ピーターさん!ご自身とCertifIDについて少し教えていただけますか?
喜んでお話しします!私はCertifIDのセキュリティ、コンプライアンス、IT責任者であるピーター・マーシュです。CertifIDは、不動産取引における電信送金詐欺を撲滅することを使命としています。詐欺の直接的な経験(弊社の共同創業者が詐欺被害に遭いました)から生まれたCertifIDは、本人確認SaaSプラットフォーム、保険適用、実績のある回復サービスを通じて不動産業界を保護することに特化した唯一の企業です。安全で保険付きの電信送金を保証することで、CertifIDは昨年だけで8,000万ドルに上る詐欺の防止に貢献しました。
Aikidoの初期のお客様の一社として、どのようにして弊社を見つけられましたか?
以前のソリューションとの契約を更新しようとしていましたが、その提供内容(高価すぎることや多くの誤検知を出すこと)にはもう満足していませんでした。Aikidoははるかに扱いやすく、誤検知も少なく、修正方法に関する豊富なコンテキストが含まれていました。
正直なところ、私たちは偶然Aikidoに出会いました。以前のソリューションとの契約を更新しようとしていましたが、彼らの提供するサービスにはもはや満足していませんでした(価格が高すぎ、誤検知が多かったためです)。その後、何か良い代替案がないかと考え、以前のソリューションの競合他社を調査しました。こうしてAikidoを見つけました。それが代替案の一つとして挙げられていたのです。
GitHubリポジトリを使って簡単なデモを行ったところ、その製品ははるかに扱いやすく、誤検知が大幅に少なく、修正方法に関する豊富なコンテキストが含まれていることに気づきました。
「Aikidoを導入する前は、セキュリティ対策に多くの労力を費やしていました。以前使用していたSnykでは、誤検知が多く、操作も困難でした。」
最近、CertifIDは不動産取引を促進するためにPaymints.ioを買収しました。これにより、セキュリティポスチャへの監視が強化されましたか?
もちろんです。Paymints.ioの買収には、追加のセキュリティ上の懸念が伴いました。米国を拠点とする企業が金融取引を扱う場合、アンチマネーロンダリング(AML)、GDPR、HIPAAなど、厳格なコンプライアンス要件を満たす必要があるためです。もちろん、他の多くの国でもこれが求められます。米国とヨーロッパが同様の形で運用されていると言っても過言ではありません。米国では、国内法がありますが、州ごとの違いもあります(例:ニューヨーク州とカリフォルニア州)。ヨーロッパでは、欧州の規則と加盟国ごとの規制という形になります。
企業として、当社の主要製品は電信送金システムにおける本人確認の組み込みと、特定の金額までの取引の保証です。歴史的に、電信送金は古く時代遅れのプロセスであり、通常、送金を行うには口座番号とルーティング番号のみが必要でした。これは詐欺に非常に脆弱です。最悪の場合、誰でもその2つの番号を持って銀行に行き、追加の認証なしで現金を引き出すことができてしまいます。
これらをまとめると、Aikidoのようなセキュリティソリューションは、(仮想)詐欺リスクの軽減にどのように役立つでしょうか?
仮想環境では、詐欺はさまざまな方法で発生する可能性があります。最も一般的なのは、メールの侵害やドメインスクワッティングなどです。これらは、犯罪者(通常は適切なリソースを持つ複数の人物からなる組織的なグループ)によって詐欺を犯すために助長されています。彼らはシステムの制御を奪うか、自分たちに有利なように改変しようとします。
Aikido plays a central role in ensuring the transactions going through our system are handled safely. 脆弱性が検出された場合、それらが調査する価値のあるものであると認識し、チームと協力して迅速に解決できます。幸いなことに、私たちの業界ではチーム全体がセキュリティ意識を持っています。そして朗報です。昨年、CertifIDは8000万ドルが不正な連絡先に送られるのを防ぎました!
新しいテクノロジーをスタックに追加する際、通常どのように決定されますか?
新しいツールに求めることの一つは、現在の日常業務に統合できるかどうかです。Aikidoが何の変更もなしにぴったりと適合したのを見て、素晴らしいと思いました。
AikidoがGithub、Jira、および当社のコンプライアンスシステムに修正なしでぴったりと適合するのを見て、大変満足しました。Aikidoのダッシュボードは、SLAの報告と修正のタイムリーな実行に役立ちます。
詳しく説明すると、Aikidoは当社のワークフローにシームレスに組み込まれています。GitHub(コードスキャン用)、Jira(PRレビューと自動修正が提案されない場合のチケット用)、および当社のコンプライアンスシステム(SOC2証拠の提供)と統合しています。Aikido導入前は、報告できる良いデータがありませんでした。現在では、ダッシュボードがSLAの報告と、修正をタイムリーに実行する能力を支援しています。
Aikidoは、以前のセキュリティソフトウェアと比較してどうですか?
- Aikidoは、さまざまな脆弱性検出および修復オプション(サードパーティスキャン、ファーストパーティコード、コンテナ、クラウド設定など)を1つの直感的なソリューションにバンドルします。比較すると、以前のソリューションはパッケージが異なり、それぞれ価格も異なっていました。
- 誤検知の大幅な削減
- Aikidoダッシュボードによる明確なデータ可視化
- Secure Code Warriorとの連携により、問題解決のためのコンテキストとガイダンスを提供します
「Aikidoを選んだ大きな理由の一つは、初日からの緊密な連携とパートナーシップです。同じく急成長している企業が常に製品を改善し、コミュニケーションラインを開放しているのを見るのは素晴らしいことです。」
お気に入りの機能は何ですか?
AI AutoFix 機能(ちなみに、ファーストパーティコードでさらに進化しました)。
