エリック!あなた自身とHiringBranchについて教えてください。
もちろんです!私はHiringBranchのCTOです。12~15年前に一人の開発者としてスタートし、今ではMLを含む10人のエンジニアからなる、小さいながらも集中力のあるチームに成長しました。
私たちは元々教育分野からスタートしましたが、現在では採用前アセスメントに特化し、特にNLPと機械学習を用いてコミュニケーション能力とソフトスキルを評価しています。私たちの特徴は、候補者に自由形式で回答させることです。多肢選択式ではなく、実際の発言を分析してスキルを評価します。これは、人間の資質を評価する、より自然で正確な方法です。
ハイテク企業の採用において、セキュリティはどのような役割を果たすのか?
すべては信頼です。企業が当社のプラットフォームを利用するということは、候補者の機密データを当社に託すということです。私たちにはそのデータを保護する責任があります。それは単に正しいことだからというだけでなく、私たちのブランドと信頼性に反映されるからです。
セキュリティーに真剣に取り組む必要がある」と気づいた瞬間はありましたか?「セキュリティーに真剣に取り組む必要がある」と気づいた瞬間はありましたか?
ええ、もちろんです。初期の頃、特に小規模のクライアントと主に仕事をしていた頃は、セキュリティはそれほど重視されていませんでした。しかし、5、6年前、私たちが企業スペースに参入し始めると、その状況は急速に変わりました。クライアントは、私たちが答えられないような質問をしてきたのです。それが警鐘だった。
合気道以前、あなたのセキュリティワークフローはどのようなものでしたか? Aikido?
「オープンソースのツール、マイクロソフトのプラットフォーム、Dockerベースのスキャン......。カオスでした"
ローカルで実行するDockerイメージでコードをスキャンしていた。そしてレポートを作成し、それを手動でどこかにプッシュしていた。不格好でエラーが起こりやすかった。
私たちは、オープンソースのスキャナー、マイクロソフトのAzure、SonarQube、AWS Security Hub...といった、フランケンシュタインのようなツールを組み合わせて使った。もちろん、どれも互いに通信することはできませんでした。そしてもちろん、それらは互いに会話することはありませんでした。
そして、どうやって Aikidoに出会ったのですか?
私たちは最初に Aikido を調べ始めたのは、おそらく2年ほど前だった。しかし当時は忙しかったため、すぐに本格的に取り組むことはなかった。その後、セキュリティエンジニアを採用した際、彼が Aikido を調査し始め、「必要な機能は全て備えている」と報告してきました。古いツールを徐々に置き換えていったのです。一夜にしての切り替えではなく、実用的で慎重な移行でした。
何が Aikido が適していたのか?
「すべてが1つの場所にある。SlackとAzure DevOpsの統合は画期的です。"
私たちにとっての違いは
- 統合:5つのツールを1つに
- 自動化:脆弱性はSlackで表面化し、開発者をタグ付けして迅速に対応できる。
- 報告「セキュリティー・ミーティングでは毎回、必要な情報がすべて記載されたクリーン・レポートを作成する。何が新しく、何が修正されたか、すべてがそこにある」。
- 使いやすさ:ただ動くだけです。トレーニングや複雑な設定は必要ありません。
コンプライアンスについて話しましょう。以前はどのようにコンプライアンスを管理していましたか? Aikido?
そう、我々は正式にSOC 2 Type II認証を取得したのだ。このプロセスは約2年前に始まり、タイプIの取得は主にポリシーの文書化でしたが、タイプIIはまったく別のものでした。タイプIの取得は主にポリシーの文書化でしたが、タイプIIは全くの別物でした。そこからが本当の運用の厳しさであり、証拠収集の苦しみでした。
以前は、様々なツールから手作業でレポートをエクスポートし、Vantaにアップロードしていました。不便で時間がかかりました。今はどうですか?自動的に同期されます。シームレスです。
不便で手作業でした。さまざまなツールからセキュリティ・レポートをエクスポートし、それをコンプライアンス・プラットフォームであるVantaにアップロードする予定でした。
合気道はどのような役割を果たしたのか Aikido は、あなたのコンプライアンスへの取り組みにおいてどのような役割を果たしましたか?
Aikido、特にそのVanta統合機能は、当社のSOC 2 Type IIプロセスにおいて非常に大きな効果を発揮しました。導入後すぐに、セキュリティ証拠収集ワークフロー全体が自動化されました。脆弱性、是正措置、統制カバレッジなど、すべてがバックグラウンドで同期され始め、手動で追跡する必要がなくなりました。
私たちは採用しなかった Aikido は単なる順応のためではなく、Vantaとの統合が驚くほどスムーズであることが判明したため、迷う余地のない選択となりました。ボタンを数回クリックするだけで、必要な証拠が即座に得られるのです。」
つまり、レポートをエクスポートしたり、PDFをアップロードしたり、監査中に書類の不備に悩まされることがなくなったのです。コンプライアンスを証明する代わりに、セキュリティ態勢を実際に改善することに集中できるようになったのです。
“Aikido はコンプライアンスのストレスを解消しました。自動化はただ機能する——慌てることなく、すべてを監査対応可能な状態に保ちます。」
かつては四半期に一度のスクランブルだったものが、静かで継続的なプロセスに変わった。常にオン、常に準備万端。
貴チームのセキュリティマインドセットは、採用以来どのように変化しましたか? Aikido?
より積極的になった。問題に反応したり、最悪見過ごしたりする代わりに、今はリアルタイムのアラートを受け取ることができる。スキャンは継続的に行われている。混乱も推測も少なくなった。すべてが構造化され、可視化されている。
合気道でのご経験はいかがでしたか? Aikido チームとのご経験はいかがでしたか?
正直言って、素晴らしい。毎月チェックインがあり、新機能を学ぶのにとても役立っています。サポートチームの対応もよく、専用のSlackチャンネルもあるので、コミュニケーションも簡単で迅速です。
そして最後に、もし合気道を要約するとすれば Aikido をひとことで表すとしたら?
"セキュリティープロセス全体に対する安心感"
マジで。以前はツールやタスクで混沌としていた。今は、すべてが落ち着いていて、きれいで、コントロールされている。
