一目でわかる
- アプリケーションセキュリティとクラウドセキュリティを1つのプラットフォームに統合
- 139のリポジトリ、246のコンテナ、および66台の仮想マシンを保護しました
- GitHub Advanced Security、依存関係スキャン、およびクラウドツールを1つのシステムに統合しました
- 約200のリポジトリにわたるCIワークフローのメンテナンスを削減
- クラウドのセキュリティ状態、IaC(Infrastructure as Code)のリスク、およびVMの脆弱性に関する可視性を強化
課題
SGNL AIは、企業環境で利用されるIDおよびアクセスセキュリティインフラを構築しています。同社がプラットフォームとエンジニアリング組織を拡大するにつれ、セキュリティ対策は複数のツールに分散するようになりました。
当初、SGNLは依存関係の脆弱性を検出するためにGitHub Advanced SecurityとDependabotを活用し、CIパイプラインでのコンテナスキャンも併用していました。これにより基本的なアプリケーションセキュリティは確保されていましたが、その他の領域、特にクラウドインフラストラクチャに対する可視性は依然として限定的でした。
「GitHub Advanced SecurityとDependabotを導入しており、それなりのカバー率を確保できていました。また、ほとんどのパイプラインでTrivyも稼働させていました」と、SGNL AIのプロダクトセキュリティエンジニアであるブルックス・ロウ氏は語る。「しかし、マルウェア検出のためのツールは実質的に何もありませんでした。」
– ブルックス・ロウ、SGNL 主席セキュリティエンジニア
インフラストラクチャの規模が拡大するにつれ、クラウドセキュリティへの懸念が高まりました。SGNLでは、コードによるインフラ管理を行いながら、コンテナ化されたワークロードや仮想マシンを運用していました。一方で、クラウドネイティブなセキュリティツールの導入により、複雑さとコストが増大しました。
その環境全体を見渡すとともに、200近くのリポジトリにわたるCIベースのスキャンワークフローを管理することは、少人数のチームにとって困難になりつつあった。
「当社には200近くのリポジトリがあります。セキュリティスキャン用のカスタムワークフローやパイプラインの管理は、本当に大変です。」
SGNLは、管理すべきプラットフォームをこれ以上増やさないで、開発者のセキュリティとクラウドセキュリティの両方を簡素化する方法が必要でした。
開発者主導の選定
ブルックス・ロウがSGNL AIに入社した際、彼が最優先課題の一つとして掲げたのは、同社のセキュリティスタックの統合でした。彼が必要としていたのは、アプリケーション開発とクラウドインフラストラクチャの両方に拡張可能でありながら、運用が容易なプラットフォームでした。
Aikido 悪意のあるオープンソースパッケージが関与したサプライチェーン攻撃に関する記事を読んでいた際、最初に彼の関心を引いたのは合気道だった。
「何千ものSBOMを調べる必要はなく、たった1回のクリックで、攻撃に関与したパッケージが実際に存在するか確認できました。」
Aikido 当初、このプラットフォームは、その実用性とサプライチェーンのセキュリティ機能で際立っていました。しかし、評価を進める中で、ロウ氏は、このプラットフォームがチームが長年苦戦していたいくつかのクラウドセキュリティ上の課題にも対処できることに気づきました。
「それがわかったら Aikido CSPM 分かった時、それは私たちにとって大きな収穫でした。」
SGNLは複数のクラウド環境で運用されており、各環境ごとに独自のアカウントと設定があったため、これが重要な問題となっていました。これらの環境全体でクラウドセキュリティを管理するには、さまざまなツールやダッシュボード、ワークフローを駆使する必要がありました。
~と共に Aikido合気道によって、その複雑さは消え去った。
「セキュリティ対策のために、2~3つのクラウド環境を個別に確認する必要がなくなりました。コネクタを Aikido のUIにコネクタをデプロイするだけで、管理がはるかに簡単になりました。」
可視性の向上に加え、統合により、複数のクラウドネイティブセキュリティソリューションの必要性も減りました。
アプリケーションセキュリティ、インフラストラクチャセキュリティ、クラウドポスチャー管理といった個別のツールを統合する代わりに、SGNLはこれらすべてを単一のプラットフォームに集約することができます。
ソリューション
SGNL AIを導入 Aikido 開発環境およびクラウドインフラストラクチャ全体に展開されました。現在、このプラットフォームは以下を監視しています:
- 139のリポジトリ
- 246個のコンテナ
- 66台の仮想マシン
Aikido また、SGNLが環境を横断してクラウドセキュリティを管理する方法も簡素化されました。クラウドアカウントごとに個別のツールを設定・保守する代わりに、チームは軽量なコネクタを使用して、単一のインターフェースから環境のオンボーディングと監視を行うことができます。
SGNLは、従来のようにCIツールやクラウドネイティブスキャナーを個別に活用してセキュリティを管理するのではなく、現在は一元化されたプラットフォームを通じてセキュリティ運用を行っています。 Aikido は、ソフトウェア開発ライフサイクルとクラウドインフラストラクチャの両方を網羅しており、以下を含みます:
- 独自開発コードに対するアプリケーションセキュリティスキャン
- オープンソースの依存関係分析と悪意のあるパッケージの検出
- コンテナ脆弱性
- Infrastructure-as-Code のセキュリティチェック
- クラウド・セキュリティ・ポスチャー・マネジメント(CSPM)
- VM脆弱性
これにより、SGNLは複数のスキャンパイプラインを維持管理する必要なく、コード、コンテナ、インフラストラクチャ全体を可視化できます。
SGNL AIが選ばれた理由 Aikido
SGNLは、自社の環境全体におけるセキュリティ可視性を向上させるためのいくつかの手法を検討した。
チームが検討したWizをはじめとする一部のプラットフォームは、主にクラウドインフラのセキュリティに重点を置いており、クラウドリソースや設定上のリスクに関する詳細な分析情報を提供しています。これらのツールはその分野では優れていますが、アプリケーションセキュリティ、依存関係スキャン、開発者のワークフローをカバーするには、多くの場合、追加の製品が必要となります。
SGNLには、この問題の両面に対応できるプラットフォームが必要でした。
Aikido アプリケーションセキュリティ、サプライチェーンセキュリティ、クラウドポスチャー管理を1つのシステムに統合していた点が際立っていた。
SGNLにとって、これは次のような意味でした:
- 管理すべきツールが少なくなる
- 保守すべきCIパイプラインの数が減る
- ソフトウェアのサプライチェーンとクラウドインフラストラクチャの両方において、より明確な可視性を確保する
SGNLなら、アプリケーションセキュリティとクラウドセキュリティのために別々のプラットフォームを導入する代わりに、単一のシステムですべてを管理することが可能です。
結果
~と共に Aikido これにより、SGNLはアプリケーション、コンテナ、クラウドインフラストラクチャ全体で一貫した可視性を獲得しました。
以前は手動での依存関係分析が必要だったセキュリティ調査が、今では瞬時に完了できるようになりました。
「依存関係いち調べる代わりに、クリック一つで影響を受けるかどうかを確認できます。」
このプラットフォームは、数百のリポジトリにわたるCIベースのスキャンワークフローの管理にかかる運用負荷を軽減すると同時に、クラウドインフラのリスクに対する可視性をさらに高めました。
拡大を続けるエンジニアリング組織を支える少人数のセキュリティチームにとって、アプリケーションセキュリティとクラウドセキュリティを網羅したこのソリューションは、日々の運用を大幅に簡素化しました。
今後の展望
SGNLの成長に伴い、同社はエンジニアリングおよびインフラの事業規模を拡大し続けています。 Aikido を導入したことで、SGNLは開発パイプラインとクラウド環境の両方を一元的に保護できるプラットフォームを手にしました。
アプリケーションセキュリティ、サプライチェーンの可視化、クラウドのセキュリティ態勢管理を統合することで、SGNLはセキュリティツールチェーンを拡張することなく、プラットフォームの成長を継続させることができます。
