やあ、ダーン！Tellentとあなたの役割について教えてください。

私の名前はDaan Goumansです。Tellentで情報セキュリティオフィサー兼ITチームリーダーをしています。入社して約3年半になります。私の主な仕事はリスクマネジメントとセキュリティコントロールの戦略的側面であり、私のチームはメール、社内通信、ユーザーエンドポイントなどのコアビジネスツールの日々のオペレーションを管理しています。 

私たちのエンジニアリングチームは、プロダクトマネージャーを含め、約90-100名で構成されています。私たちは、採用（ATS）、コア人事（HRIS）、パフォーマンス＆グロースツールを1つのシステムに統合したTellentのHRプラットフォームを構築し、維持しています。Tellentの特徴は、必要なものから始め、時間をかけて成長させることができる柔軟性と、200を超える統合と広範なワークフローのカスタマイズです。

「セキュリティとコンプライアンスは、当社の製品戦略の中核をなす柱です。当社の顧客は、機密性の高い雇用と従業員のデータを保護するために当社を信頼しています。"

セキュリティとコンプライアンスは、御社の製品戦略をどのように形作ったのでしょうか？

機密データを扱うということは、厳格なセキュリティおよびコンプライアンス基準を満たす必要があるということです。当社はISO 27001、SOC 2 Type 2の監査を定期的に受けており、戦略の一環として侵入テストを実施しています。また、お客様が独自の要件を満たすことを望んでいるため、役割ベースのアクセス制御、設定可能なデータ保持、自動化されたワークフローなどの機能を組み込み、お客様をサポートしています。

Aikido評価を始めたきっかけは？

Aikido評価するきっかけとなった大きな事件はひとつもなかった。私たちは常にセキュリティの向上に積極的に取り組んできました。あるセキュリティ分野のパートナーから、ソリューションをAikido 統合し、その結果にとても満足していると聞きました。私たち自身もAikidoを検討し、Aikidoがすべての資産を一元管理することで、より優れた監視が可能になることに気づきました。 

Aikido以前は、私たちのツールは特定のプログラミング言語をカバーしていなかったり（私たちはDependabotを使用していました）、問題の一部しか解決していませんでした。あるものは実用的なアドバイスの代わりにノイズを作り出し、またあるものは投資対効果を良くしてくれませんでした。

「フルカバレッジで、ノイズが少なく、より実用的なインサイトを一箇所で得られるものが必要だった」。

当時、どのような問題に直面していましたか？

合併の際、新しいコードベース、クラウド環境、サードパーティの統合を行わなければなりませんでした。既存のツールでは、そのペースや範囲についていけませんでした。その上、顧客ベースが拡大するにつれ、コンプライアンス要件も増えていきました。私たちが管理していることを証明するために、ISO 27001認定の情報セキュリティ管理システムを導入しました。Aikido 、1つのプラットフォームですべての技術的側面をカバーするため、シニア・リーダーシップ、監査人、顧客、および見込み客にコンプライアンスを証明することが容易になりました。

Aikido 審査で目立った点は？

それは、単一のインターフェイスでクラウド、プログラミング言語、レジストリを幅広くカバーしていること、脆弱性が事前に処理されているため、ノイズではなく実用的なアドバイスで重要な発見事項に集中できること、Cレベルのリーダーシップに価値を示すのが簡単なレポート機能と監視機能である。

「トレンド・オーバー・タイム・レポートによって、シニア・リーダーシップに進捗状況を簡単に示すことができ、エンジニアリングの仕事を強調することができます。

入団手続きはどうでしたか？

契約から導入まで約1カ月で完了しました。当社のCTOが実装を主導したため、他のチームの運用努力は最小限で済みました。 

Aikido チームは常に迅速に対応してくれましたし、長所と短所を比較検討する必要がある決定については、選択肢を明確に説明してくれました。私たちは、利用可能なドキュメントを使用してほとんどを管理し、必要な場合には、Slackメッセージでサポートを受けることができました。

Aikido あなたのワークフローにどのように組み込まれていますか？

非常にスムーズでした。当社の製品に技術的な変更は必要ありませんでした。ClickUpと統合されているため、新しい重要度の高い問題やクリティカルな問題が、セキュリティ・プロジェクトのバックログ・ボードに自動的に表示されます。当社のテクニカル・ディレクターは、それらを適切なチームに割り当てることができ、優先順位を明確に保ち、開発者の雑音を減らすことができます。 

「SlackとClickUpの統合により、毎週のアラートダイジェストからリアルタイムのアラートに変わりました。

また、Aikidoレポートは、シニアやCレベルのリーダーシップとの月例セキュリティ会議でも使用しています。毎月、新しい問題と解決された問題を追跡できるため、戦略の舵取りや必要なリソースの配分に役立っています。

Aikido、具体的にどのような成果がありましたか？

Aikido 、監査の準備時間を完全になくしました。今では、どのような監査でも、プラットフォームを開いて、統合がどのように設定されているかを示すだけで、私たちがコントロールできていることを即座に保証してくれます。自動発券は、セキュリティ問題に費やす総時間を削減したわけではありませんが、時間の使い方を変えました。フィルタリングと優先順位付けが改善されたことで、開発者は最も重要なことだけに集中できるようになり、リーダーは手動のレポートを待つ代わりにリアルタイムの可視性を得られるようになりました。

Aikidoする前は、すべてのセキュリティ情報を収集するのは面倒でした。今は、監督、報告、戦略的意思決定がずっとシンプルになりました。"

Aikidoトレントに与えた影響をどう総括しますか？

Aikido おかげで、セキュリティ・スキャナーを統合し、リーダーシップとのコラボレーションを改善し、全システムをより明確に監視できるようになりました。セキュリティの監視レイヤーが増えたことで、私たちは自信を持って実験し、迅速に行動できるようになりました。

Aikido おかげで、監督、報告、行動を一箇所で行うことができ、事後対応型ではなく、事前対応型になることができました」。