Aikido

Oncourseが全社的なデジタルトランスフォーメーションの過程で、アプリケーションの実行状況を可視化した方法

ある顧客対応サービス企業は、手動によるセキュリティプロセスと静的なWAF制御を、実行時のアプリケーション可視化に置き換えたことで、セキュリティチームが真の脅威に優先的に対処し、是正措置の迅速化を図り、全社的なデジタルトランスフォーメーションを推進できるよう支援した。

一目でわかる

  • ランタイム・アプリケーション自己保護(RASP)を導入し、 Aikido Zen
  • IDEからCI/CD 、そして実行時CI/CD セキュリティ可視性の拡大
  • AIを活用した優先順位付けと修正提案により、修復速度が向上しました
  • 大規模なデジタルトランスフォーメーションにおいて、SLAの是正目標を達成した
  • 経営陣および取締役会向けのセキュリティ報告機能を導入した
  • セキュリティ関連ノイズ 低減しノイズ チームが最も重要な脆弱性に集中できるようにした
  • 開発者のワークフローにセキュリティ機能を直接統合

課題

Oncourse Home Solutionsは、クラウドインフラ、最新アプリケーション、デジタル体験への依存度が高まっている顧客向けデジタルサービスを運営しています。同社がデジタルトランスフォーメーションを加速させるにつれ、アプリケーションの複雑性は急速に増大しました。新しいクラウドサービス、システム連携、顧客向け機能の導入により、ビジネスチャンスが拡大する一方で、組織が直面する脅威の範囲も拡大しました。

最高情報セキュリティ責任者(CISO)のジョシー・アラパット氏にとって、課題は、セキュリティがビジネスのペースに合わせて進化できるようにすることでした。

「私たちはデジタルトランスフォーメーションの真っ最中であり、多くのクラウドサービスや、そこに組み込まれた複雑な仕組みを扱っていた一方で、脅威の状況が変化しつつあることに気づいていました。」

セキュリティチームはすでにツールを導入していたが、プロセスの多くは依然として手作業で行われていた。

さまざまなツールが調査結果を生成し、各チームがログを確認し、セキュリティアナリストたちは、どの問題に実際に注意を払うべきかを判断するために多大な時間を費やしていました。欠けていたのは、リスクを一元的に把握できる視点と、セキュリティ対策の優先順位を決定するための信頼できる方法でした。

「ツールは導入済みでしたが、作業は手作業でした。全体像を把握できておらず、優先順位をどうつけるべきかも明確ではありませんでした。」

一方で、同組織のセキュリティアーキテクチャは、従来のWebアプリケーションファイアウォールやネットワーク制御に大きく依存していた。

多くのシナリオで有効ではあったものの、これらのツールには絶え間ない調整とルールのメンテナンスが必要でした。何がブロックされているのか、なぜブロックされているのか、そして変更が本番環境のアプリケーションにどのような影響を与えるのかを理解することは、しばしば運用上の負担となっていました。

「WAFの課題は、アプリケーションを停止させることなく、ルールセットを更新したり、何がブロックされているのかを把握したりすることです。」

チームには、実行中のアプリケーションの可視性を確保しつつ、開発者とセキュリティチームが共通の信頼できる情報源に基づいて作業できるよう支援するソリューションが必要でした。

ソリューション

Oncourseは、近代化イニシアチブの一環として、複数のセキュリティプラットフォームを評価しました。その過程で、ある要件がすぐに明らかになりました。それは、セキュリティ対策が従来のデプロイ前のスキャンにとどまらないものでなければならないということです。チームが求めていたのは、リリース前に静的スキャンで特定できる情報だけでなく、実行中のアプリケーション内部で実際に何が起きているのかという可視性でした。

Aikido は、Zen による実行時保護と、ソフトウェア開発ライフサイクル全体にわたる幅広いアプリケーションセキュリティ機能を組み合わせている点で際立っていました。導入はZen から始まり、開発およびデプロイのワークフロー全体へと徐々に拡大していきました。

今日では、セキュリティ機能はIDE、CI/CD 、Jiraワークフロー、および実行環境に直接統合されています。

別途のセキュリティプロセスを導入するのではなく、 Aikido は、すでに確立されていたソフトウェアの構築および提供プロセスの一部となりました。この決定において、開発者による採用が重要な役割を果たしました。ジョシー氏によると、このプラットフォームは余計な摩擦を生み出すことなく、実践的な指針を提供したため、エンジニアリングチームはすぐにこれを受け入れたとのことです。

実行時の可視性とAIを活用した優先順位付けの組み合わせにより、セキュリティチームによるリスク管理のアプローチも変化しました。チームは、膨大な数のアラートを手作業で確認する代わりに、本番環境のシステムに重大なリスクをもたらす脆弱性に注力できるようになりました。また、このプラットフォームはコード自体に紐づいた直接的な是正措置のガイダンスも提供したため、開発者は脆弱性の特定から解決までのプロセスを以前よりもはるかに迅速に進めることが可能になりました。

結果

最も大きな成果は、効率性の向上です。セキュリティチームは、検出結果を手作業で調査したり、静的なルールを維持したり、どの脆弱性に注力すべきかを判断したりすることに時間を費やすのではなく、最も重要な課題に直接注力できるようになりました。

「Aikido とは効率性そのものです。それは、私たちが守るべきものを優先し、本質的でないことに時間を費やさないよう助けてくれます。」

修復速度が劇的に向上した。

以前は、チームが脆弱性を特定した後、影響を受けるコードの特定、影響の把握、適切な修正策の決定にさらに時間を費やしていました。現在では、開発者は発見結果と併せて、明確な是正措置の指針を直接受け取ることができます。

「修復にかかる時間が、状況を一変させた。」

また、このプラットフォームのおかげで、同組織は急速な変化のさなでも、是正措置に関するSLA目標を確実に達成し続けることができました。同社がデジタル領域での存在感を拡大するにつれ、かつては野心的すぎると感じられていたセキュリティ上の取り組みも、実現可能なものとなりました。セキュリティ対策の運用化や測定が容易になり、チームは変革目標に対する進捗状況を追跡し、アプリケーション全体にわたるカバー範囲を実証し、その成果を経営陣や取締役会に報告することが可能になりました。

ジョシーによると、こうした公約を果たせたことが、このプログラムの最大の成功の一つとなったという。

「約束したことを、しっかりと果たすことができました。これは本当に大きな成果です。」

Oncourseは、境界制御や静的なルールセットのみに依存するのではなく、開発から本番環境に至るまでのアプリケーションライフサイクル全体にわたって継続的な可視性を確保しています。その結果、イノベーションを妨げることなく、それを支えるセキュリティ体制が実現しました。

Oncourseの活用方法 Aikido を今日どのように活用しているか

現在使用中

  • Zen (実行時アプリケーション保護)
  • IDE連携
  • CI/CD スキャン
  • 脆弱性 および是正措置に関するガイダンス
  • Jira ワークフローの連携

次は計画

  • 組織全体にわたるより広範な適用範囲
  • その他の開発者向けワークフロー連携機能
  • 経営陣および取締役会向けのセキュリティ報告体制の強化

最終的な評価

「Aikido とは効率性そのものです。それは、私たちが守るべきものを優先し、本質的でないことに時間を費やさないよう助けてくれます。」

今すぐ、安全な環境へ。

コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。

クレジットカードは不要です。 | スキャン結果は32秒で表示されます。