マーカス！TechDivisionの活動について教えてください。

もちろんです！私はTechDivisionのシニアセキュリティエンジニアで、サイバーセキュリティの実践コミュニティをリードしています。全エンジニアリングチームの開発ライフサイクルの安全確保を担当しています。

テックディビジョンに関しては、私たちは古典的なeコマース・エージェンシーとしてスタートしましたが、今ではデジタル・イネイブラーと呼ばれるまでに成長しました。つまり、単にショップを立ち上げるだけでなく、データソースを統合し、マーケティング戦略を構築し、クライアントのデジタルトランスフォーメーション全体を指導しているのです。現在、私たちは約140人の従業員を抱え、その約半数がエンジニアリングに従事しています。

では、その中でセキュリティはどう位置づけられるのだろうか？

一言で言えば、「基盤」である。私たちにとってセキュリティとは、安定と信頼の2つです。デジタル戦略や統合プラットフォームを構築する際には、その基盤が強固であることを確信したい。そして、クライアントには、私たちがデータの安全を守るために可能な限りのことをしていることを信頼していただきたいのです。

また、賢明な決断を下すために必要な洞察も与えてくれる。例えば、一元化された認証プラットフォームを展開したい場合、まずリスクを理解する必要がある。それこそが、優れたセキュリティが提供するものなのだ。コンテキストと明快さ。

セキュリティーにもっと真剣に取り組む必要がある」と気づいた具体的な瞬間はありましたか？

2022年初頭、Adobe Commerce（およびMagento）を標的としたTrojanOrders攻撃が重要な転機となりました。TechDivisionのクライアントは影響を受けませんでしたが（同じ週にパッチを配布したおかげです）、この事件はタイムリーなセキュリティアップデートの緊急性に関する認識を著しく高めました。また、社内の利害関係者と顧客のセキュリティパッチへの取り組み方の変化にもつながりました。以前は、重要なセキュリティ・アップデートを何カ月も延期する顧客もいました。

その後、2024年のCosmicStingの脆弱性によって、改善されたプロセスの有効性が強化され、彼らの積極的なアプローチが意図したとおりに機能していることが確認された。

Aikido始める前の警備はどのようなものでしたか？

正直なところ？少し混沌としていた。私には、異なるエンジニアリング・チームにまたがる8人のセキュリティ・チャンピオンがいました。新しいCVEなどが出てくるたびに、それぞれのレポが影響を受けているかどうかを確認するために、それぞれのチームに連絡を取らなければならなかった。時間がかかり、管理も大変でした。

私たちは、脆弱性を追跡するために独自の社内ツールを構築し始めましたが、最終的には専用のソリューションを使用する方が理にかなっていると判断しました。Aikido辿り着くまでには、他にもいくつか試しました。

新しいものを探し始めたきっかけは？

私たちが以前使っていた犬のロゴのツールは、よく吠えたが、成果はなかった。

いろいろなことが混ざっている。私たちが以前使っていた犬のロゴ入りのツールは、よく吠えたが、成果は出なかった。大幅な値上げをされ、私たちが得ていた価値に照らして正当化できるものとは思えませんでした。その上、技術的な限界もありました。私たちのインフラはかなり非標準的なので、必要なレベルの統合ができませんでした。

製品の問題もあった。彼らのIDEプラグインは大規模なレポでクラッシュし続け、私たちは誤検知に溺れました。開発者がツールを使わなくなるほどでした。

そしてAikido出会った？

そうだね！私たちにとって際立っていたのは、開発者によって開発者のために作られたように感じられたことです。オンボーディング体験はスムーズで、サポートは迅速で、ワークフローは理にかなっていました。

Aikido いたのは、開発者によって、開発者のために作られたように感じられたからだ。

私が本当に感謝していることのひとつは、ノイズ除去です。Aikidoアプローチ、特に 到達可能性解析は、テストファイル内の秘密や非アクティブな依存関係のような無関係な発見をフィルタリングし、本当の悪用可能な問題に集中できるようにしてくれます。その精度の高さによって、脆弱性のトリアージが効率的に行えるようになりました。

Aikido到達可能性分析では、無関係な発見をフィルタリングすることで、実際に悪用可能な問題に集中することができます。

Aikido クライアントとの接し方は変わりましたか？

サービス内容そのものに変化はありませんが、提供する価値は確実に高まりました。より短時間でより多くのセキュリティ業務をこなすことができるようになり、クライアントに直接利益をもたらしています。

Aikido 導入することで、このパッケージはかなり強化される。

より多くのセキュリティ業務をより短時間でこなすことができるようになり、クライアントに直接利益をもたらしている。

お気に入りの機能は？

それは簡単です。複数のワークスペースにまたがる依存関係を検索する機能です。これは、エンジニアリング・チーム間で問題をトリアージする際の画期的な機能です。また、次のような新しい機能を試すのも楽しみです。 AI AutoFixや VMスキャン.これらは簡単に新しいお気に入りになるかもしれない。

Aikido チームとの仕事はいかがでしたか？

正直、素晴らしい。認証フローで問題が発生したときは、1週間以内に修正されました。このような対応はめったにありません。

特に共有されているSlackチャンネルでは、コミュニケーションが実にオープンだ。チームが本当に気にかけていて、日々より良い製品を作ろうとしているのが伝わってくる。爽快だ。

Aikido チームが純粋に気にかけ、日々より良い製品を作っているのがわかる。爽快だ。

最終的な感想は？

もしあなたが、開発チームに負担をかけることなく、セキュリティに真剣に取り組みたいと考えている企業であれば、Aikido 間違いない。効率的で、思慮深く、開発者に優しい。Aikidoは私たちの信頼構築に役立っています。クライアントだけでなく、私たち自身にも。