一目でわかる
- ~にやって来た Aikido のは、市場に出回っている他のツールでは、サポート終了予定のソフトウェアを検知できなかったからです。
- 1日あたり40~50件の所見の日常的な選別作業を自動化し、チームの作業時間を1日あたり少なくとも1時間短縮した。
- ダークウェブ監視を専門とする別のベンダーを含め、これまでバラバラに運用されていた各ツールを、1つのプラットフォームに統合しました。
- 他のいくつかのスキャナーでは検出できなかったScalaのコードを検出できました。
- 数日であらゆる機能を立ち上げることに成功した。これに対し、従来のツールでは、たった1つの機能を設定するだけで数日あるいは数週間を要していた。
- チームが手作業によるトリアージに時間を費やすことなく、インシデント対応や修正作業に集中できるようになりました。
課題
クリスティーナ・ホロフカは、ロンドンを拠点とするB2Bセールス・インテリジェンス企業脆弱性 ism脆弱性 担当エンジニアです。Cognismは、数千の営業チーム向けに大量のビジネス連絡先データを扱っているため、セキュリティとコンプライアンスは製品開発と密接に関わっています。クリスティーナのチームは、脆弱性 インシデント対応を担当しています。彼らはアラートに対応し、修正すべき項目を決定し、エンジニアリングチームと連携してその対応を推進しています。
ある「隙間」が、それ以前のすべてを形作っていた Aikido以前、すべてを決定づけた一つの空白がありました。ソフトウェアスタックには、ライフサイクル終了(EOL)のソフトウェアや、古くなったパッケージ、サポート終了した言語バージョンを特定する仕組みがなく、それらは静かにパッチが適用されない攻撃対象領域となっていました。それらを見つけるには、リポジトリを手作業で確認するか、偶然気づくしかありませんでした。コードベース全体のセキュリティ態勢を担うチームにとって、それは手持ちのツールでは埋められない死角だったのです。
「ライフサイクル終了間近のソフトウェアを検知するツールがありませんでした。 Aikido は、市場で唯一その機能を備えた製品でした。」
全体的な構成は寄せ集めのような状態でした。セキュリティ部門では、機能ごとに1つずつといった具合に、いくつかの別々のツールを運用していましたが、それらを統合する仕組みは何もありませんでした。どのツールにも欠点がありました。中にはアラートが多すぎて、チームに大量の検出結果を押し付け、その確認に何時間もかかるものもありました。 また、一部のツールは検知が不十分で、Cognismのスタックの一部をカバーするルールが欠けていたため、実際の問題を見逃していました。漏洩した認証情報のダークウェブ監視は別のベンダーが担当していたため、確認すべきコンソールがさらに1つ増えていました。さらに、これらのツールの導入には時間がかかりました。SAST 単一の機能の設定だけで、数日あるいは数週間を要SAST 。
「一部のベンダーは騒がしすぎたため、調査結果の検証に多くの時間を費やしました。一方で、Scalaなどに関してはルールが不十分で、あまりに静かすぎるベンダーもありました。」
ソリューション
Aikido その場しのぎの対応に取って代わった。チームはコードスキャン、ライフサイクル終了の検知、ダークウェブのフィードを1つのプラットフォームに統合し、わずか数日で稼働させた。以前の環境との対比は鮮明だった。かつては1つの機能の設定に数日あるいは数週間かかっていたものが、今では同じ短期間ですべてを網羅できるようになった。
「従来のツールの設定には数日あるいは数週間かかっていました。Aikido 、すべてをわずか数日で稼働Aikido 。」
この検出機能は、Cognismのスタックと対立するのではなく、それにうまく適合しました。チームはScalaで開発を行っていますが、Scalaは広く普及している言語ではないため、いくつかのスキャナーでは適切に処理できませんでした。このギャップこそが、従来のツールが検知すべき問題を逃し、警告が出なかった原因でもありました。 Aikido はScalaを的確に検出できたため、それだけで候補リストからいくつかのツールが除外されました。実際にリリースしている言語をカバーするスキャナーがあれば、セキュリティチームは結果を疑うことなく、その信頼性に基づいて対応することができます。
「Scalaは広く使われていないため、多くのベンダーが対応していません。Aikido Scalaを的確にAikido 。」
日々の業務において最も顕著な変化は、トリアージでした。以前は毎日40~50件の新規検出結果がチームに届き、その一つひとつを手作業で確認して、真の問題と「ノイズ」を仕分ける必要がありました。現在では、AutoTriage、AutoFix、および到達可能性分析がその負担を引き受けています。ここで最も重要なのが到達可能性分析です。これにより、脆弱なコードに到達できないために該当しない検出結果が除外されるため、チームはそもそも実際のリスクではなかった問題の追跡に時間を費やす必要がなくなりました。 残された課題はすでに選別済みの状態で届くため、チームは毎日少なくとも1時間の時間を確保できるようになりました。
「以前は1日40~50件の所見を手作業で優先順位付けしていました。今ではAikido 』がその作業をAikido 、1日あたり少なくとも1時間は時間を節約できています。」
その過程で、当初存在していたギャップは解消されました。以前はチームがリポジトリをくまなく調べ、古いパッケージやサポート対象外の言語バージョンを探していましたが、今ではタブを1つ開くだけで、更新が必要なものが一目でわかります。以前は誰かが確認することを頼りにしていた作業が、必要な時にすぐに利用できるようになったのです。
「今はタブを開いて、何を更新すべきか確認するだけです。」
コグニズムが選んだ理由 Aikido
- 最終寿命の検知機能は、候補リストに挙がっていた他のどのベンダーも提供していなかった。
- Scalaを含め、自社の技術スタックに適合する言語対応。他のツールでは不十分だった点もカバーしています。
- AutoTriage、AutoFix、および到達可能性分析により、チームの日々のトリアージ業務が不要になりました。
- コードの検出結果と同じ画面でダークウェブの監視を行い、別のベンダーに取って代わる。
結果
毎日40~50件の検出結果を自動化することで、チームは毎日少なくとも1時間の余裕が生まれ、かつて午前中を費やしていた手作業はほぼなくなりました。追跡すべき誤検知が減少したことで、その時間はチームの本来の業務、つまりインシデントへの対応や、エンジニアリング部門と連携して重要な修正に取り組むことに充てられるようになりました。また、検出結果は生のままではなく、トリアージと優先順位付けが済んだ状態で届くため、問題の解決もより迅速に行えるようになりました。
「手作業の多くが不要になり、問題の解決も早くなりました。そのおかげで空いた時間を、より重要な業務に充てることができます。」
別のベンダーからダークウェブの監視機能を統合したことが、最も顕著な統合事例でしたが、それだけではありません。コードスキャン、サポート終了の検知、到達可能性の確認、および漏洩認証情報のフィードが、現在はすべて一か所に集約されており、チームはそこから1日の業務を開始しています。それぞれ独自の方法で情報を表示するコンソールの間を行き来する代わりに、注目すべき事項を一元的に把握できる単一の画面から作業を行っています。
このパートナーシップは実践的なものとなっています。依頼は Aikidoの経営陣に直接届き、チームは1日以内に回答や対応を得ています。迅速な対応が求められるセキュリティチームにとって、これほどのスピードで対応してくれるベンダーは、まさに価値ある存在です。
「CEOやCROから直接フィードバックをもらえるのは、他のどこにもなかったことです。どんなリクエストにも回答があり、どのタスクも24時間以内に完了しました。」
コグニズムが Aikido
すでに利用中
- 動作終了の検知。
- 到達可能性分析を伴うSAST SCA 。
- AutoTriage と AutoFix。
- 漏洩した認証情報を対象としたダークウェブの監視。
導入計画
- デバイスの保護機能。開発者のマシンにインストールされているパッケージや拡張機能を確認できるもので、チームによれば、他のエンドポイントツールにはない機能だという。
- 「Safe Chain」が開発者向けに提供開始される。
最終的な評価
「時間を確保し、誤検知を減らし、本当に重要なことに集中できる時間を増やす。」

