Danさん、こんにちは!ご自身とBoundについてもう少し詳しく教えていただけますか?
こんにちは、BoundのCTO兼共同創設者のダン・キンドラーです。私たちは為替換算とヘッジを安価で公正、そして何よりも簡単にすることに注力しています。私たちのプラットフォームは数百もの企業を支援し、世界中の通貨リスクから身を守っています。現在、チームの約半分はエンジニアで構成されています。
FinTech分野においてBoundはどのように位置付けられていますか、また、競合他社と比較してはいかがでしょうか?
FinTechそのものに入る前に、まず、従来の金融機関に対して当社がどのように位置付けられているかをご説明します。従来の銀行やブローカーは通常、電話やメールでの取引を重視する大規模な財務チームを持つ顧客に対応しています。彼らのオンライン取引所は通常、スポット取引のみを提供しています。当社の目的は、ヘッジを簡単かつ手間なくすることであるため、国際的なキャッシュフローを管理・保護するためのスポットおよび通貨ヘッジツールの両方を提供しています。2022年12月には、英国の金融規制当局であるFCAの認可を受け、規制対象のヘッジ商品を提供できるようになりました。
FinTechに関して言えば、オンラインでセルフサービスの外国為替両替を導入することで、Bound-aries(境界)を打ち破っていると言っても過言ではありません(笑)。WiseやRevolutのような企業は、オンラインでの通貨両替を非常に簡単にすることに成功しましたが、彼らは「スポット」(または即時)両替にのみ焦点を当てています。Boundでは、彼らがそれほど注力していない将来のキャッシュフローに焦点を当てています。
FinTechにおけるセキュリティはどのような目的を果たすべきでしょうか?
セキュリティは当業界において非常に重要な役割を担っています。結局のところ、私たちは数十万ポンド/ドル/ユーロ、あるいはそれ以上の価値がある金融取引を扱っています。Boundでは、すでに取引量が数億ドルを超えています。セキュリティリスクが当社の製品、あるいはFinTech製品に忍び込んだ場合、大変な事態に陥ると言っても過言ではありません。それは単なる問題ではありません。法的結果はさておき、ハッカーは他人の貯蓄を盗み、企業や人々の生活を破壊する可能性があります。
FinTech業界では、規制当局や政府の規制機関が、顧客データを扱う企業に対してより厳格な監視を行っていると想像できます。Aikidoは、この問題にどのように対処するのに役立ちますか?
コンプライアンスを維持するためのプレッシャーは非常に大きいです。英国では、GDPRやFCAのデータ保護およびセキュリティに関するガイダンスのような厳格な規制に常に対応しています。特に機密性の高い顧客データを扱っているため、規制当局は脆弱性の管理において積極的であることを期待しています。
Aikidoは私たちにとって画期的な存在です。この9-in-1プラットフォームにより、ソフトウェアセキュリティのあらゆる側面を包括的にカバーできます。このアプローチにより、複数のツールを組み合わせることなく、規制要件を容易に満たすことができます。大きな利点は、誤検知の削減です。規制の厳しい状況では、存在しない脆弱性を追いかけるために時間を浪費する余裕はありません。Aikidoの精度は、アラートが発生した際にそれが対応を必要とするものであると信頼できることを意味し、監査やコンプライアンスレビューにおいて非常に貴重です。さらに、明確なUXにより、私たちのチームは迅速に行動できます。通常セキュリティツールに伴う複雑さを回避し、開発フローを中断することなく、潜在的なコンプライアンス問題に常に先行して対応できます。
他のエンジニアリングリードやVPが注目すべきものとして、将来どのような規制が導入されると見ていますか?
将来の英国FinTech規制は、オープンバンキングの拡大とデジタル資産の監視強化に焦点を当てる可能性が高いです。変動型定期支払い(Variable Recurring Payments)やデジタル規制サンドボックスのようなイノベーションにより、エンジニアリングチームはより厳格なセキュリティ基準と新しいAPI連携に備える必要があります。
Aikidoを導入する前、セキュリティに関して夜も眠れないほど心配だったことは何ですか?どのようにセキュリティに対処していましたか?
正直なところ、セキュリティチェックの種類ごとに異なるツールを管理するのは大変でした。何か見落としがあるのではないかと常に心配していましたし、誤検知の多さがそれをさらに悪化させていました。Aikidoがすべてを一箇所にまとめました。その結果、今ではすべてのノイズなしで実際の課題を捕捉できており、私たちの業務をはるかに楽にしてくれました。
Bound社は、報告された未解決の問題をほぼすべて解決した数少ない顧客の1つです。Aikidoは、この解決に貢献しましたか?
もちろんです!私たちはセキュリティを非常に真剣に捉えていることを誇りに思っています(ほとんどの企業がそうであるように、願わくば)。私たちにとって、Aikidoは脆弱性管理と修正へのアプローチに計り知れない影響を与えました。私たちはこれを唯一の信頼できる情報源と見なしており、プラットフォームの重複排除と誤検知の事前フィルタリング機能は、本質を見極めるのに非常に役立っています。実際の脆弱性が発生すると、可能な限り迅速に修正するために、課題トラッカー(Linear)にトリガーが表示されるようになっています。このプロセスは非常に洗練されており、開発サイクルにしっかりと組み込まれており、私たちはこれを大いに活用しています。
Aikidoチームとの協業経験はどのようなものですか?
チームは初日から非常に迅速かつ協力的でした。共同のSlackチャンネルを通じて、リアルタイムのフィードバックを共有し、リクエストを行い、関連する製品アップデートを受け取ることができています。ある時、私はAikidoチームに、自分たちがどんな状況に巻き込まれたのか分かっているのか尋ねました。あらゆることを質問できると分かった途端、私たちは彼らの製品チームを寝かせませんでした!
お気に入りの機能は何ですか?
誤検知の削減はさておき、「Import from GitHub」ボタンは非常に優れています。すべてのリポジトリが自動的にチームに割り当てられる点が気に入っています。GitHubを信頼できる情報源として維持しつつ、Aikidoがすべてをシームレスにマッピングしてくれます。
最後に何かございますか?
今年初めに初めてペネトレーションテストとAmazon AWSセキュリティ監査を実施しましたが、それは非常にうまくいきました。中程度のもの以上は見つかりませんでした(そして、中程度のもののほとんどは、いずれにせよ私自身は完全に同意できませんでしたが…)。Aikidoが常に警告を発していなければ、彼らはもっと多くの興味深いものを見つけていたでしょう。その点については感謝しています!
