マーカス!TechDivisionの活動について教えてください。
もちろんです!私はTechDivisionのシニアセキュリティエンジニアで、サイバーセキュリティの実践コミュニティをリードしています。全エンジニアリングチームの開発ライフサイクルの安全確保を担当しています。
テックディビジョンに関しては、私たちは古典的なeコマース・エージェンシーとしてスタートしましたが、今ではデジタル・イネイブラーと呼ばれるまでに成長しました。つまり、単にショップを立ち上げるだけでなく、データソースを統合し、マーケティング戦略を構築し、クライアントのデジタルトランスフォーメーション全体を指導しているのです。現在、私たちは約140人の従業員を抱え、その約半数がエンジニアリングに従事しています。
では、その中でセキュリティはどう位置づけられるのだろうか?
一言で言えば、「基盤」である。私たちにとってセキュリティとは、安定と信頼の2つです。デジタル戦略や統合プラットフォームを構築する際には、その基盤が強固であることを確信したい。そして、クライアントには、私たちがデータの安全を守るために可能な限りのことをしていることを信頼していただきたいのです。
また、賢明な決断を下すために必要な洞察も与えてくれる。例えば、一元化された認証プラットフォームを展開したい場合、まずリスクを理解する必要がある。それこそが、優れたセキュリティが提供するものなのだ。コンテキストと明快さ。
セキュリティーにもっと真剣に取り組む必要がある」と気づいた具体的な瞬間はありましたか?
2022年初頭、Adobe Commerce(およびMagento)を標的としたTrojanOrders攻撃が重要な転機となりました。TechDivisionのクライアントは影響を受けませんでしたが(同じ週にパッチを配布したおかげです)、この事件はタイムリーなセキュリティアップデートの緊急性に関する認識を著しく高めました。また、社内の利害関係者と顧客のセキュリティパッチへの取り組み方の変化にもつながりました。以前は、重要なセキュリティ・アップデートを何カ月も延期する顧客もいました。
その後、 脆弱性、当社の改善されたプロセスの有効性をさらに裏付けることとなり、その予防的アプローチが意図した通りに機能していることを確認した。
合気道以前の安全対策はどのようなものだったのか Aikido?
正直なところ?少し混沌としていた。私には、異なるエンジニアリング・チームにまたがる8人のセキュリティ・チャンピオンがいました。新しいCVEなどが出てくるたびに、それぞれのレポが影響を受けているかどうかを確認するために、それぞれのチームに連絡を取らなければならなかった。時間がかかり、管理も大変でした。
脆弱性を追跡するための社内ツールの開発も始めましたが、最終的には専用ソリューションを利用するのが合理的だと判断しました。いくつかの代替案を試した末に Aikidoに落ち着きました。
新しいものを探し始めたきっかけは?
私たちが以前使っていた犬のロゴのツールは、よく吠えたが、成果はなかった。
いろいろなことが混ざっている。私たちが以前使っていた犬のロゴ入りのツールは、よく吠えたが、成果は出なかった。大幅な値上げをされ、私たちが得ていた価値に照らして正当化できるものとは思えませんでした。その上、技術的な限界もありました。私たちのインフラはかなり非標準的なので、必要なレベルの統合ができませんでした。
製品の問題もあった。彼らのIDEプラグインは大規模なレポでクラッシュし続け、私たちは誤検知に溺れました。開発者がツールを使わなくなるほどでした。
そしてあなたは見つけた Aikido?
そうだね!私たちにとって際立っていたのは、開発者によって開発者のために作られたように感じられたことです。オンボーディング体験はスムーズで、サポートは迅速で、ワークフローは理にかなっていました。
何が Aikido 際立っていたのは、開発者によって開発者のために構築されたような感覚があった点だ。
私が本当に感謝しているのは、ノイズ 。 Aikidoのアプローチ、特にその 到達可能性分析は、シークレット アクティブな依存関係といった無関係な発見をフィルタリングするのに役立ち、真に悪用可能な問題に集中できます。このレベルの精度により、脆弱性の優先順位付けの効率性が顕著に向上しました。
Aikidoの到達可能性分析は、無関係な発見を排除し、真に悪用可能な問題に集中できるように支援します。
有 Aikido クライアントとの関わり方を変えましたか?
サービス内容そのものに変化はありませんが、提供する価値は確実に高まりました。より短時間でより多くのセキュリティ業務をこなすことができるようになり、クライアントに直接利益をもたらしています。
プロジェクトには基本セキュリティパッケージも含まれており、 Aikido を導入することで、このパッケージを大幅に強化します。
より多くのセキュリティ業務をより短時間でこなすことができるようになり、クライアントに直接利益をもたらしている。
お気に入りの機能は?
それは簡単です: 依存関係 検索する機能です。エンジニアリングチーム間で問題をトリアージする際に、これは画期的な変化をもたらしました。また、AI AutoFixのような新機能を試すのも楽しみです。 AI AutoFix や VMスキャンといった新機能を試すのも楽しみです。これらはすぐに新たな主力ツールになるでしょう。
合気道でのご経験はいかがでしたか? Aikido チームとのご経験はいかがでしたか?
正直、素晴らしい。認証フローで問題が発生したときは、1週間以内に修正されました。このような対応はめったにありません。
特に共有されているSlackチャンネルでは、コミュニケーションが実にオープンだ。チームが本当に気にかけていて、日々より良い製品を作ろうとしているのが伝わってくる。爽快だ。
あなたはわかるだろう Aikido チームが心から気にかけており、日々より良い製品を構築していることが伝わってきます。実に清々しいことです。
最終的な感想は?
開発チームに負担をかけずにセキュリティを真剣に考えたい企業様へ Aikido は迷う余地のない選択肢です。効率的で配慮が行き届き、開発者にも優しい。信頼構築を支えてくれます。クライアントとの信頼だけでなく、私たち自身との信頼も築くのです。
