Aikido

Raisinが、エンジニアの作業効率を低下させることなくAIを活用した開発をどのように実現しているか、 Aikido

移行元 -
オープンソースツール,  
50
1日あたりのデプロイ数、セキュリティ対策もそれに追随
2週間
新たに指摘されたAIの脅威から、適用されたルールまで
200
1か月分の自動修正
Aikido MCP
AIアシスタントの内部
 

Raisinはベルリンを拠点とするフィンテック企業で、オンラインの貯蓄・投資マーケットプレイスを運営しており、100万人以上の顧客を、ヨーロッパ、英国、米国にまたがる提携銀行ネットワークの預金・貯蓄商品と結びつけています。つまり、規制の厳しい市場において多くの人々の資金を扱うことになるため、アプリケーションのセキュリティには極めて大きな責任が課せられています。

RaisinのCISOと製品セキュリティ責任者は、AIを活用したエンジニアリングが、自社で維持管理しているオープンソースのセキュリティスタックを凌駕していく様子を目の当たりにしていました。彼らが Aikido を選んだ理由と、それがチームの既存の働き方にどのように適合しているかをご紹介します。

一目でわかる

  • 自社で保守していたオープンソースのスキャナ・スタックを、アプリケーションおよびサプライチェーンのセキュリティに対応した単一のプラットフォームに置き換えた
  • ラン Aikido JetBrainsやVS Code内、およびMCPを通じて開発者向けAIアシスタント内で動作するため、セキュリティはワークフローの「傍ら」ではなく、ワークフローそのものに組み込まれています
  • JavaScriptとPythonを用いた到達可能性解析を活用し、手作業による選別作業を削減する
  • 毎月約200件の自動修正を生成します
  • AIスキルに関する新たな脅威について、問い合わせから2週間以内にコード品質ルールを策定した
  • 用途 Aikido NPMおよびPyPIエコシステムにおける開発者向けの「Safe Chain
  • 1日に約50回、本番環境へデプロイを行っており、セキュリティ対策もこれを妨げるのではなく、そのペースに合わせて対応している

課題

スケーリングが頭打ちになったDIYのオープンソース・スタック

以前 Aikido導入以前、製品セキュリティチームは、社内で管理していたオープンソースのスキャナーを用いてセキュリティチェックを行っており、それらをビルドパイプラインに個別のジョブとして組み込んでいました。エンジニアリングチームの規模が小さかった頃は、この方法でも問題なく機能していました。しかし、チームが拡大し、新しいサービスが追加されるにつれて、ジョブが失敗するようになり、チームは検出結果に基づいた対応を行う代わりに、スキャナーの修正に時間を費やすようになってしまいました。

‍「当時は多くのオープンソースのスキャナーを稼働させており、パイプライン内に個別のジョブが設定されていたため、それらのメンテナンスに追われていました。スケールアップしてサービスを追加していくにつれ、それらのジョブでエラーが発生するようになり、検出結果に基づいて対応するどころか、その修正に多くの時間を費やすことになってしまいました。」

ステイヴン・ジョージ、Raisin プロダクトセキュリティ責任者

その上にトリアージ作業が山積みになっていた。SCA では、SCA が手作業で各検出結果にアクセス可能かどうかを確認していた。そうしなければ、すでにセキュリティをブロック要因として扱っている開発者たちに、プロジェクトごとに10件や20件もの重大な問題を抱えさせるリスクがあった。サプライチェーン上のマルウェアこそが、彼らにとって真の解決策が見出せなかった部分だった。 NPMやPythonのエコシステムに対する攻撃はここ数年増加の一途をたどっており、AIブームによって悪意のあるパッケージを安価に大量生産できるようになっていた。Raisinはオープンソースツールを使ってソフトウェアの部品表(BOM)を生成し、それを一つひとつ手作業で検証していたが、これ自体が時間のかかる作業だった。マルウェアの面では、チームには手持ちのツールでは埋められない死角があった。

AIによる加速が進むエンジニアリングに対し、セキュリティが追いついていない

RaisinのCISOであるニテシュ・ガイクワッド氏は、経営陣の立場から同じ問題に気づきました。AIコーディングツールによってエンジニアの作業効率は向上していたものの、アプリケーションのセキュリティ対策がそのペースに追いついていませんでした。過去のプロジェクトには、チームが明確に把握できない問題が残されていたのです。

‍「当社のエンジニアは、特にAIツールの活用により開発スピードを上げていましたが、アプリケーションや製品のセキュリティ面では追いついていませんでした。エンジニアリングのワークフローの中で、セキュリティ上の問題を迅速に発見できるソリューションが必要でした。」

ライジン社 CISO、ニテシュ・ガイクワッド

この課題はワークフローにも表れていました。RaisinにはIDEに統合されたセキュリティ機能がなかったため、チームはCI/CD やスキャンに依存せざるを得ず、問題はコードがマージ段階に達して初めて表面化していました。その結果、デリバリーが遅れ、チェックを前倒しにする実質的な手段もなかったのです。これは、Niteshがセキュリティに求めていた位置づけとは正反対の状況でした。

ニテシュにとって、この仕事はリスクを伴うものでした。チームがこれまで検証できなかったプロジェクトの抜け穴を見つけ出し、重大な問題を本番環境に持ち込ませないよう努めつつ、同時にデリバリーの足を引っ張るような存在になってはならないという課題があったのです。

なぜレーズンが選んだのか Aikido

ニテシュは、WizやCrowdStrikeなどのツール、および社内システムを継続して利用するという選択肢についても評価を行った。 Aikido は、オープンソースパッケージやサードパーティ製ライブラリに対するマルウェア分析能力の高さと、互いに連携していない複数のツールではなく、単一のプラットフォームで幅広い範囲をカバーできる点で際立っていた。

‍「特に際立っていたのは、オープンソースパッケージやサードパーティ製ライブラリに対するマルウェア分析機能でした。評価対象となった他のどのツールも、単一のプラットフォームでこれほど幅広い範囲をカバーできていませんでした。」

ライジン社 CISO、ニテシュ・ガイクワッド

これほど幅広い分野をカバーするプラットフォームには、どの分野においても十分な強みを持たないのではないかという懸念が当然生じます。ニテシュ氏の答えは、評価そのものにありました。彼のチームは徹底的な評価を実施し、その結果をフィードバックし、その様子を注視しました Aikido がPoCの過程でそれにどう対応するかを注視した。そのため、判断の根拠は機能リストではなく、彼らの環境下で製品がどのように動作するかに基づいたものとなった。

この製品は、セキュリティチームだけでなく、開発者たちの信頼も勝ち取らなければならなかった。Raisinでは、新しいツールの導入についてはプラットフォームエンジニアリング部門が最終決定権を持っているため、使いやすさも評価基準の一つとなっていた。Steevenにとって、技術的な魅力は「統合」と「アクセスしやすさ」にあった。

‍「Aikido 『単一の窓口』Aikido 。JavaScriptとPythonのリーチビリティ分析のおかげで、優先順位付けの手間が減り、SAST 負担も軽減されました。」

ステイヴン・ジョージ、Raisin プロダクトセキュリティ責任者

透明性も魅力の一つでした。スティーヴンは、チームが製品の方向性について率直に話してくれると感じており、そのおかげで、推測に頼るのではなく、要件を提示したりロードマップについて話し合ったりすることが容易でした。

方法 Aikido が、レイズンの仕組みにどのように適合するか

開発者は次のように見ている Aikido の分析結果を、すでに使用しているエディタ上で確認でき、MCPとの統合を通じて、AIアシスタントが Aikido のコンテキストを直接取得できるようになります。セキュリティ機能は、開発者がわざわざ開くことを忘れてはならない独立したコンソールではなく、ワークフロー内に組み込まれています。

‍「Aikido 、JetBrainsやVS Codeなど、開発者がすでにAikido 。MCPとの統合により、開発者はツールから離れることなくAikido リポジトリにどのような課題があるかを確認できます。」

ステイヴン・ジョージ、Raisin プロダクトセキュリティ責任者

Aikido は、レイズンズを運営しています SASTSCAシークレット検出、オープンソースパッケージのマルウェアスキャンを1か所で実行します。以前は、開発者が「脆弱性 」と反論し、そのやり取りに双方の時間が費やされていました。JavaScriptとPythonの到達可能性分析が同じ画面上で行えるようになったことで、その議論は解消されました。なぜなら、検出結果が実稼働中のコードに影響するかどうかが、ツール上で既に表示されるからです。

修正について、 Aikido AutoFixは月に約200件の修正を生成します。各修正には信頼度レベルが設定されており、コードに反映される前に開発者がレビューを行います。AutoTriageもこれと連携して動作します。以前は、SAST 1件ずつ確認し、どれが実際の問題かを判断していました。現在では AikidoのAIがそれらを評価するため、エンジニアやセキュリティ担当者は、検出結果が誤検知かどうかを判断する時間を削減し、重要な問題に注力できるようになりました。

‍「毎月約200件の『AutoFix』が提案されます。SAST 単に推奨事項を示すだけですが、Aikido 、マージできる状態に近い修正案を信頼度とともに提示してくれるため、開発者がその妥当性を判断できるようになっています。」

ステイヴン・ジョージ、Raisin プロダクトセキュリティ責任者

Raisinでは、 Aikido Safe Chainも採用しています。かつては不安定なオープンソースのジョブ群だったCI/CD は、現在では Aikido を通じて単一の統合プロセスとして実行されるようになりました。

独自のペースで出荷を行うベンダー

最も明確な試練となったのは、わずか1か月前にはほとんど存在しなかった脅威でした。Raisinの開発チームは外部のAIスキルの導入を開始しましたが、チームはそれらにマルウェアが混入するのではないかと懸念していました。市場にはこの問題に対応できるツールは存在しませんでした。Raisinはこの問題を Aikidoにこの問題を提起したところ、約2週間でコード品質モジュールにルールが実装された。現在、チームは中央リポジトリからこの脅威のスキャンを行っている。共有Slackチャンネルへの創業者アクセス権があったおかげで議論は迅速に進んだが、Steevenが特に強調しているのは、そのアクセス権そのものではなく、対応の速さである。

‍「外部から持ち込まれるスキルにマルウェアが混入している可能性があり、それを検知できるツールが他にないため、私たちは懸念を抱いていました。Aikido 、約2週間でコード品質モジュールにルールをAikido 。」

ステイヴン・ジョージ、Raisin プロダクトセキュリティ責任者

これが成功した決め手は、タイミングでした。AI機能が登場したのはわずか1、2ヶ月前のことで、市場にはそれをスキャンできる製品が他に存在しなかったため、スティーヴンは長い待ち時間か、何らかの回避策が必要になると予想していました。ところが、その機能はプラットフォーム内に、 Aikido独自のセキュリティツール群の一部として、プラットフォーム内に組み込まれたのです。スキルに関するルールは、このパターンに見られる一例に過ぎませんでした。スティーブン氏によると、 Aikido は新たな脅威が表面化するたびに、継続的に対応策をリリースしており、最近の例としては「Device Protection」が挙げられる。これはまさに、Raisinのような動きの速いチームがセキュリティベンダーに求めるものそのものである。

Raisinは迅速にリリースされており、そのスピードはますます加速しています。生産量の変更は、1日あたり約10件から約50件へと拡大しました。このペースでは、セキュリティ対策が追いつくか、あるいはボトルネックになるかのどちらかです。Nitesh氏の目標は、後のパイプラインのゲートで問題が見つかるのではなく、開発段階のIDE内で問題を早期に発見することであり、まさにそれが Aikido が役立つ点です。

‍「パイプラインを停止させるのではなく、プロセスをスピードアップさせることができます。ほとんどの問題は、パイプラインが停止する段階ではなく、開発段階やIDE内で特定されるため、mainブランチへのプッシュがはるかに速くなります。」

ライジン社 CISO、ニテシュ・ガイクワッド

Raisinの活用方法 Aikido を実践しているか

すでに利用中

導入計画

  • Aikido 機器の保護対策、試験を経て導入準備が整った
  • Aikido 「Zen 」:シャドウAIおよびプロンプト注入攻撃に対する防御
  • DAST

評価

最終的な評価

‍「私たちの最大の成果の一つは、セキュリティ担当者と開発者の間に以前からあった摩擦が解消されたことです。開発者たちは、Aikido 何かAikido したときは、それに対処する価値があると信頼してくれています。」

今すぐ、安全な環境へ。

コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。

クレジットカードは不要です。 | スキャン結果は32秒で表示されます。