PSGは、ソフトウェアやテクノロジーを駆使したサービス企業と提携し、変革的な成長、戦略的機会の活用、強力なチーム作りを支援するグロース・エクイティ・ファームである。150社以上の企業を支援し、520件以上の追加買収を促進してきたPSGは、豊富な投資経験、ソフトウェアとテクノロジーに関する深い専門知識、そして経営陣との協業への確固たるコミットメントをもたらします。PSGは2014年に設立され、ボストン、カンザスシティ、ロンドン、パリ、マドリード、テルアビブにオフィスを構えている。PSGの詳細については、www.psgequity.com。

‍

PSGは、セキュリティも含めた運用の実現に向けて、戦略的かつ現実的なアプローチをとっている。ポートフォリオ全体のアプリケーション・セキュリティを統一しようと考えたとき、彼らはAikido注目した。

PSGの最高情報セキュリティ責任者であるアダム・グリック氏に、Aikido どのように同社のセキュリティ支援に役立っているのか、また、このプラットフォームが現在果たしているディリジェンス、監視、有効化における役割について話を聞いた。
‍

こんにちは、アダム！まずは自己紹介とPSGでの役割からお願いします。

私はPSGのCISOです。入社して約2年になります。私の責務は2つあり、PSG自体の社内ITと情報セキュリティを監督することと、ポートフォリオ会社のガバナンスと監督機能を果たすことです。つまり、当社のポートフォリオ会社（「ポートコス」または「ポートフォリオ会社」）がセキュリティに投資し、プログラムを成熟させ、セキュアなコードを出荷していることを保証する手助けをするということです。

‍

セキュリティに関して、PSGは投資先企業をどのようにサポートしていますか？

技術選定、採用、GTM戦略、セキュリティなど、ポートコスを日々支援するオペレーション・チームがあります。ベンダーの評価、ポリシーの策定、監査の準備、コンプライアンス上の課題への対応など、ポートコスとともに取り組んでいます。

セキュリティー面では、投資先企業が何が必要かを理解し、そのための適切なツールやパートナーを見つける手助けをします。

‍

あなたが奨励するフレームワークにおいて、アプリケーション・セキュリティはどのような役割を果たしますか？

当社は、AppSecがあらゆる開発組織の中核的な考え方の一つであると考えています。当社は、組織のリスクと評判の完全性の両面から、当社のポートコ ミュニケーション担当者がセキュアなコーディングの実践を優先することを期待しています。私たちの仕事は、安全なコーディングツールの評価と採用において、ポートコスをサポートすることです。 

‍

PSGがポートフォリオ全体のアプリケーション・セキュリティ・イニシアチブを模索するようになったきっかけは何だったのでしょうか。

ポートフォリオ全体で実施できるイニシアチブはすべて勝利です。特にセキュリティのような）プログラム的あるいはシステム的なニーズを特定できれば、統一的な方法で解決する価値があります。 

‍

このような取り組みに適したツールはどのようにして見つけたのですか？

私たちはポートコスと定期的に接触し、その成熟度を理解しています。このようなレベルの関与によって、共有ソリューションがポートフォリオ全体をサポートする可能性がある場所を可視化することができます。

ポートフォリオ全体のアプリケーション構想を採用する際の最大の課題は、摩擦を最小限に抑えることだ。企業はそれぞれ異なります。問題は、共通項は何かということです。私たちは、導入のハードルを最小限に抑えながら、大半の企業に対応できるソリューションを必要としていました。

‍

では、Aikido どのように際立っていたのか？

導入のしやすさは大きな要因でした。私たちが調査を完了し、契約書にサインした後は、企業をAikido 接続し、文字通り数秒でスキャンを開始することができました。微調整も頭痛の種もありません。それだけで大きな障壁がなくなりました。

‍

「調査を終えて契約を結べば、企業をAikido 接続し、文字通り数秒でスキャンを開始することができます」。

‍

しかし、それ以上に技術的な能力の幅が広かった：SAST、DAST、CSPM、シークレット・スキャン......これらすべてが単一のプラットフォームに組み込まれており、実に説得力があった。PSGにとって、この配備は労力は軽く、結果は重かった。

そして幹部との関係も重要だ。私たちは、何か問題が発生したときに、それを迅速に解決してくれる人たちが指揮を執っていることを知りたいのです。Aikido 経営陣との経験はポジティブなものでした。

‍

ポートフォリオ全体への展開はどのように進めたのですか？

私たちはロールアウトに真剣に取り組んだ。単に "ツールがあるから使いなさい "というだけではありませんでした。意識向上セッション、オフィスアワー、開発リーダーとの1:1、文書化、リアルタイムのサポート用Slackチャンネル......基本的に、ポートコスが成功するためのあらゆる準備を整えました。

‍

単に『ツールがあるから使いなさい』とは言わなかった。意識向上セッション、オフィスアワー、1:1......基本的に、ポートコスが成功するための準備を整えるためにできることはすべてやった"

‍

Aikido PSGの双方に窓口がありました。迅速に対応できるよう、複数のチャンネルで対応しました。技術面だけでなく、サポート面も重要でした。

‍

Aikido パートナーポータルは、あなたの監督においてどのような役割を果たしていますか？

そこには多くの可能性がある。今日、私たちは主要なCVEを素早く特定し（「CVE-2024-XXXXに感染しているのは誰か」のように）、影響を受ける企業に連絡を取るために使っています。

とはいえ、私たちはより強力なレポート機能を求めています。マクロレベルのトレンドをもっと見たい。ポートフォリオ全体の脆弱性の傾向や、企業ごとの修復率などです。Aikidoこのようなフィードバックをとても歓迎してくれており、私たちは共同で改善に取り組んでいます。

‍

PSGにおけるセキュリティ・コーディネイトの「前」と「後」をどのように表現しますか？

以前は、ツールはもっと細分化されていた。各ポートコ社が自分たちに合ったものを選んでいた。それは本質的に悪いことではないが、監督やサポートが非常に難しくなる。

今は、以前にはなかった中心的なものがある。ユーザーからは好意的なフィードバックが寄せられている。このツールは導入しやすく、本当に役に立っている。影響を定量化するのはまだ早いですが、逸話的には非常にポジティブです。

‍

Aikido ポートフォリオ・セキュリティー以外の面でも活用するようになりましたか？

‍

"私たちは、Aikido デリジェンス・ワークフローに組み込み始めています...それは、私たちが獲得しているものについて、より多くの情報に基づいた見解を与えてくれます"

‍

はい。私たちは、Aikido デリジェンスのワークフローに組み込み始めています。買収の可能性のある新規企業を評価する際、その企業をAikido 接続することで、コードそのものにアクセスすることなく、その企業のセキュリティ体制について即座に洞察を得ることができます。これにより、買収対象についてより多くの情報に基づいた見解が得られると感じています。

‍

ポートフォリオ全体でテクノロジー・イニシアチブを展開する他の企業へのアドバイスはありますか？

‍

"万能なものはないが、万能なものはある。"Aikido そのスイートスポットにフィットすると考えている。

‍

その通りだ。私たちが学んだことのひとつは、ITの領域で過度に規定的にならないことです。私たちは、（企業の経営スタイルに基づいて）私が「Netflix road well-traveled」と呼ぶアプローチを採用している。どのような成果が必要かを企業に伝えます。例えば、セキュア・コーディング・プログラムのようなものだ。

Aikido いい例だ。合気道は強い勧めであって、強制ではない。合気道が自分に合っていれば素晴らしい。そうでないなら、そうなるものを探せばいい。万能のものはありませんが、万能のものはあります。

‍

最終的な感想は？

‍

Aikido素晴らしいパートナーです。Slackチャンネルでのサポート、リーダーシップの可用性、製品の対応など、一貫して提供してくれています。素晴らしい関係です。

‍