一目でわかる
- たった1人のセキュリティエンジニアが、1日70~80回リリースを行う50人の開発者を担当している
- Omneaでは、新規コードの80%以上がAIによって生成されている
- 「Chose」 Aikido 6週間のSnyk実証実験を経て、Snykではなく合気道を選んだ
- 採用されました Aikido を、Omnea初の専用AppSecツールとして採用しました。これまでに置き換えるべきツールは存在しませんでした
- Aikido 開発者のワークフローにおいて、約90%の時間は静かに存在している
- 誤検知率が低いため、エンジニア1人でもすべてのアラートを信頼して対応することができます
- SOC 2の証拠データはVantaに連携され、ライセンスレポートはオンデマンドで投資家のデューデリジェンスに対応します
- AIを活用したペネトレーションテストの試験運用を行い、デバイス保護機能の導入を計画中
課題
Omneaは、AIネイティブの調達企業であり、Spotify、MongoDB、Monzoなどのグローバル企業を顧客に抱えています。同社は、積極的に人材を採用し、継続的に成果を生み出すチームを通じて、これらの顧客にサービスを提供しています。このチームが初めて導入したのは Aikidoを導入した当初、開発者は14名で、急速に拡大していました。セキュリティ体制は、リリースの妨げになることなくエンジニアリング部門の拡大に合わせて拡張できる必要があり、同時に企業の調達審査にも耐えうるものでなければなりませんでした。
「Aikido 当初、Aikido チームの規模拡大に合わせて拡張できるセキュリティツールが必要でした。当時は開発者が14名で、急速に成長していた時期でした。セキュリティを確保しつつ、エンタープライズ顧客への提供を妨げることなく、開発の足かせにならないようなソリューションが必要だったのです。」
ソリューション
Aikido Aikidoは、単一のプラットフォーム上で広範なアプリケーションセキュリティ領域をカバーし、目立たない存在であり続けたことで開発者からの支持を獲得しました。エンジニアの作業を中断するのは、実際に確認すべき問題がある場合のみです。
「当社の開発者たちはAikido を使っていますが、それが大きな障害になることはありません。90%の時間は、バックグラウンドで静かに動作しているだけです。半分の時間、ほとんどの開発者はその存在を忘れてしまいます。何かが本当に起きたときだけ、開発者たちを巻き込むのです。」
Omnea 接続済み Aikido を、エンジニアリングおよびセキュリティ部門が既に使用していたツール(GitHub、Linear、Vanta)と連携させました。Vantaとの連携により、チームによるSOC 2監査への対応方法が刷新されました。
「Aikido 、Linear、Aikido 統合しました。当社のSOC 2対応ツールであるVantaと組み合わせることで、Aikido 監査人に、特別な設定を必要とせず、すぐに証拠Aikido 。過去の記録をさかのぼって特定の課題を抽出する必要はありません。」
Omneaでは、AIが生成したコードはもはや例外ではなく、当たり前となっています。これにより、コードベースの進化のスピードが変わり、セキュリティツールが対応すべき対象も変わってきています。
「現在、当社のコードの80%以上はAIによって生成されています。物事がこれほど急速に変化し、移り変わっていく中で、自分たちの作業内容をチェックしてくれるツールがあることは、本当に重要です。」
オムネアが選んだ理由 Aikido
オムネアの重量は Aikido をSnykやいくつかの既存ツールと比較しました。決定的な要因となったのは、その使いやすさでした Aikido が最初から扱いやすかった点でした。透明性のある価格設定、導入直後から利用できる幅広い機能、そして機能リクエストを数日で実装してくれるチームが決め手となりました。
「最初から、Aikido はるかに扱いAikido 明らかでした。価格設定が透明で、より独創的であり、対応も迅速なチームAikido 。そのため、選択は明確で簡単でした。」
Snykによる評価との違いは一目瞭然でした。6週間の試用期間を経て、応答性の差がはっきりと明らかになりました。そこでは Aikido は翌日にはフィードバックを返してくれた。
- 強制的な数週間にわたる評価サイクルがなく、透明性の高い価格設定
- SAST、SCA、AutoFixなど、SCA 超える幅広い標準機能
- 機能リクエストに四半期単位ではなく、数日単位で対応するチーム
- GitHub、Linear、Vanta とのネイティブ連携
- AIネイティブなエンジニアリングチームのスピードに合わせて構築されたプラットフォーム
結果
人員を増やさずに、時代の変化に対応できるセキュリティ
~と Aikido、Omneaは、より騒がしい、あるいは手作業の多いツールでは維持するのが難しいような比率を実現しています。つまり、1人のセキュリティエンジニアが50人の開発者を担当しているのです。この比率が維持できているのは、 Aikido がコード、クラウド、依存関係 網羅し、ノイズ 、たった1人のエンジニアでも全体像を把握し、フラグが立てられた箇所を信頼できるのです。
「Aikido 高いセキュリティ体制を維持したまま、エンタープライズ顧客向けにデプロイを行うAikido 。1日に70~80回、本番環境へデプロイを行っています。開発者50人に対してセキュリティエンジニアは1人しかいませんが、Aikido 面倒な作業をAikido おかげで、そのエンジニアがすべての業務をこなしています。」
チームが信頼できるアラート
スリムなセキュリティ体制が機能するのは、すべてのアラートが対応に値するものに限られる場合のみです。Omneaでは、誤検知によるノイズ がないノイズ 1人のエンジニアでも対応しきれるノイズ 。また、ツールがアラートを発した際には、開発者たちがそれを真剣に受け止めるのも、このためです。
「開発者たちは、Aikido 問題をAikido ときは、それが現実の問題であると信頼しています。ノイズ 誤検知が一切ないため、何かを確認した際には、修正すべき現実の問題が存在することがわかるのです。」
サプライチェーンのリスク、今や明らかになった
Aikido は、依存関係nea依存関係を通じて流れるサプライチェーンリスクの規模を、複数のレジストリに散在させるのではなく、一箇所に集約して可視化します。直近の3か月間では、前四半期に比べて7倍ものサプライチェーンの脆弱性が確認されましたが、そのすべてがチームに可視化されていました。
「開発者が脆弱性のあるパッケージや改ざんされたパッケージをインストールしてしまうことは非常にあり得ることなので、インストールされるものをブロックする仕組みがあることは本当に貴重です。」
デューデリジェンスルームで成果をもたらすセキュリティ
資金調達を行う企業にとっては、 Aikido は、オムニアが予想もしなかった形で成果をもたらした。投資家からセキュリティ体制が成熟しているという証拠を求められた際、その答えはすでに用意されていたのだ。
「Aikido 、投資家によるデューデリジェンスの対応にもAikido 。あらゆる種類のライセンスに関するレポートが即座に生成されたのです。投資家から尋ねられるまで、そのようなものがあることすら知りませんでしたが、おかげで問題は即座に解決しました。」
また、投資家が同社をどのように評価するかという点にも変化をもたらした。必要に応じて、証券の取り扱い状況を示すことができたため、一連の質問がそもそも持ち上がる前に、その話題自体を未然に防ぐことができた。
「資金調達を行う際、投資家はセキュリティ面において全般的に成熟していることを確認したいものです。Aikido 、当初から何の懸念Aikido 。私たちはセキュリティ対策をしっかりと把握しており、積極的な姿勢で取り組んでいると言えるでしょう。」
この同じ証拠の痕跡は、チームのSOC 2監査にも活用されており、そこでは Aikido は、誰かが手作業で課題を抽出することなく、SLA内で是正措置の証拠を監査人に提示します。
オムニアが Aikido
すでに利用中
- SAST SCA
- AutoFix
- SOC 2 証拠のための Vanta 連携
- ライセンスレポート
- Aikido Safe Chain
試験運用
- AIによるペネトレーションテスト。初期の実行は完了しており、継続的な実施が計画されている
「以前は、ペンテスト を行っていましたが、それは多くの場合、単なる形式的なチェックに過ぎませんでした。AIを活用したペネトレーションテストなら、問題をリリース直後に発見できます。誰かに見つかる前に修正できるのです。」
導入計画
- デバイスの保護
次の評価
- Aikido Zen :アウトバウンドおよび学習ベースのルールにおいて、AWS WAFの代替候補として
最終的な評価
「私たちにとって、Aikido 最大のメリットAikido 、電光石火のスピードで作業を進めながらも、常に安心感を保てることです。」

