Wescoがノイズを排除し、リスク管理を再構築した方法

Wescoは、電気・通信システムや安全機器を公益事業者、製造業、病院、建設会社などに提供する主要なサプライチェーンパートナーとして広く知られています。

しかし舞台裏では、同社も他のあらゆる組織と同じ課題、すなわち何千ものセキュリティアラートをどう管理するかという問題に直面しています。Wescoにとっての問いは明確でした。「何が緊急で、何が後回しにできるのか、どう見分けるのか？」

この問いが、Wescoの「優先順位付けリスク管理イニシアチブ」のきっかけとなりました。このプロジェクトはアラートの氾濫を整理するために設計されました。異なるプラットフォームからリスクデータを単一のフレームワークに集約することで、チームはセキュリティ脆弱性をより明確に把握し、最も緊急な脅威に集中できるようになりました。

Wescoのリスク管理戦略を支える4つの柱

Wescoの新しいアプローチは、リスク管理を担当するチームにとってより実践的なものにするために設計された4つの主要戦略に基づいています。

• プロアクティブな防御：リアルタイムの脅威インテリジェンスフィードにより、Wescoは脆弱性を早期に発見し、深刻化する前に無効化できます。
• 認識力の向上：開発者とセキュリティチームはゼロデイ脅威をより明確に把握し、迅速に対応できます。
• アプリケーションセキュリティ体制の強化：「セキュリティチャンピオンプログラム」により、責任がセキュリティチームだけでなく、開発や経営陣にも広がります。
• AI主導のリスク軽減：人工知能が、アラートのトラブルシューティングや脆弱性スキャンの精査など手作業を自動化し、開発者が脆弱性をより迅速に解決できるよう支援します。

このプロジェクトの中核は統合です。WescoはGitHub、Azure DevOps、Veracode、JFrog、Kubernetes、Microsoft Defender、CrowdStrikeなど十数のプラットフォームを単一のビューに接続しました。

「セキュリティチームはアラートに圧倒され、セキュリティリスクを包括的に把握できていませんでした」と、Wescoのバイスプレジデント兼最高情報セキュリティ責任者のJohn Sander氏は語ります。

「私たちはすべてのデータを統合し、現在はアプリケーションセキュリティ体制管理（ASPM）、脅威モデリング、リスクスコアリングを活用してリスクの可視化を効率化し、進化する脅威に適応しています。」

混乱を明確さに変える際の課題

どんなリスク管理戦略も容易に展開できるものではなく、Wescoの取り組みも障害に直面しました。

最初の課題は、単純に量の多さでした。さまざまなプラットフォームから何千ものアラートが流れ込み、本当の脅威とノイズを区別する方法がありませんでした。さらに、データの断片化により可視性にギャップが生じていました。各プラットフォームは全体像の一部しか提供せず、真のリスク状況を把握するのが困難でした。

重複も問題を悪化させました。同じ脆弱性が複数のツールに現れることがあり、チームはそれを何度も対応することで貴重な時間を浪費していました。明確な責任分担がないため、開発者や事業部門は誰が修正を担当するのか分からないこともありました。

Sander氏は特に苛立たしい例を振り返ります。「同じサードパーティの脆弱性がVeracodeとGitHubの両方に表示され、異なるチームが一貫性のない方法で修正しようとしていました。」

大きな進展があったのは、チームが次のプログラムや技術を使って脅威を評価し始めたときでした。

• セキュリティチャンピオンプログラム：開発チーム内でセキュリティの責任者を割り当てる
• ASPMと脅威モデリング：自動リスクスコアリングと集中型インサイトを提供
• AI活用のセキュリティ自動化：AI支援ツールによる脆弱性解決の自動化
• 運用リスクレポーティング：開発者から経営層までエンドツーエンドの可視性を確保

「これらのツールにより、『既知のエクスプロイトはあるか？緩和策は講じられているか？実際のビジネスインパクトは何か？』と問いかけることができました」とSander氏は語ります。

リスク管理を前進させる成果

自動化、AI、責任分担を組み合わせることで、チームは脆弱性の検出と修正を加速し、開発者やセキュリティスタッフの負担を軽減しました。

Wescoのリスク管理イニシアチブの成果は目覚ましく、数字がそのストーリーを物語っていますとSander氏は述べます。

主な改善点は以下の通りです：

• 年間9,000時間の開発工数を削減：自動化により手作業のトラブルシューティング作業の多くを処理。
• 重要システムのアプリケーションリスクスコアが30%低下：より強固なセキュリティ体制を実現。
• 新たな脆弱性が50%減少：長期的なセキュリティ負債の削減に貢献。
• 解決までの時間が短縮：AIが開発者を支援し、根本原因の特定と迅速な修正提案を実現。
• 外部評価の向上：BitSightスコアの改善など、顧客の信頼を強化。

数字以上に重要なのは、セキュリティとソフトウェア開発が融合した文化の変化です。Wescoのセキュリティチャンピオンプログラムにより、開発者はもはやセキュリティチームから修正指示を待つのではなく、開発ライフサイクルの早い段階で自ら脆弱性を修正するようになりました。

「たとえば、Veracodeが重大なコンテナ脆弱性を検出した際、そのチームのセキュリティチャンピオンがAIツールを使って根本原因を特定し、中央のAppSecチームに頼ることなく数時間以内に修正を適用しました」とSander氏は語ります。

「この文化的変化により、対応サイクルが短縮され、組織全体での協力が増しました。」

このリスク管理プロジェクトにより、Wescoは2025年CSOアワードを受賞しました。この賞は、卓越したリーダーシップとビジネス価値を示すセキュリティプロジェクトを表彰するものです。

よりスマートなリスク管理の鍵：可視性とオーナーシップ

他のセキュリティリーダーにリスク管理のアドバイスを求められたとき、Sander氏は率直にこう答えます。「データを集約し、セキュリティを全員の仕事の一部にしましょう。」

「すべてのセキュリティツールからデータを中央プラットフォームに統合すれば、重複を排除し、トリアージを効率化し、真のリスク状況を把握できます」と彼は言います。

同様に重要なのは、セキュリティをサイロから解放し、部門横断で日常業務に組み込むことだとSander氏は付け加えます。ここで文化が重要な役割を果たします。

「私たちのようなセキュリティチャンピオンプログラムは、分散型の責任を生み出します。開発者は、妨げるのではなく支援するツールがあれば、セキュリティを自分の役割の一部と捉えるようになります。」

Wescoの受賞歴のあるイニシアチブは、リスク管理が圧倒的なものになる必要はないことを証明しています。データの統合、自動化、責任を共有する文化によって、同社は大量のセキュリティアラートを明確で実行可能な優先事項へと変換しました。

Wescoは膨大なセキュリティアラートを明確で実行可能な優先事項へと変換しました—そして、世界中のリーダーたちがどのようにリスク管理を再構築しているかを学ぶことができます。CSOカンファレンス＆アワードに参加して、Wescoのような受賞戦略を探求しましょう。これらの戦略は時間を節約し、リスクを低減し、文化を強化します。今すぐ登録。