一目でわかる
- AI駆動のホワイトボックステストにより、年次の手動ペンテストを強化しました。
- コンテキスト認識型探索を通じて、複雑なエッジケースの脆弱性を特定しました。
- 継続的な脆弱性管理にAIペンテストを組み込みました。
- 手動によるセキュリティレポート作成を月数日から数時間へと削減しました。
- プルリクエストワークフローにセキュリティを直接適用しました。
課題
TechWolfは、企業が労働力変革を進める中で職務、タスク、スキルを理解するのを支援するAI駆動のデータレイヤーを構築しています。HRテック分野での事業展開は、機密性の高いビジネス情報や個人情報を扱うことを意味します。セキュリティは機能ではなく、前提条件です。
TechWolfは長年にわたりセキュリティ体制に投資してきました。同社はISO 27001認証を維持し、年次のSOC 2監査を完了し、年次外部ペンテストを実施し、スタック全体でSAST、SCA、DASTツールを使用しています。
しかし、セキュリティの成熟度は静的なものではありません。
「私たちの価値観の一つは『Aim for the moon(月を目指す)』です。私にとって、それは毎年セキュリティの基準を引き上げることを含みます」とTechWolfのセキュリティオペレーションエンジニア、キリアンは述べました。
時間の経過とともに、手動ペンテストでは明白な発見が減少していきました。これは良い兆候でした。しかし、チームは、成長し進化するコードベースにおいて、固定された期間のエンゲージメントでは、微妙なエッジケースが表面化しにくいままであることを認識していました。
TechWolfはもう一歩先へ進みたいと考えていました。
「外部ベンダーによる年次手動ペンテストを実施していますが、主要な問題は少なく、コードベースのより深い部分にさらに多くのリスクが潜んでいると考えていました。」
AIペンテストを追加してセキュリティプログラムを拡張
TechWolfは、既存プログラムの拡張としてAikidoのAIペンテストを試用することを決定しました。彼らの環境はすでにAikido内で接続されていたため、セットアップは簡単でした。
「セットアップには15分もかかりませんでした。数時間以内に、エージェントはすでに興味深いものを発見していました。」
時間と範囲に制約される従来のエンゲージメントとは異なり、AIエージェントはソースコードのコンテキストを直接分析し、エッジケースを探索し、再現可能な攻撃経路を生成することができました。
「その有効性は、手動ペンテスターが利用できるよりもはるかに多くのコンテキスト、特にソースコードを分析することによって、AikidoのLLMペンテストが活用している点にあると信じています。」
TechWolfにとって、これは手動テストを置き換えることではなく、それを補完することでした。
「どちらのアプローチにもそれぞれの役割があります。AIペンテストは、特に時間制約のあるエンゲージメントでは到達が難しい領域において、永続性と深さを追加します。」
AIペンテストが明らかにしたもの
試用期間中、AikidoのAIペンテストは、アプリケーションロジックに起因する複雑な脆弱性を特定しました。
それは表面的な設定ミスや単純なチェック漏れではありませんでした。コードベースの異なる部分で特定のコンポーネントがどのように相互作用するかを理解する必要がありました。
「その深さに感銘を受けました」とキリアン氏は述べました。「基本的なものを見つけることではありませんでした。アプリケーションの、本来到達が難しい部分を探索することでした。」
AIエージェントは、詳細な攻撃分析とプルーフオブコンセプト(PoC)スクリプトを生成し、チームが問題を迅速に検証し、再現できるようにしました。
「PoCスクリプトは非常に重要でした」とキリアン氏は述べました。「それらは疑念を排除し、誤検知を減らし、エンジニアが何を修正する必要があるかを正確に理解しやすくします。」
TechWolfにとって、これはテスト戦略を拡大するという決定を裏付けるものでした。手動ペンテストは彼らのプログラムの重要な柱であり続けています。AIペンテストは、全体的なカバレッジを強化するコンテキストを認識した探索の層を追加します。
ペンテストを超えて:セキュリティを単一プラットフォームに統合
AIペンテストは即座に価値を提供しましたが、より広範な影響は、Aikidoを一元的な脆弱性管理プラットフォームとして使用することから生まれました。
「私たちはすでにSAST、SCA、DAST、および従来のペネトレーションテストのような標準的なセキュリティツールを利用しています」とキリアン氏は述べました。「しかし、これらはしばしば孤立しており、さまざまなサイロ化された発見から優先順位を付けることを困難にしています。」
Aikidoは、ペンテストの結果を含むツール間の発見を統合し、そのAutoTriage機能を通じて自動的に優先順位を付けます。
「Aikidoの主要な価値は、そのAutoTriage機能を通じて、他のすべての発見を追跡しながら、最も重要な問題に最初に努力を集中することを確実にすることです。」
セキュリティは現在、開発ワークフローに直接適用されています。未解決の脆弱性が残っている間はプルリクエストをマージできず、そもそも問題が本番環境に到達するのを防ぎます。
結果
時間が経つにつれて、運用上の改善が明らかになりました。
Aikido導入前は、キリアン氏はさまざまなツールからの発見を統合し、監査文書を準備し、手動で脆弱性の優先順位を付けることにかなりの時間を費やしていました。
現在では、脆弱性は自動的に優先順位付けされ、関連チームに割り当てられます。
「最も重要な測定可能な改善点は、手動セキュリティ運用時間の削減です」とキリアン氏は述べました。
測定可能な改善
.png)
最終的な評価
TechWolfにとって、AIペンテストの導入は、既存の制御やパートナーを置き換えることではありませんでした。それは、継続的に水準を引き上げることでした。
「私たちにとって、それは継続的に水準を引き上げることです」とKilian氏は述べました。
「Aikidoは、私たちがプロアクティブであり続け、適切な問題を優先し、運用上のオーバーヘッドに費やす時間を削減するのに役立ちます。」
年次の手動ペンテストとコンテキスト認識型AIテスト、一元化された脆弱性管理を組み合わせることで、TechWolfは既に成熟したセキュリティプログラムを強化しました。これにより、既存のプロセスを中断することなく、深さ、可視性、効率性を追加しています。
