エクスポージャー管理の変革によりリスクを軽減し、ROIを10倍に高めたLifeLabs

LifeLabsは、370の拠点を有するカナダ最大の医療検査診断会社で、1,500万人以上の顧客にサービスを提供しています。健康情報の分析から得られる実用的なインテリジェンスを提供することで、顧客が自らの健康状態を管理し、より健康的な生活を送れるように支援しています。

LifeLabsのCISO兼ITシェアード サービス担当バイス プレジデントであるMike Melo氏は、2018年に同社に入社して以来、大きな変革を目の当たりにしてきました。Melo氏は次のように話します。「私たちは、厳しく規制された組織であり、さまざまなプライバシーの義務に従っています。LifeLabsの目標は、医療におけるサイバーセキュリティの実践を最前線でリードすることです。世界中の医療機関は、機密性の高い公衆衛生情報(PHI)を管理しているため、攻撃者からますます狙われるようになっています。だからこそ、最も安全な方法で顧客情報の保持と管理を行うことが、お客様に対する当社の最大の責任であると考えています」

Melo氏はさまざまな関係者とともに、業界標準と規制要件に厳密に準拠しながら、脆弱性管理(VM)の課題への対処を主導してきました。しかし、CVEを調べるという従来のアプローチは機能しませんでした。「私たちの部署が求めていたのは、ビジネスのコンテキストを脆弱性に正しくマッピングし、リスク評価に基づいた結果を導き出し、そして組織を危険にさらしているものを可視化してリスクを低減するソリューションでした」

こうした背景から、Melo氏はAvalorとの連携を開始しました。Avalorはその後、Zscalerに買収され、Zscaler Unified Vulnerability Management (UVM)として再ブランド化されました。Zscaler UVMは、従来の脆弱性の検出と悪用される可能性を示すフィード、および多数の調査結果とビジネス コンテキストを取り込みます。次に、その情報を関連付けて強化し、リスクを軽減するために必要なアクションをコンテキスト化し、それに基づいて優先順位を付けてリスト化します。

「対処したかった最大の領域の1つが、ペネトレーション テストの結果です。この取り組みをサイロ化させるのではなく、当社のVM管理プログラムに統合したいと考えていました。Zscaler UVMを使用すると、これらすべての情報が取り込まれ、コンテキストに基づいた優先順位付けが行われます。そして、当社のリスク軽減策も考慮された総合的かつ実用的な情報を得ることができます。この製品には本当に満足しています」

UVMのリスク計算では、要因の組み合わせによって優先度が上下しますが、リスク スコアを作成する要因の重要度は、微調整したり、変更したりすることができます。Melo氏は、要因と重要度を変更できるこの機能をメリットの一つと考えています。

「自社のデータの中には完全に信頼できないものもありますが、UVMではツール内の計算方法を変更できるため、非常に効率的です。また、このプラットフォームだけでレポートを作成できるという点も画期的です」

LifeLabsはZscaler UVMを使用して、重要なアプリケーションに関連するリスクの把握に注力しています。これにより、セキュリティ部門とビジネス部門のやり取りが一変しました。「ビジネス部門が使用する重要なアプリのリスクが高まっている状況について話し合い、何らかの変更が必要であることを説明できるようになりました。たとえば、異なるメンテナンス期間を設ける、ビジネス プロセスを再考する、あるいはユーザーがフィッシングの被害に遭い、リスク スコアが上がっている場合は、トレーニングをさらに実施するなどといった改善案を提示できます。今では、ビジネス部門とより有意義な話し合いができるようになっています」

Zscaler UVMはまた、取締役会への報告においてもMelo氏をサポートしています。Melo氏はサイバーセキュリティのパフォーマンスを示すために、ビジネス コンテキストにリアルタイムで関連付けたリスク スコアを含む、より意味のある指標をカスタマイズしてプラットフォームに追加しました。「経営幹部から当社のセキュリティの最新状況について聞かれますが、UVMのようにいつでも信頼できるものがあれば、そうした質問にも簡単に答えられます。リスクに関する最新情報をリアルタイムで得られるため、どこにリスクがあるのかをいつでも説明できます」