用が可能になります。

ブルース氏は、M&A は今後もセグメンテーションの主要な使用例であると述べています。Illumio を使用すると、Western Union のセキュリティ チームは、新しい企業をすぐに完全に統合することなくオンボーディングできます。これにより、より広範な環境をセキュリティ リスクにさらすことなく、ビジネスを継続できます。

また、脅威の検出を強化するために Illumio も使用しています。

「可視性はほんの始まりに過ぎません」とラスティ氏は語った。Illumio のテレメトリを使用すると、IT チームは実際のトラフィックのパターンを確認し、異常を特定し、それをサイバー防御チームに伝えることができます。これにより、企業は問題をより早く発見し、脅威が拡大する前に対処できるようになります。

Rusty と Bruce は、マイクロセグメンテーションの実装から学んだ重要な教訓をいくつか共有しました。

• 早めにプロジェクトマネージャーを導入してください。セグメンテーションは部門横断的な取り組みであるため、1 つのものとして扱う必要があります。
• 少なくとも 3 か月間のトラフィック分析を取得します。それが信頼できる洞察を得るための最低限の条件です。‍
• アプリケーションの所有者と明確にコミュニケーションをとります。計画、ポリシーの出力、日付を事前に共有します。‍
• 変更ウィンドウを厳守してください。締め切りを延ばし続けると、決して終わらないでしょう。‍
• 驚きを期待してください。存在すら知らなかったシステムや依存関係が見つかります。反応するためのバッファ時間を組み込みます。

Illumio のテレメトリを使用すると、実際のトラフィックのパターンを確認し、異常を特定して、それをサイバー防御チームに提供できます。これにより、問題をより早く発見し、脅威が拡大する前に対処できるようになります。

将来展望：サイバーセキュリティにおけるAIと自動化の役割

では、Western Union のゼロトラストへの取り組みの今後はどうなるのでしょうか?さらなるセグメンテーション、さらなる自動化、そしてさらなる回復力。

「 AIを活用した攻撃の増加に伴い、敵はより賢く、より速く、そして常に活動していると想定する必要がある」とブルース氏は述べた。「マイクロセグメンテーションは、爆発範囲を制限し、侵害を封じ込めるための最も強力なツールの 1 つです。」

Western Union は、Illumio テレメトリをより広範な脅威暴露管理 (CTEM) 戦略に統合することも検討しています。同社は、Illumio AI の観測可能性を活用して、よりスマートなリスク軽減とより迅速な検出を推進する予定です。

「脅威が進化するにつれて、ログを超えた観測可能性が必要になります」とラスティ氏は語った。

Illumio は、トラフィックを相関させて重要な点を特定するために必要なコンテキストを企業に提供し、チームが手遅れになる前に対応できるようにします。

Illumio: グローバル規模のマイクロセグメンテーション

Western Union と Illumio の取り組みは、マイクロセグメンテーションが必ずしも遅く、苦痛で、理論的なものである必要がないことを証明しています。適切なツール、リーダーシップ、部門間の連携があれば、大規模なグローバル企業でもすぐに実質的な成果を上げることができます。

「セグメンテーションはもはやオプションではない」とブルース氏は語った。「これはゼロトラスト、コンプライアンス、サイバーレジリエンスの基盤です。」

イルミオのおかげで、ラスティとブライアンは、ウエスタンユニオンはもはや脅威に反応するだけではなくなったことに同意しました。世界中の何百万もの人々が日々頼りにするビジネスのために、よりスマートで、より強力で、より安全な未来を築きます。

よりスマートなセキュリティ上の決定をより早く行いたいですか?始めましょう イルミオインサイトの無料トライアル 今日。