Socketは、当初、行動ベースのパッケージ分析分野における先駆者としてその名を知られたソフトウェアセキュリティ企業です。同社は主にソフトウェア構成分析(SCA)ベンダーとして事業を展開しており、オープンソース依存関係分析するとともに、マルウェアの検出、脅威インテリジェンス、ライセンス管理に重点を置いています。
Socketの台頭は、近年相次いで発生しているサプライチェーン攻撃と時期を同じくしており、多くの組織に影響を与えています。同社は、パッケージの挙動分析とマルウェア検出に重点を置いたことで、急速な成長を遂げました。
しかし、検知速度は全体の一部に過ぎません。Socketは脅威を検知してアップグレードを促しますが、パッチが適用されたバージョンが存在しないことも多く、アップグレードによって不具合が生じるノイズ 。また、ノイズ 低減するためにSocketが導入した到達可能性分析も、実際に悪用可能な脆弱性が存在する場所まではノイズ 他のベンダーは、検知能力ではSocketに追いつき、その後のあらゆる面でさらに一歩先を行くようになっています。
これは、既存のお客様やSocketを評価された方々がますます直面している問題であり、それが皆様がこのページをご覧になっている理由です。
要約
Aikido 、Socketに代わる最強の選択肢であり、マルウェア検出や脅威インテリジェンスの面ではSocketと同等の性能を発揮しつつ、到達可能性分析、EOL(サポート終了)依存関係のパッチ適用、デバイスレベルの保護、およびプラットフォームの広さにおいてさらに一歩進んだ機能を提供します。すでにGitHubを利用しているチームや、導入のきっかけを探しているチームには、GitHub Advanced Securityが基本機能をカバーします。 SnykはSocketよりも幅広いアプリケーションセキュリティ(AppSec)のカバー範囲を提供しますが、マルウェアに関してはSocketと同様にCVEに依存した死角を抱えています。Endor LabsSCA のみに焦点を当てておりSCA それを支えるフルスタック環境が必要です。クラウドセキュリティを最優先事項とする場合は、Wizが最適な選択肢となります。
Socketはどのような課題を解決するのでしょうか?
Socketは、SnykやDependabotといった、脆弱性が公開報告された後にしか検出できないCVEベースSCA 広く普及している状況に対し、直接的な解決策として2020年に設立されました。
Socketの根本的な考え方は、CVEが登録される頃には、すでに被害が発生している可能性があるというものです。Socketは、パッケージの動作を監視します。つまり、誰かが公式に危険だと報告するのを待つのではなく、ネットワーク呼び出し、権限の変更、難読化されたコード、インストール時のスクリプトなどを監視するのです。
この行動分析アプローチにより、Socketは、従来のツールでは完全に見逃されていたサプライチェーン攻撃を検知するのに役立つものとなった。
同社はJS、Rust、Pythonのエコシステムをカバーしており、次のような他社と連携してサプライチェーン攻撃を検知することで定評を築いてきました。 Aikido Securityといった他社と連携して、サプライチェーン攻撃を検知することで定評を築いてきました。
Socketは、アプリケーションセキュリティ(AppSec)プラットフォームというよりは、サプライチェーンおよびSCA サプライチェーン認証SCA として位置付けられています。多くのチームが、AppSecソリューションと併用し、追加のセキュリティ層として活用しています。
Socketにはどのような課題がありますか?
1. 根本的な解決策を伴わない検出
Socketは脅威を検出するために設計されています。検出後の対応については、主にユーザーに委ねられています。
Socketには、アップグレードパスを計算して自動的にプルリクエスト(PR)を作成できるCLIツールや、利用可能なアップグレードがない脆弱性向けのパッチ適用機能があります(ただし、この機能に関する公開ドキュメントはほとんどありません)。しかし、どちらも「すべてをアップグレードすべきである」という前提で動作しています。ほとんどのSCA CVEに対してこの反射的な対応をとりますが、これには3つの問題があります:
- 悪意のあるパッケージのほとんどは新しいリリース版に含まれているため、自動アップグレードを行うことは、まさに避けるべき行為です。それは、攻撃者に対して門戸を広く開け放つようなものです。
- アップグレードはすべて互換性を損なう変更を伴います(あるいは、少なくともその可能性があります)。
- 修正済みのバージョンはまだ存在しません。メンテナンス担当者がリリースを公開していないため、多くのCVEが未修正のまま残っており、アップグレードを促すツールは役に立ちません。
最もわかりやすい例は、サポート終了(EOL)依存関係。Socketは、依存関係をサポート終了としてフラグを立て、CVEを登録し、メンテナンスされているバージョンへのアップグレードを推奨します。これは理にかなっているように聞こえますが、もしメンテナンスされているバージョンが実質的に別のライブラリである場合(古くなっている上、他に17ものライブラリがそれに依存しているため)、必要なのは単なるバージョンアップではなく、書き直しとなります。 その間、CVEはフラグが立てられたまま未解決の状態となります。
アップグレードへの衝動は、それに見合うだけのセキュリティ上のメリットをもたらさないまま、無駄な労力を生み出す。
2. リポジトリごとのアラートに関する問題
セキュリティアラートへの対応において、最も苛立たしい点の一つは、同じ問題を何度も処理しなければならないことです。 Socketはリポジトリごと、プルリクエストごとに動作するため、30のリポジトリにまたがる同じ脆弱性のあるパッケージがあると、30件の独立したプルリクエストコメントが発生し、それぞれ個別に注意を払う必要があります。Socketでパッケージを無視するには、個々のプルリクエストコメントスレッドごとにボットコマンドを実行する必要があります。API介してグローバルなトリアージルールは存在しますが、すべてのリポジトリに対して一度に単一の無視決定を適用するためのUIフローはありません。他のベンダー、特に Aikidoなどでは、一度この問題を却下または修正するだけで、その決定がすべての場所に適用されます。
小規模な企業にとっては決定的な変化とはならないかもしれませんが、差し押さえが増えれば増えるほど、実際には実行不可能になっていきます。
3. インストール時の保護には限界がある
Socket Firewallは、パッケージマネージャーの設定レイヤーで動作を遮断し、実質的にパッケージマネージャーをラップして、インストール前にパッケージをチェックします。しかし、このレイヤーは容易に迂回されてしまいます。シェルアクセス権を持つプロセスであれば、AIコーディングエージェントを含め、単一のCLIフラグを設定するだけでこれを無効化できてしまいます。
ちなみに、これはSocket固有の欠陥というわけではなく、実際にはこのレイヤーで検証を行うあらゆるツールに共通する制限なのです。
2026年5月、 話題になった投稿 AIコーディングエージェントが、自ら使用したことを積極的に告知している様子が示された pnpm install --config.minimumReleaseAge=0 パッケージの最低使用期間ポリシーを回避するためです。エージェントは「親切心」から、必要な依存関係からのロックを解除していたのです。これが、ネットワークレベルではなく設定レイヤーでリリースの最低使用期間を強制する際の大きな問題点です。
より根本的な問題は、セキュリティチームがEDRや企業のプロキシがこの課題を解決していると 誤解しがちだということだ。しかし、実際にはそうではない。その理由は以下の通りである :
• EDRは不審なプロセスの動作を監視しますが、サプライチェーンマルウェアは信頼されたランタイム環境内で動作し、そのランタイムが日常的に行っているのと同じ動作をします。システムコールは正当な活動と見分けがつきません。EDRには、これらを区別するための文脈情報がありません。
• プロキシは、自身を経由する通信のみを捕捉します。npm、pip、cargoには独自のHTTPクライアントが搭載されており、システムのプロキシ設定を無視します。開発者が自宅のマシンから午後11時に悪意のある拡張機能をインストールする場合、プロキシは機能していません。
保障の空白
コンテナのスキャン:
Socketにはコンテナのスキャン機能がなく、これが死角となっています。ベースイメージには時間の経過とともにCVEが蓄積されます。つまり、アプリケーションコードの下層にあるOSパッケージ、ランタイム、システムライブラリにCVEが蓄積されるのですが、Socketではこれらを把握することができません。イメージを固定すると既存のCVEに縛られることになり、一方、:latestを使用すると次にリリースされるものにさらされることになります。どちらの選択肢も、実際には十分な保護にはなりません。
実行時保護:
Socketの保護機能はインストール時に終了します。そのため、何かがすり抜けてしまったり、正当なパッケージが事後に改ざんされたりした場合、そのコードが実行時に何を行うかを監視する仕組みはありません。
ライセンス検出の信頼性:
Socketは静的なパターンマッチングによってライセンスを識別します。これは標準的なケースでは機能しますが、独自の条件や特殊な表現、プロプライエタリなライセンス、あるいはバージョン間でライセンスが変更されるパッケージに対しては機能しません。また、そのライセンス検出は主にJavaScriptに焦点を当てているため、他のエコシステムへの対応範囲は限られています。要するに、検出されるべきものをすべて検出できるわけではなく、検出されたものの中にも多数の誤検出が含まれている可能性が高いのです。
SAST、DAST、IaC、またはクラウドセキュリティは含まれません:
SCA以外にも、Socketでは、自社のコードの脆弱性をチェックしたり、実行中のアプリケーションの弱点をテストしたり、インフラストラクチャの設定ファイルを確認したり、クラウド環境のセキュリティが確保されているかを確認したりすることはできません。これは、複雑さとコストの増加(つまりツールスプロール」)を意味します。しかし、それ以上に大きな影響があることもわかっています。Aikido「2026年 セキュリティおよび開発におけるAIの現状」レポートによると、セキュリティツールのスタックがより大規模なチームほど、セキュリティインシデントの発生頻度が高いことが明らかになっています。
トップクラスのソケット代替品
1. Aikido Security
実際の攻撃をこれほど間近で体験できるセキュリティチームはほとんどない Aikidoの研究チームほど、実際の攻撃に密接に関わっているチームはほとんどありません。チャーリー・エリクセン、 Aikidoの主任セキュリティ研究員であるチャーリー・エリクセンは、Shai-Huludキャンペーン中に、週間ダウンロード数150万件を超えるパッケージを含む400以上の感染したnpmパッケージのリストを検証し、公開した。2026年5月にLaravel-langのサプライチェーン攻撃が発生した際、 Aikido がこれを最初に検知し、GitHubにイシューを報告し、Packagistから悪意のあるバージョンを削除させた。同チームの活動は、KrebsOnSecurityをはじめとする主要なセキュリティメディアで頻繁に引用されている。そして、 Aikido とマルウェア研究は密接に結びついており、エリクセンが追跡していたある脅威アクターは、彼に見つけてもらうためにマルウェアのソースコードにメモを残すことさえありました。
この研究を支えているのが「 Aikido 」です。これは12以上のエコシステムを網羅するリアルタイムの脅威フィードであり、公開されている脆弱性 情報が掲載される前に、1日あたり数百もの悪意のあるパッケージを検知します。Safe Chain、 Aikidoが提供する無料のオープンソース・インストール時保護機能「Safe Chain」は、インストールされるすべてのパッケージをこのフィードと照合し、脅威がシステムに侵入する前に阻止します。
Socket Firewallがパッケージマネージャーの設定レイヤーで保護を行うのに対し、Aikido ProtectionはMDMを介してカーネルレベルで保護を行います。これにより、パッケージのインストール、IDE拡張機能、ブラウザプラグイン、さらにはCursor、Windsurf、GitHub CopilotなどのAIツールが、開発者のマシンに到達する前にブロックされます。万が一、これを通過してしまったものに対しては、 Zen - Aikidoのオープンソースランタイムファイアウォールが、デプロイ後のコードの実際の動作を監視します。
一方、 Aikido は、アップグレードの問題に対して全く異なるアプローチをとっています。アップグレードを促すのではなく、新しいバージョンからのセキュリティ修正を継続的にバックポートし、新しいリリースを48時間保留にし、クリーンなロックファイルを毎日のマージリクエストとして配信することで、固定したバージョンをクリーンな状態に保ちます。 CVEの報告からクリーンなビルドまで約30分。つまり、バージョンアップや回帰テスト、互換性を損なう変更は一切発生しません。
サポート終了(EOL)依存関係 、まったくアップグレードできない依存関係 、 Aikido は、パッチ適用済みのドロップイン置換ライブラリでそのギャップを埋めます。Socketはサポート終了した依存関係フラグ付けしますが、 Aikido は実際にそれらにパッチを適用します。
これらすべてを通じて、 Aikido はプラットフォームレベルで重複排除を行います。50のリポジトリ脆弱性 、UIを通じて1つの決定がすべての場所に適用されます。SocketAPI介してグローバルなトリアージルールを提供していますが、それには意図的な設定が必要であり、多くのエンジニアリングチームが日常的に使用するネイティブなワークフローとは異なります。
Aikido がSocketよりも優れている点は、オープンソースライセンスのリスクが、パターンマッチングではなく、ルール、AI分析、および法的検証を通じて処理されることです。SBOM、Vexステートメント、およびプロヴェナンスはネイティブにサポートされており、EPSSや到達可能性データによってさらに充実しています。SAST、DAST、IaC、およびクラウドポスチャー管理により、セキュリティ態勢の明確な全体像が把握でき、チームははるかに広範なコンテキストを把握できるようになります。
最適な対象: 複数の専門ツールを並行して運用する手間をかけずに、最高レベルのサプライチェーンセキュリティを実現したいエンジニアリングチーム。
{{cta}}
2. Snyk
Snykは10年以上前から開発者のセキュリティに注力することでその名声を築いてきました。しかし、より大規模な企業への事業拡大を志向して以来、数多くの技術的課題に直面しています。
SnykとSocketの共通点はSCA (ソフトウェア構成分析)でありSCA どちらもオープンソース依存関係 スキャンを行います。 しかし、そのアプローチは異なります。Socketは動作ベースのアプローチを採用しており、CVEが登録される前に悪意のあるパッケージを検出することを目指しています。一方、SnykのSCA 、公開データベースに登録されている既知の脆弱性を検出します。つまり、Snykは(他の多くのレガシーベンダーと同様に)、まだ報告されていない悪意のあるパッケージに対しては検知できないという盲点があります。
Snykはまた、当初は特定の分野に特化して開発されたツールが、その後大企業への展開を目指す過程で生じがちな、典型的なスケーリングの問題を抱えています。その結果、UIや統合、導入プロセスが複雑化しているほか、SBOM 、コンテナスキャン、カスタムロール、CI/CD といった、一部のユーザーが製品への初期投資に含まれるべきだと考えるアドオンや上位機能も別途提供されています。SAST 誤検知率SAST 、またリポジトリごとのアラートモデルを採用しているため、Socketと同様のノイズ を引き起こしています。
どこ Aikido が Snyk と Socket の両方を上回っている点は、Socket と同等のマルウェアの挙動検知機能を備えつつ、Snyk が提供する AppSec の全領域(SAST、SCA、IaC、コンテナスキャン)をカバーしていることです。しかも、ノイズ 価格体系の複雑さはありません。また、Snyk や Socket依存関係 フラグを依存関係 EOL依存関係 パッチ適用するための ELS も備えています。 また、Latio TechのJames Berthoty氏による独立した調査によると、 Aikido は、SCA においてSnykよりも誤検知が85%少なく、さらに高度な到達可能性分析機能も備えています。
こんなチームに最適: Snykのエコシステムにすでに深く組み込まれており、統合の準備が整っておらず、サプライチェーンのマルウェア検出用に別のツールを導入しているチーム。
3. GitHub Advanced Security
すでにGitHubで開発を行っているチームにとって、「Advanced Security」は初心者向けの最適な選択肢です。この機能はプラットフォームにネイティブに組み込まれているため、追加のサーバーや統合作業、UIの習得は必要ありません。コードスキャン、シークレットの検出、Dependabotによる依存関係のレビュー機能が標準で備わっているため、開発を始めるのに最適な出発点となります。
特にSocketとの比較において、GHASはマルウェア検出のレイヤーでは全く競合しません。DependabotはCVEベースのツールであり、依存関係 既知の脆弱性を検出してアップグレードのプルリクエストを自動依存関係 動作分析やインストール時の検知機能はなく依存関係 公に報告されていない悪意のあるパッケージを検知することもできません。GHASを主要なSCA として使用しているチームは、まさにこの理由から、Socketのような別のツールをその上に追加する必要が頻繁にあります。
より大きな課題は、その対象範囲の狭さです。GHASはGitHub内に存在するリソースのみをスキャンします。GitLabを利用しているユーザーや、コンテナ、IaC、クラウド、ランタイム、開発者向けデバイスなどを網羅したいユーザーにとっては、対応範囲外となります。Dependabotはリポジトリごとにプルリクエスト(PR)を開きますが、リポジトリ間の重複排除は行われないため、アラート疲れ 」を引き起こします。しかし、Socketノイズ正当化できるマルウェア検出機能は備えていません。
Aikido は、GitHub Advanced Security(GHAS)が提供するすべての機能(コードスキャン、シークレット、依存関係レビュー)を網羅しているだけでなく、GHASにはない行動ベースのマルウェア検出機能に加え、コンテナ、IaC、クラウドポスチャー、ランタイム保護、デバイスレベルの強制適用機能も備えています。リポジトリ横断的な重複排除により、Dependabotの「リポジトリごとのプルリクエスト」モデルとは異なり、一度の決定がすべての場所に適用されます。GHASの機能では不十分になり、マルウェア対策の不足を補うためにSocketを検討しているチームにとって、 Aikido は、これら両方の機能を単一のプラットフォームで提供します。
最適な対象: セキュリティのベースラインを迅速に確立したいGitHubネイティブのチーム。共通の出発点としては適していますが、Socketの代替となるものではなく、本格的なアプリケーションセキュリティ(AppSec)プラットフォームの代わりにはなりません。ましてや、ソフトウェアセキュリティプラットフォームの代わりになるものではありません。
4. Wiz
Wizは主にクラウドセキュリティプラットフォームであり、CSPM、コンテナセキュリティ、クラウドワークロード保護に重点を置いています。同社のサプライチェーン関連サービスは、エージェントレスSBOM 、コンテナおよびVMイメージのスキャン、IaCスキャン、リポジトリやCI/CD SCA (ソフトウェアコンポーネント分析)を通じて、その可視性をソフトウェア層にまで拡大します。また、SAST 競争力を高めるため「Wiz Code」をリリースしていますが、SAST 比べると機能は限定的です。 さらに、エージェントレススキャンとランタイム行動分析を組み合わせることで、クラウドワークロード向けのマルウェア検出機能も備えています。
WizとSocketは、スタックの異なるレイヤーで機能します。Wizは、クラウドワークロード上で何かが実行された後に、マルウェアを検出します。一方、Socketは、悪意のあるパッケージがシステムに導入される前のインストール時に検出します。これらは同じ問題に対する異なるレイヤーであり、互いの領域をカバーするものではありません。 クラウドセキュリティのために Wiz を運用しているチームであっても、開発者のマシンに何がインストールされているかについては依然として可視性がなく、npm や PyPI からの悪意のあるパッケージのインストール時の遮断も、EOL 依存関係のパッチ適用も行われていません。
Aikido は、インストール時のインターセプト、デバイスレベルの強制、実行時の保護、クラウドのポスチャー管理という一連のプロセスをすべて一元的にカバーします。Socketが監視するレイヤー、Wizが監視するレイヤー、そしてその間のあらゆる要素を網羅しています。
最適な対象: クラウドセキュリティに重点を置き、サプライチェーンへの可視性を限定的に維持したい組織。クラウドワークロードにおけるマルウェア検出に強みがありますが、インストール時のサプライチェーン保護や、包括的なソフトウェアセキュリティプラットフォームの代わりにはなりません。
5. エンドール・ラボ
Endor Labsは、SCA の分野において、Socketに代わる技術的に最も信頼性の高い専門企業です。同社の到達可能性分析は、アプリケーションが依存関係どのように利用しているかを踏まえ、実際に悪用可能な脆弱性がどれかを特定することを目的としています。実際、Socketはこの機能を得るためにCoanaを買収しました。それにもかかわらず、Endorは依存関係のライフサイクル管理においてさらに一歩進んでおり、オープンソースパッケージの健全性、メンテナンス状況、リスクプロファイルを長期的に追跡しています。
しかし、到達可能性分析は実際にはどのような範囲をカバーしているのでしょうか?EndorとSocketの両方が採用している「事前計算された到達可能性」というアプローチは、オープンソースパッケージ自体に対して事前に分析を実行することで機能します。これにより、例えばlodashを使用している場合、lodashが依存している特定の他のパッケージは確実に使用していないことがわかります。つまり、スキャン依存関係 、無関係な依存関係 排除できるのです。これは実に有用です。 しかし、この手法では、コードが実際にlodash内部の特定の脆弱な関数を呼び出しているかどうかは判別できません。そして、悪用可能な脆弱性のほとんどは、まさにその部分(つまり、推移的な依存関係ではなく、直接的な依存関係)に存在しているのです。
また、Endorには、インストール時の動作ベースのマルウェア検出機能、デバイスレベルの保護機能、ランタイムファイアウォール、CSPM EOLパッチCSPM 備わっていません。Endorを選択するチームは、SCA に専念SCA その他の機能については独自のスタックを構築する必要があることを承知の上で選択しています。
Aikidoの到達可能性解析は、Endor や Socket の Coana が採用している事前計算アプローチよりも一歩進んだものです。事前計算された到達可能性は、無関係な依存関係排除しますが、コードが実際に脆弱な関数を直接的な依存関係の中で呼び出しているかどうかまでは判断できません。 Aikido は、その第二段階をカバーします。そここそが、悪用可能な脆弱性の大部分が存在する場所であり、真のノイズ 実現される場所なのです。
エンドアとソケットのどちらも、修正すべき箇所を指摘し、アップグレードの判断はユーザーに委ねているのに対し、 Aikido は、固定したバージョンをクリーンな状態に保ちます。チームが依存関係に触れることなく、脆弱性 修正脆弱性 。Endorの到達範囲の広さとSocketのマルウェア検出の速さのどちらを選ぶか迷っているチームにとって、 Aikido は両方の長所を兼ね備え、到達可能性の面ではどちらよりも深く掘り下げ、どちらにも解決されていないアップグレードの問題を解消します。
次のような場合に最適です: 到達可能性と依存関係のライフサイクル管理を最優先事項とし、マルウェア検出や実行時保護のためのツールを既に別途導入済みで、設定の複雑さや投資コストを許容できるチーム 。
Socketは、サプライチェーンマルウェアに特化しています。同社は検知速度に重点を置いていますが、多くのチームにとっての課題は、検知後に実際に問題を解決する上で、この製品が十分な機能を備えているかどうかという点です。
よくある質問
Socketはコンテナスキャンを行いますか?いいえ。Socketは、コンテナのベースイメージ、OSレベルのパッケージ、またはランタイムシステムライブラリを可視化することはできません。サプライチェーン保護に加えてコンテナスキャンを必要とするチームは、別のツール、または Aikido のような、両方をネイティブにカバーするプラットフォームが必要です。
Aikido とSocketの脅威フィードにはどのような違いがありますか?どちらもサプライチェーンの脅威インテリジェンスを提供していますが、Socketの公開脅威フィードにはマルウェアのシグナルが含まれておらず、これはSocket自身のドキュメントでも確認されています。 Aikido には専用のマルウェアタブがあり、一般公開されている脆弱性 に掲載される前に、1日あたり数百件の悪意あるパッケージを検知しており、 Aikidoのセキュリティチームによる独自の調査に基づいています。
AIコーディングエージェントはSocket Firewallを迂回できるか?はい。Socket Firewallはパッケージマネージャーの設定レイヤーで適用されるため、AIコーディングエージェントを含め、シェルアクセス権を持つプロセスであれば、単一のCLIフラグでこれを上書きすることができます。2026年5月、ある投稿が話題となり、AIコーディングエージェントがまさにこの手法を用いて、パッケージの最低保持期間ポリシーを迂回し、必要な依存関係をブロック解除している様子が示されました。 Aikido デバイス保護は、MDMを介してカーネルレベルで適用されるため、どのAIエージェントのプロセス空間の外側で機能します。
Socketはライセンスのコンプライアンス対応を行っていますか?Socketは静的なパターンマッチングによってライセンスを識別しますが、これは標準的なライセンスには有効ですが、独自の条件やプロプライエタリなライセンス、あるいはバージョンごとにライセンスが変更されるパッケージなどでは機能しません。 Aikido は、ルール、AI分析、法的検証を組み合わせた多層的なアプローチを採用し、プルリクエスト(PR)作成時にチェックを行うことで、マージされる前にライセンス違反を検知します。詳細については、こちらのブログ記事で解説しています。
Socketは包括的なアプリケーションセキュリティ(AppSec)プラットフォームなのでしょうか?いいえ。SocketはサプライチェーンSCA 位置付けられています。SAST、DAST、IaCスキャン、クラウドポスチャー管理、ランタイム保護の機能は備えていません。より広範なAppSec対策が必要なチームは、Socketを他のツールと併用することになりますが、それによりコストや複雑さが増すだけでなく、各ツールの間にセキュリティ上の隙間が生じやすくなります。
