エリックさん!あなた自身とHiringBranchについて少しお聞かせいただけますか?
はい、そうです!HiringBranchのCTOを務めております。12~15年ほど前は、私一人で開発を行っていましたが、現在では、ML担当者を含む10名の小規模ながらも専門性の高いエンジニアチームに成長しました。
元々は教育分野からスタートしましたが、現在では、NLPと機械学習を用いてコミュニケーション能力やソフトスキルを評価する採用前アセスメントに特化しています。当社の特徴は、候補者が自由回答形式で回答できるようにしている点です。多肢選択式ではなく、実際に発言された内容を分析してスキルを評価します。これは、人間の資質を評価する上で、より自然で正確な方法だと考えています。
採用テクノロジー分野において、セキュリティはどのような役割を果たしますか?
それは信頼がすべてです。企業が当社のプラットフォームを利用する際、機密性の高い候補者データを当社に託しています。当社にはそのデータを保護する責任があります。それは単に正しいことだからというだけでなく、当社のブランドと信頼性にも影響するからです。
「セキュリティを真剣に考える必要がある」と気づいた瞬間はありましたか?
はい、もちろんです。初期の頃、特に小規模なクライアントとの取引が多かった頃は、セキュリティはそれほど重視されていませんでした。しかし、5、6年ほど前から企業向けビジネスに参入し始めてからは、状況は急速に変化しました。クライアントから、満足のいく回答ができないような質問を受けるようになりました。それが私たちにとっての警鐘となりました。
Aikido導入前のセキュリティワークフローはどのようなものでしたか?
「オープンソースツール、Microsoftプラットフォーム、Dockerベースのスキャンなどがありましたが、それらは互いに連携していませんでした。まさにカオスでした。」
コードをスキャンするためにローカルで実行するDockerイメージがありました。その後、レポートを生成し、手動でどこかにプッシュしていました。それは扱いにくく、エラーが発生しやすいものでした。
私たちは、まるでフランケンシュタインのようなツールの寄せ集めを使っていました。オープンソースのスキャナー、AzureのMicrosoft製品、SonarQube、AWS Security Hubなど、すべてを寄せ集めていました。そしてもちろん、それらはどれも互いに連携していませんでした。非常に煩雑で、メンテナンスも困難でした。
Aikidoをどのように知りましたか?
おそらく2年ほど前に初めてAikidoを検討しました。しかし、多忙だったため、すぐに深く掘り下げることはありませんでした。最終的にセキュリティエンジニアを雇用した際、彼がAikidoを詳しく調べ、「これがあれば必要なことはすべてできる」と言って戻ってきました。少しずつ、古いツールを廃止し始めました。それは一夜にして切り替わったわけではなく、実用的で慎重な移行でした。
Aikidoが最適だったのはなぜですか?
「すべてが一箇所に集約されています。SlackとAzure DevOpsの連携は、状況を一変させるものでした。」
私たちにとっての違いは次のとおりでした。
- 統合: 5つのツールから1つへ。
- Automation: 脆弱性はSlackで可視化され、開発者をタグ付けして迅速に対応できます。
- レポーティング: 「セキュリティ会議のたびに、必要な情報がすべて含まれたクリーンなレポートを作成しています。新しい情報、修正された情報など、すべてそこにあります。」
- 使いやすさ: すぐに利用可能です。トレーニングセッションや複雑なセットアップは不要です。
コンプライアンスについて話しましょう。Aikido導入前は、どのようにコンプライアンスを管理していましたか?
はい、当社は正式にSOC 2 Type II認証を取得しています。プロセスは約2年前に始まり、Type Iの取得は主にポリシーの文書化に関するものでしたが、Type IIは全く異なるものでした。そこで、真の運用上の厳格さ、そして証拠収集の苦労が始まりました。
以前は、さまざまなツールから手動でレポートをエクスポートし、Vantaにアップロードする必要がありました。それは扱いにくく、時間がかかりました。しかし今では、自動的に同期されます。非常にシームレスです。
それは扱いにくく、手作業でした。さまざまなツールからセキュリティレポートをエクスポートし、当社のコンプライアンスプラットフォームであるVantaにアップロードする予定でした。
コンプライアンスの道のりにおいて、Aikidoはどのような役割を果たしましたか?
Aikido、特にそのVanta連携は、当社のSOC 2 Type IIプロセスにおいて大きな違いをもたらしました。有効にした途端、セキュリティ証拠収集ワークフロー全体が自動化されました。脆弱性、修正、コントロールのカバレッジなど、すべてが手動で追跡することなくバックグラウンドで同期され始めました。
「コンプライアンスのためにAikidoを導入したわけではありませんが、Vantaとの統合がいかにクリーンであるかを見たとき、それは当然の選択となりました。数回クリックするだけで、証拠はすでにそこにあります。」
それは、レポートのエクスポート、PDFのアップロード、監査中の文書不足に頭を悩ませる必要がなくなったことを意味します。コンプライアンスを証明する代わりに、実際にセキュリティ体制を改善することに集中できるようになりました。
「Aikidoはコンプライアンスのストレスを取り除いてくれました。自動化は期待通りに機能し、慌てることなく、すべてを監査対応可能な状態に保ちます。」
かつては四半期ごとの慌ただしい作業だったものが、静かで継続的なプロセスへと変わりました。常に稼働し、常に準備ができています。まさに、あるべき姿です。
Aikidoを導入してから、チームのセキュリティに対する考え方はどのように変化しましたか?
私たちははるかにプロアクティブになりました。問題に反応したり、さらに悪いことに見落としたりする代わりに、リアルタイムのアラートを受け取れるようになりました。スキャンは継続的です。混乱が減り、推測に頼ることも少なくなりました。すべてが構造化され、可視化されています。
Aikidoチームとの連携経験はいかがでしたか?
正直なところ、素晴らしいです。毎月のチェックインがあり、新機能について学ぶのに非常に役立っています。サポートチームは迅速に対応してくれ、専用のSlackチャンネルもあるため、コミュニケーションが簡単かつ迅速に行えます。
最後に、Aikidoを1文で要約するとしたらどうなりますか?
「セキュリティプロセス全体に対する安心感。」
本当に。以前は、ツールとタスクが混沌と入り混じっていました。今では、すべてが落ち着き、整理され、管理されています。
