エガさん!役割は何ですか?また、FaspayがFinTech業界で際立っている点は何ですか?
Aikidoチームの皆さん!Faspayの開発責任者として、私は当社のエンジニアリングチームを率いて、会社の成長と進化するビジネスニーズをサポートするスケーラブルで信頼性の高いシステムを構築しています。
Faspayの特長は、デジタルと従来の双方の分野における強力な存在感です。当社は、安定性、セキュリティ、統合の容易さを備えたソリューションを通じて、加盟店(特に従来の決済方法から移行する加盟店)がデジタル決済システムを導入しやすくしています。Faspayはインドネシアで最も歴史があり、確立された決済ゲートウェイの一つです。当社のソリューションは、長年の実績と市場の信頼に基づいて構築されており、安全で安定しており、簡単に統合できます。
FinTechにおけるセキュリティはどのような目的を果たすべきでしょうか?
フィンテックに特化したセキュリティは、イノベーションとデジタル金融包摂をサポートすべきですが、これもまた必須であると私は主張します。
- ユーザーデータを保護する: FinTechプラットフォームは、機密性の高い個人情報および財務情報を管理します。強固なセキュリティにより、このデータが漏洩、盗難、または悪用されないことが保証されます。
- トランザクションの保護: システムの整合性を維持するため、すべてのトランザクションは詐欺、操作、不正アクセスから安全でなければなりません。
- 信頼を構築する: ユーザーは、自分のお金や情報が安全であると確信した場合にのみ、デジタル金融サービスを利用します。信頼が導入と成長につながります。
- コンプライアンスの確保: インドネシアのFinTechセクターは、OJKやインドネシア銀行などの当局によって規制されています。優れたセキュリティは、企業がデータ保護およびサイバーセキュリティ法を遵守し、罰則を回避するのに役立ちます。
- 損失の防止: サイバー攻撃は資金の盗難や評判の損害につながる可能性があります。セキュリティは、そのようなリスクを軽減するための防衛線として機能します。
- サービス可用性の維持: 攻撃によるダウンタイムやシステム障害は、ビジネス運営を停止させる可能性があります。セキュリティは、プラットフォームが信頼性を保ち、常にアクセス可能であることを保証します。
Aikidoは、増大する規制およびデータ保護の要求にどのように役立ちますか?
Aikidoは、お客様のデータを保護する上で重要な役割を果たします。開発ライフサイクルの早期にリスクを特定し、修正が容易(かつ安価)な段階で対処します。Aikidoは何千ものオープンソースライブラリをスキャンし、依存関係にユーザーデータを危険にさらす可能性のある既知の脆弱性が含まれている場合に即座にアラートを発します。また、デプロイされたコードを継続的に監視し、進化する脅威インテリジェンスにより、以前は安全だったコンポーネントが新たに脆弱になった場合に変更を通知します。
セキュリティへのより戦略的な注力につながった特定の瞬間はありましたか?
過去3~4年間で、インドネシアの金融業界はさまざまな方法でハッカーやエクスプロイトの標的となりました。それ以来、私たちはセキュリティに対してより戦略的かつプロアクティブなアプローチを取り、プロセスの改善、社内意識の向上、そしてAikidoのようなツールの導入に投資することで、脆弱性を早期に特定し、インシデントの発生を防いでいます。
Aikidoを導入する前、セキュリティに関して最も懸念されていたことは何でしたか?対処しようとしていた特定のリスクやギャップはありましたか?
市場におけるリスクの増大を考慮し、当社の喫緊の優先事項はインフラレベルでのセキュリティギャップに対処することでした。主な懸念事項は、パッチが適用されていないシステム、既知の脆弱性、および全体的な環境の強化でした。当社は、ソフトウェアパッチの定期的な適用、既知の問題の修正、および定期的なペネトレーションテストと脆弱性評価を実施することに注力し、インフラストラクチャが将来の攻撃に対して安全で回復力があることを確認しました。
プラットフォームの規模が拡大するにつれて、セキュリティとコンプライアンスの維持においてどのような課題を経験していましたか?
規模を拡大するにつれて、2つの主要な課題が浮上しました。
- 予測不可能な脅威: 新しい種類の攻撃やその高度さを常に予測することはできませんでした。
- 進化するコンプライアンス要件:規制の期待は急速に変化しており、開発のボトルネックを生じさせることなく、当社のシステムがこれに対応する必要がありました。
開発速度を低下させることなく、強固なセキュリティを維持することが最大の課題でした。
「セキュリティは後付けではなく、私たちの開発文化の一部となりました。」
Aikido導入前に他のセキュリティツールやサービスを使用していましたか?
Aikidoの前に、CheckmarxやSnykを含むいくつかのツールを試しました。それぞれに欠点がありました。動作が遅いもの、実用的な洞察に欠けるもの、価値に見合わない高額な価格設定のものもありました。そのため、より開発者フレンドリーで効率的なものを探し、最終的にAikidoにたどり着きました。
「CheckmarxとSnykを試しましたが、Aikidoはより高速で、より実用的なインサイトを提供し、扱いやすかったです。」
評価中にAikidoのどのような点が際立っていましたか?
評価中にAikidoで際立っていたのは、開発者エクスペリエンスへの強い注力でした。AutoFix機能は非常に有効で、手作業なしでチームが問題を迅速に解決できるようになりました。Aikidoはまた、明確で実用的なレポートを提供し、脆弱性の優先順位付けと対処を容易にします。さらに、Jenkins、Slack、さまざまなコードエディターなど、既存のツールとのシームレスな統合により、導入が簡単でした。加えて、スキャン速度が著しく速く、セキュリティを損なうことなく開発速度を維持するのに貢献しました。
「一部の問題は自動的に修正され、人の介入は不要です。私たちはコードを確認してマージするだけです。」
Aikidoチームとの連携経験はいかがでしたか?
Aikidoチームとの連携は、素晴らしい経験でした。彼らは単に迅速に対応するだけでなく、積極的で協力的であり、私たちの成功に真剣に取り組んでいます。あらゆるやり取りにおいて、セキュリティに関する深い専門知識と、私たちが自信を持って成長できるよう支援するという真摯な姿勢が反映されています。これほど信頼でき、私たちの価値観と一致するパートナーを見つけることは稀です。
既存のワークフローや開発プロセスにAikidoを統合することは、どの程度容易でしたか、それとも困難でしたか?
非常に簡単です。ドキュメントは明確で、ツールの使用経験がない開発者でもセットアッププロセスはスムーズでした。Aikidoは当社のパイプラインにスムーズに組み込まれ、既存のプロセスを中断することはありませんでした。これは重要でした。より良いセキュリティが必要でしたが、生産性を犠牲にするわけにはいきませんでした。
お気に入りの機能や能力は何ですか?
私の意見では3つあります。間違いなくAPIスキャン機能です。当社のサービスのほとんどはAPIベースであるため、非常に貴重です。これにより、リリースする新しいAPIが最初から安全であることを保証するのに役立ちます。次に、AutoFix機能は真の時間の節約になります。多くの一般的な脆弱性を自動的に解決することで、かなりの時間を節約し、チームが心配することなくコードの出荷により集中できるようにします。最速の場合、修正は即座に行われ、変更を確認してマージするだけです。
「IDEプラグインを使用すると、コードがGitHubにプッシュされる前でも不良なコードを捕捉できます。」
また、IDE pluginは、コードがGitHubにプッシュされる前に不適切なコードを検出するのに役立ちます。各行を手動でチェックする必要がなくなり、開発者の効率に大きな影響を与えました。
AikidoはFaspayのセキュリティと脆弱性管理へのアプローチをどのように変えましたか?
Aikidoは、Faspayにおけるセキュリティと脆弱性管理のアプローチを大幅に改善しました。特にハードコードされた機密データの特定と排除に関して、コードベースのセキュリティをより意識するようになりました。また、依存関係の維持と、それらが最新で安全であることを確認することにも、より積極的になりました。Aikidoのおかげで、セキュリティは後付けではなく、開発文化の一部となりました。
何か測定可能な成果はありましたか?
Aikidoは、これまで未検出だったレガシーコードベース内の多くの脆弱性を発見するのに役立ちました。それだけでも切り替える価値がありました。正確な指標はまだありませんが、間違いなく時間を節約できました。
開発速度の向上やコスト削減は見られましたか?
開発速度の面ではまだですが、レガシーコードのクリーンアップに注力しています。コスト削減を数値化していませんが、Aikidoが手動でのセキュリティ管理のオーバーヘッドを削減していることはすでに実感しています。
Aikidoの影響を一文で説明するとしたら、どのようなものになりますか?
Aikidoはセキュリティを開発プロセスにシームレスに統合し、脆弱性を早期に検出するのに役立つと同時に、チームがより安全かつ効率的にコードを記述できるようにしました。
