Ogaga Abuchi氏は、2021年から非常勤CISOとして、ヘルスケア、フィンテック、SaaS分野の企業を支援してきました。2023年には、Nerdioを含む複数の組織で非常勤として働き始めました。
現在、オガガ氏はNerdioで製品およびアプリケーションセキュリティを管理しており、同時に非常勤CISOとして他の組織へのアドバイスも継続しています。この二重の視点が、彼女のツール評価方法を形成しています。ツールは1つの企業だけでなく、複数の環境、成熟度レベル、および制約全体で機能する必要があります。
ひと目で
- お話を伺った人物: オガガ・アブチ氏、Nerdioの非常勤CISO兼情報セキュリティマネージャー
- 企業: Nerdio(Azure Virtual Desktop & Windows 365管理プラットフォーム)
- 主な課題:限られた時間、予算、ノイズ許容度の中で、チーム横断的なアプリケーションセキュリティの拡大
- Aikido以前:高価なアプリセキュリティツールは誤検知率が高く、有効なシグナルが乏しい
- Aikido : SAST、DAST、依存関係及びSBOM 、開発者ワークフロー、経営層向けレポート
- 主な成果: ノイズ低減、修復の迅速化、開発者の作業時間増加
課題: 混乱を拡大させずにセキュリティをスケールさせること
オガガ氏の視点からすると、ほとんどのセキュリティ問題は技術的なものではなく、構造的なものです。
中小企業と協力する非常勤CISOとして、彼女は常に同じ制約に直面しています。
- 小規模なセキュリティチームと限られた実務能力
- 厳しい予算で、大規模なエンタープライズツールをサポートできない
- ツールスプロール、複数の重複するツールが資金と注意力を奪う状態
- 文化的な抵抗、特にセキュリティが開発速度を低下させると懸念する開発者からのもの
- プロアクティブなセキュリティではなく、事後対応的な火消しへの絶え間ない傾倒
ナーディオでは、基盤は既に比較的成熟していた:経験豊富な開発者、定期的なセキュリティ研修、内部およびペネトレーションテスト、そして調査結果を真剣に受け止めるリーダーシップ。
しかし、その成熟度をもってしても、オガガ氏は見慣れたリスクを認識していました。
適切なツールがなければ、チームはアラートに埋もれるか、あるいはアラートを全く信用しなくなってしまいます。
ソリューション: 開発者が実際に耳を傾けるAppSecプラットフォーム
以前 Aikido、Nerdioは別のAppSecツールを使用していました。それは高価で、煩わしく、頻繁に古くなっていました。ほとんどの発見は実際の問題ではないことが判明し、開発者との生産的な対話を困難にしていました。
それが限界点でした。
代替案を調査し、過去の経験を踏まえて、オガガは導入した Aikidoを導入した。
すぐに際立っていたのは、カバレッジだけでなく、シグナル品質でした。
Aikido サードパーティライブラリとSBOMにおける真の問題点を浮き彫りにし、誤検知を減らし、開発者が理解できる形で調査結果を説明しました。
私たちは現実の問題ではないことに時間をかけすぎていた。合気道では Aikidoでは、再び真の脆弱性に取り組んでいるのです。」
ナーディオでは、 Aikido がリポジトリとワークフローに統合されました。チームSAST DAST積極的に活用しており、IDEでの利用へと段階的に拡大中。これにより問題をより早期に捕捉可能です。クラウドスキャンとAIペネトレーションテストが次なるロードマップです。
オガガは特に AikidoのAIによるガイダンスを特に気に入っている。
「問題の箇所と修正方法を教えてくれる点が気に入っています。プルリクエストを自動で開くことはしませんが(開発者から反発されるでしょうから)、提案は非常に役立ちます。」
結果:ノイズ減少、信頼性の向上、時間の節約
合気道の最も顕著な影響は Aikido がNerdioにもたらした最も顕著な影響は、セキュリティ業務がどれほど静かになったかということだ。
Ogagaは時々、確認を怠らないよう自らに言い聞かせる必要があります。
「日によっては非常に静かで、脆弱性の報告に行くことを自分に言い聞かせなければならないほどです」
その静けさは、カバレッジ不足ではない。 ノイズ 低減ノイズ 優先順位付けの改善の結果だ。
従来のツールではスキャンごとに数百件の検出結果が生成され、その大半が誤検知として却下されていたが、 Aikido はチームが真に重要な点に集中するのを支援します。開発者は検出結果について議論する時間を減らし、修正に充てる時間を増やせます。
これにより、セキュリティリーダーとしてのOgagaの仕事も容易になりました。開発者が発見事項に疑問を呈した場合、彼女は開発者の言語で明確なコンテキスト、コードスニペット、説明を提示できます。
結果:
- より迅速な修復
- 偽陽性の減少
- セキュリティツールに対する開発者の信頼向上
- 発見事項の手動トリアージにかかる時間の削減
- 全体的により堅牢なアプリケーションセキュリティプログラム
非常勤CISOの視点から見ると、その重要性はさらに増します。
複数の組織を同時に担当する場合、節約された時間はすべて複合的に効果を発揮します。
ナーディオが合気道の活用を拡大する方法 Aikido
既に利用中
- SAST
- DAST
- 依存関係スキャン(SCA)
- SBOM
- 開発者ワークフロー
- 経営層向けレポート
養子縁組を計画中
概要:時間的制約のあるセキュリティリーダー向けツール
オガガのために、 Aikido は単なるNerdioツールではない。彼女の分担CISOツールキットの一部なのだ。
彼女は長年にわたり多くのAppSecプラットフォームを活用し評価してきた。その文脈において、 Aikido はそのシンプルさ、明快さ、開発者フレンドリーな設計において際立っている。
「すべてがシンプルです。ログインするとすぐに、何をすべきか理解できます。」
大規模なセキュリティ組織を構築することなく、セキュリティレベルを向上させる必要があるあらゆる企業に役立ちます。
もしオガガが要約するとしたら Aikidoの価値を一言で説明するとしたら、部分的なCISOの視点から?
「時間を削減します。」
