コンテンツ・ディアーム・アンド・リコンストラクション(CDR)技術によるファイル保護を専門とする英国のサイバーセキュリティ企業Glasswallは、Snyk、Wiz Code、Black Duckを単一のソリューションに置き換えた Aikido の導入によりこれらを置き換え、2週間以内にVC Package C++のカバレッジを確保し、サポート対象のパッケージが関与するすべての本番パイプラインにSafe Chainを展開した。
一目でわかる
- Snyk、Wiz Code、Black Duckを以下のものに置き換えました Aikido
- VCパッケージのC++サポートは、リクエストから2週間以内に提供されました
- 脆弱な依存関係に対するワンクリック自動修正
- Azure DevOpsのリポジトリおよびコンテナレジストリに直接接続
- コード、依存関係、コンテナのセキュリティを1つのプラットフォームに統合
- サポート対象のパッケージに関連するすべての本番パイプラインにSafe Chainを導入しました
- 攻撃的テストの次の進化形としてのAIペネトレーションテストの評価
課題
クリス・ホルマン氏は、ファイルベースの脅威から組織を保護することに注力する英国のサイバーセキュリティ企業、グラスウォール(Glasswall)でアプリケーションセキュリティ部門を率いている。グラスウォールは、自社の製品に対して行うのと同じ厳格な基準で、自社のアプリケーションセキュリティ(AppSec)ツールを評価した。
クリスがその役職に就いた当時、グラスウォールのアプリケーションセキュリティ環境は、時間の経過とともに複数のベンダーにまたがる形で徐々に拡大していた。
Snykは依存関係のスキャンを担当し、Wiz Codeはコードレベルの分析を担当し、Black Duckはオープンソースのガバナンスを担当し、SonarQubeはコード品質を担当していました。各ツールは特定の課題を解決していましたが、それらを組み合わせることで運用上の複雑さが生じていました。開発者たちは以前、信頼できない検出結果を生成するツールに悩まされた経験があり、セキュリティチームは問題を修正ノイズ 、有用なノイズ 区別することに時間を費やしていました。
「当社では、Snyk、Wiz Code、Black Duckをそれぞれ別の部署で導入していました。どれも単体で見れば優れたツールでしたが、組み合わせると大混乱でした。」
ツールの重複により、調査結果の重複や優先順位の不統一が生じ、管理上の負担も増大していました。また、調達にかかるコストは、チームが得られる価値を上回るほど膨れ上がっていました。
一方で、チームのC++環境もまた新たな課題をもたらしました。Glasswallは「VC Package」に大きく依存していますが、この依存関係管理ツールは、多くの最新スキャナーでは対応が不十分であるか、あるいはまったくサポートされていませんでした。チームは、エンジニアリングチームに回避策を強いるのではなく、自社の環境と直接連携できるカバレッジツールを必要としていました。
「私たちの環境はVC Packageに大きく依存しています。評価したスキャナーのほとんどは、これをサポートしていなかったか、サポートしていても不十分でした。 Aikido は実装を確約し、2週間でリリースしてくれました。」
ソリューション
クリスにとって、最大の差別化要因は実行速度と対応の速さだった。
大手ベンダーが四半期ごとのリリースサイクルで運営していたのに対し、 Aikido は要望された機能を数週間以内に提供した。VCパッケージのサポートが、その最も顕著な例となった。Glasswallが要件を提示した後、 Aikido は2週間以内に本番環境向けのサポートを提供した。その迅速な対応により、評価は即座に変わった。
グラスウォールもまた Aikido をWiz Codeと並行して、同じ本番コードベース上で評価プロセス中に実行しました。その結果は十分に比較可能なものであり、その経済性は無視できないものとなりました。
「私たちは走った Aikido とWiz Codeを並行して実行しました。その結果は互角であり、 Aikido のコストはごくわずかでした。その瞬間、決定が下されました。」
Aikido また、GlasswallのAzure DevOpsリポジトリおよびコンテナレジストリに直接統合され、チームはコード、依存関係、コンテナ全体を一元的に把握できるようになりました。
導入も同様のペースで進んだ。わずか1日で、Glasswallはゼロから Aikido の導入が、すべてのパイプラインを網羅する完全なカバレッジへと移行した。Azureリポジトリやコンテナレジストリの接続は、パイプラインテンプレートの構築やCLIツールの手動注入を必要とせず、クリック一つで完了した。これは、エンジニアリング時間が最も希少なリソースである小規模DevSecOps にとって、極めて重要な点であった。
Glasswallはまた、 Aikido Safe Chainを導入しました。悪意のあるパッケージがいかに急速に拡散し得るかを露呈した最近のサプライチェーン関連のインシデントを受け、Safe Chainは、公開されているCVEデータベースのみに依存するのではなく、依存関係 をチェックします。
「問題があるかどうかを判断するために、公開されているCVEデータベースだけに頼ってはいけません。そのパッケージを詳細に分析し、インストールする前に安全に使用できるかどうかを確認する必要があります。」
脆弱性のある依存関係のアップグレードにおいて、Glasswallは必要な手作業の工数を大幅に削減しました。開発者は、同じワークフロー内で問題点と修正手順の両方を確認できるようになり、自動生成されたプルリクエストが直接 Aikidoによって直接生成されるようになりました。
「依存関係、ボタンひとつで済みます。PRもテストも用意されているので、マージするだけです。」
Glasswallにとって、ロードマップは現在の機能と同じくらい重要でした。サイバーセキュリティ企業として、チームは現在のアプリケーションセキュリティ(AppSec)ツールの状況だけでなく、今後数年間で攻撃的セキュリティテストがどのような方向に向かうのかについても評価していました。その中で、AIを活用したペネトレーションテストが重要な兆候として浮上しました。クリスにとって、これは Aikido が、従来のスキャンワークフローにとどまらず、今後数年間で攻撃的セキュリティテストがどのように進化していくかを真剣に考えていることを示していた。
「皆さんがマルチエージェントAIを活用したペネトレーションテストの手法で取り組んでいることは、やがて新しい標準となるでしょう。バグ報奨金制度が廃れつつあるわけではありませんが、今では多くの研究者がAIを活用しています。私たち自身も、エクスプロイトを見つけるためにAIを取り入れてみてはどうでしょうか?」
Glasswallが選ばれた理由 Aikido
最終的に、いくつかの要因がこの決定につながりました:
- VCパッケージとC++のサポートを2週間以内に提供
- Azure DevOpsおよびコンテナレジストリとのネイティブ連携
- Wiz Codeと同等の成果を、大幅に低コストで実現
- コード品質管理を単一のプラットフォームに統合
- 依存関係の修正のためのワンクリック自動修正
- AIを活用した攻撃的テストに沿ったロードマップ
結果
最も顕著な成果は統合でした。Snyk、Wiz Code、Black Duckは、単一の Aikido による単一依存関係導入体制へと置き換えられました。その影響は調達コストの削減にとどまりませんでした。統合により運用上の複雑さが軽減され、優先順位の決定が簡素化され、セキュリティチームは複数のベンダーに分散していた断片的なツール群の代わりに、単一のワークフローを利用できるようになりました。
Glasswallは、さらなる攻撃対象領域への対応範囲の拡大も続けています。今後の優先事項の一つは、ビルドエージェントのインフラ自体を保護することです。
「ビルドエージェントは、私たちの最優先のターゲットです。これらに対して、真に多層的なセキュリティ対策を講じることが何よりも重要です。 Aikido Device Protection」をビルドエージェントに適用することで、より広範なエコシステムの安全性を確保できます。」
クリスにとって、AIを活用した攻撃テストは、今日のアプリケーションセキュリティにおいて起きている最も重要な変化の一つである。
「AIを活用したペネトレーションテストは、今後新たな標準となるでしょう。すでに多くの研究者がAIを利用して脆弱性を発見しています。セキュリティチームも同様のアプローチを取り入れる必要があります。」
Glasswallの活用方法 Aikido を
現在使用中
- SAST SCA
- VCパッケージ / C++の依存関係カバレッジ
- コンテナのスキャン
- シークレット・ディテクション
- コード品質
- サプライチェーン保護のためのセーフチェーン
- AI 自動修正機能
- Azure DevOps とコンテナレジストリの連携
次は計画
- Aikido ビルドエージェントのデバイス保護
評価
最終的な評価
「私たちにとって重要なのは、人間的なアプローチです。私たちと同じスピードで動けるパートナーが必要であり、 Aikido はそれができるのです。」
