大手キャリアレディネスプラットフォームであるPathfulは、魅力的なビデオコンテンツとライブメンタリングを通じて、全米の何百万もの学生と業界のプロフェッショナルを結びつけています。400万人以上の学生と4万人のボランティアのデータを保護する必要があるため、セキュリティは単なる技術的な懸念ではなく、責任です。当社はPaul Johansen氏(最高製品・技術責任者)とMatthew Alverson氏(エンジニアリング担当副社長)に、Aikidoが彼らのチームがノイズを排除し、より迅速に修復し、開発者のワークフローを妨げることなくコンプライアンスへの取り組みを簡素化するのにどのように役立ったかについて話を聞きました。
皆さん!パスフルの概要と社内での役割について教えてください。
ポール・ヨハンセン:私は最高製品・技術責任者です。プロダクト・オペレーション、プロダクト・マネジメント&マーケティング、エンジニアリングの3つのチームを率いています。
マシュー・アルバーソン:私はエンジニアリング担当副社長です:私はエンジニアリング担当副社長で、開発者からDevOps、データまですべてを担当しています。私の課題は、チームの全員がセキュリティに詳しいわけではないので、セキュリティ・ツールが使いやすく、正しい習慣を身につけることが重要だということです。
パスフルがキャリア準備の分野でユニークなのはなぜですか?
ポール私たちの使命は、外科医になろうが溶接工になろうが、学生が有意義な進路を見つけられるようにすることです。私たちの特徴は2つあります:
- ライブ・コネクション:4万人の専門家がボランティアで学生と仕事について話しています。
- 質の高いコンテンツキャリアを生き生きと伝えるため、実在の人物や職場で撮影した魅力的な短編ビデオを制作しています。
当社は全米50州で活動しており、学生のデータを保護する責任を非常に重視しています。
セキュリティは製品戦略のどこに位置づけられるのか?
ポール:基本的なことです。教育分野のSaaSプラットフォームとして、私たちは非常に機密性の高いデータを保護する責任があります。この分野でセキュリティ侵害が起きれば、医療分野と同じくらい大きなダメージを受けるでしょう。ですから、私たちにとってセキュリティとは、信頼性、信用、そして会社と生徒たちの未来を守ることなのです。
セキュリティーを見直すきっかけとなった出来事はありましたか?
ポール:具体的な違反やインシデントはありません。それよりも、パスフルは2つの新興企業から生まれた会社で、それぞれセキュリティに対するアプローチが異なっていました。時が経つにつれて、セキュリティは後付けではなく、戦略の中核となる柱でなければならないことが明らかになりました。これは、マシューと私の2人が深く信じていることです。
Aikidoを使用する前は、どのような課題に直面していましたか?
Paul: 正直なところ、ただ多くのノイズがありました。ペンテストを実行し、他のセキュリティツールも使用していましたが、情報が多すぎてすべてを理解するのが困難でした。問題があることは分かっていましたが、どこから手をつければよいのか、何が本当に重要なのかを把握することが真の課題でした。
Matthew: チームにとっても大変でした。ツールはワークフローにうまく統合されず、インターフェースも直感的ではありませんでした。私たちは常に依存関係を追いかけ、アップグレードの影響を理解しようとしていました。スケーラブルではありませんでした。
「あまりにも多くのノイズがあり、焦点を絞ることが困難でした。私たちは常に混乱の中から情報をふるい分けていました。」 – Paul Johansen
Aikidoが際立っていた点は何ですか?
Matthew: Aikidoはいくつかの点で非常に優れています。
- 脆弱性がどのようにコードベースに侵入したかを示してくれるため、何時間もの調査作業を省くことができます。
- AIを活用した変更ログの要約は素晴らしいです。以前は何時間もかけて読んでいましたが、今ではAikidoがアップグレードが安全かどうかを教えてくれます。
- 最も重要なのは、優先順位をつけるのに役立つということだ。私たちが修正できないものに対するアラートで迷惑をかけることはない。
「AIの変更履歴分析によって、何時間も節約できる。今、私たちは延々と調べる代わりに、信頼し、ざっと見て、検証することができます。"
他のツールを評価しましたか?
Paul: そうではありません。Aikidoは当社のグループのコンプライアンス要件の一部として推奨され、試してみると、明らかにアップグレードであると認識しました。長い評価は必要なく、ただより良く機能しました。
入団手続きはどうでしたか?
Matthew: 信じられないほどスムーズでした。私が作業する必要すらなく、当社のDevOps担当者が対応し、そのツールの素晴らしさについて私たちにメッセージを送り続けていました。Aikidoは当社の下位環境にうまく適合するため、本番環境に到達する前に問題を捕捉できます。
「プラットフォームにオンボーディングした最初のプロジェクトの1つは、当社のインターンチームが担当しました。彼らはすぐにシステムを理解し、2回目のスキャン後にはすべての問題を修復したことを非常に誇りに思っていました。これはAikidoがいかに使いやすいかを本当に示しています。」
Aikidoはコンプライアンスとレポート作成に役立ちましたか?
Paul: 間違いありません。当社の多くのコンプライアンスフレームワークでは、強力なセキュリティプラクティスを実証する必要があります。Aikidoを使用すると、DAST、継続的なスキャン、脆弱性管理など、すべての項目をチェックできます。これにより、これらの証明プロセスがはるかに簡素化されます。
マシュートレンド・オーバー・タイム・レポートは定期的に見ています。リスクプロファイルがどのように変化しているのか、チームが改善責任を果たしているのかを理解するのに役立っています。
「報告書を読むようになった。傾向を把握し、チームに週ごとの責任を持たせるのに役立っている」。
Aikidoを導入して以来、何か測定可能な改善は見られましたか?
マシュー:そうですね。ダッシュボードで追跡しているわけではありませんが、実感しています。私たちの数字を見ると、この2週間で問題の総数が60%減少しています。これは大きなことです。
Aikidoチームとの連携はいかがでしたか?
ポール:それが一番いいところなんだ。すべてがうまくいった。いくつかセットアップの質問がありましたが、すぐに答えてくれました。ツールは信頼できる。
Aikidoの影響を1つの文で要約するとしたら?
ポール:セキュリティに対する意識が高まり、問題をより効率的に解決できるようになった。
Matthew: 脆弱性の修復が本当に簡単になります。それが核心です。
