ブログへようこそ

開発チームに大きな負担を強いることなくコンプライアンスに対応する方法

ISO 27001およびSOC 2への準拠を達成することは、特に技術的な脆弱性管理に関しては、困難な作業になる可能性があります。しかし、適切なツールとサポートがあれば、その必要はありません。このブログポストでは、Aikido VantaがSOC 2コンプライアンスの技術的側面にどのように取り組むことができるかについて説明します。

SOC 2のための技術的脆弱性管理要件のカバー

SOC 2への準拠を達成するために、企業は技術的な脆弱性管理対策を実施する必要がある。これには、コードベースとインフラの脆弱性を特定し、優先順位を付け、対処することが含まれる。これらの要件を満たし、システムの安全性を確保するためには、一連のステップに従い、プロセスを実施する必要がある：

1. リスクアセスメントの実施
   最初のステップは、コードベースとインフラのリスクアセスメントを実施し、潜在的な脆弱性を特定することです。これには、システムを分析し、攻撃者に悪用される可能性のある潜在的な弱点を特定することが含まれます。
2. 脆弱性の優先順位付け
   潜在的な脆弱性を特定したら、その深刻度とシステムに対する潜在的な影響に基づいて優先順位を付ける必要があります。こうすることで、最も重要な脆弱性から対応することに労力を集中することができます。
3. 脆弱性への対処
   次のステップは、特定された脆弱性への対処です。これには、パッチの実装、ソフトウェアのアップグレード、システムの設定変更などが含まれます。
4. 有効性のテスト
   脆弱性に対処した後は、実施した修正の有効性をテストすることが不可欠です。これには、侵入テストやその他のセキュリティテストを実施し、システムが安全であることを確認することが含まれます。しかし、ペンテストはSOC 2のハード要件ではありません。
5. 継続的な監視
   最後に、潜在的な脆弱性や脅威について、システムを継続的に監視することが不可欠です。これには、コードベースとインフラを定期的にスキャンして、潜在的な脆弱性とリスクをチェックする脆弱性管理プログラムを導入することが必要です。

これらのステップに従うことで、企業はSOC 2準拠のための技術的脆弱性管理要件を確実に満たし、データとインフラを保護する安全なシステムを導入することができる。

Aikidoプロセスを自動化

コンプライアンスに準拠するためには、プロセスを手動で実施するか、Aikidoような脆弱性管理プラットフォームを使用することができます。そのプロセスと自動化の方法について説明する。

1.リスクアセスメントの実施

お客様のコードとクラウドインフラにプラグインすることで、Aikido 自動的にリスク評価を実施します。システムを徹底的に分析し、攻撃者に悪用される可能性のある潜在的な脆弱性を特定します。Aikido エージェントレスなので、30秒で全容を把握することができます。高価なソフトウェアのインストールや、無料のオープンソースツールの設定やメンテナンスに何時間も費やす必要はもうありません。

2.脆弱性の優先順位付け

リスク評価が完了すると、Aikido 脆弱性に優先順位を付けます。システムに存在するすべての脆弱性の長いリストであなたを圧倒する代わりに。脆弱性は重複排除され、自動分類されるため、本当に重要で悪用可能な脆弱性だけが表示されます。こうすることで、まず最も重要な脆弱性の対策に集中することができます。

3.脆弱性への対応

脆弱性への対応は手作業になりがちだが、Aikido なら簡単だ。自動修正などの機能により、ワンクリックでPRを行うことができる。さらに、Aikido 既に使用しているツールと完全に統合されている。それがパッチの実装であれ、ソフトウェアのアップグレードであれ、設定の変更であれ。

4.有効性のテスト

実施した修正の有効性を確認するために、ペンテストを実施することをお勧めします。 こうすることで、セキュリティ対策の有効性を検証し、潜在的な攻撃に対するシステムの堅牢性を確保することができます。ただし、SOC 2の場合、これは必須ではありません。Aikido 通常、 シフト・レフト・セキュリティと提携していますが、お好きなコンサルタントを自由に選ぶことができます。

5.継続的モニタリング

さらに、Aikido 、安全なシステムを維持するために重要な継続的な監視を支援します。Aikido 、お客様の環境を24時間ごとにスキャンし、新たな脆弱性やリスクを検出します。システムを継続的に監視することで、新たな脆弱性や脅威を特定し、積極的に対処することができます。

Aikido利用することで、リスク評価から脆弱性の優先順位付け、脆弱性への対処、有効性のテスト、継続的な監視まで、脆弱性管理の全プロセスを自動化することができます。Aikido機能を活用することで、企業はSOC2準拠のための脆弱性管理の技術的要件を満たし、データとインフラを保護する安全な環境を確立することができます。

Aikido Vantaを統合することで、時間と費用が節約できる理由

フォローアップのための手作業が不要に

Aikido 、技術的な脆弱性管理を自動操縦にします。このプラットフォームは、バックグラウンドで継続的にお客様のセキュリティ態勢を監視します。実際に重要な時だけ通知されます。その上、16のVantaテストを自動化し、5つのVantaコントロールの合格を支援します。

偽陽性のトリアージに無駄な時間を費やす必要がなくなる

大半のセキュリティ・プラットフォームは、特定されたすべての脆弱性を無差別にVantaに送信します。これは、多数の偽陽性をふるいにかけなくてはならないため、大幅な時間の浪費となる。例えば、他のセキュリティ・ツールを使用した場合、発見された脆弱性はすべてVantaに送信されるため、その選別に多くの時間を費やすことになる。一方、Aikido 、有用なフィルターとして機能する自動三分割エンジンを構築しており、貴重な時間を節約することができる。

高価なライセンスの無駄遣いがなくなる

セキュリティ業界は、複雑すぎる略奪的な価格設定モデルに悩まされている。ユーザー・ベースの価格設定を採用する企業もあるが、これは開発者がアカウントを共有することを促し、結果的にセキュリティを損なうことになる。また、コードラインベースの価格設定モデルを採用する企業もありますが、これはすぐに高額になります。しかし合気道は、これらのアプローチを否定し、その代わりに組織ごとのわかりやすい固定料金制を採用しています。Aikido、月額わずか249ユーロから始めることができます。当社のモデルを選択することで、競合他社と比較して約50％のコスト削減が期待できます。

バンタ、パズルの不可欠なピース

SOC 2を実施するには、技術的な脆弱性管理以上のことが必要です。一般的で全体的なセキュリティ・コンプライアンス・ソフトウェア・ソリューションが必要です。Vantaのようなプラットフォームは、SOC 2の複雑で時間のかかるプロセスの90%を自動化します。その上、Aikidoシームレスに統合します。技術的な脆弱性管理のあらゆる側面をシンプルにします。

なぜ待つのか？今すぐAikido 無料でお試しください（オンボーディングは30秒で完了します）。

Aikido Autofix Pull Requestから直接このページにたどり着き、PRを完成させる方法だけを知りたい場合は、「実装方法」まで読み飛ばしてください。

JavaScriptエコシステムには問題があり、それはプロトタイプ汚染と呼ばれている。JavaScript/npmを使って構築しているSaaS企業では、依存関係から検出される既知の脆弱性（CVE）のうち、通常最大20～30％がプロトタイプ汚染によるものだ。これらは通常、悪用するのは簡単ではないが、ひどい場合にはリモートコード実行の欠陥につながる可能性がある。つまり、完全に無視することは難しいのだ。

試作品の汚染を防ぐ2つの方法

Node.jsには、-frozen-intrinsicsと呼ばれるフラグの下でデフォルトでプロトタイプをフリーズする実験的なサポートがある。このフラグを有効にすると、プロトタイプ汚染攻撃はすべて無効になる。しかし、これは実験的なものであり、フロントエンドのコードベースでは動作しないため、まだ推奨できない。そのため、フロントエンドとバックエンドで同じ保護を構築することができません。

代替案はnopp（No Prototype Pollution）で、プロトタイプ（と他のいくつかのエントリーポイント）をフリーズさせる14行のライブラリである。

実施方法

1.ライブラリのインポート

noppをインストールしたら、あとはアプリを起動するスクリプトにアクセスするだけだ。そこで、他のライブラリーを全てrequireした後に、ライブラリーをrequireするだけだ。以下のコミット例：

2.プロトタイプ操作に依存するライブラリのアプリ全体の安全性チェック

他のライブラリを含めた後にプロトタイプをフリーズさせる理由は、他のライブラリの中には、動作するためにプロトタイプを変更することに依存しているものがあるかもしれないからです！他のライブラリを追加した後でプロトタイプをフリーズさせたとしても、アプリが再び動作するまでにリファクタリングが必要になる可能性があります！

例えば、Amazonのaws-sdk for Node.jsは、"new AWS.S3(...) "のようなオブジェクトを作成する際にプロトタイプを変更する。このような場合、Node.jsのプロセスが起動したときにオブジェクトが作成されるようにし、後のフェーズではオブジェクトが作成されないように、以下のようにリファクタリングする必要があるかもしれません。

この変更後もアプリが動作することを確認するのは、テスト・カバレッジが低い大規模リポジトリにとっては、より大きな時間投資となるかもしれない。小規模なリポジトリでは、プロトタイプの汚染に再び対処する必要がなくなるため、それだけの価値はあるだろう。大規模なリポジトリでは、この作業はより複雑になるかもしれないが、エンジニアリングへの投資は長期的にはプラスのROIをもたらすだろう。

過去のSaaS企業から学んだこと

典型的なSaaSスタートアップでは、開発チームは新機能を提供しなければならないという重圧にさらされている。通常、資金力のある競合他社が存在し、営業チームは契約をまとめるために最後の機能を要求し、カスタマーサポートチームはバグ修正を要求する。大企業の顧客から要求されるか、役員会から押し付けられない限り、セキュリティを優先するのは難しいかもしれない。

たいていのスタートアップ企業では、自由に使える技術者のプロフィールをすべて揃えているわけではないかもしれない。専任のプロダクトマネージャーがまだいないかもしれないし、開発チームに専任のセキュリティ責任者がいるわけでもないだろう。納期を迫られている開発チームは、セキュリティに関しても、多くの手抜きを余儀なくされるだろう。

私はこれまで3つのアーリーステージのSaaSスタートアップでCTOを務めてきました。(Teamleader、Officient、Futureproofed）以下に、これらの過去のSaaS企業の経験から学んだことをまとめました。

車輪の再発明を避ける

パスワードによるログインシステムは作らないことだ。確かに数日で構築することはできますが、それを維持し、将来的に高度な保護機能を追加するためのコストは非常に高くなります。Gmailのようなシングルサインオンによるログインを使うか、Auth0.comのようなサービスを使うことを検討してください。 よりスムーズで機能豊富なログイン体験ができるだけでなく、ログインに関連するセキュリティ面（ブルートフォース、サードパーティサービスでのユーザー認証情報の流出、アカウント乗っ取り攻撃の回避と検出、メールアドレスの検証、ロギング...）について心配する必要がなくなります。

結局のところ、適切なベンダーを選べば、攻撃対象を減らすだけでなく、より価値のある機能に費やせる時間も獲得できるのだ。

数週間から数カ月を節約できる他の素晴らしい例もある：

• クレジットカードを保存せず、StripeやMollie、Chargebeeなどを利用する。
• MySQLやPostgreSQL、ElasticSearchのような複雑なソフトウェアを自分で動かすのはやめましょう。RDSのようなマネージドクラウドサービスを利用しましょう。
• 独自のログシステムを構築しないこと。SentryやPapertrailのようなシステムを使うこと（そして、機密データをそこに記録しないこと）。
• 自社でメール（SMTP）サーバーを運営せず、SendgridやMailgunのようなマネージドサービスを利用する。
• ウェブソケット・サーバーを構築せず、Pusher.comのようなマネージド・サービスを利用する。
• フィーチャーフラグシステムは自前で構築せず、Launchdarklyのようなサービスを利用する。
• カレンダーの統合は自分で作らず、cronofy.comのようなツールを使う。
• 一般的なインテグレーションを構築する際は、Apideckのようなその分野の統一APIをチェックしてください。

危機管理コミュニケーションの準備に時間をかける

顧客と会話するためのチャットアプリケーションや、問題を伝えるための管理されたステータスページやTwitterアカウントなどのツールが設定されていることを確認してください。何か悪いことが起こった場合に備えて、危機の際にあなたが問題の解決に専念している間に、会社の他のメンバーが顧客にコミュニケーションできるようにするのは素晴らしい習慣です。

グローバル・ガードレールの追加

あなたはおそらく、開発者からのPull Requestをレビューしているだろう！保守性、パフォーマンス、機能性をレビューするのは大変な作業です。セキュリティについてもレビューする時間がありますか？確かに、いくつかのリスクはカバーできるでしょう。しかし、いくつかのガードレールやグローバルな設定を追加することで、いくつかのリスクを回避することができるのはいいことです。

運が良ければ、特定の問題に対してグローバルな修正が存在することもある。

• nodeJSを使用していて、プロトタイプ汚染について考えるのが好きでないなら、このクラスの攻撃をアプリ全体で無効にするために、プロトタイプを凍結すべきである。Aikido 、あなたのためにこれを行うPull Requestを自動的に作成することができます。
• SQLを使用し、SQLインジェクション攻撃を恐れている場合（そうすべき）、アプリ全体の保護のためにWAF（AWS WAFのような）やRASP（Datadogのアプリセキュリティのような）を使用することができます。
• 多くのXSS攻撃を発見しているなら、ブラウザに非常に厳格なCSPポリシーを導入することで、その大部分を取り除くことができるだろう。
• 顧客の入力に基づくアウトバウンドリクエストを多く行っている場合、SSRF攻撃に対して脆弱かもしれない。これを完全にブロックするのは難しいかもしれないが、より悪いもの（AWSのIAM認証情報に対するIMDSv1攻撃など）につながらないようにすることで、被害を軽減できるかもしれない。Aikido デフォルトでAWSクラウドでこれを監視する。
• オブジェクト・ストレージを扱う場合、Pickle、XML、JavaやPHPの(un)serializeなどの特定のタイプの関数を避け、代わりにJSONのような単純なストレージ・オプションを使用することで、安全でないシリアライゼーションに関連する多くの典型的な悪用を避けることができます。Aikido 、デフォルトでコードベース内のこれらの種類の関数を監視します。
• CDNやキャッシュ機構を使用する場合、キャッシュポイズニング攻撃のあらゆる種類を避けるために、別々のCDN設定で静的資産に別々のドメインを使用してください（ChatGPTは最近この罠にはまりました）。

この簡単なトリックで開発者を教育しよう

あなたのプロセスに導入できる簡単なハック（ダジャレ）がある。スプリントプランニング中に開発チームに尋ねる簡単な質問だ：

私たちが構築している機能がハッキングされる可能性は？

開発チームは、悪用される可能性のあるシナリオをすべて予期しているわけではな いかもしれないが、この方法論は、スケールアップするのは至って簡単である。これは、開発者が開発作業を行う前に、セキュリティの考慮事項をチェックすることを促す小さな追加ステップである。

コードベースのさまざまな部分に優先順位を割り当てる

すべてがハッカーの大きな標的になるわけではない。彼らが好んで狙う主なコンポーネントは以下の通りだ：

• 決済システム、ウォレット、クレジットシステム
• SMSやvoipのような高価なAPIに接続する機能（Twilioを考える）
• パスワードリセット、ログインシステム、ユーザー招待
• PDF、Excelなど、危険な操作を行う可能性のあるエクスポート機能
• ファイルや画像のアップロードに関するもの
• ウェブフックなど、設計上アウトバウンドリクエストを行う機能
• 電子メールを送信するあらゆる種類の機能、特にパーソナライズされたコンテンツ

追記：Aikido 、各コードベースにリスク・レベルを割り当てることで、スタートアップのユニバースにおけるトップ・リポジトリのみに焦点を当てることができる。

人間的な側面も忘れずに

小規模スタートアップのCTOとして、あなたは通常、運用セキュリティの責任者でもある。チームのアカウントを保護する手段を提供しましょう。2FAのためにハードウェアのユビキーやソフトウェアアプリを使うようにし、可能であればそれを強制する。Gmailのようなツールでは、これを強制することができる。フィッシング攻撃に対する最初の防御線として最適だ。

セキュリティー対策を常に最新に保つのは難しい

ソフトウェアに対する新しい種類の攻撃について学ぶのは難しい。自分が使っている言語（Python、Node、Goなど）のアップデートや、OSのパッチ、オープンソースのパッケージで人気のあるエクスプロイトをフォローアップするのも大変だ。特定の攻撃は時間の経過とともに流行するようになるため、トレンドを追うことは有益だ。例えば、昨年サブドメイン乗っ取り攻撃が増加したことに気づいたAikido 、そのリスクを防止し、これらのDNSレコードの監視を自動化するために、サブドメイン乗っ取り監視ツールを導入した。

自動化する

私が以前勤めていた会社では、セキュリティ担当者が定期的なセキュリティタスクをカレンダーに書き込むことで、セキュリティの次のレベルを目指していました。四半期ごとに全アプリのアクセスレビューを行う。毎週2、3週間ごとにコードの漏洩スキャンを行い、毎週金曜日にオープンソースパッケージのCVEをクリーンアップし、頻繁にSASTスキャンを行い、毎月サブドメインの乗っ取りに対するDNSレコードを検証する...。これらのタスクのアウトプットをトリアージして、開発者が実行できるようにするのは大変だった。さらに悪いことに、この担当者が会社を辞めたとき、他の誰かがこれらのタスクを引き継ぐことは困難だった。

そこでAikido アイデアが膨らみ始めました。私たちは、上記のすべてを自動化し、ノイズをフィルタリングし、SlackやJiraで開発者の目の前にタスクを届けるソリューションを必要としていました。

今日からAikido コードとクラウドのスキャンを始めましょう。こちらからサインアップして、無料でスキャンを始めましょう。

SSRF攻撃によるクラウド全体の乗っ取りを防ぐ

これは、あるスタートアップのAmazon S3バケット、環境変数、様々な内部APIシークレットに、メールを送信するシンプルなフォームを介してアクセスした攻撃者の話だ。これは実話だが、スタートアップの名前は秘密にしておく。

侵入経路

すべてはPHPアプリケーションがメールを送信するところから始まります。派手な画像を添付ファイルとしてメールに読み込むために、アプリケーションは画像をダウンロードする必要があります。PHPでは、これは簡単です。file_get_contents関数を使用します。

もちろん、このメールに対するユーザー入力の一部は、完全にチェックされているわけでも、HTMLエンコードされているわけでもない。 <img src=’evil.com’/>. 理論的には、これはそれほど悪いことではありませんが、悲しいことに、このPHP関数は非常に強力で、インターネット経由で画像を読み込む以上のことができます。また、ローカルファイルや、さらに重要なこととして、インターネットではなくローカルネットワーク上のファイルを読み込むこともできます。

攻撃者はevil.comの代わりに、特別なローカルURLを入力した。 このURLを使用すると、単純なGETリクエストで、実行中のAWS EC2サーバーのロールにリンクされたIAM認証情報を取得できる。

<img src=’http://169.254.169.254/latest/meta-data/'>

その結果、攻撃者はメールボックスの添付ファイルにEC2サーバーのIAM認証情報を含むメールを受け取った。これらのキーによって、攻撃者はAWSの様々なサービスと会話する際に、そのサーバーになりすますことができる。そこからすべてが下り坂になる...。

そもそも、なぜこんなことが可能なのか？

これらのIAMキーをロードするシステムはIMDSv1と呼ばれ、Amazonは2019年にIMDSv2と呼ばれる新しいバージョンをリリースした。IMDSv2では、IAM認証情報を取得するために、特別なヘッダーを付けたPUTリクエストを送信する必要がある。つまり、file_get_contentsのような単純なGETベースのURL読み込み関数では、もはやそこまでの被害は出せないということだ。

2023年現在、IMDSv2の採用率がどうなっているかは不明だが、アマゾンが採用率を高めるための対策を取っているのは明らかで、IMDSv1がまだ野放しで使われているのを目にすることもある。

IAMキーの漏洩はさらなる漏洩につながる：S3バケットをリストアップし、その内容を読み取ることができた。さらに悪いことに、S3バケットの1つには、機密性の高い環境変数（Sendgrid APIキーなど）を含むcloudformationテンプレートが含まれていた。

このような事態からクラウドインフラを守るにはどうすればいいのか？

さて、このようなデータの完全な損失を防ぐにはどうしたらいいでしょうか？開発者は細心の注意を払い、file_get_contentsに渡すURLにはallowlistを使うように注意すればよい。画像を期待しているのであれば、受け取ったコンテンツが画像であることを確認することもできます。しかし現実には、開発者としてこの種のミスを避けるのは難しいのです。

このような攻撃に対して、インフラが特別な防御策を講じていることを確認することは、非常に良いことだ。Aikido セキュリティのAWSとの新しい統合は、あなたのクラウドが以下の対策のいずれかを積極的に講じていない場合に警告を発します。これらの対策はそれぞれ単独でもこの特定の攻撃を阻止できただろうが、我々はこれらすべてを実施することを推奨する。Aikdidoの無料トライアルアカウントを使って、あなたのクラウドがこれらの脅威に対してすでに防御されているかどうかを確認してください。Aikdidoがどのようにアプリを脆弱性から保護しているかは、こちらをご覧ください。

取るべきステップ

1. 既存のIMDSv1 EC2ノードをIMDSv2に移行する
2. ウェブサーバの環境やcloudformationテンプレートにシークレットを一切保存しないこと。AWS Secrets Managerのようなツールを使って、実行時にシークレットをロードする。
3. EC2サーバーにIAMロールを割り当てる際は、ローカルAWSネットワーク（VPC）内でのみ使用できるように制限するなど、余分なサイドコンディションを設定しておく。以下の例では、EC2サーバーが特定のVPCエンドポイント経由で通信している場合にのみ、S3からの読み込みを許可している。これはネットワーク内からのみ可能なので、攻撃者はローカルマシンからS3バケットにアクセスできなかっただろう。

{
"Version": "2012-10-17",
"Statement": [
        {
"Sid": "rule-example",
"Effect": "Allow",
"Action": "s3:getObject",
"Resource": "arn:aws:s3:::bucketname/*",
"Condition": {
"StringEquals": {
"aws:SourceVpce": "vpce-1s0d54f8e1f5e4fe"
                }
            }
        }
    ]
}

キル・チェイン』について

キル・チェーンは、攻撃者が複数の脆弱性を連鎖させることによって、ソフトウェア企業の王冠を狙うという実話を紹介するシリーズである。WillemDelbareが、CTOとしてSaaSスタートアップの構築とサポートに携わった10年の経験を活かして執筆した。この物語はウィレムのネットワークから直接もたらされたものであり、すべて実際に起こったことである。

ベルギーのSaaS新興企業Aikido Securityは、開発者向けにソフトウェア・セキュリティを簡素化するという使命を支持する著名なエンジェル投資家から、プレシード資金として200万ユーロを調達した。

近年、ソフトウェア業界では「シフト・レフト」開発へのシフトが進んでおり、セキュリティに対する責任はますます開発者に押し付けられている。残念ながら、現在のソフトウェア・セキュリティ・プラットフォームは開発者にとって使いにくく、開発者の時間を浪費している。Aikido セキュリティは、この課題を解決するために設立されました。

プレシードラウンドは、幸運なことに、多数の適格な（エンジェル）投資家の支援を受けている。シンジケート・ワン、Pieterjan Bouten (Showpad)、Louis Jonckheere (Showpad)、Christophe Morbee (Besox)、Mathias Geeroms (OTA Insight)が参加を決定しました。Aikido セキュリティは、彼らのサポートと専門知識を頼りにできることを幸運に思います。

「ソフトウェア・セキュリティ・ツールのおかげで、CTOとしての生活が難しくなった」。

とAikido Securityの創設者兼CTOのWillem Delbareは言う。「私はこれまで多くの製品をテストしてきましたが、どれも同じ問題を抱えています。誤検知で過負荷をかけ、通知で迷惑をかけ、トリアージが大変です。とても疲れることがわかりました。我々はこれを解決することにした。

チームは、Aikido Securityに集結する前に様々な業界で製品を成功させた経験豊富な起業家で構成されています。創設チームは、ウィレム・デルベール（チームリーダー、Officient）、ローランド・デルルー（Showpad、Officient）、アンバー・ラッカー（Veriff、Cloudbees）、フェリックス・ガリオー（nexxworks、AREA42）で構成されています。

Aikido 最近、製品のアルファ版を完成させ、アーリーアダプターの顧客と積極的にテストを行っている。今回の資金調達により、同社はチームを成長させ、製品機能を完成させ、顧客ベースを拡大することができる。

Aikido セキュリティについて

Aikido Securityは、開発者ファーストのソフトウェアセキュリティプラットフォームです。ソースコードとクラウドをスキャンし、解決すべき重要な脆弱性を表示します。誤検知を大幅に減らし、CVEを人間が読めるようにすることで、トリアージがスピードアップします。Aikido 利用することで、製品の安全性を簡単に保つことができ、本来の仕事であるコードを書く時間を取り戻すことができます。