一目でわかる
- 世界中の事業部門におけるアプリケーションセキュリティを単一のプラットフォームに統合
- 導入初年度で、パッチ適用率を20%から41%へと倍増させた
- aikido.devでの初回登録を、手間なくスムーズに行いました
- コンテナのスキャン結果を、コードレベルの検出結果と同じビューに表示するようにしました
- 新たに公開されたCVEをコードベースと照合した
- 開発者がチケットを作成することなく、その場で問題を修正できるIDEプラグインを提供しました
課題
世界的なエンジニアリング体制と地域に根差した対応
Believeは、フランス、ニューヨーク、日本を拠点に事業を展開するグローバルなデジタル音楽企業です。ヨランダ・アモリムは、この分散型エンジニアリング組織において、アプリケーションセキュリティを統括しています。各地域ごとに独自の業務プロセスやツールの選定が行われていたため、本来は単一の製品であるはずのものにおいて、アプリケーションセキュリティの適用範囲にばらつきが生じていました。
ヨランダが必要としていたのは、各地域のチームが再トレーニングなしで利用できる単一のプラットフォーム、セキュリティ部門のリーダー陣にとって一貫性のある全体像、そして開発者が回避することなく実際に活用してくれるフィードバックループだった。
Believeには、営業主導の評価は必要なかった。必要なのは、プラットフォームを実際に試して、社内でその価値を実証することだった。
「私たちは、世界中のチームで利用できるツールに統一したかったのです。aikido.devのセルフサービス機能のおかげで、長い調達プロセスを経ることなく、すぐに利用を開始することができました。」
ソリューション
ヨランダのチームは、すべての地域支部を Aikido に統合し、すべての地域ユニットを同一の構成とワークフローで運用できるようにしました。 SAST、 SCA およびコンテナスキャンが単一のビューに集約されました。
最も目に見える運用上の成果は、パッチ適用率でした。以前 Aikido導入前、Believeは特定された不具合の約20%を修正していました。統合とAutoFixおよびIDEプラグインの導入後、その数値はおよそ2倍になりました。
「切り替え後、パッチ適用率は20%から41%へと急上昇しました。これは、セキュリティが単なる未処理事項である状態から、真のエンジニアリング指標となる状態へと変わったことを意味します。」
新しいCVEが公開されると、ヨランダのチームはそれが自社に影響するかどうかを確認し、進行中のリリースに含まれるパッケージのセキュリティ対策を講じることができた。
「先週、ある開発者が感心した様子で私のところへやってきました。新しいCVEが公開されたのですが、私たちはそのリリースに含まれるすべてのパッケージを救うことができたのです。」
なぜBelieveを選んだのか Aikido
「信じる」という重み Aikido は、地域のパッチワーク構造を維持することや、複数の既存ベンダーとの競合を天秤にかけた。その決定は、ごく少数の要因に帰着した。
- コードとコンテナを網羅する単一のプラットフォーム
- aikido.devでの調達の手間を省いたセルフサービス型オンボーディング
- グローバルチーム全体で使用されている多様な言語やフレームワークへの対応
- 開発者がその場で問題を修正できるIDEプラグイン
- 新たに公開されたCVEについて迅速な検証が必要な際に、迅速に対応してくれるベンダー
結果
Aikido これにより、「セキュリティチームから修正を求められている」という状況から、「変更をリリースする一環としてこれを行う」という状況へと変化しました。ヨランダのチームはまた、各チームが最も頻繁に直面する課題に焦点を当てた、セキュリティ・チャンピオン向けのターゲットを絞ったトレーニングも実施しています。
Believeのセキュリティ部門の責任者は、今回初めて、フランス、米国、日本におけるセキュリティ態勢を、同一のデータと定義に基づいて比較できるようになった。
コンテナスキャンを Aikido に統合し、コードレベルの検出結果と併せて扱うことで、長年の課題が解決されました。検出結果は、もはや2つのコンソールや2つの優先順位付けモデルに分断されることはありません。
Believeがどのように活用範囲を拡大しているか Aikido
すでに利用中
導入計画
次の評価
- Aikido Zen
最終的な評価
「Aikido 。たった一つのツールで複数の企業をカバーでき、予想以上に早くセキュリティレベルを向上させることができました。」


