やあ、アキ!自己紹介とミダクソでの役割について教えてください。
私はMidaxoのCISO兼DevSecOpsリードのAki Hänninenです。CISOサイドは企業セキュリティ、ガバナンス、ISO 27001などの認証に重点を置き、DevSecOpsサイドは製品とプラットフォームのセキュリティに重点を置いています。私たちのエンジニアリング・チームは、フィンランドと米国で約15人(5つのチームにわたって)分かれています。
実は、ミダクソでクラウド・プラットフォームをゼロから作り直したときに、ソフトウェア・アーキテクトとして入社したんです。成熟するにつれて、私は運用とセキュリティの方へと移行し、今では自分自身を「回復中のソフトウェア・アーキテクト」だと思っています(笑)。私はまだコードに近いところにいますが、組織全体でセキュリティを実現することに集中しています。
ミダクソは何をしているのか?
Midaxoは、企業開発チームがM&A、事業売却、知財管理、あるいは不動産取引などの複雑なプロセスを管理するための一元化されたプラットフォームを提供しています。
(多くの企業ではまだ一般的ですが)ExcelやPowerPointに頼るのではなく、Midaxo Cloudを利用することで、お客様はワークフローをより体系的、反復可能、かつ改善可能にすることができます。透明性、コラボレーション、適切な情報を適切な人が適切なタイミングで利用できるようにすることに重点を置き、戦略的イニシアチブのリスクを低減します。
あなたのビジネスにとって、セキュリティはどの程度重要ですか?
それは絶対に必須です。私たちの案件のほとんどは、第三者によるリスク管理評価を受ける必要があり、データの機密性に関する期待は高い。強固なセキュリティの実践がなければ、この分野での取引に勝つことはできないでしょう。
「強固なセキュリティの実践がなければ、この分野での取引に勝つことはできません」。
単なるコンプライアンスやセキュリティ評価のチェックボックスではありません。私たちは、セキュリティを製品の不可欠な一部として扱っています。これには、構築方法、配備方法、インシデントや脆弱性を社内で管理する方法も含まれます。
だからこそ私たちは、製品からインフラに至るまで、全面的にセキュリティに多額の投資を行ってきたのです。
Aikido使用する前に、セキュリティ面で最も懸念していたことは何ですか?
私たちは非常にクラウドネイティブで、AWSが管理するサービスとサーバーレス・インフラストラクチャに大きく依存しています。しかし、その分、社内の関心はアプリケーション・セキュリティに移っています。
脆弱性の管理は苦痛だった。SCAの調査結果、SAST、DAST...すべてが異なるツール(AWS Inspector、SonarCloud、Detectifyなど)に分散していた。それは、"おい、誰かこの脆弱性をもう調べたか?"という古典的なモグラたたきゲームになった。
「セキュリティ管理は、"おい、誰かこの脆弱性を調べたか?"という古典的なモグラたたきゲームになった。
それぞれのツールは孤立して働いていた。統一されたビューはなかった。脆弱性は手作業でトリアージし、割り当てなければならなかった。そのため、すべての作業が滞っていた。セキュリティチームが力仕事の大半を担っていたため、エンジニアリングチーム全体へのセキュリティツールやセキュリティプラクティスの導入が少なかった。
審査でAikido いたのはなぜですか?
Aikido 、(この分野の他のベンダーのように)巨大企業専用ではなく、社内に強力なエンジニアリングチームを持ちながら、セキュリティ担当者のリソースに制約のある、我々のような企業を念頭に置いて作られているように感じた。
Aikido 何をすべきか、誰がすべきかを簡単に知ることができたからだ。
セットアップは簡単で、ガバナンスが明確になり、オーナーシップが明白になりました。このプラットフォームは、雑音を排除して適切なチームに関連する問題を表面化するのに役立ちました。私が最も気に入ったのは、ワークフローが合理化されたことです。ダッシュボードやツールの間を飛び回る必要がなくなり、とても楽になりました。
ロールアウトはどうでしたか?
既存のセットアップとの統合は大変でしたか?
「正直なところ?展開がほとんど見えなかった。すべてが手袋のようにフィットしている"
私たちはチームの自律性を保つことを重視しており、Aikidoチーム・フィルタリング機能は CISOとしての私にとって非常に重要でした 。私たちの5つのチームはそれぞれ、自分たちのコードに関連するセキュリティの発見だけを見ることができ、私たちの運用方法と完全に一致しています。それだけで導入がスムーズになりました。
Aikido チームとの仕事はいかがでしたか?
チームは素晴らしい。ようやくツールを試す時間ができたとき、チームはすぐそばにいて助けてくれた。私たちが接したすべての人が、真の顧客第一主義を示してくれました。彼らはフィードバックに耳を傾け、それに基づいて行動し、私たちをパートナーのように感じさせてくれます。
正直なところ、このような対応はめったにないことで、私たちの印象に残っている。
セキュリティの管理方法で変わったことはありますか?
私たちの脆弱性管理プロセスを、より積極的で開発者に優しいものに変えました。今では、重要な発見をチームごとのSlackチャンネルに直接プッシュしています。意識は高まり、ノイズは減り、プロセスは最終的に持続可能なものになりました。セキュリティチームは、日々のフォローアップではなく、一歩下がってガバナンスに集中できるようになりました。
Aikido始める前は、AppSecは摩擦のように感じていた。今は流れの一部です。セキュリティはもはや外部的なものとも、煩わしいものとも思われていません。チームがソフトウェアを出荷する方法の一部なのです。"
以前は、チームに行動を起こさせるのは難しかった。今では、クリティカルで重大性の高い問題は着実に減少しています。
さらに、文化的な面でも大きな成果がある。チームがソフトウェアを出荷する方法の一部に過ぎないのです。
開発者の反応は?
そこが面白いところなんだ。フィンランドの文化では、何かが壊れていれば、そのことを耳にする。
↪CF200D↩
Aikido誰も文句を言わないという事実。それがここフィンランドで得られる最高のフィードバックだ。"
フィンランドの文化では、褒めることはあまりしません。でも、開発者が「ゴミじゃないし、機能する」と言えば、それだけで高評価です(笑)。Aikido便利で、静かで、仕事がはかどる。
お気に入りの機能は?
前述したように、チーム・フィルタリングは私にとってナンバーワンだ。分散化された仕事のやり方をサポートし、チーム全体のセキュリティを監督する私の仕事をとても楽にしてくれます。
しかし、私は自動無視機能にも特別な賞賛を送りたい。無関係な発見を静かに削除してくれるので、時間と精神的な帯域幅を節約できる。
。
「時々、自動無視のカウントをチェックして気分転換しているんだ。それはすべて、やらなくてもいい仕事なんだ」。
最後になりますが、Aikido 一言で表すとしたら?
"ただ動く"フィンランドの開発チームにしては?高評価だ。
.webp){kind=logo}
.png)