エグゼクティブサマリー
サンタンデールグループ傘下のプリペイドVisaカード発行会社Ben Visa Valeが、Sysdig Secureを導入し、金融機関としてのセキュリティ体制を劇的に強化しました。脆弱性管理時間を70%削減、セキュリティテストコストを65%削減し、本番環境に到達する脆弱性を98%減少。年間3,600万ドルの取引を処理する80万人以上のカード会員を保護しながら、迅速なソフトウェアデリバリーを実現した革新的な事例です。
企業プロファイル
企業名: Ben Visa Vale (ベン・ビザ・ヴァーレ)
業種: 金融サービス(プリペイドVisaカード発行)
親会社: サンタンデールグループ
設立: 2018年
所在地: ブラジル
事業規模:
- 顧客企業: 3,500以上の組織
- カード会員数: 80万人以上
- 年間取引額: 約3,600万ドル
- 市場シェア: ブラジルの福利厚生クレジットカード市場の3.5%
インフラ構成:
- クラウド: Amazon Web Services (AWS)
- オーケストレーション: Amazon EKS、SUSE Rancher
- 導入ソリューション: Sysdig Secure
Ben Visa Valeは、企業の従業員福利厚生プログラム向けにプリペイドVisaカードを提供し、ブラジルの金融市場で急成長を遂げている革新的なフィンテック企業です。
直面していた課題
1. Kubernetes移行に伴う可視性のギャップ
移行の成果と新たな課題:
- サードパーティインフラからKubernetesへの移行により、ログイン時間を12秒から3秒に短縮
- しかし、コンテナ環境のセキュリティ可視性が不足
- クラウドネイティブ特有のセキュリティリスクへの対応が困難
「脆弱性管理プロセスが非効率で、コンテナへの可視性が欠如していました」
— アンダーソン・アガピト、CISO
Kubernetesへの移行は技術的には成功したものの、セキュリティ面での新たな課題を生み出していました。
2. 非効率な脆弱性管理プロセス
手動プロセスの限界:
- 脆弱性の特定から修復までの手作業が膨大
- 開発者への手動通知とコミュニケーションサイクル
- 脆弱性の優先順位付けが不明確
セキュリティチームがわずか5名しかいない中、金融機関のインフラ全体を管理する必要がありました。
3. 遅すぎる脆弱性発見
本番環境直前での発覚:
- セキュリティ問題が開発サイクルの後半で頻繁に発見される
- 脆弱性を抱えたままデプロイするか、ローンチを遅らせるかの困難な選択を迫られる
- ビジネスとセキュリティのバランスが取りにくい
金融業界の競争環境では、デプロイの遅延は大きなビジネスリスクとなります。
4. 高額なセキュリティテストコスト
外部テストの負担:
- 年次エシカルハッキングテストが1回あたり2万ドル超
- 限られたセキュリティ予算への大きな負担
- テスト頻度を増やすことが困難
5. 厳格なコンプライアンス要件
ブラジル中央銀行の規制:
- 2019年のオープンファイナンス宣言に伴う新規制
- オープンループ環境への移行に対するPCI-DSS準拠の義務化
- 支払いカード業界の厳格なセキュリティ基準への対応
金融機関として、コンプライアンス違反は事業継続に直結する重大なリスクでした。
Sysdig Secureによるソリューション
初期評価:衝撃的な発見
POC(概念実証)の結果:
Sysdigによる初回スキャンで、98%のアプリケーションに脆弱性が発見されました。この発見が、即座の導入計画につながりました。
「セキュリティで20年以上働いてきて、数多くのツールを使用してきました。Sysdigができることには本当に感銘を受けています」
— アンダーソン・アガピト、CISO
実装されたソリューション
1. CI/CDパイプラインへの自動統合
シームレスな統合:
- 開発パイプラインに直接組み込み
- 検出された脆弱性に対して自動でJiraチケットを作成・アサイン
- 開発者への手動通知サイクルを完全に排除
これにより、セキュリティが開発フローを妨げることなく、自然に組み込まれました。
2. 簡単な設定とコンプライアンス対応
ワンクリック設定:
「設定の柔軟性は本当に簡単です。例えば、PCIフレームワークを設定するのに、数回クリックするだけでした」
— アンダーソン・アガピト
対応するコンプライアンス:
- PCI-DSS(Payment Card Industry Data Security Standard)
- ブラジル中央銀行のオープンファイナンス規制
- その他の金融業界標準
3. 自動ブロッキング機能
プロアクティブな保護:
- 高・クリティカル深刻度の脆弱性を本番環境への移行前に自動でブロック
- デプロイゲートとしての機能
- 脆弱性を抱えたコードが本番に到達するのを事前に防止
4. 包括的な可視性
統合監視プラットフォーム:
- Kubernetesクラスタ全体の完全な可視性
- AWSログとの統合
- 将来のSIEM統合(Wazoo)への対応準備
技術的アーキテクチャ
┌─────────────────────────────────────────────────┐
│ Ben Visa Vale AWS Infrastructure │
│ ┌──────────────────────────────────────────┐ │
│ │ Amazon EKS + SUSE Rancher │ │
│ │ ┌────────┐ ┌────────┐ ┌────────┐ │ │
│ │ │ Payment│ │ Auth │ │ Card │ │ │
│ │ │ Service│ │ Service│ │ Mgmt │ │ │
│ │ └────────┘ └────────┘ └────────┘ │ │
│ └───────────────────┬──────────────────────┘ │
│ │ │
│ ┌───────────▼──────────────┐ │
│ │ Sysdig Secure Agent │ │
│ │ - Vulnerability Scan │ │
│ │ - Runtime Protection │ │
│ │ - Compliance Check │ │
│ │ - PCI-DSS Monitor │ │
│ └───────────┬──────────────┘ │
└──────────────────────┼──────────────────────────┘
│
┌──────────▼──────────┐
│ Sysdig Backend │
│ ┌───────────────┐ │
│ │ CI/CD │ │
│ │ Integration │ │
│ └───────────────┘ │
│ ┌───────────────┐ │
│ │ Auto Jira │ │
│ │ Ticketing │ │
│ └───────────────┘ │
│ ┌───────────────┐ │
│ │ Auto Blocking │ │
│ │ High/Critical │ │
│ └───────────────┘ │
└─────────────────────┘
│
┌─────────────┼─────────────┐
▼ ▼ ▼
[Security [Development [Compliance
Team] Team] Team]
(5人) (自動化) (PCI-DSS)
導入成果
定量的成果
| 指標 | 改善結果 | 具体的インパクト |
|---|---|---|
| 脆弱性管理時間 | 70%削減 | より戦略的な業務に時間を投入 |
| セキュリティテストコスト | 65%削減 | 年間2万ドル→7,000ドル |
| 本番到達脆弱性 | 98%減少 | ほぼゼロに近づく |
| 修復時間 | 60-70%短縮 | デプロイサイクルの高速化 |
| 保護対象 | 80万人+のカード会員 | 3,600万ドル/年の取引を安全に処理 |
財務的インパクト
エシカルハッキングテストのコスト削減:
- 導入前: $20,000/年
- 導入後: $7,000/年
- 削減額: $13,000/年(65%削減)
限られた予算のスタートアップにとって、年間1万3千ドルのコスト削減は大きな意味を持ちます。
定性的成果
✅ 環境に応じた脆弱性の優先順位付け
「環境内で最も重要な脆弱性を理解することで、アプリケーションセキュリティを犠牲にすることなく、脆弱性管理に費やす時間を70%削減できました」
— アンダーソン・アガピト
すべての脆弱性が同等ではありません。実際の環境における影響度に基づいた優先順位付けが、効率化の鍵でした。
✅ 迅速なソフトウェアデリバリーとセキュリティの両立
金融機関として、セキュリティは妥協できません。しかし同時に、競争力を維持するための迅速なイノベーションも必要です。Sysdigは、この一見矛盾する要求を両立させました。
✅ 卓越したサポート体制
「Sysdigに問い合わせて解決する方が、社内で対処するよりも早いことがよくあります」
— アンダーソン・アガピト
ベンダーのサポート品質が、内製チームの生産性を大きく向上させました。
✅ サンタンデールグループへの影響
CISOのアガピト氏は、Ben Visa Valeでの成功体験をもとに、サンタンデールグループ内の他組織にもSysdigを推奨。ラテンアメリカにおけるSysdig導入の先駆者となりました。
金融機関特有の考察
PCI-DSS準拠への対応
支払いカード業界のセキュリティ基準:
Ben Visa Valeは、Visaカード発行会社として、PCI-DSSの厳格な要件を満たす必要がありました。Sysdigは:
- 自動コンプライアンスチェック - PCI-DSSフレームワークをワンクリックで設定
- 継続的監視 - リアルタイムでコンプライアンス状態を追跡
- 監査レポート - 規制当局への報告を簡素化
オープンファイナンス時代の課題
ブラジル中央銀行の規制対応:
2019年のオープンファイナンス宣言により、支払いカードがオープンループ環境に移行。これは、より広範なセキュリティ対策が必要となることを意味しました。
スタートアップとしてのリソース制約
5人のセキュリティチームで金融機関を守る:
大手金融機関と異なり、Ben Visa Valeは限られたリソースで運用。自動化とインテリジェントなツールが、小規模チームの能力を大幅に拡大しました。
学びと教訓
1. 初期評価の重要性
POCで98%のアプリケーションに脆弱性が発見されたことが、経営層の意思決定を加速させました。「見えない問題」を可視化することが、投資判断の第一歩です。
2. 自動化による生産性革命
開発者への手動通知からJiraチケット自動作成への移行が、70%の時間削減を実現。セキュリティチームは、戦略的な業務に集中できるようになりました。
3. コンテキストに基づく優先順位付け
すべての脆弱性を同等に扱うのではなく、環境における実際のリスクに基づいて優先順位を付けることで、リソースを効果的に配分できます。
4. セキュリティとスピードの両立
「セキュリティ vs スピード」という誤った二項対立を超えて、適切なツールと自動化により両立が可能であることを実証しました。
5. ベンダーパートナーシップの価値
技術だけでなく、優れたサポート体制が小規模チームの成功を支えました。ベンダーが「社内チームの一部」のように機能することが理想です。
フィンテック企業への推奨事項
Ben Visa Valeの事例から、フィンテック・金融スタートアップが学べるポイント:
セキュリティツール選定の基準
- CI/CD統合 - 開発フローを妨げないシームレスな統合
- 自動化機能 - チケット作成、ブロッキング、通知の自動化
- コンプライアンス対応 - PCI-DSS、地域規制への簡単な適合
- コスト効率 - 外部テストコストを大幅削減
- スケーラビリティ - 小規模チームでも運用可能
ROI計算の視点
直接コスト削減:
- セキュリティテスト: 65%削減
- 人件費: 脆弱性管理時間70%削減
間接的価値:
- デプロイ遅延の回避
- コンプライアンス違反リスクの低減
- カード会員の信頼維持
金融規制対応のベストプラクティス
- ワンクリックでコンプライアンスフレームワークを設定
- 継続的な監視とレポーティング
- 規制変更への迅速な対応
まとめ
Ben Visa Valeの成功事例は、スタートアップや中小企業でも、適切なツールと戦略により、エンタープライズレベルのセキュリティを実現できることを示しています。
主要成果の再確認:
- 🔒 80万人+のカード会員を保護
- ⚡ 脆弱性管理時間 70%削減
- 💰 セキュリティコスト 65%削減
- 🛡️ 本番到達脆弱性 98%減少
- ⏱️ 修復時間 60-70%短縮
特に注目すべきは、わずか5人のセキュリティチームで、年間3,600万ドルの取引を処理する金融機関のインフラを守り抜いていることです。自動化とインテリジェントなツールが、小規模チームに大企業並みの能力を与えました。
ブラジル市場で急成長を遂げるフィンテック企業にとって、Ben Visa Valeの事例は、セキュリティとイノベーションを両立させる実践的なモデルとなるでしょう。
関連リソース
元記事: Ben Visa Vale Customer Story - Sysdig
翻訳日: 2025-11-17