fbpx

動画通信コンプライアンスの先端企業が、Aquaを利用して自社のソフトコンプライアンスを強化 #AquaSecurity #コンテナ #セキュリティ #事例 #casestudy

AquaSecurity

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

本ブログは「Aqua Security」社の技術ブログで公開された「 Video Compliance Tech Innovator Ensures Compliance of Its Own Software with Aqua 」の日本語翻訳です。

THETALAKE社の概要

昨今、ビデオマーケティング、ビデオ会議、ビデオチャット、音声通話などの使用が急増しています。これに伴い、MiFID II、FCA、GDPR、FINRA、FFIECなどのデータ保護規制要件や、ビデオモニタリングや通話録音を含む通信コンプライアンスに関する同様の規制要件も増加しています。このように、通信コンプライアンスは複雑さを増してきています。

Theta Lake社は、規制リスクの自動ポリシー検出、コンプライアンスワークフロー、ビデオマーケティング・ビデオ会議・音声記録のアーカイブに特化したコンプライアンス製品スイートを提供する会社です。Theta Lake スイートは、音声および動画コンテンツにおけるオーディオ、ビジュアル、ドキュメント、会話内容等に潜むリスクを検出します。

THETALAKE社が抱えていた課題

コンプライアンスに特化したテクノロジーベンダーとして、Theta Lake社は最高水準のセキュリティとコンプライアンスを自ら遵守する必要があります。「クラウド生まれ」の企業として、同社はコンテナベースで開発・設計を行っており、サービスやAIプロセスの多くをAWSクラウド上で実行しています。

Theta Lake社は、OSパッケージやオープンソースのコンポーネントを含むコンテナイメージを使用しており、ソフトウェアのサプライチェインに既知の脆弱性がないことを保証したいと考えていました。また、CI/CD パイプラインやレジストリの安全性を確保することで、信頼できるイメージのみを使用できるようにしたいと考えていました。

加えて、コンテナのデプロイにおけるセキュリティ状態の継続的な監視や、実行中のコンテナ内で新たに発見された脆弱性のアラート通知も可能にしたいと考えていました。そして発見された脆弱性、ユーザーアクセスイベント、セキュリティポリシー違反など、セキュリティおよびコンプライアンスに関するイベントを完全に監査・追跡することを目指していました。

Aquaによるソリューション

コンテナイメージの開発パイプラインやランタイム環境の安全性を確保するためのソリューションとして、様々な商用ソリューションやオープンソースツールを検証しました。その結果、Theta Lake社は Aqua Container Security Platform (以降「Aqua CSP」と表記) を選択しました。

Aquaの互換性、多くのAWSコンテナサービスとの緊密な統合、AWS Marketplaceにおける可用性、オンデマンドでの利用が可能であることは、当社(ThetaLake社)の重要な検討事項に沿うものでした。

Aqua CSPを使用することで、Theta Lakeはコンテナベース開発パイプラインの全ステージ(イメージビルド、コンテナデプロイメント、ランタイム)においてセキュリティを迅速に統合できました。

  • CI/CDビルドをスキャンし、既知の脆弱性・埋め込まれたシークレット・マルウェア・オープンソースのライセンスに関する問題を検出
  • 新たに発見される脆弱性に備えイメージレジストリを継続的にスキャン
  • イメージ保証ポリシーにより、リスクの高いイメージや未知のイメージの実行を防ぎ、信頼できるイメージのみを使用可能に
  • コンテナの疑わしい振る舞いや新たな脆弱性、ホストへのログイン試行などのイベントをリアルタイムで監視及び監査

AWSのサービスを活用

Theta Lake社では、AWS上で開発を管理しており、Amazon ECR(Elastic Container Registry)やAmazon ECS(Elastic Container Service)を使用してワークロードのオーケストレーションや管理を行っており、さらにAmazon CloudWatchも利用しています。

AquaがAWS Marketplace上で購入可能であったため、オンデマンドで利用でき、その使用料は月々のAWSの請求書で処理できました。

Aqua CSPを導入した成果

Aqua CSPを利用することで、Theta Lake社は開発パイプラインの状態をリアルタイムに可視化できるようになりました。これにより脆弱性やイメージの設定ミス、シークレットの漏洩などに起因する問題を迅速にアラート通知および修正対応することにより、ソフトウェアのコンプライアンスとセキュリティを保証できるようになりました。 

  • コンプライアンスおよびセキュリティポリシーの継続的な変更と制御
  • コンテナ化した環境への不正アクセスの監視および防止
  • 現行のコンプライアンスについて文書化し、顧客や監査担当への報告を実施
New call-to-action
新規CTA