Ogaga Abuchi氏は、2021年から非常勤CISOとして、ヘルスケア、フィンテック、SaaS分野の企業を支援してきました。2023年には、Nerdioを含む複数の組織で非常勤として働き始めました。
現在、オガガ氏はNerdioで製品およびアプリケーションセキュリティを管理しており、同時に非常勤CISOとして他の組織へのアドバイスも継続しています。この二重の視点が、彼女のツール評価方法を形成しています。ツールは1つの企業だけでなく、複数の環境、成熟度レベル、および制約全体で機能する必要があります。
一目でわかる
- お話を伺った人物: オガガ・アブチ氏、Nerdioの非常勤CISO兼情報セキュリティマネージャー
- 企業: Nerdio(Azure Virtual Desktop & Windows 365管理プラットフォーム)
- 主な課題:限られた時間、予算、そしてノイズへの許容度の中で、チーム全体でアプリケーションセキュリティをスケールさせること
- Aikido導入前: 誤検知が多く、シグナルが弱い高価なAppSecツール
- Aikidoの用途: SAST、DAST、依存関係とSBOMのスキャン、開発者ワークフロー、役員向けレポート
- 主な成果: ノイズの削減、迅速な修正、開発者の時間増加
課題: 混乱を拡大させずにセキュリティをスケールさせること
オガガ氏の視点からすると、ほとんどのセキュリティ問題は技術的なものではなく、構造的なものです。
中小企業と協力する非常勤CISOとして、彼女は常に同じ制約に直面しています。
- 小規模なセキュリティチームと限られた実務能力
- 厳しい予算で、大規模なエンタープライズツールをサポートできない
- ツールスプロール:複数の重複するツールが費用と注意力を浪費する状態
- 文化的な抵抗、特にセキュリティが開発速度を低下させると懸念する開発者からのもの
- プロアクティブなセキュリティではなく、事後対応的な火消しへの絶え間ない傾倒
Nerdioでは、経験豊富な開発者、定期的なセキュリティトレーニング、内部および外部のペネトレーションテスト、そして調査結果を真剣に受け止めるリーダーシップにより、ベースラインはすでに比較的成熟していました。
しかし、その成熟度をもってしても、オガガ氏は見慣れたリスクを認識していました。
適切なツールがなければ、チームはアラートに埋もれるか、あるいはアラートを全く信用しなくなってしまいます。
ソリューション: 開発者が実際に耳を傾けるAppSecプラットフォーム
Aikidoを導入する前、Nerdioは別のAppSecツールを使用していました。それは高価で、ノイズが多く、しばしば時代遅れでした。ほとんどの発見は実際の問題ではないことが判明し、開発者との生産的な会話が困難になりました。
それが限界点でした。
代替案を調査し、以前の経験に基づき、オガガ氏はAikidoを導入しました。
すぐに際立っていたのは、カバレッジだけでなく、シグナル品質でした。
Aikidoは、サードパーティライブラリやSBOMにおける実際の課題を明らかにし、誤検知を削減し、開発者が理解できる方法で検出結果を説明しました。
「実際の問題ではないことに多くの時間を費やしていました。Aikidoのおかげで、再び真の脆弱性に取り組むことができています。」
Nerdioでは、Aikidoは現在、リポジトリとワークフローに統合されています。チームはSASTとDASTを積極的に使用しており、問題をさらに早期に検出できるよう、IDEでの使用へと導入が徐々に拡大しています。クラウドスキャンとAIペンテストが次のロードマップに含まれています。
Ogagaは、AikidoのAI駆動ガイダンスを特に気に入っています。
「問題の箇所と修正方法を教えてくれる点が気に入っています。プルリクエストを自動で開くことはしませんが(開発者から反発されるでしょうから)、提案は非常に役立ちます。」
結果:ノイズの低減、信頼性の向上、実質的な時間節約
NerdioにおけるAikidoの最も顕著な影響は、セキュリティ作業がどれほど静かになったかということです。
Ogagaは時々、確認を怠らないよう自らに言い聞かせる必要があります。
「日によっては非常に静かで、脆弱性の報告に行くことを自分に言い聞かせなければならないほどです」
その静けさは、カバレッジの不足ではありません。それは、ノイズの低減とより良い優先順位付けの結果です。
1回のスキャンで何百もの検出結果を生成し、そのほとんどが誤検知として却下されていた以前のツールと比較して、Aikidoはチームが本当に重要なことに集中できるよう支援します。開発者は検出結果について議論する時間を減らし、修正する時間を増やすことができます。
これにより、セキュリティリーダーとしてのOgagaの仕事も容易になりました。開発者が発見事項に疑問を呈した場合、彼女は開発者の言語で明確なコンテキスト、コードスニペット、説明を提示できます。
結果:
- より迅速な修復
- 誤検知の削減
- セキュリティツールに対する開発者の信頼向上
- 発見事項の手動トリアージにかかる時間の削減
- 全体的により堅牢なアプリケーションセキュリティプログラム
非常勤CISOの視点から見ると、その重要性はさらに増します。
複数の組織を同時に担当する場合、節約された時間はすべて複合的に効果を発揮します。
NerdioがAikidoの利用をどのように拡大しているか
既に利用中
- SAST
- DAST
- 依存関係スキャン(SCA)
- SBOMスキャン
- 開発者ワークフロー
- 経営層向けレポート
導入計画
概要:時間的制約のあるセキュリティリーダー向けツール
Ogagaにとって、Aikidoは単なるNerdioツールではありません。彼女の非常勤CISOツールキットの一部です。
彼女は長年にわたり多くのAppSecプラットフォームを使用し評価してきました。その中で、Aikidoはそのシンプルさ、明瞭さ、そして開発者フレンドリーなデザインで際立っています。
「すべてがシンプルです。ログインするとすぐに、何をすべきか理解できます。」
大規模なセキュリティ組織を構築することなく、セキュリティレベルを向上させる必要があるあらゆる企業に役立ちます。
Ogaga氏が非常勤CISOの視点から、Aikidoの価値を1文で要約するとしたらどうなりますか?
「時間を削減します。」
