エリック!あなた自身とHiringBranchについて教えてください。
もちろんです!私はHiringBranchのCTOです。12~15年前に一人の開発者としてスタートし、今ではMLを含む10人のエンジニアからなる、小さいながらも集中力のあるチームに成長しました。
私たちは元々教育分野からスタートしましたが、現在では採用前アセスメントに特化し、特にNLPと機械学習を用いてコミュニケーション能力とソフトスキルを評価しています。私たちの特徴は、候補者に自由形式で回答させることです。多肢選択式ではなく、実際の発言を分析してスキルを評価します。これは、人間の資質を評価する、より自然で正確な方法です。
ハイテク企業の採用において、セキュリティはどのような役割を果たすのか?
すべては信頼です。企業が当社のプラットフォームを利用するということは、候補者の機密データを当社に託すということです。私たちにはそのデータを保護する責任があります。それは単に正しいことだからというだけでなく、私たちのブランドと信頼性に反映されるからです。
セキュリティーに真剣に取り組む必要がある」と気づいた瞬間はありましたか?「セキュリティーに真剣に取り組む必要がある」と気づいた瞬間はありましたか?
ええ、もちろんです。初期の頃、特に小規模のクライアントと主に仕事をしていた頃は、セキュリティはそれほど重視されていませんでした。しかし、5、6年前、私たちが企業スペースに参入し始めると、その状況は急速に変わりました。クライアントは、私たちが答えられないような質問をしてきたのです。それが警鐘だった。
Aikido以前のセキュリティ・ワークフローはどのようなものでしたか?
「オープンソースのツール、マイクロソフトのプラットフォーム、Dockerベースのスキャン......。カオスでした"
ローカルで実行するDockerイメージでコードをスキャンしていた。そしてレポートを作成し、それを手動でどこかにプッシュしていた。不格好でエラーが起こりやすかった。
私たちは、オープンソースのスキャナー、マイクロソフトのAzure、SonarQube、AWS Security Hub...といった、フランケンシュタインのようなツールを組み合わせて使った。もちろん、どれも互いに通信することはできませんでした。そしてもちろん、それらは互いに会話することはありませんでした。
Aikido出会いは?
私たちがAikido 始めたのは2年ほど前かな。しかし、忙しかったので、すぐに飛び込むことはしなかった。やがてセキュリティ・エンジニアを雇ったとき、彼はAikido 調べ始め、『これで必要なことはすべてできる』と言って帰ってきた。少しずつ古いツールを削除していきました。一夜にして切り替えたわけではなく、実践的で思慮深い移行だった。
Aikido 選んだ理由は?
「すべてが1つの場所にある。SlackとAzure DevOpsの統合は画期的です。"
私たちにとっての違いは
- 統合:5つのツールを1つに
- 自動化:脆弱性はSlackで表面化し、開発者をタグ付けして迅速に対応できる。
- 報告「セキュリティー・ミーティングでは毎回、必要な情報がすべて記載されたクリーン・レポートを作成する。何が新しく、何が修正されたか、すべてがそこにある」。
- 使いやすさ:ただ動くだけです。トレーニングや複雑な設定は必要ありません。
コンプライアンスの話をしましょう。Aikido以前はどのようにコンプライアンスを管理していましたか?
そう、我々は正式にSOC 2 Type II認証を取得したのだ。このプロセスは約2年前に始まり、タイプIの取得は主にポリシーの文書化でしたが、タイプIIはまったく別のものでした。タイプIの取得は主にポリシーの文書化でしたが、タイプIIは全くの別物でした。そこからが本当の運用の厳しさであり、証拠収集の苦しみでした。
以前は、様々なツールから手作業でレポートをエクスポートし、Vantaにアップロードしていました。不便で時間がかかりました。今はどうですか?自動的に同期されます。シームレスです。
不便で手作業でした。さまざまなツールからセキュリティ・レポートをエクスポートし、それをコンプライアンス・プラットフォームであるVantaにアップロードする予定でした。
Aikido 、あなたのコンプライアンスの旅においてどのような役割を果たしましたか?
Aikido、特にVantaとの統合は、当社のSOC 2 Type IIプロセスにおいて大きな違いをもたらしました。スイッチを入れるとすぐに、セキュリティ証拠収集のワークフロー全体が自動化されました。脆弱性、改善策、コントロール・カバレッジ、これらすべてが、手動で何かを追うことなく、バックグラウンドで同期し始めたのです。
「私たちは、コンプライアンスを重視してAikido 採用したわけではありません。いくつかのボタンをクリックするだけで、エビデンスはすでにそこにあるのです。"
つまり、レポートをエクスポートしたり、PDFをアップロードしたり、監査中に書類の不備に悩まされることがなくなったのです。コンプライアンスを証明する代わりに、セキュリティ態勢を実際に改善することに集中できるようになったのです。
Aikido コンプライアンスに関するストレスを解消してくれました。自動化によって、慌てることなく、すべてを監査対応可能な状態に保つことができるのです。"
かつては四半期に一度のスクランブルだったものが、静かで継続的なプロセスに変わった。常にオン、常に準備万端。
Aikido、チームのセキュリティに対する考え方はどのように変わりましたか?
より積極的になった。問題に反応したり、最悪見過ごしたりする代わりに、今はリアルタイムのアラートを受け取ることができる。スキャンは継続的に行われている。混乱も推測も少なくなった。すべてが構造化され、可視化されている。
Aikido チームとの仕事はいかがでしたか?
正直言って、素晴らしい。毎月チェックインがあり、新機能を学ぶのにとても役立っています。サポートチームの対応もよく、専用のSlackチャンネルもあるので、コミュニケーションも簡単で迅速です。
最後に、Aikido 一言で表すとしたら?
"セキュリティープロセス全体に対する安心感"
マジで。以前はツールやタスクで混沌としていた。今は、すべてが落ち着いていて、きれいで、コントロールされている。
.webp){kind=logo}
.png)