やあ、アキ!自己紹介とミダクソでの役割について教えてください。
私はミダクソのDevSecOps (CISO)DevSecOps 、アキ・ハンニネンです。これらの役割を意図的に分担しています:CISOとしての側面は企業セキュリティ、ガバナンス、ISO 27001などの認証に重点を置き、DevSecOps 製品とプラットフォームのセキュリティに焦点を当てています。当社のエンジニアリングチームは約15名(5チームに分散)で、フィンランドと米国に拠点を置いています。
実は、ミダクソでクラウド・プラットフォームをゼロから作り直したときに、ソフトウェア・アーキテクトとして入社したんです。成熟するにつれて、私は運用とセキュリティに移行し、今では「回復したソフトウェア・アーキテクト」だと思っています(笑)。私はまだコードに近いところにいますが、組織全体でセキュリティを実現することに集中しています。
ミダクソは何をしているのか?
Midaxoは、M&Aおよび企業開発チームのために開発された集中型ソフトウェア・プラットフォームです。買収、売却、知的財産管理などの複雑なプロセスを管理するために設計されています。
Midaxoは、これらのイニシアチブを実行するために、多くのチームがまだExcelやPowerPointに依存している一方で、より構造化され、コラボレーティブで反復可能なワークフローでこれらの手動ツールを置き換える集中型システムを提供します。Midaxoは、すべてを1つの場所に集約し、ディールライフサイクル全体をリアルタイムで可視化し、説明責任を果たすことで、チームはより迅速に行動し、リスクを削減し、より良い意思決定を行うことができます。
あなたのビジネスにとって、セキュリティはどの程度重要ですか?
それは絶対に必要です。私たちの取引のほとんどは、第三者によるリスク評価を伴うものであり、データ保護や機密保持に関する期待は高い(特に顧客の業務内容を考えると)。セキュリティは私たちにとって大きな差別化要因です。セキュリティーは、私たちにとって大きな差別化要因です。セキュリティーは、私たちにとって大きな差別化要因です。セキュリティーは、私たちにとって大きな差別化要因であり、セキュリティーは、私たちにとって大きな差別化要因です。
単なるコンプライアンスやセキュリティ評価のチェックボックスではありません。私たちは、セキュリティを製品の不可欠な一部として扱っています。これには、構築方法、デプロイ方法、インシデントや脆弱性を社内で管理する方法も含まれます。製品からインフラに至るまで、全面的にセキュリティに多額の投資を行っているのはそのためです。
合気道を利用する前の、あなたの最大の安全上の懸念は何でしたか? Aikido?
私たちは非常にクラウドネイティブで、AWSが管理するサービスとサーバーレス・インフラストラクチャに大きく依存しています。しかし、その分、社内の関心はアプリケーション・セキュリティに移っています。
脆弱性管理は本当に面倒だった。SCA 、SAST DASTすべてが異なるツール(AWS Inspector、SonarCloud、Detectifyなど)に分散していた。結局「ねえ、脆弱性 誰か確認した脆弱性 」という、まさに「モグラたたき」ゲームと化してしまった。
「以前 Aikido、セキュリティ管理は古典的なモグラたたきゲームで、「ねえ、この脆弱性 誰か調べた?」という感じだった。
それぞれのツールは孤立して働いていた。統一されたビューはなかった。脆弱性は手作業でトリアージし、割り当てなければならなかった。そのため、すべての作業が滞っていた。当社のセキュリティチームは力仕事のほとんどを行っており、エンジニアリングチーム全体へのセキュリティツールやセキュリティプラクティスの導入は少なかった。
何が Aikido が評価の中で際立っていた点は?
Aikido 当社のような企業を念頭に置いて構築されたように感じられました。つまり、強力なエンジニアリングチームを社内に擁しながらも、セキュリティ要員のリソースが限られている企業向けであり、巨大企業専用(この分野の他のベンダーの一部のように)ではないのです。
開発者たちは自ら問題を修正し始めた。なぜなら Aikido は、何をすべきか、誰がすべきかを理解しやすくしたからだ。」
設定は簡単で、ガバナンスが明確になり、責任の所在が明らかになりました。このプラットフォームは、ノイズ排除しつつ、適切なチームに適切な課題を提示する手助けをしてくれました。最も気に入ったのは、ワークフローが効率化されたことです。ダッシュボードやツールを飛び回る必要がなくなったのは、本当に助かりました。
ロールアウトはどうでしたか?既存のセットアップとの統合は大変でしたか?
「正直なところ?展開がほとんど見えなかった。すべてが手袋のようにフィットしている"
私たちはチームの自律性を重視しており、Aikido チームフィルタリング機能 は、 CISOとしての 私にとって極めて重要でした 。現在、5つの各チームは自チームのコードに関連するセキュリティ発見のみを確認でき、当社の運用方法に完全に合致しています。この点だけで導入はスムーズに進みました。
合気道でのご経験はいかがでしたか? Aikido チームとのご経験はいかがでしたか?
チームは素晴らしい。ようやくツールを試す時間ができたとき、チームはすぐそばにいて助けてくれた。私たちが接したすべての人が、真の顧客第一主義を示してくれました。彼らはフィードバックに耳を傾け、それに基づいて行動し、私たちをパートナーのように感じさせてくれます。
正直なところ、このような対応はめったにない。
セキュリティの管理方法で変わったことはありますか?
脆弱性 積極的で開発者フレンドリーなものへと変貌を遂げました。重大な発見事項はチーム固有のSlackチャンネルに直接プッシュされるようになりました。認識度は向上し、ノイズ 、プロセスはついに持続可能なものとなりました。セキュリティチームは日々のフォローアップ業務から一歩引いて、ガバナンスに注力できるようになりました。
「以前 Aikido以前は、アプリケーションセキュリティは摩擦のように感じられました。今では、それは流れの一部です。セキュリティはもはや外部のものでも、煩わしいものでもありません。チームがソフトウェアをリリースする方法の一部なのです。」
以前は、チームに行動を起こさせるのは難しかった。今では、クリティカルで重大性の高い問題は着実に減少しています。
さらに、文化的な面でも大きな成果がある。チームがソフトウェアを出荷する方法の一部に過ぎないのです。
開発者の反応は?
そこが面白いところなんだ。フィンランドの文化では、何かが壊れていればそのことを耳にする。うまくいっていれば、そうならない。
誰も文句を言わないという事実 Aikidoについて誰も文句を言わないこと? それがフィンランドで得られる最高の評価と言えるだろう。」
文化的な補足として申し上げますと、フィンランド文化では褒め言葉を気軽に口にしません。しかし開発者が「これは駄作じゃないし動く」と言う時、それは最高の賛辞に等しいのです(笑)。これが私たちのチームが Aikidoに対する評価です:実用的で、控えめで、確実に仕事をこなす。
お気に入りの機能は?
前述したように チーム・フィルタリングは私にとってナンバーワンです。分散化された仕事のやり方をサポートし、チーム全体のセキュリティを監督する私の仕事をとても楽にしてくれます。
しかし、私は特別に賞賛を送りたい。 自動無視機能にも特別な賞賛を送りたい。無関係な発見を静かに削除してくれるので、時間と精神的な帯域幅を節約できる。私は時々、気分を良くするために数字をチェックする。
「時々、自動無視のカウントをチェックして気分転換しているんだ。それはすべて、やらなくてもいい仕事なんだ」。
最後に重要なこと:もしあなたが Aikido をひとことで表すなら、何と言いますか?
"ただ動く"フィンランドの開発チームにしては?高評価だ。
