一目でわかる
- AI ペンテストは、アプリケーションと統合全体で実際の攻撃者の行動をシミュレートしました。
- 断片的な定期チェックから、実際の支払いリスクを明確かつ優先順位付けされた視点で把握することへ移行します。
- 再現可能な攻撃パスを持つ、重大度別にグループ化された54件の検証済み検出結果
- エンジニアが直接使用する明確な修正ガイダンス
- 自動再テストにより、修正が実際に脆弱性を除去したことが検証されました
- パートナー、監査、デューデリジェンスの話し合いで使用される構造化されたペンテストレポート
現在orderBillyの一部であるSmartendrは、バーやレストラン向けの注文プラットフォームです。このプラットフォームは毎月約1,000万ユーロの取引を処理し、およそ100万人のエンドユーザーにサービスを提供しています。支払い、POS連携、顧客データが製品の中心であるため、アプリケーションセキュリティはビジネスにとって不可欠な要件となっています。
「私は主に会社の技術面を担当しています」と、Smartendrの共同創設者兼CTOであるRobin Praet氏は述べています。「それにはプラットフォームアーキテクチャ、統合、セキュリティが含まれます。」
Smartendrが規模を拡大するにつれて、チームは急速に成長するプラットフォームに共通の課題に直面しました。それは、実際の脅威がどこに存在するかを確信しながら迅速に行動することです。
課題:実際の脅威に対する完全な可視性がないまま迅速に開発を進めること
Smartendrが取引量とユーザーベースを拡大するにつれて、そのリスクプロファイルは著しく変化しました。
「現在、毎月約100万人のエンドユーザーがいます。その規模では、たった一人の悪意あるアクターが脆弱性をエクスプロイトするだけで十分です。」
レストランやパートナーからのセキュリティに対する期待は高いものでした。POSシステムに表示される注文は、正しく支払われ、改ざんから保護される必要がありました。同時に、ロイヤルティプログラムなどの機能により、プラットフォームは顧客の個人データを扱っていました。
AikidoのAIペンテストを導入する前、Smartendrはすでにセキュリティのベストプラクティスに従っていました。チームは予防的制御、手動レビュー、定期的なチェックを組み合わせて利用していました。これによりベースラインのカバレッジは提供されましたが、プラットフォームが実際にどのように攻撃されうるかについて、完全または最新の全体像は得られませんでした。
ロビンは、「最大の問題は断片化でした。セキュリティポスチャの単一ビューがなかったため、特にAPIやインテグレーション周りのエッジケースを見逃しやすくなっていました」と述べています。
継続的なリリースと複数の統合により、セキュリティチェック間のギャップを正当化することが難しくなりました。チームは、理論上問題が存在する可能性のある場所だけでなく、現在最も脆弱な場所を理解する方法を必要としていました。
ロビンは、「セキュリティは定期的なチェックだけに頼ることはできないと明らかになりました。ソフトウェアの構築および出荷方法に適合する必要があったのです」と述べています。
ソリューション: 実際の攻撃経路と明確な優先順位を示すAIペンテスト
ソリューションを評価する際、Smartendrは開発を遅らせることなく、実際の攻撃行動を反映したセキュリティテストを探していました。
「Aikidoは私たちの働き方に合致していました。開発フローに統合され、継続的なフィードバックを提供し、ノイズではなく、現実的で実用的なリスクに焦点を当てています。」
Smartendrはすでに予防的なセキュリティ対策のためにAikidoを使用していました。AIペンテストでは、見落とされがちな基本的な問題ではなく、API、決済、POS連携が実際の条件下で相互作用する際にのみ現れる現実的な攻撃経路が明らかになりました。
開始に必要なセットアップは最小限でした。SmartendrのコードベースはすでにAikidoに接続されていたため、AIペンテストの起動はわずか数クリックで完了しました。
ロビンは、「大規模な設定や準備は不要でした。セキュリティは簡単に有効化できるべきであり、独立したプロジェクトであってはなりません」と説明しています。
AIペンテストはSmartendrのアプリケーションに対して実行され、54件の検証済み検出結果を明らかにしました。最初は対峙するものでしたが、その結果は混乱ではなく明確さをもたらしました。
ロビンは、「最初は、結果の徹底ぶりに驚かされました。しかし同時に、何を改善すべきか明確な全体像を得ることができました」と述べています。
従来のチェックリスト形式のペンテストとは異なり、AIエージェントはシステムを探索する実際の攻撃者のように振る舞いました。各発見は検証され、深刻度別にグループ化され、問題が実際にどのようにエクスプロイトされ得るかを示す再現可能な手順が添えられました。
「エージェントは、システムを探索する実際の攻撃者により近い振る舞いをしました。そのため、チェックリスト形式のペンテストよりも、より関連性の高い結果が得られました。」
これによりSmartendrのエンジニアは、緊急に修正する必要があるものと、時間をかけて優先順位を付けて対応できるものを即座に区別できました。
ロビンは、「検証ステップのおかげで、検出結果をはるかに信頼しやすくなり、誤検知の追跡を避けることができました」と説明しています。
最も価値のある発見のいくつかは、複数のシステムが連携したときにのみ現れる、一見して明らかではない問題でした。これは、手動レビューだけでは推論するのが最も難しい種類のリスクです。
仮定から検証済みのリスク軽減へ
修正作業が開始されると、提供されたガイダンスは、エンジニアが問題の理解から修正までを迅速に進めるのに役立ちました。
ロビンは、「推奨事項は具体的で実用的なものでした。エンジニアは問題を理解したらすぐに修正に取り掛かることができました」と述べています。
自動再テストは、ループを閉じる上で重要な役割を果たしました。修正が機能したと仮定するのではなく、チームは脆弱性が実際に除去されたことを検証できました。
ロビンは、「修正が適用されると、すぐに確認が得られます。これにより不確実性が解消され、時間の節約につながります」と述べています。
最終的なペンテストレポートは、エンジニアリング以外の議論も強化しました。Smartendrは、高レベルの保証に頼るのではなく、明確な発見事項とフォローアップを含む、構造化された最新の評価を提示できました。
「セキュリティに関する曖昧な発言ではなく、構造化された最新の評価を示すことができました。これにより、パートナー、監査人、または潜在的な買収者との会話がより具体的なものになりました」
結果:明確性、優先順位付け、継続的なセキュリティ
検出された問題に対処した後、Smartendr はセキュリティ体制に自信を得ました。これは、すべてのリスクが排除されたからではなく、最も重要なリスクが明確に特定され、優先順位付けされ、検証されたためです。
ロビンは、「私たちの最も弱い点について、より明確に理解できるようになりました。すべてが完璧だからではなく、最大のリスクが特定され、対処されているからです」と説明しています。
セキュリティはもはや一時的なチェックポイントとして扱われるものではありません。それは、開発ワークフローに直接組み込まれた、継続的かつ検証済みの実践となっています。
「Aikido Attackの助けを借りて、新しい機能を構築する際に、攻撃対象領域やエッジケースについてより積極的に考えることができます」とRobin氏は述べています。
まとめ
ロビンは、「ソフトウェアの構築および出荷方法を遅らせることなく、実際の私たちのリスクについて、はるかに明確で現実的な見方を与えてくれました」と結論付けています。
