アキさん!自己紹介とMidaxoでの役割についてお聞かせいただけますか?
MidaxoのCISO兼DevSecOpsリードであるアキ・ハンニネンです。私は意図的にこれらの役割を分けています。CISO側は企業セキュリティ、ガバナンス、ISO 27001のような認証に重点を置き、DevSecOps側は製品およびプラットフォームセキュリティに焦点を当てています。当社のエンジニアリングチームは、フィンランドと米国にまたがる約15名(5チーム)で構成されています。
私はMidaxoで、クラウドプラットフォームをゼロから再構築した際にソフトウェアアーキテクトとして働き始めました。会社が成熟するにつれて、私は運用とセキュリティに移行し、今では自分自身を「回復期のソフトウェアアーキテクト」(笑)だと考えています。コードにはまだ近いですが、組織全体のセキュリティを可能にすることに注力しています。
Midaxoは何をしていますか?
Midaxoは、M&Aおよび企業開発チーム向けに特別に構築された一元化されたソフトウェアプラットフォームです。買収、事業売却、知的財産管理などの複雑なプロセスを管理するように設計されています。
多くのチームがこれらのイニシアチブを実行するためにExcelやPowerPointに依然として依存している一方で、Midaxoは、それらの手動ツールをより構造化され、協調的で、再現性のあるワークフローに置き換える一元化されたシステムを提供します。これにより、すべてが一箇所に集約され、チームはより迅速に動き、リスクを軽減し、取引ライフサイクル全体にわたるリアルタイムの可視性と説明責任を持ってより良い意思決定を行うことができます。
ビジネスにとってセキュリティはどのくらい重要ですか?
それは絶対に必須です。当社の取引のほとんどは第三者リスク評価を伴い、データ保護と機密保持に関する期待は高くなっています(特に顧客の業務の性質を考慮すると)。セキュリティは当社にとって主要な差別化要因です。これにより、顧客は機密性の高い重要なプロセスを管理するパートナーとしてMidaxoを選択する際に信頼を抱くことができます。
これは単にコンプライアンスやセキュリティ評価のためのチェックボックスを埋めることだけではありません。私たちはセキュリティを製品の不可欠な部分として扱っています。これには、構築方法、デプロイ方法、そして内部でのインシデントや脆弱性の管理方法が含まれます。そのため、製品からインフラストラクチャに至るまで、全面的にセキュリティに多大な投資を行ってきました。
Aikido使用前の主なセキュリティ上の懸念事項は何でしたか?
私たちは非常にクラウドネイティブであり、AWSマネージドサービスとサーバーレスインフラストラクチャに大きく依存しています。これにより、インフラストラクチャセキュリティの一部をオフロードできますが、同時に内部の焦点がアプリケーションセキュリティへと移行します。
脆弱性の管理は困難でした。SCAの検出結果、SAST、DASTなど、すべてが異なるツール(AWS Inspector、SonarCloud、Detectifyなど)に分散していました。それは、「ねえ、この脆弱性、誰かもう調べた?」という古典的なモグラたたきゲームのようになっていました。
「Aikidoを導入する前は、セキュリティ管理は「ねえ、誰かこの脆弱性をまだ調査しましたか?」という古典的なモグラたたきゲームでした。」
各ツールは個別に機能していました。統合されたビューはありませんでした。脆弱性は手動でトリアージされ、割り当てられる必要がありました。それはすべてを遅らせました。当社のセキュリティチームがほとんどの重労働を担っており、より広範なエンジニアリングチーム全体でのセキュリティツールとプラクティスの導入は低調でした。
評価中にAikidoが際立っていた点は何ですか?
Aikidoは、社内に強力なエンジニアリングチームはあるものの、セキュリティ担当者のリソースが限られている私たちのような企業を念頭に置いて構築されているように感じました(この分野の他のベンダーの一部のように、大企業専用ではありません)。
「Aikidoのおかげで、何をすべきか、誰がすべきかが簡単にわかるようになり、開発者自身が問題を修正し始めました。」
セットアップは簡単で、ガバナンスが明確になり、所有権も明らかになりました。このプラットフォームは、余分なノイズなしに、関連する問題を適切なチームに浮上させるのに役立ちました。私が最も気に入ったのは、ワークフローを合理化してくれたことです。ダッシュボードやツール間を行き来する必要がなくなったのは、本当に安心しました。
ロールアウトはどのように進みましたか?既存のセットアップとの統合は困難でしたか?
「正直なところ?ロールアウトはほとんど目に見えませんでした。全てが完璧にフィットしました。」
私たちはチームの自律性を重視しており、CISOである私にとって、Aikidoのチームフィルタリング機能は非常に重要でした。現在、5つの各チームは、自身のコードに関連するセキュリティ検出結果のみを確認でき、これは私たちの運用方法と完全に一致しています。それだけで導入がスムーズに進みました。
Aikidoチームとの連携経験はいかがでしたか?
チームは素晴らしかったです。最終的にツールを試す時間ができたとき、チームはすぐにサポートしてくれました。私たちが関わった全員が、真の顧客第一の考え方を示してくれました。彼らはフィードバックに耳を傾け、それに基づいて行動し、私たちをパートナーのように感じさせてくれます。
正直なところ、そのような対応の速さは稀であり、私たちに強い印象を残しました。
セキュリティの管理方法において、何が変わりましたか?
これにより、当社の脆弱性管理プロセスは、よりプロアクティブで開発者に優しいものへと変革されました。現在、重要な発見事項はチーム固有のSlackチャンネルに直接プッシュされます。意識が高まり、ノイズが減り、プロセスは最終的に持続可能になりました。セキュリティチームは、日々のフォローアップではなく、ガバナンスに集中できるようになります。
「Aikidoを導入する前は、AppSecは摩擦のように感じられました。今では、それは単にフローの一部です。セキュリティはもはや外部の、あるいは煩わしいものとは見なされません。それはチームがソフトウェアを出荷する方法の一部なのです。」
以前は、チームに行動を促すのが困難でした。しかし今では、重大度が高い問題が着実に減少しているのを確認しています。今年後半にはベースラインを設定し、この改善された態勢を長期的にどれだけ維持できるかを追跡する予定です。
さらに、より大きな成果は文化的なものです。セキュリティはもはや外部の、あるいは煩わしいものとは見なされず、チームがソフトウェアをリリースする方法の一部となっています。
開発者はどのように反応しましたか?
面白いのはここです。フィンランドの文化では、何かが壊れていればそのことを聞かされますが、うまくいっていれば何も言われません。
「誰もAikidoについて不満を言わないという事実?それはフィンランドで得られる最高のフィードバックと言えるでしょう。」
文化的な補足ですが、フィンランドの文化では、褒め言葉を頻繁に言うことはありません。しかし、開発者が「ゴミではないし、機能する」と言うとき、それは最高の褒め言葉です(笑)。そして、それが私たちのチームがAikidoについて感じていることです。それは有用で、静かで、仕事をこなします。
お気に入りの機能は何ですか?
前述の通り、チームフィルタリングは私にとって最も重要です。これは私たちの分散型の働き方をサポートし、チーム全体のセキュリティを監督する私の仕事をはるかに容易にします。
しかし、auto-ignore機能についても特筆すべき点があります。これは無関係な検出結果を静かに削除し、時間と精神的な負担を軽減してくれます。時々、その数を確認して気分を良くすることもあります。
「気分を良くするために、時々自動無視のカウントを確認します。それは全て、私たちがやらなくて済んだ作業です。」
最後になりましたが、もしAikidoを一句で要約するとしたら、どのようなものになりますか?
「ただ機能するだけです。」そしてフィンランドの開発チームにとって、それは最高の賛辞です。
