マルティンさん!あなた自身とHelinでの役割についてお聞かせいただけますか?
HelinのCTO兼創業者の1人です。セキュリティ全般とセキュアなソフトウェア設計原則を担当しています。私たちは、特に海運および再生可能エネルギー分野の産業企業が、エッジインテリジェンスを大規模に管理できるプラットフォームを構築しました。
当社のエンジニアリングチームは約40名です。構築するソフトウェア自体とその実行環境の複雑さから、初日からセキュリティファーストの考え方が求められます。
Helinは何をしており、どのような問題を解決していますか?
私たちは産業用アプリ管理プラットフォームを構築しています。私たちの使命は、産業クライアント向けのエッジでのソフトウェアのデプロイと運用を簡素化することです。洋上掘削リグ、風力発電所、再生可能エネルギーパークなどを想像してください。私たちは基本的に再生可能エネルギーサイトのOSです。
私たちは自社製品を自ら使用しています。自分たちの行う全てをテスト、検証、強化するために、プラットフォーム上で自社のアプリケーションを2つ実行しています。これは、私たちが「顧客ゼロ」であることを意味します。何か問題があれば、誰よりも早く私たちが知ることができます。
Helinは産業用ソフトウェア分野でどのように際立っていますか?
「私たちの業界では、セキュリティは『事業を行うためのライセンス』です。ソフトウェアが安全であることを証明できなければ、事業から撤退することになります。」
セキュリティは、当社の価値提案の核となる部分です。そうあるべきだからです。お客様は「事業運営のライセンス」を期待しています。これには、完全なSBOMの透明性、強化されたインフラストラクチャ、そして脅威に迅速に対応する能力が含まれます。再生可能エネルギー分野はセキュリティに関してまだ比較的新しい領域であるため、当社は(Aikidoのようなツールの支援を受けながら)しばしば先導的な役割を果たしています。
Aikido導入前の最大のセキュリティ課題は何でしたか?
私たちは常に強固なセキュリティ体制を維持してきました。しかし、本当の課題は、それを開発者にとって実行可能なものに変えることでした。いくらポリシーを定義しても、開発者がそのシグナルを認識しなければ、何も変わりません。
「セキュリティポリシーはいくらでも作成できますが、開発者がそれを受け入れなければ、何も解決しません。」
複数のツールを試しましたが、それらは基本的な機能は網羅しているものの、透明性と柔軟性に欠けていました。さらに、カスタマーサービスも優れているとは言えませんでした。あるベンダーは、私たちのリクエストに対応するまでに6週間の審査を要したこともあります。また、多くのツールはコンプライアンス上の制約により顧客環境にデプロイできず、これは決定的な問題でした。
「複数のツールを試しましたが、どれも基本的な機能は網羅しているものの、透明性と柔軟性に欠けていました。さらに、カスタマーサービスも優れていませんでした。」
Aikidoを選んだ理由
それは、私たちがセキュリティについて考える方法に合致しているからです。セキュリティはオープンで、協調的で、開発者に優しいものであるべきです。Aikidoは脆弱性を特定するだけでなく、開発者がそれらに対処するのを支援します。この変化は非常に大きかったです。
「開発者は実際にAikidoを使うことを気に入っています。脆弱性を減らすことが、ちょっとしたスポーツのようになっています。」
Aikidoの透明性の高いモデルも高く評価されています。Azureの簡単なアラートで予期せぬライセンス料金が発生する一部のベンダーとは異なり、Aikidoは何に対して支払うのかを明確にしています。実話ですが、以前、日曜日にAzureアラート(ただのアラートです!)が発生し、古いツールの一つで追加料金が請求されたことがありました。その時、ペナルティシステムではなく、パートナーが必要だと気づきました。
「他のベンダーとは異なり、Aikidoは突然費用がかかるようなアラートでユーザーを驚かせません。」
お気に入りの機能は何ですか?
コードレベルの統合。開発者がいる場所に検出結果をもたらし、その逆ではありません。すべてがCI/CDパイプラインにスムーズに統合されます。それはネイティブであり、後付けではありません。
また、コンテナスキャンと静的コード分析はそのまま機能します。システムの再設計は不要です。インフラストラクチャが厳格なデプロイ制約を満たす必要がある場合、これは非常に重要です。
Aikidoはセキュリティの成果をどのように改善するのに役立ちましたか?
私たちが目にしてきたことの一つは、開発者が実際に脆弱性数を減らすことを楽しんでいるということです。それは少しゲームのようになります。この文化的な変化は大きな成果です。Aikidoは、物事を遅らせることなく、セキュリティを常に意識しやすくします。
「Aikidoは、単にチェックボックスを埋めるだけでなく、チームとして適切な能力を構築するのに役立ちます。」
厳格なデータ管理がある環境で運用しているため、完全なデータ所有権を提供するツールが必要でした。AikidoのAPIにより、すべてのデータを自社の環境内で安全にブロードキャストおよび読み取ることができます。
他の産業ソフトウェア企業がセキュリティプラットフォームを評価する際に、どのようなアドバイスをされますか?
「単にセキュリティツールを探すのではなく、開発者が実際に利用するものを探すべきです。」
可視性を犠牲にしないでください。開発者がプラットフォームが検出した内容に基づいて行動できるようにしてください。また、クライアントがSBOMやセキュアなアップデート(これは当然のことですが)に関心を持っている場合、ツールがそれらを提供できるようにしてください。
Aikidoを一文で説明するとしたら、どのようなものになりますか?
開発者エクスペリエンスと産業グレードの要件を真に両立させている、私がこれまで見た唯一のセキュリティツールです。
