インターコムのセキュリティ:InfoSecチームがお客様のデータと信頼をどのように保護するか
公開: 2022-05-06インターコムでは、お客様とそのお客様に可能な限り最も安全で最も安全な体験を提供する方法について深く考えています。
SaaSビジネスとして、Intercomはデータプロセッサです。お客様はデータを私たちに委託し、私たちはデータを保存して処理します。 当初から、顧客データはインターコムの最も重要な資産の1つであると考えており、製品とインフラストラクチャの強力な内部セキュリティ基盤を構築することにより、顧客データの保護に注力してきました。
規模を拡大するにつれ、より複雑なニーズと仕様を持つ大規模なミッドマーケットおよびエンタープライズのお客様と協力しています。 私たちは、お客様の信頼と製品への愛情を守るために、最高水準のセキュリティを満たすことに取り組んでいます。 私たちはそれを次のように行います:
- 業界のセキュリティおよびプライバシーISO標準またはSOC2などのフレームワークへの準拠を通じて信頼に投資する
- 迅速かつ安全に発送
- 継続的なリスク管理
- 情報セキュリティチームで素晴らしい人材を採用し、育成する
お客様の信頼を守るために多額の投資を行う
インターコム情報セキュリティ(InfoSec)チームの使命は、顧客の信頼を育み、保護することです。また、最高評価のセキュリティリスクを認識して軽減しながら、インターコムの俊敏性を維持する方法について多くのことを考えています。
チームの任務は次のとおりです。セキュリティと悪用。 ガバナンスのリスクとコンプライアンス。 とIT。 各領域は個別の作業プログラムによって定義され、1つ以上の特定のチームによってサポートされます。 これらのチーム間の重複と相乗効果は、自動化を使用して、無駄を省きながら大規模な問題を効率的に解決できることを意味します。
「 SOC2タイプIIとHIPAAの認証レポート、およびISO27001認定によって証明されるように、インターコムに対するお客様の信頼を促進および保護するために、強力なセキュリティ保証に多額の投資を行ってきました。 」
私たちは、製品としてだけでなく、企業としても、 SOC2タイプIIとHIPAAの認証レポート、およびISO27001認定によって証明されるように、お客様のインターコムに対する信頼を促進および保護するために、強力なセキュリティ保証に多額の投資を行ってきました。
迅速かつ安全に発送
インターコムの成功は、堅牢で効率的で安全なビジネスプロセスの実装を迅速に進めることができるかどうかにかかっています。 InfoSecチームのメンバーは、スキルを活用してバランスの取れたセキュリティリスク管理の意思決定を行うことにより、ゲートではなくガードレールを実装します。
「構築する必要のあるガードレールを理解するということは、インターコム全体で意味のある変化を綿密に追跡し、新しいイニシアチブを確実に把握することを意味します」
構築する必要のあるガードレールを理解するということは、インターコム全体で意味のある変化を綿密に追跡し、新しいイニシアチブを確実に把握することを意味します。 ほとんどのSaaS企業では、R&Dは最も革新的な組織であるため、潜在的にリスクの高い変更を最高レベルで導入します。
インターホンも例外ではありません。 「出荷は私たちの鼓動です」は当初からIntercomR&D組織のモットーであり、エンジニアは1日に数十回顧客向けの本番アプリにコードを出荷します。 ここで製品が生まれ、開発され、インターネットや特にWebセキュリティの脅威に対する企業の露出が変化します。
「R&D組織に組み込まれているということは、IntercomのInfoSecチームがこのリスクに近づき、企業全体の可視性と影響力を維持していることを意味します」
このレベルの速度は、お客様とエンジニアの両方にとって喜ばしいことですが、危険な変更の可能性をもたらします。 そのため、IntercomのInfoSecチームをR&D組織に組み込み、CTOに直接報告します。つまり、全社的な可視性と影響力を維持しながら、このリスクに近づきます。
エンジニアとテクニカルプログラムマネージャー(TPM)として、私たちのチームは、エンジニアの迅速な移動能力を維持するプロセスとセキュリティ制御を設計することにより、リスクをより効率的に軽減できます。セキュリティを製品と文化に内部から効果的に組み込むことができます。
リスク管理の継続的なプロセスを通じてセキュリティプログラムを進化させる
インターコムのセキュリティエンジニアリングプログラムは、研究開発が最も重要なビジネス活動の1つである、安全な製品を迅速、早期、そして頻繁に出荷することを支援するように設計されています。 これは、インシデント管理と脅威の検出、 Railsモノリスの安全なデフォルトに基づいて構築することによる脆弱性のクラスの根絶、および役割ベースのセキュリティ教育に焦点を当てた2つのチームによってサポートされています。
「インターコムのセキュリティへのアプローチは基本的にリスクベースであり、進化するために継続的な内部セキュリティリスク管理プロセスに大きく依存しています」
一部のセキュリティプログラムは、ロードマップを導くために主にコンプライアンスフレームワークに依存していますが、セキュリティに対するインターコムのアプローチは基本的にリスクベースであり、進化するために継続的な内部セキュリティリスク管理プロセスに大きく依存しています。
攻撃対象領域の監視、年2回の侵入テスト、そして最も重要なこととして、 Intercomの公開バグ報奨金プログラムなどの外部リスク評価活動により、セキュリティ管理の有効性が継続的かつ独立して検証されます。 このようなすべての管理と活動は、営業チームの取引を通知するための顧客対応のセキュリティ保証を構築および提供するためのコンプライアンスプログラムの強力な基盤を提供します。
そのすべてが私たちに自信を与えますが、私たちの会社の価値観で述べられているように、私たちは謙虚なままです。 人、プロセス、およびツールはそれぞれ、ある程度の複雑さをもたらします。常に100%のセキュリティを保証し、したがってセキュリティインシデントをゼロにすることは非現実的です。
「インターコムの全員が、セキュリティを日常の意思決定に織り込む責任があります」
インターコムでは、インシデントが発生し、それらに備え、問題が発生したときに、既存の制御とプロセスをテストおよび最適化する機会を受け入れることを期待しています。 私たちのチームは、私たちだけでは成功できないことを知っています。 堅牢なセキュリティプログラムを推進する責任がある一方で、インターコムの高速で安全な移動能力を保護するために、会社全体の人々を教育し、可能にし、権限を与えます。 インターコムの全員が、セキュリティを日常の意思決定に織り込む責任があります。
ほとんどのインターネット向けWebプロパティと同様に、 2021年12月にlog4jインシデントに見舞われました。これは、効率的に封じ込めて軽減することができました。 インシデントレビューを実施し、重要な教訓を引き出し、セキュリティインシデント対応プロセスを改善し、内部サプライチェーン関連のセキュリティ管理を改善する機会を得ました。
インターコムの人材を育成することで、InfoSecのスキル不足を克服
インターコムのR&D組織の一員であることには、他の利点もあります。 私たちは皆、InfoSec業界のスキル不足について聞いたことがあります。 テクノロジー業界は常にユニコーンのシニア10x開発者を探しており、InfoSecも例外ではありません。
「インターコム全体を保護するには、製品、その基盤となるインフラストラクチャ、およびお客様がインターコムをどのように使用または誤用しているかを理解することが重要です。」
インターコムのInfoSecチームは、常に優れた専門家を探していますが、早い段階で内部移転に投資するという代替アプローチを採用しています。 インターコム全体を保護するには、製品、その基盤となるインフラストラクチャ、およびお客様がインターコムをどのように使用または誤用しているかを理解することが重要です。 その結果、チームは、製品、システム、ITエンジニア、およびセキュリティへの適用方法を学ぶことができるインターコムに関する幅広い知識を備えたセキュリティおよびコンプライアンスTPMを社内で選択し、オンボーディングするアプローチを採用しました。
経験豊富なInfoSecリーダーとマネージャーの助けを借りて、Intercomの内部転送は、彼らの専門知識と成長の考え方を活用して、しばしば困難なInfoSec学習曲線をナビゲートします。 その結果、新しいチームメンバーは、他家受粉と以前のチームとの強力な関係を通じて、影響力をすばやく高めます。
進化するセキュリティ環境
顧客とのコミュニケーションの未来を築き、インターコムチームを成長させ、ますます大規模な顧客を獲得するにつれて、インターコムのリスク許容度と脅威の状況は進化し続けています。 ここ数か月で、デバイス信頼インフラストラクチャを展開して、Intercomradesの主要システムへのアクセスをさらに保護し、製品内にセキュリティとプライバシーのビルディングブロックを構築して、堅牢な顧客データライフサイクルを実現する取り組みを強化しました。
今後さらに多くの課題があります。 インターコムが大きな夢を持ち、顧客により多くの価値を提供するにつれて、InfoSecチームは、インターコムがデータを保存、処理、および管理する方法に対する顧客の信頼を育み、保護し続けるよう努めます。