マーカスさん!あなた自身とTechDivisionの事業内容について少しお聞かせいただけますか?
はい、もちろんです。私はTechDivisionのシニアセキュリティエンジニアであり、サイバーセキュリティのコミュニティ・オブ・プラクティスも主導しています。すべてのエンジニアリングチームにおいて、開発ライフサイクルのセキュリティ確保を担当しています。
TechDivisionについてですが、私たちは当初、典型的なeコマースエージェンシーとしてスタートしましたが、現在では「デジタルイネーブラー」と呼ぶ存在に成長しました。これは、単にショップを立ち上げるだけでなく、データソースの統合、マーケティング戦略の構築、そしてクライアントのデジタルトランスフォーメーション全体を支援することを意味します。現在、従業員は約140名で、その約半数がエンジニアリング部門で働いています。
では、その状況においてセキュリティはどのように関わってくるのでしょうか?
一言で言えば、基盤です。私たちにとって、セキュリティは安定性と信頼という2つの要素に集約されます。デジタル戦略や統合プラットフォームを構築する際、私たちはその基盤が堅固であることに確信を持ちたいと考えています。そして、お客様には、データ保護のために可能な限りのことを行っていると信頼していただきたいのです。
また、十分な情報に基づいた意思決定を行うために必要なインサイトを提供します。例えば、一元化された認証プラットフォームを展開したい場合、まずリスクを理解する必要があります。それこそが優れたセキュリティが提供するものです。コンテキストと明確さ。
具体的に、いつ「セキュリティをもっと真剣に考える必要がある」と認識した瞬間がありましたか?
はい、2022年初頭に重要な転換点がありました。Adobe Commerce(およびMagento)のインストールを標的としたTrojanOrders攻撃の際です。TechDivisionのクライアントは(同週内のパッチ展開のおかげで)影響を受けませんでしたが、このインシデントは、タイムリーなセキュリティアップデートの緊急性に対する認識を大幅に高めました。また、社内関係者とクライアント双方のセキュリティパッチへのアプローチ方法にも変化をもたらしました。以前は、一部の顧客が重要なセキュリティアップデートを数ヶ月間延期することがありました。
その後、2024年のCosmicSting脆弱性は、改善されたプロセスの有効性を強化するのに役立ち、彼らのプロアクティブなアプローチが意図通りに機能していることを確認しました。
Aikido導入前のセキュリティはどのようなものでしたか?
正直に言って?少し混沌としていました。私は異なるエンジニアリングチームに8人のセキュリティチャンピオンを抱えていました。新しいCVEのようなものが発生するたびに、各チャンピオンに連絡を取り、彼らのリポジトリが影響を受けているかを確認する必要がありました。それは時間がかかり、管理が困難でした。
脆弱性を追跡するための独自の内部ツールを構築し始めましたが、最終的には、専用のソリューションを使用する方が理にかなっていると判断しました。Aikidoにたどり着く前に、いくつかの他のツールを試しました。
新しいツールを探し始めたきっかけは何でしたか?
以前使用していた、犬のロゴのツールは、よく吠えましたが、期待に応えてくれませんでした。
いくつかの要因が重なっています。価格設定がきっかけの一つでした。以前使用していた犬のロゴのツールは、多くの警告を発しましたが、期待に応えませんでした。彼らは価格を大幅に引き上げましたが、私たちが得ていた価値に見合っているとは感じられませんでした。その上、技術的な制約もありました。当社のインフラはかなり非標準的であるため、必要なレベルの統合を実現できませんでした。
製品の問題もありました。彼らのIDEプラグインは、より大きなリポジトリでクラッシュし続け、誤検知に悩まされていました。最終的には、当社の開発者はそのツールをまったく使わなくなってしまいました。
そして、Aikidoを見つけましたか?
はい!私たちにとって際立っていたのは、開発者によって開発者のために作られたように感じられたことです。オンボーディング体験はスムーズで、サポートは迅速に対応し、ワークフローは理にかなっていました。
Aikidoが際立っていたのは、開発者によって開発者のために作られたように感じられた点です。
私が本当に高く評価しているのは、ノイズ削減です。Aikidoのアプローチ、特に到達可能性分析は、テストファイル内のシークレットや非アクティブな依存関係など、無関係な検出結果を除外し、真にエクスプロイト可能な問題に集中するのに役立ちます。このレベルの精度は、脆弱性を効率的にトリアージする方法に顕著な違いをもたらしました。
Aikidoの到達可能性分析は、無関係な発見を除外するのに役立ち、実際の、エクスプロイト可能な問題に集中できます。
Aikidoはクライアントとの連携方法に変化をもたらしましたか?
それ自体が当社のサービス提供を変更したわけではありませんが、提供する価値を確実に高めました。今では、より少ない時間でより多くのセキュリティ作業を完了できるようになり、これはクライアントに直接的な利益をもたらします。
プロジェクトに含めるベースラインセキュリティパッケージも用意しており、Aikidoを導入することで、そのパッケージがかなり強化されます。
今では、より少ない時間でより多くのセキュリティ作業をこなせるようになり、これはクライアントに直接的な利益をもたらします。
お気に入りの機能は何ですか?
簡単です。複数のワークスペースにわたる依存関係の検索機能です。これは、エンジニアリングチーム全体で問題をトリアージする際に画期的な変化をもたらしました。また、AI AutoFixやVM scanningのような新しい機能も試すのが楽しみです。これらはすぐに新しいお気に入りになるでしょう。
Aikidoチームとの連携経験はいかがでしたか?
正直なところ、素晴らしいです。認証フローで問題が発生した際も、1週間以内に修正されました。これほどの対応の速さは珍しいです。
コミュニケーションには真のオープンさがあり、特に共有Slackチャンネルでは顕著です。チームが心から関心を持ち、日々より良い製品を構築していることが分かります。これは新鮮です。
Aikidoチームが真摯に取り組んでおり、日々より良い製品を構築していることがわかります。これは好感が持てます。
最終的なご感想は?
開発チームに負担をかけることなくセキュリティを真剣に捉えたい企業にとって、Aikidoは迷うことのない選択肢です。効率的で、思慮深く、開発者フレンドリーです。私たちの信頼構築に役立っています。クライアントだけでなく、私たち自身との信頼もです。
