PSGは、ソフトウェアおよびテクノロジー対応サービス企業と提携し、変革的な成長を乗り越え、戦略的機会を活用し、強力なチームを構築するのを支援するグロースエクイティファームです。150社以上の企業を支援し、520件以上の追加買収を促進してきたPSGは、豊富な投資経験、ソフトウェアとテクノロジーにおける深い専門知識、そして経営陣との協力への強いコミットメントをもたらします。2014年に設立されたPSGは、ボストン、カンザスシティ、ロンドン、パリ、マドリード、テルアビブにオフィスを構えています。PSGの詳細については、www.psgequity.comをご覧ください。
PSGは、セキュリティを含め、運用イネーブルメントに対して戦略的かつ実用的なアプローチを取っています。ポートフォリオ全体のアプリケーションセキュリティを統合しようとした際、彼らはAikidoに注目しました。
PSGの最高情報セキュリティ責任者であるAdam Glick氏と、Aikidoが同社のセキュリティをどのように支援しているか、またプラットフォームが現在、デューデリジェンス、監視、および実現においてどのような役割を果たしているかについて話しました。
アダムさん!まず、自己紹介とPSGでの役割についてお聞かせいただけますか?
私はPSGのCISOです。この会社には約2年間在籍しています。私の職務は2つあります。PSG自体の社内ITと情報セキュリティを監督することと、ポートフォリオ企業に対するガバナンスおよび監視機能も果たしています。これは、当社のポートフォリオ企業がセキュリティに投資し、プログラムを成熟させ、安全なコードを出荷するのを支援することを意味します。
PSGはセキュリティに関してポートフォリオ企業をどのようにサポートしますか?
当社には、PortCo(ポートフォリオ企業)を日々支援するオペレーションチームがあります。テクノロジー選定、採用、GTM(Go-to-Market)戦略、そしてセキュリティに至るまで、多岐にわたります。ベンダーの評価、ポリシーの作成、監査の準備、コンプライアンス課題への対応など、彼らと協力して業務を進めています。
セキュリティ面では、ポートフォリオ企業が必要なものを理解し、それを実現するための適切なツールやパートナーを見つけるお手伝いをしています。
推奨するフレームワークにおいて、アプリケーションセキュリティはどのような役割を果たしますか?
当社は、AppSec(アプリケーションセキュリティ)があらゆる開発組織の核となる原則の1つであると信じています。PortCo(ポートフォリオ企業)には、組織のリスクと評判の整合性の両方のために、セキュアコーディングの実践を優先するよう期待しています。当社の役割は、セキュアコーディングツールの評価と導入においてPortCoを支援することです。
PSGがポートフォリオ全体でのアプリケーションセキュリティイニシアチブを検討するきっかけとなったのは何ですか?
ポートフォリオ全体で実装できるイニシアチブはすべて成功です。プログラム的またはシステム的なニーズ(特にセキュリティのような分野で)を特定できれば、統一された方法で解決する価値があります。
この種のイニシアチブに適したツールはどのように特定しましたか?
当社はPortCo(ポートフォリオ企業)と定期的に連絡を取り、彼らの成熟度を把握しています。このレベルの関与により、ポートフォリオ全体で共有ソリューションがどこで役立つかについての洞察が得られます。
ポートフォリオ全体でアプリケーションイニシアチブを導入する際の最大の課題は、摩擦を最小限に抑えることです。各企業は異なります。問題は、共通の分母は何かということです。展開の障壁を最小限に抑えつつ、大多数の企業で機能するソリューションが必要でした。
では、Aikidoはどのようにして際立ったのでしょうか?
デプロイの容易さが主要な要因でした。デューデリジェンスを完了し、契約を締結すると、文字通り数秒で企業をAikidoに接続し、スキャンを開始できました。微調整も不要で、手間もかかりません。それだけで大きな障壁が取り除かれました。
「デューデリジェンスを完了し、契約を締結すると、文字通り数秒で企業をAikidoに接続し、スキャンを開始できました。」
しかしそれ以上に、SAST、DAST、CSPM、シークレットスキャンなど、すべてが単一プラットフォームに組み込まれた技術的機能の幅広さは、非常に魅力的でした。PSGにとって、デプロイは労力が少なく、結果は非常に大きかったです。
そして、経営陣との関係が重要でした。何か問題が発生した場合でも、迅速に解決を支援してくれる責任者がいることを知りたいと考えています。Aikidoの経営陣との経験は良好でした。
ポートフォリオ全体でのロールアウトにはどのように取り組みましたか?
当社は展開を真剣に受け止めました。単に「ツールです、使ってください」というだけではありませんでした。啓発セッション、オフィスアワー、開発リーダーとの1対1のミーティング、ドキュメント、リアルタイムサポートのためのSlackチャンネルなど、PortCo(ポートフォリオ企業)が成功できるように、できる限りのことをすべて行いました。
「単に『ツールです、使ってください』というだけではありませんでした。啓発セッション、オフィスアワー、1対1のミーティングなど、PortCo(ポートフォリオ企業)が成功できるように、できる限りのことをすべて行いました。」
AikidoとPSGは双方に接点がありました。迅速な対応を確実にするため、複数のチャネルで対応可能でした。テクノロジー自体と同様に、イネーブルメントの側面も同様に重要でした。
Aikido Partner Portalは監視においてどのような役割を果たしますか?
そこには大きな可能性があります。現在、当社はそれを使用して主要なCVEを迅速に特定し(「CVE-2024-XXXXを持っているのは誰か?」といった形で)、影響を受ける企業に連絡を取っています。
とはいえ、私たちはより強力なレポート機能の実現を推進しています。ポートフォリオ全体の脆弱性トレンドや、企業ごとの修正率など、よりマクロレベルのトレンドを見たいと考えています。Aikidoはこのフィードバックに非常に協力的であり、私たちは改善に向けて協力しています。
PSGにおけるセキュリティ連携の「以前」と「以後」をどのように説明しますか?
以前は、ツールがより断片化されていました。各PortCoは自分たちに合ったものを選んでいました。それは本質的に悪いことではありませんが、監視とサポートをはるかに困難にします。
以前はなかった中心的なものが導入されました。ユーザーからは肯定的なフィードバックが寄せられています。このツールは導入しやすく、本当に役立っています。その影響を定量化するのはまだ初期段階ですが、経験的には非常に肯定的です。
ポートフォリオセキュリティ以外にも、Aikidoの活用を始めていますか?
「私たちはデューデリジェンスのワークフローにAikidoを組み込み始めています。これにより、買収対象についてより情報に基づいた見解を得ることができます。」
はい。当社は、デューデリジェンスのワークフローにAikidoを組み込み始めています。買収候補となる新しい企業を評価する際、コード自体にアクセスすることなく、それらをAikidoに接続し、セキュリティ体制に関する即座の洞察を得ることができます。これにより、買収対象についてより多くの情報に基づいた見解が得られると感じています。
ポートフォリオ全体でテクノロジーイニシアチブを展開する他の企業へのアドバイスはありますか?
「万能なソリューションはありませんが、ほとんどのケースに適合するものは存在します。そして、Aikidoはその最適なポイントに合致すると考えています。」
もちろんです。IT分野において、過度に指示的にならないことが、私たちが学んだことの一つです。当社は、「Netflixのよく踏みならされた道」アプローチ(同社の経営スタイルに基づく)と呼ぶものを使用しています。私たちは企業に対し、例えばセキュアコーディングプログラムのような、どのような成果が必要かを伝えますが、その達成方法を具体的に指示することはありません。
Aikidoはその良い例です。これは義務ではなく、強力な推奨事項です。もしそれが機能するなら素晴らしいことです。そうでないなら、機能するものを見つけてください。万能な解決策はありませんが、ほとんどのケースに適合するものは存在し、Aikidoはその最適な位置に収まると考えています。
最終的なご感想は?
Aikidoは素晴らしいパートナーです。Slackチャネルでのサポート、リーダーシップの対応、製品の応答性など、常に期待に応えてくれました。素晴らしい関係を築いています。
