一目でわかる
- DAST SAST を1つのSAST 統合しました
- 調査結果をSlack、Linear、Vantaに直接統合
- 調査結果の検討および完了に向けた週次会議を設置した
- ノイズ 、チームが現実的に管理できるレベルノイズ 低減した
- Aikido DAST についてはTenableにDAST SASTについてはGitHub Advanced Securityに置き換えられました
課題
Renderのセキュリティチームは、組織全体にわたるアプリケーションセキュリティ、クラウドセキュリティ、およびコンプライアンスを担当しています。約30のアクティブなリポジトリで約50名の開発者が活動している中、同チームは、継続的なメンテナンス作業を発生させることなく、一貫したカバレッジを提供できるツールを必要としています。
「私たちは内部セキュリティを担当しています。アプリケーションセキュリティ、クラウドセキュリティ、コンプライアンスなど、あらゆる分野をカバーしています」と、Renderのセキュリティチームでエンジニアリングマネージャーを務めるショーン・ダウティ氏は語った。
導入する前に Aikido導入する前、RenderDAST TenableDAST SASTitHub Advanced Securityを使用していました。どちらのツールも技術的には十分な機能を備えていました。しかし、日常のエンジニアリング業務にどう組み込むかという点で、運用上の摩擦が生じていました。LinearやSlackとの連携機能が不足していたため、エンジニアにとっての可視性が低下していました。また、問題の優先順位付けも困難になっていました。一方で、チームがすべてのリポジトリに対してスキャンを実行することも難しかったのです。幅広い責任を負う小規模なチームにとって、そのレベルのオーバーヘッドを維持し続けることは困難になっていました。
統合の再考
Renderによる初期評価 Aikido DAST向けに評価しました。当初の目標は限定的で、既に使用されているシステムエンジニアリングとより良く統合できるツールを見つけることでした。
「DAST起動したとき、ついでにSAST もSAST 見てみようと思ったんだ。リポジトリを接続するのに、クリックを数回するだけだったよ」とショーンは言った。
その初期の経験が、チーム内の議論の方向性を変えました。SAST DAST それぞれ別々のツールが必要な独立したカテゴリーSAST 捉えるのではなく、チームはより広範な運用全体を見据えるようになったのです。2つのプラットフォームを維持することは、2つのワークフロー、2つの情報源、そして数十のリポジトリにわたって正しく設定を維持しなければならない2つのシステムを意味していました。少人数のチームにとって、こうした分断は業務の負担となっていました。
「~と共に」 Aikido「合気道は、なんとなくうまくいったし、ここ数ヶ月もずっとうまくいっているんだ」とショーンは語った。
この信頼性のおかげで、統合によるリスクは軽減されました。SAST DAST 単一SAST 実行することで、チームが管理する必要のあるシステム数が減り、リポジトリ単位でのスキャン設定が不要になりました。新しいリポジトリを追加する際も、設定手順を繰り返したり、複数の場所でスキャンロジックを維持したりする必要がなくなりました。その後、Renderは両方の機能を Aikidoに移行しました。
実際には何が変化したのか
最も顕著な違いは、調査結果が日々の業務の流れにどのように組み込まれるかという点でした。
「やはり、連携機能こそが最も重要だと思います。Slack、Linear、Vantaと連携できるからです。」
SlackとLinearは、エンジニアリングチームの会話が行われ、業務の進捗が管理される場です。 Aikido がこれらのシステムに直接統合されたことで、発見事項は、能動的な監視を必要とする独立したダッシュボードではなく、コンテキスト内で表示されるようになりました。運用面から見ると、これによりチームの課題の確認と解決の方法が変化しました。RenderのセキュリティエンジニアであるAlex Curtiss氏は、日々の業務の多くを管理しています Aikido の運用を主に担当しており、この統合により、発見事項の解決に焦点を当てた週次レビューセッションを非同期型のアプローチへと変更することに成功しました。発見事項はすでにLinearやSlackと連携されているため、フォローアップはエンジニアが製品開発に使用するのと同じシステム内で行われます。件数が管理可能な範囲であるため、この週次サイクルはうまく機能しています。
「以前はもっと音量が大きかった。 Aikido は、私たちが対応できるペースでやってくる。」
その違いのおかげで、問題を積み上げずに、着実なレビュープロセスを維持することが現実的になりました。また、新入社員の受け入れもよりスムーズになりました。
「これは、当社のエンジニアリングチーム全員が割り当てられているツールです。チームに加わったメンバーは、すぐに使い始めることができます。」
アクセス権限を広く付与することで、組織全体でセキュリティの責任を分担しやすくなります。
顧客との対話をサポートする
Renderにおけるセキュリティ業務には、スキャン範囲や管理体制に関する顧客からの質問への対応も含まれます。顧客から証拠の提示を求められた場合、チームは迅速にそれを提供する必要があります。
「お客様からある件についてお問い合わせをいただいたので、さっそくセキュリティ監査レポートを作成しました。ご要望の項目をいくつかチェックして、それを送付しました。」
DAST、SAST クラウド関連の調査結果を一元的に確認できるため、レポートを作成する際に複数のツールから情報を集める必要がなくなりました。
まとめ
Renderがセキュリティツールの統合を決断した背景には、運用上の現実があった。別々のシステムを運用するには手動での設定や調整、業務の切り替えが必要であり、小規模なチームではこれを長期的に維持することは不可能だった。
「強力なソフトウェアは持っていたのですが、他のツールと連携し、エンジニアが実際に使えるものの方がはるかに優れています。」
SAST 統合し、検出結果をSlackやLinearに連携させ、週次レビューの体制を確立することで、Renderはアプリケーションセキュリティを日常的なエンジニアリング業務の一環としました。
