ブログへようこそ

なぜここに？

時間を無駄にしないようにしましょう。あなたがここにいるのは、アプリにウェブフック機能を構築しているからです。残念ながら、セキュリティの観点からうまくいかないことがたくさんあります。この記事の目的は、Webhookを構築している間によく知られている間違いを犯さないようにすることです。

ウェブフックはどのように機能するのか？

簡単におさらいすると、webhookとは、あなたのアプリで起こったことをサードパーティに通知するためのHTTP(S)リクエストです。例えば、請求書を作成するアプリケーションを提供している場合、新しい請求書が作成されたときにトリガーされるWebhook機能を設定する機会を顧客に提供することができます。つまり、請求書が作成されると、アプリケーションはHTTP(S)リクエストをユーザーが決めた場所に送信します。ユーザーはこれを利用して、リマインダーメールのスケジューリングやSlackでのメッセージ送信など、Webhookをトリガーとした独自のカスタムワークフローを設定することができます。

チェックリスト：ウェブフックの実装を保護する

1.SSRF型攻撃への対処

このタイプの攻撃では、攻撃者はWebhook機能を悪用して情報（クラウド上のインスタンス・メタデータなど）を取得しようとする。これに対抗するには、以下の対策を講じる必要がある。

✅ ユーザー入力を検証する

• Basic：簡単なURL検証を行う。
• より良い：URLが "https://"で始まることを確認し、"file://"やその他の非HTTPSスキームを許可しない。

✅ ローカルアドレスを制限する

• 典型的なローカルIPをブロック：127.0.x、192.168.x、172.x。
• "localhost "と "http://"の禁止

限界ログ曝露量

• ユーザー向けログにHTTPステータスコードのみを表示する。
• ヘッダーや本文の表示は避ける。

✅ 高度な：URL検証の強化

• POSTリクエストに対して、顧客固有のレスポンスヘッダを要求する。
• DNSの変更に対処するため、初期設定後もこの検証を継続する。

2.ユーザーがデータの信頼性を確認できるようにする

Webhookコンシューマーは、データが本当にあなたのアプリから来たものであることを知る方法を持たなければなりません。以下のいずれかの方法を使用できます。

テスト・メッセージの 検証

まず、セキュリティー・メカニズムをテストするために、ユーザーがテスト・メッセージをトリガーできるようにする。

✅ HMAC検証ハッシュ

ウェブフック機能に対する最も効果的なセキュリティ・メカニズムの一つは、データの完全性と真正性のためにHMACを実装することである。

基本的なプロセスは以下のようにまとめられる：

• SHA-256と秘密鍵を使ってペイロードのハッシュを生成する。
• HMACをペイロードと一緒に送信する。
• 受信者はハッシュを再作成し、ペイロードの真正性と完全性を検証する。

タイムスタンプ・インクルージョン

これは、より高度なセキュリティ緩和策である。リプレイ攻撃を防ぐために、ペイロードにタイムスタンプを追加する。メッセージが再利用されたり改ざんされたりしないようにする。

クライアント側 TLS 証明書

クライアント側のTLS証明書でHTTPコールを認証する。これは特に企業レベルの消費者にとって魅力的です。

3.レートの制限とデータの過剰露出の回避

ウェブフックのセキュリティーについては、送信するデータが少なすぎる方が、多すぎるよりも安全である。ウェブフックのコールバックはHTTPSを使って暗号化されるべきだが、数年後に誰がドメイン名を管理しているかは分からない。

✅ データ露出の最小化

• 個人を特定できる情報（PII）や機密性の高いデータの送信は避けてください。
• 複数のデータ（contact_id、email、nameなど）を送信する代わりに、contact_idだけを送信します。必要であれば、ユーザーにパブリックAPIから追加データを取得させましょう。

再試行 ポリシー通信

• リトライポリシーとレート制限をユーザーに明確に伝える。
• リトライのため、メッセージが順番通りに届かない可能性があることを伝える。
• 2xx応答はすべて成功であると定義する。

✅ 配送にキューシステムを使う

Webhookの配信を管理し、出力を調整するためにキューシステムを実装します。このアプローチは、大規模なCSVインポートが過剰なWebhookコールと再試行を引き起こすようなエッジケースにおいて、誤ってユーザーのサーバーを圧迫することを防ぐのに役立ちます。

4.ボーナス：異常アラート

これはセキュリティというより開発者の利便性のためだが、それでも実装しておくに越したことはない。

• 4xxおよび5xxレスポンスが発生した場合、ユーザーに警告を発する。
• ユーザーに障害を知らせる通知を送る

この追加により、Webhookシステムの透明性と応答性が向上します。

結論

これで完成だ！Webhookを機能的にするだけでなく、安全でユーザーフレンドリーにするためのいくつかのステップを紹介しました。これらのステップを実装することで、アプリを保護し、全体的なユーザーエクスペリエンスを向上させることができます。それでは、よいコーディングを！🚀🔒👨‍💻

Aikido Securityは、開発者中心のソフトウェアセキュリティプラットフォームです。私たちは、あなたがコードを書くことに集中できるように、あなたの製品を安全に保つお手伝いをします。 営業チームと話す必要はありません。 接続するだけ GitHub、GitLab、Bitbucket、またはAzure DevOpsアカウントに接続するだけで、無料でリポジトリスキャンを開始できます。

ほとんどのセキュリティ・ツールは開発者の時間を浪費している。我々はこれを解決する使命を担っている。

アプリケーション開発者は、セキュリティを気にするために給料をもらっているわけではない。彼らのパフォーマンスは、新機能や機能強化を通じてビジネスに付加価値を与えるスピードによって評価される。

そのため、従来のセキュリティ・ツールは開発者のために作られていないため、邪魔な存在になっている。セキュリティ・アラートの膨大なリストを表示するだけで、あとは開発者が考えるしかないのだ。

Aikido使命は、アプリケーションのセキュリティをできるだけ迅速かつ容易にすることであり、そのための最も重要な方法の1つは、開発者の時間を浪費し、セキュリティ修正プログラムの出荷を遅らせる原因となるノイズや偽陽性を減らすことです。

この記事では、アラート疲労症候群に苦しむ開発者にAikido どのような治療を提供しているかを紹介する。

ノイズを減らす

ケニー・ロジャースの有名な歌『ギャンブラー』は、それをうまく表現している：

"生き残る秘訣は、何を捨て、何を残すかを知っていることだ"

S/N比に最も大きな影響を与えることができるのは、開発者が行動を起こすべきCVEとセキュリティ警告だけを表示し、それ以外は無視することです。

ここでは、Aikido 無関係なセキュリティ警告やCVEをインテリジェントに無視する方法を紹介する：

開発のみの依存関係

デフォルトでは、Aikido 開発環境にのみインストールするようマークされた依存関係については、ステージング環境や本番環境には存在しないはずなので、脆弱性を報告しません。

無効なCVEまたは修正のないCVE

修正のないCVEを表示することは、単なる目くらましです。そのため、Aikido 、ダッシュボードに表示する前に、修正プログラムが利用可能になるまで、これらの問題を一時的に無視される問題のリストに移動します。

到達不能コード

Aikidoコード・インテリジェンスと到達可能性エンジンは、コード・ベースに脆弱な関数が呼び出されていなければ、CVEを無視する。

これにより、特にTensorFlowのような依存関係の多い大規模なライブラリのノイズが減少する。

期限切れまたは失効した秘密

Aikidoはすでに無効な秘密情報や、単なる変数名と思われるものは、自動的に無視されるため、不要なアラートが発生しません。Aikidoは秘密データを生成しない認可を必要とするAPIエンドポイントにリクエストを送ることで、既知のシークレットタイプの妥当性を安全に検証します。

マニュアル無視ルール

特定の条件下で脆弱性を無視するようにAikido 設定することができます。例えば、リポジトリ内の特定のパスの報告を無視することができます。

重複除去

ほとんどの企業は、複数の異なるソースからセキュリティ・インフラを組み合わせているため、複数のシステムで同じアラートやCVEが表示されることはよくあることです。さらに、従来のツールでは、1つのリポジトリ内で同じCVEが複数回表示されることもよくあります。ノイズについて話そう！

Aikido 、すべてのセキュリティ問題を単一のガラスペインで提供するオールインワン・プラットフォームであるため、各脆弱性の場所を一覧表示するサブ問題を含む各リポジトリの単一のCVEアラートのみが表示されます。

文脈に応じた感度調整でシグナルを高める

機密データを扱うリポジトリで発見されたセキュリティ問題は、データをまったく保存しない内部だけのリポジトリとは異なる方法で採点されるべきである。

Aikido 、リポジトリごとに様々なコンテキスト指標を提供し、より多くのセキュリティリスクを発見し、問題の最終的な重大度スコアに適切な重み付けをするのに役立ちます。

例えば、ドメイン名を追加することで、Aikido 、SSLの脆弱性、クッキーの誤設定、CSPが適用されている場合、クロスサイト・スクリプティング（XSS）攻撃などの問題を対象としたスキャンを実行することができる。

その他の文脈的な例としては、アプリケーションがインターネットにアクセスできるかどうかや、アプリケーションがどのような環境で展開されているかなどがある。

搾取リスクのシグナルを高める

Aikido 、リアルタイム指標を使用して、悪用の確認事例、悪用の実行方法を文書化した公開コード、特に脆弱となる可能性のある顧客固有のクラウドインフラストラクチャの懸念事項など、CVEが悪用される可能性を追跡する。

例えば、IMDS APIバージョン1を使用しているAWSインスタンスは、Aikido 認証情報を公開するSSRFエクスプロイトに対してより脆弱です。

概要

従来のセキュリティツールは、開発者の生産性を気にしない。偽陽性の山にリポジトリを埋没させ、実際にセキュリティ問題を解決するために費やすことができたはずの開発者の時間を浪費させることに満足しているのだ。

Aikido 他と違うのは、開発者の生産性とセキュリティの関連性に着目している点です。無関係なアラートやCVEを削除することで、本物の脅威がより注目されるようになり、その結果、修正がより迅速に適用されるようになります。

開発者とセキュリティの双方にメリットがあるこの方法こそ、私たちが目指しているものであり、お客様のセキュリティ・アラート疲労症候群を治療する方法なのです。

実際に使ってみませんか？サインアップして最初のレポをスキャンし、2分以内に最初の結果を得ましょう。

これはお客様からよくいただく質問です。NIS2指令の文言は必ずしも明確ではありません。NIS2は各国が実施する必要のある枠組みです。これは指令であって規則ではないため、EU各国は独自の解釈のもとでこれを展開する自治権を持っています。

NIS2の文言は幅広く、特に各国が具体的な内容を公表するまでは、その内容を理解するのは難しい。しかし、NIS2が現在どの企業に影響を及ぼしているのか、できる限り明確にお答えします。

AikidoのクイックNIS2セルフチェックで、スコープ内かどうかを確認する。

私たちは、現実的でわかりやすいことが好きです。そこで、NIS2の適用範囲内かどうかを確認するための簡単な5ステップのセルフチェックをご紹介します：

1. 御社は「不可欠な」あるいは「重要な」産業に従事していますか？
2. サブ・インダストリーに属しているかどうかをチェックする。
3. サイズ要件に該当しますか？
4. 1、2、3に「ノー」の場合は、自分が例外でないことを再確認する（プロからのアドバイス：念のため弁護士に相談する必要があるかもしれない）。
5. そして、上記のすべてに「いいえ」の場合は、あなたの顧客が範囲内か、範囲外かを確認する。

NIS2は誰に適用されるのか？

NIS2が自社に影響を与えるかどうかを確認するために、2つの重要なパラメータがある：

• 業界必須」または「重要」な業界に属している場合。
• 規模：あなたの会社の規模が、従業員数がX人以上、売上高がXユーロ以上、貸借対照表がXユーロ以上など、特定の「必須」または「重要」の閾値を満たしている場合。

両者をさらに詳しく見てみよう。

NIS2はどのセクターに適用されるのか？

すべてはここから始まるNIS2は、必要不可欠で重要な産業の安全を確保するためのものである。NIS2は、最初のNIS指令の焦点であった産業の数を拡大している。NIS2は、必須と重要を区別しているが、どちらのカテゴリーもその範囲に含まれている。

基幹産業： エネルギー、飲料水、下水、輸送、銀行、金融市場、ICTサービス管理、行政、医療、宇宙。

重要産業：郵便・宅配便、廃棄物管理、化学、食品、製造業（医療機器、コンピューター・電子機器、機械・設備、自動車、トレーラー・セミトレーラー・その他輸送機器など）、デジタルプロバイダー（オンラインマーケットプレイスなど）、研究機関。

何があろうと即座にスコープに入るセクターもある。例えば、ドメイン名レジストラ、信託サービスプロバイダー、DNSサービスプロバイダー、TLD名レジストリ、電気通信プロバイダーなどです。

それ以上に、各国当局は、必要不可欠な部門や重要な部門に分類されない個々の企業を指定する権限を持つ。これは、その企業が唯一無二のサービスを提供し、大きな影響力を持ち、社会にとって不可欠であると判断された場合に可能となる。

NIS2の企業規模基準

NIS2にはサイズキャップ規定がある。つまり、一定の閾値を超えると指令に準拠する必要がある。

規模基準にとって不可欠で重要な企業とは？

• 必須企業： 従業員250名以上 OR 年間売上高5,000万ユーロ以上 OR 貸借対照表4,300万ユーロ以上
  注：必須企業規模基準（上記）を満たさないが、重要企業規模基準（下記）を満たす企業は、重要企業とみなされる。従って、まだ適用範囲内である。
• 重要な企業 従業員50人以上 OR 年間売上高1000万ユーロ以上 OR 貸借対照表1000万ユーロ以上

つまり、表面的には、NIS2は中企業と大企業に適用され、中小企業や零細企業は除外されている。そして、中小企業や零細企業は除外されている。しかし、例外もある。例えば、ある企業が規模基準を満たさない場合、国家機関はセクター基準と同様に指定特権を行使することができる。

どの国が私のビジネスを管轄しているのか、どうすれば分かりますか？

欧州委員会は、『原則として、不可欠かつ重要な事業体は、その事業体が設立された加盟国の管轄下にあるとみなされる。事業体が複数の加盟国に設立されている場合は、各加盟国の管轄下に入るべきである』としている。

例外もある。場合によっては、その企業がどこでサービスを提供しているかを考慮することになる（例：DNSサービスプロバイダー）。他のケースでは、主要な事業所がどこにあるかが鍵となる（クラウド・コンピューティング・サービス・プロバイダーなど）。

ルールに他の例外はありますか？

もちろん、業種や規模の規定に関連するものもある。その上、各国がこの指令を実施し、地域ごとのルールが発効する（すべて2024年10月17日まで）ため、国ごとに注意すべき違いが出てくる。

例えば、規模要件は満たしていないが、加盟国の社会活動や経済活動にとって重要なサービスを提供する唯一のプロバイダーである場合も、NIS2を導入する必要があるかもしれない。

注：金融業界で活躍されている方であれば、デジタル・オペレーショナル・レジリエンス法（DORA）をすでにご存知でしょう。DORAは法律であり、NIS2のような指令ではないため、NIS2よりも優先される。まずはDORAに注力することをお勧めしますが、NIS2がEU加盟国によって国内法に移管された際には必ずご確認ください。

サイバーレジリエンス法（CRA）もお忘れなく。CRAは、EU市場に投入されるさまざまなハードウェアおよびソフトウェア製品に対するサイバーセキュリティ要件を定めている。これには、スマートスピーカー、ゲーム、OSなどが含まれる。

もう少し詳細をお聞きになりたいですか？

サイバーセキュリティ・ベルギーセンターが作成した、対象者の概要を紹介しよう：

NIS2が適用される顧客は、NIS2の影響を受ける可能性が高い。

NIS2にはサードパーティノックオン効果が含まれていることをご存知ですか？つまり、あなたが直接の適用範囲でなくても、あなたの顧客が適用範囲であれば、NIS2に準拠する必要がある可能性が高いということです。

NIS2を導入しなければならない企業は、「第三者プロバイダー」に関連する「リスクを管理・評価」する必要がある。これには、例えば、定期的なセキュリティ評価の実施、適切なサイバーセキュリティ対策の確保、NIS2要件への準拠を求める契約／合意の実施などが含まれる。

ですから、もしあなたがB2B企業で、業種や規模から対象外だと思っていたとしても、あなたの顧客がNIS2の対象になっているのであれば、準備を始めるべきです！

Aikido NIS2レポートを提供

Aikido セキュリティは、アプリで利用可能なNIS2レポート機能を作成しました。このレポートは、指令に準拠する必要がある企業を支援するために設計されています。

NIS2 の影響を受けそうですか？
NIS2 に関するあなたのアプリケーションの立ち位置を確認してください。
私たちのレポートは網羅的ではありませんが（技術的なセットアップのみを対象としています）、これを読めば正しい道を歩み始めることができます。

Aikido 登録すると、NIS2レポートを無料で入手できます！

Aikido 、ISO 27001:2022と SOC 2Type 2に準拠するためのプロセスを経たところです。そして、私たちが望んでいたことの1つは、始める方法についての実践的でナンセンスなアドバイスでした。ベストプラクティスや注意すべき点など、基本的にはISO 27001認証プロセスをすでに経験した人からのヒントです。

AikidoISO 27001 2022に準拠するまでの道のりを詳しく読む ISO27001:2022に準拠するまでの道のりとおよびISO 27001の要求事項については、こちらをご覧ください。

ISO:27001への準拠を検討しているSaaS企業の皆様のお役に立てるよう、このブログ記事を書きました。

ISO27001認証取得プロセスで学んだ8つのこと

1.何をしようとしているのかを知る

もし一度もやったことがないのなら、まずは友人や仕事関係の知り合いに聞いてみることだ。きっとこのプロセスを経験した人が見つかるはずだから、彼らに当たってアドバイスをもらおう。

どうしても誰も見つからない場合は、プレ・オーディターとコンタクトを取ることもできる。ただ、彼らは当然のことながら、あなたにサービスを売りつけようとするので注意してほしい。

いずれにせよ、すべての仕組みを理解することは本当に役立ちます。そうすることで、最終的には時間の節約になり、ISO 27001認証をより早く取得することができます。

2.ISO 27001の導入に取り組んでいることを伝える

ISO 27001を導入している最中であることを伝えると、人々は高く評価します。近い将来、心配事が減ることを知りたがるでしょう。そしてそれは、売上やコンバージョンの向上にもつながります。そのため、ウェブサイトや営業上の会話、LinkedInなどでこのことに触れてください。ユーザーには、製品をよりコンプライアンスに適合したものにしていることを伝えましょう。

3.どのISO 27001規格を導入するかを決める（2013年、2017年、2022年）

2022年には、セキュアなコーディングとソフトウェア・セキュリティに関して、はるかに多くのコントロールがある。(例えば、マルウェアの検出は新しいコントロールである）。つまり、古いバージョンよりも実装に手間がかかるということだ。より新しい規格のいずれかを選ぶのであれば、より多くの管理が必要になりますが、将来への備えはすでにできていることになります。そのため、2022年版を選んだ方がいいだろう。

クイック・チップ:ISO 27001認証は、3年ごとに全面的な審査が必要です。つまり、ISO 27001:2013を取得するのは避けたほうがよいということです。 有効期限はあと2年です。.

ISO 27001規格の各バージョンでは、リスク管理プロセスの枠組みも異なっている。2022年版では、進化するサイバーセキュリティ・リスクを反映した最新の認証要件が盛り込まれています。そのため、企業はこれらのリスクを特定、評価、軽減するための強固なリスク管理プロセスを導入することが重要になります。

なお、成熟した大企業であれば、2017年版の方がより確立されており、既存のプロセスを混乱させずに済むかもしれないので、そちらを選ぶ方がいいかもしれない。

4.すべてをアウトソーシングしない

全プロセスをアウトソーシングするのは危険です...全プロセスをコンサルタント会社にアウトソーシングすることは可能だとしても、私はそれをお勧めしません。確かに、コンサルタントは間違いなく手助けをしてくれるし、テンプレートを提供してくれたりする。しかし、すべてを外注して問題が発生した場合、その対処法を知っておく必要がある。私のアドバイスとしては、少なくとも2人、最大でも4人、会社の人間が関与することだ。

簡単なヒント最終審査は、認定された認証機関によって実施されなければならないことを忘れないでください！

5.あなたの会社にとって理にかなったペンテストを受けよう

ソフトウェア会社であれば、OWASP ZAPのような自動化ツールではカバーできないことに焦点を当てるペンテスターを選ぶべきである。昔ながらの」ペンテスターではなく、バグバウンティハンターの経験を持つペンテスターを選ぶこと。

6.コンプライアンス基準を活用し、加速する

すでにSOC2に準拠していることで、ISOへの準拠がより早くなります。また、ISOに準拠していれば、NIS2（EUで適用される新しい規制）も簡単になることを知っておくとよい。

簡単なヒント監査人が 監査を受けているか(を再確認すること。）適切な資格のない人を選ばないこと、さもなければ騙されるかもしれない。

7.完璧な人間などいないことを自覚する

最終的な監査では必ず不適合が見つかるものであり、不完全であっても構わない。しかし、そのような不完全な点を把握し、問題を解決するための正式な行動計画を立てる必要があります。 これは、最終的に会社全体のセキュリティ向上につながる継続的な改善プロセスです。もちろん、「完璧」を達成することはできないかもしれないが、そこに到達するために最善を尽くすべきである！

8.ISO管理をカバーするツールの導入に早く着手する

ISOへの準拠を検討しているのであれば、特定の管理をカバーするのに役立つ（そして必要な証拠も作成できる）ツールの試運転を行うのは常に良いアイデアだ。

例えば、オンボーディング、オフボーディング、バックグラウンドチェック、会社資産の割り当てと回収などです。これらのプロセスをOfficient、Personio、Workdayなどの人事情報システム（HRIS）に実装しておけば、ISOのエビデンスを作成する必要が生じたときに、すぐに実行に移すことができます。

Aikido同じで、すでに22の管理についてチェックを行い、包括的なISO 27001報告書を作成している。これもまた、ISOの準備に先手を打った好例である。

ISO 27001:2022 技術的脆弱性管理

ISO 27001:2022認証取得への道を歩んでいますか？私たちのプラットフォーム、Aikido Securityは、ISO 27001:2022アプリケーションのためのすべての技術的脆弱性管理のニーズを満たします。また、コンプライアンス・モニタリング・プラットフォーム（Vantaや Drataなど）と提携することで、データを簡単に同期し、脆弱性情報が常に最新であることを保証します。これにより、セキュリティ態勢を容易に把握することができます。

レポートを請求する

当社のISO 27001:2022認証は、当社のセキュリティ概要ページから直接ご請求いただけます。私たちの努力の成果を分かち合えることは、この上ない喜びです！ 😉。

このブログ記事が皆さんのお役に立てば幸いです。私たちがこのプロセスを始めたとき、これらのヒントをすべて知っていたらと思うと残念でなりません。ISO認証取得を検討されている方は、LinkedInで私とつながっていただければ、私の洞察を喜んで共有させていただきます！

ベルギー発のITマッチング！ゲントのSaaS新興企業であるAikido Securityは、ベネルクス地域の570以上の企業で5,000以上の顧客を持つ、コンティヒに本社を置くeビジネス・インテグレーターであるThe Cronos Groupにアプリケーション・セキュリティを提供する。この戦略的パートナーシップは、クロノス・グループのセキュリティ態勢と、サイバーセキュリティ業界におけるAikido セキュリティの影響力を強化することになる。

Aikidoセキュリティ態勢を強化

クロノス・グループは、現在、Aikido 新しいクライアントです。その中で、クロノス・グループは、自社のソフトウェア開発会社の多くに、Aikidoセキュリティ・ソリューションを導入しているところです。なぜこれがクロノス・グループにとって有益なのか。ネットワーク内の各企業に対して、より強固なセキュリティ態勢を確立するのに役立つだけでなく、もう一つの大きな利点が生まれる。Aikido クロノスのためにすべてをまとめ、クロノスはこれらの会社のセキュリティ態勢について、これまで以上に洞察に満ちた標準化されたグローバルな概観を得ることができる。

Aikido 、クロノス・グループに真のパートナーになることを託します。その中で、クロノス社は自社の顧客にAikido 提供し、顧客もAikidoサービスから利益を得る機会を得ることができる。その上、クロノスとAikido 積極的に協力し、製品機能をさらに向上させる。

Aikidoユニークなセキュリティ・ツールのセットと誤検知を減らす能力は、クロノス・グループの企業や顧客ネットワークの開発チームに効率性を提供します。つまり、不必要なアラートによる混乱が減り、コードを書くことに集中できるようになる。クロノス・グループは、企業が潜在的な新技術を最大限に活用するための、創造的で高品質かつ収益性の高い方法を見つける手助けをすることを目指している。したがって、このパートナーシップはその使命に完全に合致している。

Aikido 、そのすべてを専用の「セキュリティ・パートナー・ポータル」に集約しています。このパートナー・ポータルを通じて、クロノス・グループは、企業のセキュリティ態勢について、これまで以上に洞察に満ちた標準化されたグローバルな概観を得ることができる。

クロノス・グループとAikido パートナーシップについてコメント

クロノス・グループはAikido始めるのが待ちきれない。

クロノス・グループは、サイバーセキュリティを含むイノベーションと起業家精神を常に支援しています。私たちは常に提携関係を強化するためのパートナーを探しています。Aikido、私たちは開発者や顧客がコードの最初の行からセキュリティを構築できるようにしたいと考えています。自動化をインテリジェンスと組み合わせることで、開発者はビジネス価値に集中することができ、同時に自身の貴重な時間を守り、被ばくを最小限に抑えることができます。
Jonas Buyle, Cronos Security

一方、この新しいパートナーシップはAikidoどのようなメリットをもたらすのだろうか。「クロノス・グループをAikido セキュリティ・ファミリーに迎えることができ、大変うれしく思っています。「顧客として、また再販業者として、クロノス・グループは、お客様のセキュリティ態勢をシンプルに管理するという我々のミッションにおける重要なパートナーシップです。私たちの協業は、クロノス・グループの企業ポートフォリオのセキュリティ態勢に関する比類ない洞察を提供することをお約束します。私たちは共に、アプリケーション・セキュリティの水準を全面的に高めていきたいと考えています。

Aikido セキュリティについて

Aikido Securityは、開発者ファーストのソフトウェアセキュリティプラットフォームです。ソースコードとクラウドをスキャンし、解決すべき重要な脆弱性を表示します。誤検知を大幅に減らし、CVEを人間が読めるようにすることで、トリアージがスピードアップします。Aikido 、製品の安全性を維持するためのセキュリティ体制を簡単に強化します。そして、あなたが最も得意とすること、つまりコードを書く時間を取り戻すことができます。

クロノス・グループについて

クロノス・グループは、ベネルクス地域の企業や政府機関に高品質のICTソリューションを提供するeビジネス・インテグレーターです。クロノス・グループは、ICT技術者のキャリアアップと起業家精神を支援することを目的に、ICT技術者によって、また彼らのために設立されました。この使命は、顧客のために創造的で技術的に優れたソリューションを共同で設計・実装するために、創造的な専門家を含むように拡大しました。1991年の設立以来、クロノス・グループは、1人で経営していた会社から、570以上の会社で9000人以上の専門家を雇用する企業グループへと拡大しました。

Aikido セキュリティーを利用したお客様の喜びの声を聞くと、いつも嬉しいニュースです。しかし、良い話ばかりを独り占めしたくはありません！ここでは、グローバルな社内税務チームのための、世界初のコラボレーション型税務ガバナンス・プラットフォームであるLoctaxに焦点を当てましょう。

Loctaxは、Wise、PedidosYa、Iba、Luxottica、Trainlineなどの企業に税務サービスを提供しています。Loctaxにとって、自社の環境と顧客データのセキュリティとコンプライアンスを確保することは、それ以上に極めて重要なことです。

誤検知や無関係なセキュリティ・アラートを減らすことで、トリアージ速度を改善しました。しかし、それだけにとどまりませんでした。製品開発を加速させながら、Loctaxのセキュリティ態勢も改善しました。その結果、貴重な時間とコストを削減することができました。Loctaxが顧客の税務リスクの頭痛の種を減らすように、Aikido Loctaxのセキュリティリスクを減らしています。

課題：スピードとセキュリティのバランス

ロクタックスは共通のジレンマに直面していた。迅速な製品開発と妥協のないセキュリティのバランスをどうとるか。顧客に一流のソリューションを提供しなければならないというプレッシャーがありました。その一方で、Loctaxは機密性の高い税務データを保護し、最高のセキュリティ基準に準拠し続ける必要もあった。その上、コストを最適化しながら、少人数のチームでこれを行う必要がありました。

しかし、Loctaxは既存のセキュリティ・ソリューションで障害に遭遇した。誤検知はアラスカの雪よりも多く、トリアージや分析作業に貴重な時間を費やしていた。

これは驚くべきことではない。SaaSのCTOとの最近の協議では、誤検知は、現在選択しているセキュリティ・ソフトウェアのセキュリティ上の欠陥の第2位にランクされていた。また、これらのCTOは、戦略的なビジネス成果を達成するために、誤検知をなくすことを2番目に重要な活動として位置づけています。つまり、Loctaxのニーズは、SaaSのCTOが私たちに語っていることとぴったり一致することがわかったのです。また、偽陽性があると、本当に重要なことに目が向かなくなります。

一方、さまざまなツールから得られた知見が重複していることが、セキュア化への道を阻むもう一つの障害となっていた。ツールの統合が不十分であったため、セキュリティの優先順位を一元的に把握することが困難であった。

さらに、チームの急速な成長により、すでに使用していたセキュリティ・ソリューションのサブスクリプション費用が高騰していた。この1人当たりの課金方式は、同社のセキュリティ予算を圧迫していた。

これらすべてをまとめると、LoctaxのCTO兼共同設立者であるバート・ヴァン・レモルテールにとって、会社のアプローチを変える必要があることは明らかだった。彼はこれらの課題に立ち向かうための新しいツールを見つけることを決意し、Aikido セキュリティを発見した。

Aikido セキュリティがロクタックスに成果をもたらす

Aikido セキュリティの製品に切り替えたことは、Loctaxにとって画期的な決断であり、多くの好結果をもたらした。

自動トリアージ：効率化の力

私たちの自動トリアージ機能は、真の黒帯として現れた！この機能によって、これまで気が散っていたノイズや偽陽性が取り除かれた。それだけでなく、カスタム脆弱性到達性エンジンも提供している。これは、脆弱性のある関数が実際に到達可能かどうかをチェックする。

このような厄介なものが一掃され、本当の脆弱性が明確に特定され、優先順位が付けられたことで、Loctaxの開発チームはより効率的で生産的になりました。これまで不必要な調査に費やしていた貴重な時間を節約することで、生産性が向上したのだ。

統一ダッシュボード：セキュリティ・ワークフローの調和

武道であるAikido、最小限の労力で効果的に身を守る技術を提供する。Aikido セキュリティはこの原理を応用しています。Loctaxのために、私たちはセキュリティ・オペレーションのハブとなる単一のダッシュボードを提供しました。

Loctaxの既存の技術スタックへの統合は簡単でした。Aikido 、重複する通知に頭を悩ませることなく、すべてのセキュリティ問題の包括的なビューを提供します。重要なセキュリティ・イベントが発生すると、関連するSlackチャンネルにタイムリーなアラートが飛び込んでくる。そのため、プロジェクト管理ツールに簡単に統合でき、Aikido セキュリティ・タスク管理をスムーズにした。

コスト削減：50%

セキュリティー・ツールセットの統合は大成功でした。その結果、Aikido セキュリティがLoctaxの財務に与えた影響は大きかった。その結果は？セキュリティ・オペレーション・コストの驚くべき50％削減。そう、50％である！Loctaxのチームが成長し続けるにつれて、セキュリティ費用はもはや予算の頭痛の種ではなくなりました。その結果、Loctaxの中核的な使命である、社内の税務チームに税務管理とオペレーションの新しい基準を提供するためのリソースが増えました。

Aikido セキュリティがSaaSを守る

はっきり言って、SaaS企業には一流のセキュリティを追求するプレッシャーがあり、Loctaxも同じです。しかし、製品開発に専念しているチームが、セキュリティ体制全体の複雑さを自社で管理することは非常に困難です。Loctax社とのパートナーシップは、このような状況にある企業にとって、Aikido Securityの変革力を例証するものです。Loctaxは、社内の税務チームのための共同税務管理に完全に集中することができ、Aikido それを安全に維持します。

私たちは、その優れた性能と効果により、以前のソリューションをAikido 置き換えました。- バート・ヴァン・レモルテール、Loctax社CTO兼共同設立者

Aikidoソリューションを採用することで、Loctaxはセキュリティ体制を最適化し、誤検知をなくした。その結果、貴重な時間を節約し、著しいコスト効率を達成した。開発チームのスピードは衰えることなく、セキュリティはかつてないほど強固になった。

Aikido セキュリティがSaaSを守る

無料でレポジトリをスキャンして、Aikido 最初の太刀さばきをしましょう。2分もかからずに、セキュリティ態勢に関する貴重な洞察を得ることができます。あなたの組織を強化し、開発を後押しし、強固なセキュリティ防御から来る安心感を受け入れてください。

Loctaxの顧客事例をダウンロードしてください。

‍