大手キャリアレディネスプラットフォームであるPathfulは、魅力的なビデオコンテンツとライブメンタリングを通じて、全米の何百万もの学生と業界のプロフェッショナルを結びつけています。400万人以上の学生と4万人のボランティアのデータを保護する必要があるため、セキュリティは単なる技術的な懸念ではなく、責任です。当社はPaul Johansen氏(最高製品・技術責任者)とMatthew Alverson氏(エンジニアリング担当副社長)に、Aikidoが彼らのチームがノイズを排除し、より迅速に修復し、開発者のワークフローを妨げることなくコンプライアンスへの取り組みを簡素化するのにどのように役立ったかについて話を聞きました。
皆様、Pathfulと貴社における皆様の役割について、簡単にご紹介いただけますでしょうか。
Paul Johansen: 私は最高製品技術責任者です。製品運用、製品管理&マーケティング、エンジニアリングの3つのチームを率いています。私たちは皆、学生と実社会のプロフェッショナルを結びつける、高品質でキャリアに焦点を当てたコンテンツという、当社のコア製品の作成と提供に注力しています。
Matthew Alverson: 私はエンジニアリング担当副社長で、開発者からDevOps、データに至るまで、あらゆる責任を負っています。私の課題は、チームの全員がセキュリティ意識が高いわけではないため、セキュリティツールが使いやすく、正しい習慣を築くことが重要であるということです。
キャリア準備の分野でPathfulをユニークにしているのは何ですか?
ポール:私たちの使命は、外科医になるにしても溶接工になるにしても、学生が有意義なキャリアパスを発見できるよう支援することです。私たちを際立たせる2つの点があります。
- ライブ接続:40,000人のプロフェッショナルがボランティアで学生に仕事について話しています。
- 高品質なコンテンツ:私たちは、これらのキャリアを生き生きとさせるため、実際の人物を起用し、実際の職場で撮影した、魅力的な短編動画を制作しています。
私たちは全50州で活動しており、学生データの保護に対する責任を非常に真剣に受け止めています。
製品戦略において、セキュリティはどこに位置づけられますか?
Paul: それは極めて重要です。教育分野のSaaSプラットフォームとして、私たちは非常に機密性の高いデータを保護する責任があります。この分野でのセキュリティ侵害は、医療分野での侵害と同じくらい深刻な損害をもたらします。そのため、私たちにとってセキュリティとは、信頼性、信用、そして会社と学生の未来を守ることを意味します。
セキュリティについて再考するきっかけとなった特定のインシデントはありましたか?
Paul: 特定の侵害やインシデントはありませんでした。Pathfulは、それぞれ異なるセキュリティアプローチを持つ2つのスタートアップが統合して誕生しました。時間が経つにつれて、セキュリティは後回しにするものではなく、私たちの戦略の核となる柱であるべきだということが明確になりました。これはMatthewと私が深く信じていることです。
Aikidoを使用する前は、どのような課題に直面していましたか?
Paul: 正直なところ、ただ多くのノイズがありました。ペンテストを実行し、他のセキュリティツールも使用していましたが、情報が多すぎてすべてを理解するのが困難でした。問題があることは分かっていましたが、どこから手をつければよいのか、何が本当に重要なのかを把握することが真の課題でした。
Matthew: チームにとっても大変でした。ツールはワークフローにうまく統合されず、インターフェースも直感的ではありませんでした。私たちは常に依存関係を追いかけ、アップグレードの影響を理解しようとしていました。スケーラブルではありませんでした。
「あまりにも多くのノイズがあり、焦点を絞ることが困難でした。私たちは常に混乱の中から情報をふるい分けていました。」 – Paul Johansen
Aikidoが際立っていた点は何ですか?
Matthew: Aikidoはいくつかの点で非常に優れています。
- 脆弱性がどのようにコードベースに侵入したかを示してくれるため、何時間もの調査作業を省くことができます。
- AIを活用した変更ログの要約は素晴らしいです。以前は何時間もかけて読んでいましたが、今ではAikidoがアップグレードが安全かどうかを教えてくれます。
- 最も重要なのは、優先順位付けに役立つことです。修正できないことに関するアラートで、大量の通知が届くことはありません。
「AIによる変更ログ分析は、私たちの時間を大幅に節約してくれます。今では、際限なく調査する代わりに、信頼し、ざっと目を通し、検証することができます。」
他のツールも評価されましたか?
Paul: そうではありません。Aikidoは当社のグループのコンプライアンス要件の一部として推奨され、試してみると、明らかにアップグレードであると認識しました。長い評価は必要なく、ただより良く機能しました。
オンボーディングプロセスはいかがでしたか?
Matthew: 信じられないほどスムーズでした。私が作業する必要すらなく、当社のDevOps担当者が対応し、そのツールの素晴らしさについて私たちにメッセージを送り続けていました。Aikidoは当社の下位環境にうまく適合するため、本番環境に到達する前に問題を捕捉できます。
「プラットフォームにオンボーディングした最初のプロジェクトの1つは、当社のインターンチームが担当しました。彼らはすぐにシステムを理解し、2回目のスキャン後にはすべての問題を修復したことを非常に誇りに思っていました。これはAikidoがいかに使いやすいかを本当に示しています。」
Aikidoはコンプライアンスとレポート作成に役立ちましたか?
Paul: 間違いありません。当社の多くのコンプライアンスフレームワークでは、強力なセキュリティプラクティスを実証する必要があります。Aikidoを使用すると、DAST、継続的なスキャン、脆弱性管理など、すべての項目をチェックできます。これにより、これらの証明プロセスがはるかに簡素化されます。
マシュー: 私は経時的なトレンドレポートを定期的に確認しています。これにより、当社のリスクプロファイルがどのように変化しているか、そしてチームが修復責任を果たしているかどうかを把握できます。
「実際にレポートを読むようになりました。これにより、トレンドを追跡し、チームの責任を毎週確認するのに役立っています。」
Aikidoを導入して以来、何か測定可能な改善は見られましたか?
マシュー: はい、特に修復速度においてです。ダッシュボードで追跡しているわけではありませんが、実感しています。そして、当社の数値を見ると、過去2週間で合計問題数が60%削減されました。これは大きな成果です。
Aikidoチームとの連携はいかがでしたか?
Paul: それが一番良い点です。私たちはそれらをほとんど必要としませんでした。すべてが問題なく機能しました。いくつかのセットアップに関する質問がありましたが、すぐに回答が得られました。このツールは信頼性が高く、それがすべてを物語っています。
Aikidoの影響を1つの文で要約するとしたら?
Paul: セキュリティ意識の向上と、より効率的な問題解決です。
Matthew: 脆弱性の修復が本当に簡単になります。それが核心です。
