ひと目で

• AIペネトレーションテストは、アプリケーション全体および統合環境において、実際の攻撃者の行動をシミュレートしました。
  
• 断片的で定期的なチェックから、実際の支払いリスクを明確かつ優先順位付けされた視点で把握する手法への移行
  
• 54件の検証済み発見事項を深刻度別に分類し、再現可能な攻撃経路を明示
  
• エンジニアが直接使用する明確な修復ガイダンス
  
• 自動再テストにより、修正が実際に脆弱性を除去したことが確認された
  
• パートナー、監査、デューデリジェンスの対話で使用される構造化されたペネトレーションテスト報告書
  ‍

Smartendr（現orderBilly）は、バーやレストラン向けの注文プラットフォームです。同プラットフォームは月間約1,000万ユーロの取引を処理し、約100万人のエンドユーザーにサービスを提供しています。決済、POSシステム連携、顧客データが製品の核となるため、アプリケーションセキュリティは事業にとって中核的な要件です。

「私は主に会社の技術面を担当しています」と、Smartendrの共同創業者兼CTOであるロビン・プレットは語る。「プラットフォームのアーキテクチャ、統合、セキュリティなどが含まれます」

Smartendrが規模を拡大するにつれ、チームは急成長プラットフォームが直面するおなじみの課題に直面した。それは、真のリスクが実際に存在する場所への確信を維持しつつ、迅速に動くことである。

課題：真のリスクを完全に把握せずに迅速に動くこと

Smartendrの取引量とユーザーベースが拡大するにつれ、そのリスクプロファイルは大きく変化した。

「現在、月間約100万人のエンドユーザーが利用しています。この規模では、たった一人の悪意ある攻撃者が脆弱性を悪用するだけで事足りるのです。」

飲食店やパートナー企業からのセキュリティへの期待は高かった。POSシステムに表示される注文は正確に決済され、改ざんから保護される必要があった。同時に、ロイヤルティプログラムなどの機能により、プラットフォームは顧客の個人データを扱うことになっていた。

Smartendrは、Aikidoを導入する以前から、セキュリティのベストプラクティスを遵守していた。チームは予防的対策、手動レビュー、定期的なチェックを組み合わせて運用していた。これにより基本的なカバー率は確保されていたものの、プラットフォームが実際にどのように攻撃される可能性があるかについて、完全かつ最新の状況を把握することはできなかった。

「最大の問題は断片化でした」とロビンは語る。「セキュリティ態勢を包括的に把握する手段がなく、特にAPIや統合環境では例外ケースを見逃しやすい状況でした」

継続的なリリースと複数の統合により、セキュリティチェックの間のギャップを正当化することが難しくなった。チームは、理論上問題が存在する可能性のある場所だけでなく、現時点で最も脆弱な箇所を把握する方法を必要としていた。

「セキュリティは定期的なチェックだけでは不十分だと明らかになった」とロビンは言う。「ソフトウェアの開発とリリースプロセスに組み込む必要があった」

解決策：実際の攻撃経路と明確な優先順位を示すAIペネトレーションテスト

ソリューションを評価する際、Smartendrは開発を遅らせることなく、現実世界の攻撃行動を反映したセキュリティテストを求めた。

Aikido 。開発フローに統合され、継続的なフィードバックを提供し、ノイズではなく現実的で実行可能なリスクに焦点を当てます。」

Smartendrは既に予防的セキュリティAikido を活用していた。AIペネトレーションテストが明らかにしたのは、忘れ去られた基本ではなく、API、決済、POS統合が実環境下で相互作用する際にのみ顕在化する現実的な攻撃経路であった。

開始には最小限の設定しか必要としませんでした。Smartendrのコードベースは既にAikidoと連携されていたため、AIペネトレーションテストの起動はわずか数回のクリックで完了しました。

「複雑な設定や準備は一切必要ありませんでした」とロビンは説明する。「セキュリティは簡単に有効化できるべきで、別のプロジェクトとして扱われるべきではないのです」

AIペネトレーションテストはSmartendrのアプリケーションに対して実施され、54件の検証済み発見事項を明らかにした。一見すると衝撃的だが、結果は混乱ではなく明確さをもたらした。

「最初は、結果がこれほど徹底しているのを見て衝撃を受けました」とロビンは言う。「同時に、何を改善すべきかが明確に理解できました」

従来のチェックリスト形式のペネトレーションテストとは異なり、AIエージェントはシステムを探索する実際の攻撃者のように振る舞った。各発見事項は検証され、深刻度別に分類され、実際に問題を悪用する方法を示す再現可能な手順が添付された。

「エージェントは実際の攻撃者がシステムを探索しているかのように振る舞った。そのため、チェックリスト式のペネトレーションテストよりも結果の関連性が高くなった。」

これにより、Smartendrのエンジニアは、緊急に修正すべき事項と、時間をかけて優先順位を付けられる事項を即座に区別することができた。

「検証手順により、結果を信頼しやすくなり、偽陽性の追跡を避けることが格段に容易になりました」とロビンは説明する。

最も価値のある発見のいくつかは、複数のシステムが相互作用した際にのみ現れる非自明な問題であり、まさに手動レビューだけでは推論するのが最も困難な種類のリスクであった。

仮定から検証されたリスク低減へ

修復作業が開始されると、提供されたガイダンスにより、技術者は問題を理解する段階から修正段階へ迅速に移行することができた。

「提案は具体的で実行可能なものでした」とロビンは言う。「エンジニアは問題を理解したら、すぐに修正に取り掛かることができたのです」

自動再テストはループを閉じる上で重要な役割を果たした。修正が機能したと仮定する代わりに、チームは脆弱性が実際に除去されたことを検証できた。

「修正が完了すると、即座に確認が取れる」とロビンは言う。「これにより不確実性が解消され、時間を節約できる」

最終的なペネトレーションテスト報告書は、エンジニアリング部門を超えた対話を強化した。Smartendrは抽象的な保証に頼るのではなく、明確な所見とフォローアップを含む構造化された最新の評価結果を示すことができた。

「セキュリティに関する曖昧な説明ではなく、体系化された最新の評価結果を示すことができた。これにより、パートナーや監査人、あるいは潜在的な買収候補者との対話がより具体的になった。」

成果：明確化、優先順位付け、継続的なセキュリティ

調査結果に対処した後、Smartendrは自社のセキュリティ態勢に確信を得た。それは全てのリスクが排除されたからではなく、最も重要なリスクが明確に特定され、優先順位付けされ、検証されたからである。

「我々は自社の弱点をより明確に把握している」とロビンは説明する。「全てが完璧だからではなく、最大のリスクが特定され対処されているからだ」

セキュリティはもはや時折のチェックポイントとして扱われるものではない。開発ワークフローに直接組み込まれた、継続的かつ絶えず検証される実践へと進化した。

「Aikido 助けを借りれば、新機能を構築する際に攻撃対象領域やエッジケースについてより積極的に考えられるようになります」とロビンは語る。

概要

「これにより、ソフトウェアの開発とリリースを遅らせることなく、実際のリスクについてより明確で現実的な見方が得られた」とロビンは結論づけた。