一目でわかる
- AI駆動型ホワイトボックステストによる年次手動ペネトレーションテストの強化
- コンテキストを認識した探索脆弱性 、複雑なエッジケース脆弱性 特定した
- 継続的脆弱性 への組み込み型AIペネトレーションテスト
- 手動によるセキュリティ報告を月数日から数時間へ削減
- プルリクエストワークフロー内で直接適用されるセキュリティ
課題
TechWolfは、企業が労働力変革を進める中で職務、タスク、スキルを理解するのを支援するAI駆動のデータレイヤーを構築します。HRテック分野で事業を行うことは、機密性の高い企業情報および個人情報を取り扱うことを意味します。セキュリティは単なる機能ではありません。それは前提条件です。
テックウルフは長年にわたりセキュリティ体制への投資を続けています。同社はISO 27001認証を維持し、年次SOC 2監査を完了し、年次外部ペネトレーションテストを実施し、スタック全体でSAST、SCA、DAST 活用しています。
しかし、セキュリティ成熟度は静的なものではない。
「私たちの価値観の一つに『月を目指す』というものがあります。私にとってそれは、年々セキュリティの基準を引き上げ続けることも含まれます」と、TechWolfのセキュリティ運用エンジニアであるキリアンは語った。
時間の経過とともに、手動によるペネトレーションテストで明らかになる発見は次第に少なくなっていきました。これは良い兆候でした。それでもチームは、成長し進化を続けるコードベースにおいては、固定時間の契約期間内であれば、微妙なエッジケースを浮き彫りにすることが依然として困難である可能性があると認識していました。
テックウルフはさらに一歩進みたかった。
外部ベンダーによる年次手動ペネトレーションテストを実施しているものの、重大な問題は少なく、コードベースのより深い部分に隠れたリスクがより多いと認識していました。
セキュリティプログラムを拡張するためのAIペネトレーションテストの導入
テックウルフは AikidoのAIペネトレーションテストを既存プログラムの拡張として導入することを決定した。設定は簡単だった。彼らの環境は既に内部で接続されていたためだ Aikidoに接続されていたため、設定は単純明快であった。
「セットアップに15分もかからなかった。数時間後には、エージェントがすでに興味深いものを発見していた。」
従来の時間と範囲に制約された取り組みとは異なり、AIエージェントはソースコードの文脈を直接分析し、エッジケースを探索し、再現可能な攻撃経路を生成することができた。
その効果は AikidoのLLMペネトレーションテストは、ソースコードを分析することで、手動のペネトレーションテスターが決して達成できないほど多くの文脈を活用している点にあると確信しています。」
TechWolfにとって、これは手動テストを置き換えることではなかった。それを補完することだった。
「どちらのアプローチにもそれぞれの役割がある。AIペネトレーションテストは、特に時間制限のある契約では到達が難しい領域において、持続性と深みを加える。」
AIペンテスト がペンテスト
裁判中、Aikido ペンテスト 、アプリケーションロジックに根ざした複雑な脆弱性 ペンテスト 。
それは表面的な設定ミスや単純なチェック漏れではなかった。コードベースの異なる部分で特定のコンポーネントがどのように相互作用するかを理解する必要があった。
「その深さに感銘を受けた」とキリアンは言った。「基本的なものを見つけることではなく、アプリケーションの中で本来到達が難しい部分を探求することだった」
AIエージェントは詳細な攻撃分析と概念実証スクリプトを生成し、チームが問題を迅速に検証・再現することを可能にした。
「PoCスクリプトは極めて重要でした」とキリアンは言った。「それらは疑念を解消し、誤検知を減らし、エンジニアが修正すべき点を正確に理解しやすくするのです」
TechWolfにとって、これはテスト戦略の拡大という判断を裏付けるものとなった。手動ペネトレーションテストは依然として同社のプログラムの重要な柱である。AIペネトレーションテストは文脈を認識した探索という新たな層を加え、全体的なカバレッジを強化する。
ペネトレーションテストを超えて:セキュリティを単一プラットフォームに統合
ペンテスト 即座に価値ペンテスト 、より広範な影響は Aikido を中核的な脆弱脆弱性 管理プラットフォームとして活用したことにあった。
「SAST、SCA、DAST標準的なセキュリティツールや従来のペネトレーションテストを活用している」とキリアンは述べた。「しかし、これらはしばしば孤立しているため、様々なサイロ化された発見事項から優先順位をつけるのが困難だ」。
Aikido は、ペンテスト を含む複数のツールからの知見を統合し、AutoTriage機能を通じて自動的に優先順位付けを行います。
“Aikidoの主な価値は、AutoTriage機能を通じて最も重要な問題にまず注力しつつ、その他の発見事項もすべて追跡できるようにすることです。」
セキュリティ対策は開発ワークフローに直接組み込まれました。未解決の脆弱性が残っている間はプルリクエストをマージできず、問題が本番環境に到達するのを未然に防ぎます。
結果
時間の経過とともに、業務改善の効果が明らかになった。
以前 Aikido、キリアンは様々なツールからの調査結果を統合し、監査文書を作成し、脆弱性を手動で優先順位付けするのに多くの時間を費やしていました。
現在、脆弱性は自動的に優先順位付けされ、関連するチームに割り当てられます。
「測定可能な最も重要な改善点は、手動によるセキュリティ運用時間の削減です」とキリアンは述べた。
測定可能な改善
.png)
最終的な評価
テックウルフにとって、AIペネトレーションテストの導入は既存の対策やパートナーを置き換えることではなかった。それは継続的に基準を引き上げることだった。
「私たちにとって重要なのは、常に水準を引き上げ続けることだ」とキリアンは語った。
“Aikido は、私たちが積極的に行動し、適切な課題に優先順位をつけ、業務上の間接費に費やす時間を減らすのに役立ちます。」
年次手動ペネトレーションテストと状況認識型AIテスト、集中型脆弱性 組み合わせることで、TechWolfは既に成熟したセキュリティプログラムを強化。既存プロセスを妨げることなく、深み、可視性、効率性を付加しました。
