PSGは、ソフトウェアやテクノロジーを駆使したサービス企業と提携し、変革的な成長、戦略的機会の活用、強力なチーム作りを支援するグロース・エクイティ・ファームである。150社以上の企業を支援し、520件以上の追加買収を促進してきたPSGは、豊富な投資経験、ソフトウェアとテクノロジーに関する深い専門知識、そして経営陣との協業への確固たるコミットメントをもたらします。PSGは2014年に設立され、ボストン、カンザスシティ、ロンドン、パリ、マドリード、テルアビブにオフィスを構えている。PSGの詳細については、www.psgequity.com。
PSGは運用支援(セキュリティを含む)において戦略的かつ実用的なアプローチを採用しています。ポートフォリオ全体でアプリケーションセキュリティを統一するにあたり、彼らは Aikidoを選択した。
PSGの最高情報セキュリティ責任者であるアダム・グリック氏に、 Aikido が同社のセキュリティ支援にどのように貢献しているか、また同プラットフォームがデューデリジェンス、監視、能力強化において果たす役割について話を伺った。
こんにちは、アダム!まずは自己紹介とPSGでの役割からお願いします。
私はPSGのCISOです。入社して約2年になります。私の責務は2つあり、PSG自体の社内ITと情報セキュリティを監督することと、ポートフォリオ会社のガバナンスと監督機能を果たすことです。つまり、当社のポートフォリオ会社(「ポートコス」または「ポートフォリオ会社」)がセキュリティに投資し、プログラムを成熟させ、セキュアなコードを出荷していることを保証する手助けをするということです。
セキュリティに関して、PSGは投資先企業をどのようにサポートしていますか?
技術選定、採用、GTM戦略、セキュリティなど、ポートコスを日々支援するオペレーション・チームがあります。ベンダーの評価、ポリシーの策定、監査の準備、コンプライアンス上の課題への対応など、ポートコスとともに取り組んでいます。
セキュリティー面では、投資先企業が何が必要かを理解し、そのための適切なツールやパートナーを見つける手助けをします。
あなたが奨励するフレームワークにおいて、アプリケーション・セキュリティはどのような役割を果たしますか?
当社は、AppSecがあらゆる開発組織の中核的な考え方の一つであると考えています。当社は、組織のリスクと評判の完全性の両面から、当社のポートコ ミュニケーション担当者がセキュアなコーディングの実践を優先することを期待しています。私たちの仕事は、安全なコーディングツールの評価と採用において、ポートコスをサポートすることです。
PSGがポートフォリオ全体のアプリケーション・セキュリティ・イニシアチブを模索するようになったきっかけは何だったのでしょうか。
ポートフォリオ全体で実施できるイニシアチブはすべて勝利です。特にセキュリティのような)プログラム的あるいはシステム的なニーズを特定できれば、統一的な方法で解決する価値があります。
このような取り組みに適したツールはどのようにして見つけたのですか?
私たちはポートコスと定期的に接触し、その成熟度を理解しています。このようなレベルの関与によって、共有ソリューションがポートフォリオ全体をサポートする可能性がある場所を可視化することができます。
ポートフォリオ全体のアプリケーション構想を採用する際の最大の課題は、摩擦を最小限に抑えることだ。企業はそれぞれ異なります。問題は、共通項は何かということです。私たちは、導入のハードルを最小限に抑えながら、大半の企業に対応できるソリューションを必要としていました。
では、どうやって Aikido 際立ったのか?
導入の容易さが大きな要因でした。デューデリジェンスを完了し契約を締結すれば、企業を Aikido に接続し、文字通り数秒でスキャンを開始できました。微調整も面倒も一切不要。それだけで大きな障壁が取り除かれたのです。
デューデリジェンスを完了し契約書に署名した後、当社は企業を Aikido と接続し、文字通り数秒でスキャンを開始できるようになります。」
しかしそれ以上に、技術的な機能の幅広さ SAST、DAST、CSPM、シークレット これら全てが単一プラットフォームに統合されている点が非常に魅力的でした。PSGにとって、導入は労力は最小限で、成果は最大というものでした。
経営陣との関係性は重要でした。何か問題が起きた時、迅速な解決を導く指揮官が存在するかどうかを知りたいのです。 Aikido との経験は良好でした。
ポートフォリオ全体への展開はどのように進めたのですか?
私たちはロールアウトに真剣に取り組んだ。単に "ツールがあるから使いなさい "というだけではありませんでした。意識向上セッション、オフィスアワー、開発リーダーとの1:1、文書化、リアルタイムのサポート用Slackチャンネル......基本的に、ポートコスが成功するためのあらゆる準備を整えました。
単に『ツールがあるから使いなさい』とは言わなかった。意識向上セッション、オフィスアワー、1:1......基本的に、ポートコスが成功するための準備を整えるためにできることはすべてやった"
両方 Aikido とPSGには接点がありました。迅速な対応を確保するため、複数のチャネルで対応可能でした。技術そのものと同じくらい、実現支援の側面も重要でした。
合気道はどのような役割を果たすのか Aikido パートナーポータルは、あなたの監督においてどのような役割を果たしていますか?
そこには多くの可能性がある。今日、私たちは主要なCVEを素早く特定し(「CVE-2024-XXXXに感染しているのは誰か」のように)、影響を受ける企業に連絡を取るために使っています。
とはいえ、より強力なレポート機能の実現を推進中です。ポートフォリオ全体の脆弱性 や企業別の修正率といった、マクロレベルの傾向分析をさらに強化したいと考えています。 Aikidoはこのフィードバックに非常に前向きに対応しており、改善に向けて協力しています。
PSGにおけるセキュリティ・コーディネイトの「前」と「後」をどのように表現しますか?
以前は、ツールはもっと細分化されていた。各ポートコ社が自分たちに合ったものを選んでいた。それは本質的に悪いことではないが、監督やサポートが非常に難しくなる。
今は、以前にはなかった中心的なものがある。ユーザーからは好意的なフィードバックが寄せられている。このツールは導入しやすく、本当に役に立っている。影響を定量化するのはまだ早いですが、逸話的には非常にポジティブです。
あなたは使い始めましたか Aikido ポートフォリオの安全性を超えた他の方法で使い始めていますか?
「私たちは取り入れ始めている Aikido をデューデリジェンス業務に組み込み始めています…これにより、取得対象についてより情報に基づいた見解が得られるのです。」
はい。私たちは取り入れ始めています Aikido をデューデリジェンス業務フローに組み込み始めています。新規企業の買収可能性を評価する際、それらを Aikido に組み込むことで、コード自体にアクセスすることなく、そのセキュリティ態勢に関する即時の洞察を得られます。これにより、買収対象についてより情報に基づいた見解が得られると考えています。
ポートフォリオ全体でテクノロジー・イニシアチブを展開する他の企業へのアドバイスはありますか?
万能の解決策はありませんが、大抵の人に当てはまる方法はあると考えます。 Aikido がその理想的なバランス点に当てはまると考えています。」
その通りだ。私たちが学んだことのひとつは、ITの領域で過度に規定的にならないことです。私たちは、(企業の経営スタイルに基づいて)私が「Netflix road well-traveled」と呼ぶアプローチを採用している。どのような成果が必要かを企業に伝えます。例えば、セキュア・コーディング・プログラムのようなものだ。
Aikido は良い例です:これは強い推奨であって、義務ではありません。あなたに合えば素晴らしい。合わなければ、合うものを見つけてください。万人に合うものはありませんが、大抵の人に合うものは存在します。そして私たちは Aikido がその理想的な位置にあると考えています。
最終的な感想は?
Aikidoは素晴らしいパートナーです。Slackチャネルでのサポート、リーダーシップの対応力、製品の応答性など、あらゆる面で一貫して高い水準を維持しています。非常に良好な関係が築けています。
