エガです!あなたの役割と、FaspayがFinTechで際立っている理由は何ですか?
こんにちは、チームAikidoです!ファスペイの開発ヘッドマネージャーとして、会社の成長と進化するビジネスニーズをサポートするスケーラブルで信頼性の高いシステムを構築するため、エンジニアリングチームを率いています。
ファスペイの特徴は、デジタル部門と伝統的な部門の両方に強い存在感を示していることです。安定性、安全性が高く、統合が容易なソリューションを通じて、加盟店(特に従来の決済方法からの移行者)がデジタル決済システムを導入しやすくしています。ファスペイはインドネシアで最も古く、最も確立された決済ゲートウェイの一つです。当社のソリューションは、長年の実績と市場の信頼に基づいて構築されており、安全で安定しており、簡単に統合することができます。
FinTechにおけるセキュリティはどのような目的を果たすべきか?
FinTechに特化したセキュリティはイノベーションとデジタル金融包摂をサポートすべきだが、私はこれも必須だと主張する:
- ユーザーデータの保護FinTechプラットフォームは、機密性の高い個人情報や金融情報を管理する。強固なセキュリティにより、このデータが漏えい、盗難、悪用されることはありません。
- トランザクションの保護:システムの完全性を維持するために、すべての取引は不正、操作、不正アクセスから安全でなければならない。
- 信頼を築く:利用者がデジタル金融サービスを利用するのは、自分の資金や情報が安全であると確信できる場合に限られる。信頼は普及と成長につながる。
- コンプライアンスの確保:インドネシアのFinTechセクターは、OJKやインドネシア銀行などの当局によって規制されている。優れたセキュリティは、企業がデータ保護法やサイバーセキュリティ法を遵守し、罰則を回避するのに役立ちます。
- 損失を防ぐ:サイバー攻撃は、資金の盗難や評判の低下につながる可能性がある。セキュリティは、そのようなリスクを軽減するための防衛ラインとして機能します。
- サービスの可用性を維持する:攻撃によるダウンタイムやシステム障害は、業務の停止を招きかねません。セキュリティにより、プラットフォームの信頼性と常時アクセスを確保します。
法規制やデータ保護の要求が高まる中、Aikido どのように役立っているのだろうか。
Aikido 、顧客データの安全性を確保する上で重要な役割を果たしています。Aikidoは、開発ライフサイクルの早い段階でリスクを特定します。Aikido 何千ものオープンソースライブラリをスキャンし、依存関係にユーザーデータを危険にさらす可能性のある既知の脆弱性が含まれている場合、即座に警告を発します。また、デプロイされたコードを継続的に監視し、以前は安全であったコンポーネントが脅威インテリジェンスの進化により新たに脆弱性を持つようになった場合、変更にフラグを立てます。
安全保障をより戦略的に重視するきっかけとなった特定の瞬間はありましたか?
ここ3〜4年の間に、インドネシアの金融業界は様々な形でハッカーや悪用の標的になりました。それ以来、私たちはセキュリティに関してより戦略的かつ積極的なアプローチをとり、より良いプロセスへの投資、社内意識の向上、脆弱性を早期に発見しインシデントの発生を未然に防ぐためのAikido ようなツールの採用などを行ってきました。
Aikido導入する前、セキュリティ上の最大の懸念は何でしたか?具体的なリスクやギャップはありましたか?
市場のリスクが高まっていることを踏まえ、私たちの当面の優先課題は、インフラ・レベルのセキュリティ・ギャップに対処することでした。主な懸念事項は、パッチの適用されていないシステム、既知の脆弱性、全体的な環境の堅牢化などであった。私たちは、ソフトウェア・パッチの定期的な適用、既知の問題の修正、定期的な侵入テストと脆弱性評価の実施に重点を置き、インフラが安全で、将来の攻撃に対して回復力があることを確認しました。
プラットフォームの拡張に伴い、セキュリティとコンプライアンスの維持にどのような課題がありましたか?
規模を拡大するにつれ、2つの重要な課題が浮かび上がってきた:
- 予測不可能な脅威:私たちは、新しいタイプの攻撃やその巧妙さを常に予測することはできませんでした。
- 進化するコンプライアンス要件:規制当局の期待は急速に変化しており、当社のシステムは開発ボトルネックを発生させることなく対応する必要がありました。
最大のバランス感覚は、開発速度を落とさずに強固なセキュリティを維持することだった。
「セキュリティは後付けではなく、開発文化の一部になっている。
Aikido導入する前に、他のセキュリティツールやサービスを利用していましたか?
Aikido前にも、チェックマークスやスニークなど、いくつかのツールを試したことがあった。それぞれに欠点があった。あるものは時間がかかり、あるものは実用的な洞察に欠け、あるものはその価値を反映しない高価な値札がついていました。そのため、より開発者にやさしく、効率的なものを探すようになり、最終的にAikidoたどり着きました。
「CheckmarxとSnykを試しましたが、Aikido 方がより速く、より実用的で、より簡単に作業できました。
Aikido 審査で目立った点は?
Aikido 評価で際立っていたのは、開発者のエクスペリエンスに強くフォーカスしていたことです。AutoFix機能は、私たちのチームが手作業なしで迅速に問題を解決することを可能にし、大きな勝利でした。Aikido また、明確で実用的なレポートを提供し、脆弱性の優先順位付けと対処を容易にします。さらに、私たちがすでに使用しているツール(Jenkins、Slack、さまざまなコードエディタなど)とのシームレスな統合により、導入が容易になりました。その上、スキャン速度が際立って速いので、セキュリティを犠牲にすることなく開発スピードを維持することができました。
「いくつかの問題は自動的に修正される。私たちはコードをレビューしてマージするだけです"
Aikido チームで働いた経験は?
Aikido チームとの仕事は素晴らしい経験でした。彼らは単に反応が良いだけでなく、積極的で、協力的で、私たちの成功に真に投資してくれています。すべてのやり取りは、セキュリティに関する深い専門知識と、私たちが自信を持って成長できるように支援するという真のコミットメントを反映しています。これほど信頼でき、私たちの価値観と一致していると感じられるパートナーはめったにいません。
Aikido 既存のワークフローや開発プロセスに統合するのは、容易でしたか、困難でしたか?
とても簡単だ。ドキュメントもわかりやすく、初めてこのツールを使う開発者でもスムーズにセットアップできました。Aikido 、私たちのパイプラインに、私たちのプロセスを中断させることなく、すぐにプラグインすることができました。これは重要なことでした。私たちはより良いセキュリティを必要としていましたが、生産性を犠牲にする必要はありませんでした。
お気に入りの機能や性能は何ですか?
私の考えでは3つある。間違いなくAPIスキャン機能です。私たちのサービスのほとんどがAPIベースなので、とても貴重な機能です。私たちがリリースする新しいAPIが最初からセキュアであることを保証してくれます。2つ目は、AutoFix機能です。多くの一般的な脆弱性を自動的に解決してくれるので、私たちのチームは心配することなくコードの出荷に集中することができ、大幅な時間の節約になりました。最速のケースでは、修正は即座に行われ、私たちは変更を見直してマージするだけです。
「IDEプラグインを使えば、悪いコードがGitHubにプッシュされる前にキャッチできる。
IDEプラグインは、GitHubにプッシュされる前に悪いコードを見つけるのに役立っています。手作業で一行一行チェックする必要がなくなり、開発者の効率に大きな影響を与えています。
Aikido 、ファスペイのセキュリティと脆弱性管理への取り組み方をどのように変えましたか?
Aikido Faspayのセキュリティと脆弱性管理へのアプローチを大幅に改善しました。特にハードコードされた機密データを特定し、排除することに関しては、コードベースの安全性をより意識するようになりました。また、依存関係をより積極的に管理し、最新かつ安全な状態に保つようになりました。Aikidoおかげで、セキュリティは後付けではなく、開発文化の一部になりました。
測定可能な成果はありましたか?
Aikido おかげで、レガシー・コードベースに発見されなかった多くの脆弱性を発見することができました。それだけでも乗り換える価値がありました。正確な指標はまだありませんが、間違いなく時間を節約できました。
速度の向上やコスト削減が見られたか?
開発速度の面ではまだですが、レガシーコードのクリーンアップに集中しています。また、コスト削減を定量化したわけではありませんが、Aikido 手作業でセキュリティを管理するオーバーヘッドを減らしていることはすでに分かっています。
Aikidoインパクトを一言で表すとしたら?
Aikido セキュリティを開発プロセスにシームレスに統合し、脆弱性の早期発見を支援するとともに、チームがより安全かつ効率的にコーディングできるようにしました。
.webp){kind=logo}
.png)