ダーンさん!Tellentについて、そしてそこでの役割についてお聞かせいただけますか?
私はTellentの情報セキュリティ責任者兼ITチームリーダーのDaan Goumansです。この会社には約3年半勤務しています。私の主な業務はリスク管理とセキュリティ制御の戦略的側面であり、私のチームはメール、社内コミュニケーション、ユーザーエンドポイントといった当社の主要なビジネスツールの日常業務を管理しています。
当社のエンジニアリングチームは、プロダクトマネージャーを含め約90~100名で構成されています。私たちは協力して、採用(ATS)、コアHR(HRIS)、パフォーマンス&成長ツールを1つのシステムに統合したTellentのHRプラットフォームを構築・維持しています。当社の特徴は、必要なものから始めて時間とともに拡張できる柔軟性、200以上の統合、そして広範なワークフローカスタマイズです。
「セキュリティとコンプライアンスは、当社の製品戦略における重要な柱です。お客様は、機密性の高い採用データや従業員データを保護するために当社を信頼しています。」
セキュリティとコンプライアンスは、製品戦略にどのように影響を与えましたか?
機密データを扱うことは、厳格なセキュリティおよびコンプライアンス基準を満たす必要があることを意味します。当社はISO 27001、SOC 2 Type 2の定期監査を受けており、戦略の一環としてペンテストを実施しています。また、お客様が自身の要件を満たせるよう、ロールベースのアクセス制御、設定可能なデータ保持、自動化されたワークフローなどの機能を組み込んでサポートしています。
Aikidoの評価を開始するきっかけとなったのは何ですか?
Aikidoを評価するきっかけとなった大きなインシデントはありませんでした。私たちは常にセキュリティ改善に積極的に取り組んできました。セキュリティ分野のパートナーから、ソリューションをAikidoに統合して非常に満足していると聞きました。そこで私たち自身で調査したところ、すべての資産に対するより良い監視を一元的に実現できることに気づきました。
Aikidoを導入する前は、私たちのツールは特定のプログラミング言語のカバレッジが不足しているか(Dependabotを使用していました)、または問題の一部しか解決していませんでした。実用的なアドバイスの代わりにノイズを生成するものもあれば、十分な投資対効果が得られないものもありました。
「完全なカバレッジ、ノイズの削減、そしてより実用的なインサイトを一箇所で提供してくれるものが必要でした。」
当時、どのような課題に直面していましたか?
合併の際、新しいコードベース、クラウド環境、サードパーティ連携を統合する必要がありました。既存のツールでは、そのペースや範囲に対応しきれませんでした。さらに、顧客ベースの拡大に伴い、コンプライアンス要件も増加しました。管理体制を証明するため、ISO 27001認証の情報セキュリティマネジメントシステムを導入しました。Aikidoは、すべての技術的側面を単一のプラットフォームでカバーしていたため、経営陣、監査人、顧客、見込み客に対してコンプライアンスを実証することを容易にしました。
評価中にAikidoで際立っていた点は何ですか?
評価中に3つの点が際立っていました。単一のインターフェースで、クラウド、プログラミング言語、レジストリにわたる広範なカバレッジ。ノイズではなく、実用的なアドバイスを伴う重要な発見に集中できるよう、前処理された脆弱性。そして、Cレベルのリーダーシップに価値を実証しやすかったレポートおよび監視機能です。
「Trends over Timeレポートにより、進捗状況を経営陣に示し、エンジニアリングチームの成果を強調することが容易になります。」
オンボーディングプロセスはいかがでしたか?
契約から約1ヶ月で、すべてが整いました。当社のCTOが導入を主導したため、チームの他のメンバーからの運用上の労力は最小限で済みました。
Aikidoチームは常に迅速に対応し、賛否を比較検討する必要がある決定については、選択肢を明確に説明してくれました。ほとんどの場合、利用可能なドキュメントを使用して対応できましたが、必要な場合はSlackメッセージ一つでサポートが得られました。
Aikidoはワークフローにどのように統合されましたか?
非常にスムーズでした。当社の製品に技術的な変更は一切必要ありませんでした。ClickUpと統合されているため、新しい高および重大度の問題が当社のセキュリティプロジェクトバックログボードに自動的に表示されます。その後、当社の技術ディレクターが適切なチームにそれらを割り当てることができ、これにより優先順位が明確になり、開発者にとってのノイズが軽減されます。
「SlackとClickUpの連携により、週次のアラートダイジェストからリアルタイムアラートへと移行しました。」
上級管理職やCレベルのリーダーシップとの月次セキュリティ会議では、Aikidoのレポートも活用されています。新規と解決済みの問題を月ごとに追跡できることは、戦略を方向付け、必要な場所にリソースを割り当てるのに役立ちます。
Aikidoを導入してから、どのような具体的な成果が見られましたか?
Aikido は、監査の準備時間を完全に排除しました。現在、どの監査においても、プラットフォームを開いて統合がどのように構成されているかを示すだけで、制御下にあることを即座に保証できます。自動チケット発行は、セキュリティ問題に費やす総時間を削減していませんが、時間の使い方を変革しました。より優れたフィルタリングと優先順位付けにより、開発者は最も重要なことにのみ集中し、リーダーシップは手動レポートを待つことなくリアルタイムの可視性を得られます。
「Aikidoを導入する前は、すべてのセキュリティ情報を収集するのは面倒でした。今では、監視、レポート作成、戦略的意思決定がはるかに簡単になりました。」
AikidoがTellentに与えた影響をどのように要約しますか?
Aikidoは、セキュリティスキャナーの統合、リーダーシップとの連携強化、およびすべてのシステムにおけるより明確な監視を可能にしました。これにより、追加のセキュリティ層が監視しているという安心感を持って、実験し、より迅速に動く自信が得られました。
“Aikidoのおかげで、監視、レポート、アクションをすべて一箇所で行えるようになり、受動的ではなく能動的に対応できるようになりました。”
