一目でわかる
- 複数のセキュリティツールを統合し、単一のAppSecおよびクラウドセキュリティプラットフォームにまとめました
- 95のリポジトリ、31のコンテナレジストリ、および9つのクラウド環境に統合されています
- Ruby、Python、およびコンテナ化されたサービスを活用する開発者をサポートします
- ソフトウェアのサプライチェーンのセキュリティと依存関係の可視性を強化する
- Dependabot や Detectifyを含む、分散していたセキュリティツールを一元化しました
課題
成長を続ける採用プラットフォームを運営するHeyJobs社は、エンジニアリング組織を拡大するにつれ、セキュリティツールもそれに伴って自然と増えていきました。各チームは、依存関係監視、コードのスキャン、セキュリティアラートの生成など、それぞれ異なるシステムに依存していました。これらのツールはそれぞれ特定の問題に対処してはいましたが、その結果、セキュリティワークフローが断片化され、管理がますます困難になっていきました。
セキュリティに関する情報は複数のプラットフォームに分散しており、各プラットフォームが独自のアラートやダッシュボードを生成していました。エンジニアは、リスクを把握し、問題を関連付け、対応が必要な事項を判断するために、システム間を行き来しなければなりませんでした。このため、脆弱性 が遅れ、企業のセキュリティ態勢を一貫して把握することが困難になっていました。
HeyJobsのCTOであるボリス・ディーボルト氏は、導入前の環境について次のように説明している Aikidoについて次のように説明しています:
「以前は、さまざまなツールがバラバラに存在していました。Dependabotや、セキュリティアラート用の別のツール、そしていくつかの社内ツールを併用していました」。
時間の経過とともに、ツールの乱立により複雑さと管理負担が増大しました。各製品ごとに独自の設定、ワークフロー、アラート管理が必要となり、チームが最も重要なセキュリティ課題に集中することが難しくなっていました。
ボリスは次のように説明している:
「これほど多くの異なるツールがある中で、その拡大を管理するのはいつも難しいものです。」
Aikido「2026年 セキュリティおよび開発分野におけるAIの現状」レポートによると、セキュリティツールスプロール インシデントの増加とツールスプロール 明らかになった。
HeyJobsは、システム全体にわたる強固なセキュリティ体制を維持しつつ、脆弱性の特定と管理のプロセスを簡素化する方法を探し始めました。
ソリューション:文脈を提供するために構築されたプラットフォーム
評価プロセスにおいて、HeyJobsチームはSnykを含む複数のアプリケーションセキュリティツールを検討しました。多くのソリューションは、依存関係のスキャンやインフラストラクチャの分析など、特定のセキュリティ領域に重点を置いていました。これらのツールは個々の領域において強力な機能を提供していましたが、導入するには既存のセキュリティスタックにさらに別の製品を追加しなければならないことが多々ありました。
HeyJobsにとっての目標は、単に新たなスキャナーを導入することではなく、セキュリティに関する知見をエンジニアや経営陣に提供する方法を改善することでした。チームは、開発スタック全体から脆弱性 を集約し、チームがそれに基づいて迅速に対応できるよう、分かりやすく提示できるプラットフォームを求めていました。
ボリスは次のように説明している:
「すべてのシグナルを1つのプラットフォームに集約したかったのです。そうすれば、シグナルを管理するために、さらに10種類のツールや、その上に重ねて使う別のツールを用意する必要がなくなるからです。」
Aikido Aikidoが際立っていたのは、これらのシグナルを単一の環境に統合した点にある。エンジニアリング組織は、複数のダッシュボードやアラートシステムを個別に管理する代わりに、単一のインターフェースからコード、コンテナ、インフラストラクチャにまたがるリスクを把握できるようになった。これにより、どの問題に注意を払うべきか、またそれらをどのように対処すべきかを理解することが、格段に容易になった。
この統合ビューにより、経営陣は組織のセキュリティ態勢をより明確に把握できるようになりました。レポートや指標は脆弱性に関する全体像を示す一方で、エンジニアがそれらを解決するために必要な技術的な詳細を掘り下げて確認することも可能にしました。
実装
HeyJobsは当初、 Aikido は、概念実証(PoC)として少数のリポジトリを連携させる形で導入されました。その目的は、プラットフォームがセキュリティに関する知見をどの程度効果的に抽出できるか、また既存のエンジニアリングワークフローとどの程度統合できるかを評価することでした。
このプラットフォームの価値はすぐに明らかになった。
「それが、私たちが当初スタートした経緯です。最初はいくつかのリポジトリを試験的に連携させたところ、すぐに効果が現れ、非常に順調な滑り出しだったと言えます」と、ボリスは に語った。
評価が順調に進んだことを受け、HeyJobsはエンジニアリング組織全体へと導入を段階的に拡大しました。現在、このプラットフォームは95のリポジトリ、31のコンテナレジストリ、9つの接続されたクラウド環境を監視するとともに、複数のドメインやAPIも追跡しています。また、同社のGitHub環境と直接連携し、PagerDutyなどの運用ツールにアラートを送信することで、重大な問題を迅速に検知できるようにしています。
Aikido合気道の改善能力も、導入において重要な役割を果たした。
クラウドインフラストラクチャおよびセキュリティ担当チームリーダーのロドリゴ・オリベイラ氏は、この機能の意義について次のように強調しています:
「特に、このプラットフォームのAutoFix機能により、特定の脆弱性を自動的に、あるいは開発者による手作業を最小限に抑えて解決することが可能です。」
検知、優先順位付け、および是正措置のガイダンスを単一のプラットフォームに統合することで、 Aikido Aikidoにより、HeyJobsは散在していたアラートから、より明確で実行可能なセキュリティワークフローへと移行することができました。
HeyJobsが選ばれた理由 Aikido
HeyJobsが選定 Aikido を選んだ理由は:
- 複数のセキュリティ信号を1つの統合プラットフォームに集約します
- コード、コンテナ、クラウドインフラストラクチャを幅広くカバーしています
- 脆弱性 と是正措置に関する明確な指針を提供します
- 手作業による開発者の負担を軽減するAutoFix機能が搭載されています
- ソフトウェアのサプライチェーンリスクや依存関係の脆弱性の管理を支援します
- 導入を促進する直感的な開発環境を提供します
結果
攻撃対象領域の縮小
導入による最も重要な成果の一つは Aikido の導入による最も重要な成果の一つは、HeyJobsのシステム全体における脆弱性の潜在的な影響を低減できたことです。リポジトリ、コンテナ、クラウド構成を横断した継続的な監視により、問題を早期に特定し、サービスや環境全体に広がる前に対処することが可能になりました。
ロドリゴ・オリベイラは、その改善点を実用的な観点から次のように説明している:
「現時点では、当社のアプリケーションが及ぼす影響の範囲は、かなり狭いと言えるでしょう。」
早期に脆弱性を把握することで、チームは脆弱性が発見された際に迅速に対応できるようになり、セキュリティ上の弱点が長期間にわたり見過ごされるリスクを低減できます。この予防的なアプローチにより、同社は開発スピードを維持しつつ、セキュリティ体制全体を強化することに成功しました。
開発者の意識の高まり
もう一つの重要な成果は、開発者のセキュリティ意識が高まったことです。脆弱性について明確な説明と修正手順を示すことで、 Aikido は、エンジニアがセキュリティ問題の影響や対処方法を理解する手助けとなります。こうした可視化により、チームの開発判断へのアプローチは徐々に変化していきます。時間の経過とともに、開発者はコンテナの設定、依存関係のバージョン、インフラストラクチャの構築といった分野における一般的なリスクをより深く認識するようになります。
ロドリゴ・オリベイラは、日常の開発業務における具体的な例を挙げてこれを説明しています:
「今や、root権限を持つDockerイメージは、あまり良いものではないかもしれないということは、誰の目にも明らかだ。」
こうした知見は、開発ワークフローに支障をきたすことなく、エンジニアがより安全なデフォルト設定を採用し、組織全体のセキュリティ対策の向上を図るよう促します。
脆弱性 明確にする
多くのセキュリティツールは、その影響や対処方法を明確に説明することなく、大量のアラートを生成します。そのため、エンジニアは問題が本当に重要かどうかを判断する前に、調査に時間を費やさざるを得ないことがよくあります。 Aikido は、脆弱性の深刻度、潜在的な影響、推奨される修正手順など、脆弱性に関する追加のコンテキストを提供することで、この課題に対処します。これにより、開発者はどの問題に注意を払うべきか、またどのように対処すべきかを迅速に把握できるようになります。
ロドリゴ・オリベイラは、これがもたらす違いについて次のように説明している:
「一部のツールには、脆弱性 修正方法脆弱性 潜在的な影響に関する情報が不足していますが、 Aikido 「Aikidoなら、何が起こるか予測できます。」
優先順位の明確化と是正措置の指針により、HeyJobsのエンジニアは、最も重要な脆弱性への対応に注力できるようになりました。
サプライチェーンのセキュリティ強化
HeyJobsの経営陣にとって、ソフトウェア・サプライチェーンのセキュリティは依然として最も重要な懸念事項の一つです。現代のアプリケーションはオープンソース依存関係大きく依存しており、それらの依存関係 に存在する脆弱性は、瞬く間に複数のサービスに影響を及ぼす依存関係 。 Aikido は、依存関係ツリーを分析し、直接的および依存関係の両方にわたる脆弱性を特定することで、これらのリスクに対するより深い可視性を提供します。これにより、チームは新たに公開された脆弱性が自社のシステムに影響を与えるかどうか、またその修正がどれほど緊急を要するかを迅速に判断できるようになります。
ボリスはこの機能の重要性を次のように要約している:
「夜も眠れないほど頭を悩ませている主な要因の一つは、サプライチェーン管理への攻撃だと思います。」
依存関係の脆弱性やサプライチェーンのリスクに対する可視性が向上したことで、チームはこれらの脅威を迅速に検知し、対処できるという確信を強めている。
.png)
HeyJobsが Aikido
すでに利用中
次の評価
改善を促進するセキュリティ指標
Aikido また、AikidoはHeyJobsに対し、エンジニアリング組織全体での改善状況を追跡するのに役立つ有意義なセキュリティ指標を提供しています。これらの知見により、経営陣は脆弱性が時間とともにどのように変化しているかを監視し、社内のセキュリティ目標に対する進捗状況を測定することができます。
プラットフォームによって生成されるセキュリティ指標は定期的に検証され、各チームがサービス全体の脆弱性に対処している効果を評価するために活用されています。このデータ主導のアプローチにより、組織はセキュリティを抽象的な目標ではなく、測定可能なエンジニアリング分野として扱うことができるようになります。
最終的な評価
HeyJobsより、 Aikido は、同社のセキュリティ戦略の中核をなす要素となっています。脆弱性 単一のプラットフォームに集約することで、同社はセキュリティリスクに対する可視性を高めつつ、複数のツールを管理することに伴う運用負担を軽減することに成功しました。
開発者は、より明確な修正ガイダンスや「AutoFix」などの自動化機能を活用できる一方、経営陣は組織のセキュリティ態勢を包括的に把握できます。この組み合わせにより、HeyJobsは、先を見据えた適切に管理されたセキュリティプログラムを維持しつつ、エンジニアリング組織を拡大することが可能になります。
