ひと目で
- Serkoの社内開発者プラットフォームにセキュリティ・バイ・デザインを組み込みました
- 誤検知を排除し、セキュリティの検出結果への信頼を回復しました
- 1つのプラットフォームで統合されたコード、クラウド、コンテナ、APIセキュリティ
- 300人のエンジニアがノイズをトリアージするのではなく、脆弱性を担当し修正することを可能にしました。
- セキュリティを開発者のワークフローとテンプレートに直接統合しました
- Platform-as-a-Productのエンジニアリングモデルをサポートしました
- Port連携を通じて組織全体の可視性を提供しました
- レガシーな開発者向けセキュリティプラットフォームではなく、Aikido Securityを選択しました。
セキュリティ・バイ・デザインのビジョン
Serkoは200万人以上のユーザーを抱えるグローバルな旅行テクノロジーリーダーであり、大規模なエンジニアリング変革の最中にありました。この変革の一環として、Darshit Pandya氏の役割はプロダクトチームの一員から、Serkoの新しいプラットフォームエンジニアリングイニシアチブを主導するシニアプリンシパルエンジニアへと移行しました。このイニシアチブは、Darshit氏が新しいプロダクト機能を構築する際にプロダクトエンジニアが感じる摩擦を大幅に軽減できる機会を見出したことから生まれました。
「チームが新しいサービスやAPIを構築したいと考えても、標準テンプレートがない場合、常に摩擦や逸脱が生じます。例えば、OWASP Top 10やその他のセキュリティガードレールが組み込まれたAPIテンプレートがあれば良いでしょう」と彼は述べました。
これらのテンプレートがなければ、開発者にとってゼロから物事を構築するのは骨の折れる作業であり、毎回車輪の再発明をするようなものでした。
このため、Darshit氏はプラットフォームエンジニアリングがSerkoの成功の鍵であると考えており、「Platform-as-a-Product」として知られる考え方を採用しています。
「正しく行えば、エンジニア、エンジニアリングリーダー、プロダクトマネージャー、デリバリーリーダーといった社内顧客を確実に支援でき、彼らの認知負荷を軽減し、ビジネスロジックの記述に集中できるようにすることができます」とDarshit氏は述べました。
Serkoのプラットフォームエンジニアリングイニシアチブは、再利用可能でセキュリティ・バイ・デフォルトのテンプレートと、反復作業を排除する社内ツールに焦点を当てています。初日からすべてのサービスにOWASP Top 10のようなセキュリティ標準を組み込むことで、チームは開発者が安全性を損なうことなく自信を持って革新できることを保証します。
Darshit氏が最初に取り組むべきだと考えたのは、セキュリティでした。
誤検知への対応
Aikido導入前、Serkoはノイズと信頼性の課題を生み出す開発者向けセキュリティプラットフォームに依存していました。
「脆弱性を検出することに誇りを持つツールを使用していましたが、実際はそうではありませんでした。多くの誤検知があり、エンジニアは検出される誤検知の多さに不満を感じ、信頼を失っていました。」
「さらに、プロバイダーと数ヶ月間協力しても、開発者向けセキュリティプラットフォームの改善や強化が進まなかったのです」と彼は言いました。「テクノロジーは非常に速いペースで進化していましたが、クラウド関連の脆弱性管理、AI AutoFix、そして顧客のワークフローやツールを構築または統合するために活用できるAPIなど、いくつかの機能が不足していました」と付け加えました。
これらの不満の結果、SerkoはAikidoを試験的に導入し、既存の開発者向けセキュリティプラットフォームと比較して、Aikidoが特定のレポジトリでどのような脆弱性を検出するかを検証しました。
「私たちのセキュリティ担当者と私自身は、これらの脆弱性の一部が誤検知であり、存在すべきではないことを知っていました。そしてAikidoはそれらの脆弱性を検出しなかったため、これは素晴らしい兆候でした」と彼は述べました。
これに加え、Darshit氏は、異なるコードベースにわたる同じ脆弱性をグループ化するAikidoの機能や、脆弱性を解決するための詳細なステップバイステップの説明が、Aikidoの他の差別化要因であったと説明しました。また、クラウド、コード、APIセキュリティ、そしてAI AutoFixも、Aikidoを選択する上での決定要因となりました。
「Serkoのプラットフォームファースト戦略に合致するというAikidoからのコミットメントは高く、彼らとの協業は素晴らしいものでした。彼らは私たちの問題を解決してくれますし、内部開発者ポータルPortとAikidoの統合のような機会が訪れると、それを実現するために尽力してくれました」と彼は述べました。
「これは私だけのフィードバックではありません。多くのSerkoのプロダクトエンジニアが私たちに『Aikidoは素晴らしいプラットフォームであり、大きな価値を見出しています』と伝えてきました」と彼は付け加えました。
「その一方で、以前の開発者向けセキュリティツールを使用していたエンジニアからは、毎日苦情や不満が寄せられていました。しかし、Aikidoを導入してからは、そのような苦情は一切ありません」とDarshit氏は語りました。
Aikidoが提供するSerkoの開発者向けセキュリティプラットフォームの影響
Aikidoの導入は、Serkoがチームのセキュリティへのアプローチ方法を変革するのに役立ちました。脆弱性はもはや誤検知の中に埋もれることはなく、エンジニアは問題解決に対するオーナーシップを感じています。この文化的な変化は、Serkoのプラットフォームエンジニアリングのビジョンの直接的な結果であり、Aikido Securityによって安全にサポートされています。
「以前のセキュリティプラットフォームでは、検出された脆弱性に対する信頼が不足していました。
「Aikidoを導入してからは、明確さが格段に向上しました。私たちはチームに重要な問題への対処を依頼し、彼らはそれを行いました。今日、人々が実際に問題を修正し、誤検知を調査するのではなく、セキュリティ体制を大幅に改善しました」と彼は述べました。
AikidoのState of AI, Developers & Security 2025 によると、エンジニアリング時間の15%がアラートのトリアージに費やされており、その時間のほとんど(72%)が誤検知に費やされています。実際、平均してチームは週に5時間を誤検知の対応に費やしています。しかし、誤検知が引き起こす損害はこれだけにとどまりません。誤検知はチームに回避策や危険な近道を取らせる可能性があります。回答者の3分の2は、誤検知への対応にうんざりしているため、セキュリティツールを迂回したり、検出結果を無視したり、修正を遅らせたりしています。
Aikidoとプラットフォームエンジニアリングの全体的なコンセプトが機能している大きな兆候は、Serkoではこれらの回避策が発生していないことです。
さらに、古いレガシーフレームワークについては、Serkoは定期的なリーダーシップによるセキュリティレビューを組み込みました。特定の脆弱性の修正を遅らせたい場合、チームはリーダーシップにリスクを承認してもらう必要があります。これには、なぜそれが許容されるのかを説明する動機付けをまとめることが含まれます。これらはリーダーによって定期的にレビューされます。目標は可視性を維持し、リーダーが深刻なリスクがどこにあるかを把握し、それらが無視されるのを許すのではなく、行動を促すことができるようにすることです。
AikidoとPortの統合
開発者にとってコンテキストは重要であり、Darshitは、Aikidoと(Serkoの開発者ポータルとして使用されている)Portの組み合わせが、Serkoのプラットフォームエンジニアリングの成功にとって大きな前進であると信じています。
「AikidoとPortを組み合わせることで、脆弱性はSerkoの資産(サービスだけでなく、クラウドリソース、データベース、コンポーネントも含む)と並行して可視化されます。これにより、組織全体で明確な可視性が得られます。また、この統合を通じてセキュリティスコアカードも構築しています。これにより、例えば、APIカタログ内でどのAPIがブロンズ、シルバー、ゴールドのどのティアに位置するかを示すことができます。このスコアカードは、異なるチームや資産全体のセキュリティ体制を簡単に理解する方法を提供します。」
この統合により、技術部門のリーダーは、チーム、グループ、または組織の観点から、システム全体に存在する脆弱性の数を容易に把握できるようになります。これにより、どのチームが遅れており、どのチームに脆弱性がないかを示すことができます。これは、プロダクトおよびエンジニアリング部門のリーダーシップを支援します。
リーダーにセキュリティ態勢の可視性を提供することで、彼らは優先順位について情報に基づいた意思決定を行うことができます。私たちは厳格なゲートで人々をブロックするのではなく、データで彼らを支援し、デリバリーとセキュリティのバランスを取れるようにしたいと考えています」とDarshitは説明しました。
結論
Darshitにとって、プラットフォームエンジニアリングはテクノロジーだけでなく、文化を変えることでもあります。Aikidoを使用することで、Serkoはエンジニアにセキュリティ検出結果を信頼する自信を与え、プロダクトチームがスピードとセキュリティのトレードオフを理解できるフレームワークを構築しました。決定的に重要なのは、セキュリティが全員の責任である開発者プラットフォームをSerkoが構築するのを支援したことです。Serkoが進化を続ける中で、Aikidoを重要な信頼できるパートナーとして、セキュアバイデザインのプラットフォームエンジニアリングの新しい標準を確立しています。
