やあ、アキ！自己紹介とミダクソでの役割について教えてください。

私はMidaxoのCISO兼DevSecOpsリードのAki Hänninenです。CISOサイドは企業セキュリティ、ガバナンス、ISO 27001などの認証に重点を置き、DevSecOpsサイドは製品とプラットフォームのセキュリティに重点を置いています。私たちのエンジニアリング・チームは、フィンランドと米国で約15人（5つのチームにわたって）分かれています。

実は、ミダクソでクラウド・プラットフォームをゼロから作り直したときに、ソフトウェア・アーキテクトとして入社したんです。成熟するにつれて、私は運用とセキュリティに移行し、今では「回復したソフトウェア・アーキテクト」だと思っています（笑）。私はまだコードに近いところにいますが、組織全体でセキュリティを実現することに集中しています。

‍

ミダクソは何をしているのか？

Midaxoは、M&Aおよび企業開発チームのために開発された集中型ソフトウェア・プラットフォームです。買収、売却、知的財産管理などの複雑なプロセスを管理するために設計されています。

Midaxoは、これらのイニシアチブを実行するために、多くのチームがまだExcelやPowerPointに依存している一方で、より構造化され、コラボレーティブで反復可能なワークフローでこれらの手動ツールを置き換える集中型システムを提供します。Midaxoは、すべてを1つの場所に集約し、ディールライフサイクル全体をリアルタイムで可視化し、説明責任を果たすことで、チームはより迅速に行動し、リスクを削減し、より良い意思決定を行うことができます。

‍

あなたのビジネスにとって、セキュリティはどの程度重要ですか？

それは絶対に必要です。私たちの取引のほとんどは、第三者によるリスク評価を伴うものであり、データ保護や機密保持に関する期待は高い（特に顧客の業務内容を考えると）。セキュリティは私たちにとって大きな差別化要因です。セキュリティーは、私たちにとって大きな差別化要因です。セキュリティーは、私たちにとって大きな差別化要因です。セキュリティーは、私たちにとって大きな差別化要因であり、セキュリティーは、私たちにとって大きな差別化要因です。

‍

単なるコンプライアンスやセキュリティ評価のチェックボックスではありません。私たちは、セキュリティを製品の不可欠な一部として扱っています。これには、構築方法、デプロイ方法、インシデントや脆弱性を社内で管理する方法も含まれます。製品からインフラに至るまで、全面的にセキュリティに多額の投資を行っているのはそのためです。

‍

Aikido使用する前に、セキュリティ面で最も懸念していたことは何ですか？

私たちは非常にクラウドネイティブで、AWSが管理するサービスとサーバーレス・インフラストラクチャに大きく依存しています。しかし、その分、社内の関心はアプリケーション・セキュリティに移っています。

脆弱性の管理は苦痛だった。SCAの調査結果、SAST、DAST...すべてが異なるツール（AWS Inspector、SonarCloud、Detectifyなど）に分散していた。それは、"おい、誰かこの脆弱性をもう調べたか？"という古典的なモグラたたきゲームになった。 

‍

Aikido以前のセキュリティ管理は、"おい、誰かこの脆弱性を調べたか？"という古典的なモグラたたきゲームだった。

‍

それぞれのツールは孤立して働いていた。統一されたビューはなかった。脆弱性は手作業でトリアージし、割り当てなければならなかった。そのため、すべての作業が滞っていた。当社のセキュリティチームは力仕事のほとんどを行っており、エンジニアリングチーム全体へのセキュリティツールやセキュリティプラクティスの導入は少なかった。

‍

審査でAikido いたのはなぜですか？

Aikido 、（この分野の他のベンダーのように）巨大企業専用ではなく、社内に強力なエンジニアリングチームを持ちながら、セキュリティ担当者のリソースに制約のある、我々のような企業を念頭に置いて作られているように感じた。

‍

Aikido 何をすべきか、誰がすべきかを簡単に知ることができたからだ。

‍

セットアップは簡単で、ガバナンスが明確になり、オーナーシップが明白になりました。このプラットフォームは、雑音を排除して適切なチームに関連する問題を表面化するのに役立ちました。私が最も気に入ったのは、ワークフローが合理化されたことです。ダッシュボードやツールの間を飛び回る必要がなくなり、とても楽になりました。

‍

ロールアウトはどうでしたか？既存のセットアップとの統合は大変でしたか？

‍

「正直なところ？展開がほとんど見えなかった。すべてが手袋のようにフィットしている"

‍

我々はチームの自律性を保つことを重視しており、Aikido チーム・フィルタリング機能は、CISOとしての私にとって 非常に重要 でした。当社の5つのチームはそれぞれ、自分たちのコードに関連するセキュリティの発見事項だけを見ることができ、当社の運営方法に完全に合致しています。それだけで導入がスムーズになりました。

‍

‍

Aikido チームとの仕事はいかがでしたか？

チームは素晴らしい。ようやくツールを試す時間ができたとき、チームはすぐそばにいて助けてくれた。私たちが接したすべての人が、真の顧客第一主義を示してくれました。彼らはフィードバックに耳を傾け、それに基づいて行動し、私たちをパートナーのように感じさせてくれます。

正直なところ、このような対応はめったにない。

‍

セキュリティの管理方法で変わったことはありますか？

私たちの脆弱性管理プロセスを、より積極的で開発者に優しいものに変えました。今では、重要な発見をチームごとのSlackチャンネルに直接プッシュしています。意識は高まり、ノイズは減り、プロセスは最終的に持続可能なものになりました。セキュリティチームは、日々のフォローアップではなく、一歩下がってガバナンスに集中できるようになりました。

‍

Aikido始める前は、AppSecは摩擦のように感じていた。今は流れの一部です。セキュリティはもはや外部的なものとも、煩わしいものとも思われていません。チームがソフトウェアを出荷する方法の一部なのです。"

‍

以前は、チームに行動を起こさせるのは難しかった。今では、クリティカルで重大性の高い問題は着実に減少しています。
さらに、文化的な面でも大きな成果がある。チームがソフトウェアを出荷する方法の一部に過ぎないのです。

‍

開発者の反応は？

そこが面白いところなんだ。フィンランドの文化では、何かが壊れていればそのことを耳にする。うまくいっていれば、そうならない。

‍

Aikido誰も文句を言わないという事実。それがここフィンランドで得られる最高のフィードバックだ。"

‍

フィンランドの文化では、褒め言葉をあまり使いません。でも、開発者が「ゴミじゃないし、機能する」と言えば、それだけで高評価です（笑）。Aikido便利で、静かで、仕事がはかどる。

‍

お気に入りの機能は？

前述したように チーム・フィルタリングは私にとってナンバーワンです。分散化された仕事のやり方をサポートし、チーム全体のセキュリティを監督する私の仕事をとても楽にしてくれます。

しかし、私は特別に賞賛を送りたい。 自動無視機能にも特別な賞賛を送りたい。無関係な発見を静かに削除してくれるので、時間と精神的な帯域幅を節約できる。私は時々、気分を良くするために数字をチェックする。

‍

「時々、自動無視のカウントをチェックして気分転換しているんだ。それはすべて、やらなくてもいい仕事なんだ」。

‍

‍

最後になりますが、Aikido 一言で表すとしたら？

"ただ動く"フィンランドの開発チームにしては？高評価だ。