やあ、マルテイン!あなた自身とHelinでの役割について教えてください。
私はHelinのCTOであり、創業者の一人です。私は、セキュリティとセキュアなソフトウェア設計の原則にまつわるすべてを担当しています。私たちは、特に海洋や再生可能エネルギー分野の産業企業がエッジ・インテリジェンスを大規模に管理できるようにするプラットフォームを構築しました。
当社のエンジニアリング・チームは約40人です。ソフトウェア自体も、それが動作する環境も、私たちが構築するものは複雑であるため、初日からセキュリティ・ファーストの考え方が求められます。
ヘリンは何をし、どんな問題を解決しようとしているのか?
私たちは産業用アプリ管理プラットフォームを構築しています。私たちの使命は、産業界のクライアントのために、エッジでのソフトウェアの展開と運用を簡素化することです。海洋掘削リグ、風力発電所、再生可能エネルギーパーク...。私たちは本質的に、再生可能エネルギーサイトのためのOSなのです。
私たちはまた、自分たちでシャンパンを飲みます。プラットフォーム上で2つの独自のアプリケーションを実行し、私たちが行うすべてのことをテストし、検証し、強化します。それはまた、私たち自身が顧客ゼロであることを意味します。何かが壊れていても、他の誰よりも先に知ることができるのです。
Helinは産業用ソフトウェアの分野でどのように際立っていますか?
私たちの業界では、セキュリティは『営業許可証』です。ソフトウェアが安全であることを証明できなければ、アウトです」。
セキュリティは当社の価値提案の中核をなす要素です。なぜなら、そうあるべきだからです。お客様は「事業運営の許可」を求めています。これには完全なSBOM 、強化されたインフラ、脅威への迅速な対応能力が含まれます。再生可能エネルギー分野はセキュリティ面でまだ比較的未成熟なため、当社が( Aikido などのツールを活用しながら)先導的な役割を果たしています。
合気道以前の最大の安全上の課題は何でしたか Aikido?
我々は常に強固なセキュリティ態勢を敷いてきた。しかし、本当の課題は、それを開発者にとって実行可能なものに変えることでした。好きなだけポリシーを定義しても、開発者がそのシグナルを拾わなければ何も変わりません。
「セキュリティ・ポリシーを作ろうと思えばいくらでも作れるが、開発者がそれを拾わなければ、何の解決にもならない。
複数のツールを試した。どれも基本的なことはカバーしていましたが、透明性や柔軟性に欠けていました。それに、カスタマーサービスも良くなかった。あるベンダーは、私たちのリクエストに答えるのに、審査に6週間もかかったことがあります。また、多くのツールはコンプライアンス上の制約から、顧客の環境に導入することができなかった。これは契約違反でした。
「複数のツールを試しました。どれも基本的なことはカバーしていましたが、透明性や柔軟性に欠けていました。それに、カスタマーサービスも良くなかった。"
なぜあなたは Aikidoを選んだのですか?
なぜなら、それは私たちがセキュリティについて考える方法に合致するからです:オープンで、協力的で、開発者に優しいものであるべきです。 Aikido は脆弱性を特定するだけでなく、開発者がそれらに対処する手助けをします。この変化は極めて大きなものでした。
開発者は実際に Aikidoを使うのが好きなんです。脆弱性を減らすのは一種のスポーツみたいになってきています。」
また、私たちは感謝しました Aikidoの透明性のあるモデルを高く評価しました。単純なAzureアラートによって予期せぬライセンス料金が発生する一部のベンダーとは異なり、 Aikido では、何に対して支払うのかが明確です。実話です:かつて日曜日にAzureアラート(単なるアラートです!)が発生し、古いツールの一つで追加料金が発生したことがありました。その時私たちは気づいたのです:必要なのは罰則システムではなく、パートナーだと。
他のベンダーとは異なり、 Aikido 突然お金がかかる警告で驚かせることはありません。」
お気に入りの機能は?
コードレベルの統合。開発者のいる場所に発見をもたらすのであって、その逆ではない。すべてCI/CD にシームレスに統合される。後付けではなく、ネイティブに組み込まれている。
また、コンテナ・スキャンと静的コード解析は単に機能するだけだ。システムを再設計する必要はない。インフラが厳しいデプロイ制約を満たさなければならない場合、これは非常に重要なことだ。
合気道はどのように Aikido あなたのセキュリティ成果を向上させるのにどのように役立ちましたか?
開発者が実際に脆弱性 減らすことに喜びを見出すようになったのは、我々が確認した点の一つだ。それは一種のゲームのようなものになる。この文化的な変化は大きな成果である。 Aikido は、作業の遅延を招くことなく、セキュリティを常に最優先に考えることを容易にします。
“Aikido は単なるチェックリストを埋めるだけのものではありません。チームとして正しい力を育む手助けをしてくれるのです。」
厳格なデータ管理が求められる環境で業務を行うため、完全なデータ所有権を確保できるツールが必要でした。 AikidoのAPIにより、自社環境内で安全にすべての情報を送信・読み取りが可能となりました。
セキュリティ・プラットフォームを評価している他の産業用ソフトウェア企業にどのようなアドバイスをしますか?
「セキュリティ・ツールを探すだけではいけない。開発者が使うものを探しなさい。"
可視性に妥協してはならない。開発者がプラットフォームが発見したことに基づいて行動できるようにすること。そして、もしあなたの顧客がSBOMやセキュアアップデートのようなものを気にするのであれば(絶対に気にするべきだが)、あなたのツールがそれを提供できるようにすること。
もしあなたが説明しなければならなかったら Aikido をひとことで表すなら、それは何でしょうか?
開発者の経験と産業グレードの要件が真にバランスしている唯一のセキュリティ・ツールだ。
