機密性の高い従業員および組織データの取り扱いが製品の中核であるHRテック業界において、Simployerはセキュリティを開発プロセスの柱としています。北欧を拠点とし、12,000社以上の企業と100万人のユーザーにサービスを提供しているSimployerのプラットフォームは、法的コンプライアンスから従業員エンゲージメントまで、企業の人事業務の効率化を支援しています。
イノベーションのペースを維持しつつ、セキュリティとコンプライアンスを確保するために、SimployerはAikidoに注目しました。
共有責任としてのセキュリティ
Simployerにとって、セキュリティはチームの運営方法の中核から始まります。SimployerのCTOであるPeder Nordvallerは、それを次のように簡潔に述べています:
“セキュリティは私たちの業務において非常に大きな役割を果たしています。私たちは単にプライベートなだけでなく、お客様の事業運営にとって極めて重要な個人データを取り扱っています。”
Simployerのエンジニアリング組織全体で、セキュリティは孤立していません。むしろ、各チームの日常の開発サイクルに統合されています。インフラストラクチャからフロントエンドおよびバックエンドチームまで、全員がシステムのセキュリティ維持に対する責任を共有しています。
SimployerのテックリードであるSaidは、次のように述べています: “各チームがそれぞれの領域を所有しています。それには、彼らが構築するもののセキュリティも含まれます。”
しかし、この文化が強力である一方で、それをサポートするための適切なツールが依然として必要でした。特に、会社が規模を拡大するにつれて。
課題:制御を失うことなく迅速に成長すること
Simployerが開発を急速に拡大するにつれて、彼らのチームは課題に直面しました:イノベーションを遅らせることなく、セキュリティ体制を強力に維持する方法です。
“私たちは製品開発に多額の投資をしています”とPederは説明します。“私たちのセキュリティアプローチが成長に追いつけるようにする必要がありました。”
Simployerは、SnykからGitLabの組み込みソリューションまで、コードおよびインフラストラクチャのスキャンを支援するいくつかのツールを試していました。しかし、ほとんどのプラットフォームは、解決するよりも多くの問題を生み出しました。
- 高いノイズレベルと不明確な優先順位
- 開発者の時間を浪費する手動トリアージ
- 使いにくいUXによる導入率の低さ
Said氏は次のように詳しく説明します。「多くのノイズがあり、重要でない問題の調査に時間を費やしていました。何に焦点を当てるべきか明確ではありませんでした。」
複数の開発チームが並行して作業する企業にとって、この分断は持続不可能でした。
SimployerがAikidoを選んだ理由
チームは、明確さ、スピード、そして既存のワークフローへのシームレスな統合を提供するソリューションを探し始めました。その時、彼らはAikidoを見つけました。
「最初に気づいたのは、UIがいかに直感的であるかということでした」とSaidは振り返ります。
「アクセスすれば、重要な脆弱性が表示され、迅速に修正できます。」
Aikidoは、脆弱性をグループ化して優先順位を付け、実用的な修正を提供することで、開発者の認知負荷を直ちに軽減しました。このツールはSimployerのCI/CDパイプラインと既存のワークフローに直接統合され、導入をスムーズにしました。
2つの点が際立っていました。
- スマートな優先順位付け:「何に注目すべきか、そして何が本当に重要であるかを正確に把握できます。」
- Auto-Fix:「自動的に修正できる場合は、そのまま修正されます。これは画期的なことです。」
Said氏は、「解決までのスピードは信じられないほどです。1分未満で問題を修正しました。Aikidoがプルリクエストを作成し、テストがパスすれば完了です」と付け加えます。
「解決までのスピードは驚異的です。1分以内に問題を修正しました。Aikidoがプルリクエストを作成し、テストがパスすれば完了です。」
セキュリティを開発フローの一部にする
Simployerにとって最大の成果の一つは、Aikidoが開発者エクスペリエンスの一部としていかに自然に溶け込んだかでした。
「セキュリティの扱い方が変わりました」とPederは語ります。「今では、セキュリティを日々の業務における他のタスクと同様に扱っています。」
既存のツールにセキュリティを組み込み、チームに実用的な洞察を提供することで、Aikidoは開発者とセキュリティチーム間のやり取りをなくすのに役立ちました。それは、コンテキストスイッチの削減と、より安全なコードをより迅速に実現することを意味しました。
SimployerのアプリケーションコードからIaC、オープンソースの依存関係に至るまでのフルテックスタック全体におけるAikidoのカバレッジは、チームが単一のダッシュボードからセキュリティ態勢の全体像を把握することを可能にしました。
将来を見据えて:自信を持ってスケーリング
Aikidoにより、Simployerは、その勢いを鈍らせることのない、セキュリティファーストの開発文化の基盤を築きました。
- 開発者は脆弱性を数日ではなく数分で修正できるようになりました
- セキュリティは開発ライフサイクルに組み込まれており、後付けではありません
- チームはコードからクラウドまで、フルスタック全体にわたる可視性を得られます
- 手動トリアージが削減され、修正は多くの場合自動的に行われます
「ツールがサポートしてくれると、正しいことをするのが簡単になります」とSaidは述べています。「そして、それがこれほど簡単であれば、開発者は実際にそれを行います。」
「ツールがサポートしてくれると、正しいことをするのが簡単になります。そして、それがこれほど簡単であれば、開発者は実際にそれを行います。」
