Timefoldは人員配置最適化ソフトウェアを開発しています。彼らのオープンコアエンジンであるTimefold Solverは、NP困難な計画問題に取り組みます。それに加えて、従業員のシフトスケジューリング、フィールドサービスルーティング、集荷・配送ルーティングといったユースケース向けの既製のAPIを提供しており、さらに計画パフォーマンスに関するより深い洞察を追加するSaaSプラットフォームも提供しています。
TimefoldがISO対応作業を加速させ、SOC 2への準拠を進める中で、チームはエンジニアの作業を遅らせたり、セキュリティをボトルネックにしたりすることなく、スタック全体にわたる継続的なセキュリティ可視性を求めていました。
一目でわかる
- お話を伺った方々:Pieter De Schepper(エンジニアリング担当VP)、Jenne(サイト信頼性・セキュリティエンジニア)
- Aikidoを選ぶ理由: 継続的なセキュリティ監視によるISO対応とSOC 2取得の加速
- Aikido導入前: GitHub Dependabot + 厳格なPRレビュー
ツール: GitHub (リポジトリ)、Vanta (コンプライアンスレポート) - Aikido coverage: リポジトリ、コンテナ、クラウド設定(Google Cloud)、ドメイン、レポート(ライセンス)、Kubernetesスキャン
課題:セキュリティ可視性がコンプライアンスの速度に追いついていなかった
Timefoldは、セキュリティを常にエンジニアリングの一部として扱ってきました。すでに厳格なPRレビュー、経験豊富な開発者、そして依存関係アラートにはDependabotを導入していました。
しかし、コンプライアンス要件が厳しくなるにつれて、彼らは共通の課題である「可視性」に直面しました。Dependabotは役立ちましたが、実行中のすべてのものに対する常時監視のビューは提供しませんでした。彼らは、どの依存関係がどこで使用されているか、どのバージョンがデプロイされているか、そして新しい脆弱性が発見されたときに実際に何に注意を払う必要があるかといった基本的な質問に迅速に答えるための、より明確な方法を必要としていました。
同時に、セキュリティがゲートとなることは避けなければなりませんでした。Timefoldは、プロセスの負担を増やすことなく、また少数のグループがすべてを手動で監視することに頼ることなく、より良いカバレッジを求めていました。
解決策:スタック全体にわたる継続的なスキャンを1日未満で実現
Aikidoは完璧なタイミングで連絡を取りました。Timefoldは、ISO作業をサポートし、SOC 2の準備を加速するためのセキュリティツールを積極的に探していました。
評価から実際のカバレッジへの移行がいかに迅速であったかが際立っていました。Jenne氏によると、セットアップは迅速かつ簡単だったとのことです。
「CIへのスキャン統合は1日もかからずに完了しました。」
Timefoldは主にGitHubで動作し、Aikidoはそのワークフローに自然に適合します。彼らは主要なリポジトリでスキャンを有効にし、プルリクエストチェックをオンにし、コードと依存関係を超えて環境の残りの部分にまでカバレッジを拡大しました。
今日、TimefoldはAikidoを使用して、リポジトリ、コンテナ、Google Cloudプロジェクトの設定リスク、およびGraphQLエンドポイントを含む外部ドメインをスキャンしています。また、ライセンスレポートを含むレポーティングも活用しており、これは資金調達のデューデリジェンス中に特に役立ちました。
結果:ノイズの低減、迅速なアップグレード、明確なカバレッジ
Timefoldにとって最大の改善点は運用面であり、定期的なレビューから継続的なモニタリングへの移行でした。
Dependabotが何かを検出したときにのみ対応するのではなく、スタック全体で何が実行されているかをより明確に把握し、脆弱性の優先順位付けをより一貫した方法で行えるようになりました。これにより、問題が発見された際のパッケージのアップグレード速度と頻度が向上しました。
ノイズ削減も重要でした。誤検知が少ないということは、エンジニアがトリアージに時間を浪費せず、真のリスクに集中できることを意味します。
「ノイズリダクションは非常に重要です。誤検知を減らし、エンジニアが本当に重要なことに集中できるようにします。」
AikidoはTimefoldが主要なエコシステムの開示に迅速に対応するのにも役立ちました。その一例がNext.jsの認証バイパス脆弱性でした。Next.jsはフロントエンドのみで使用され、バックエンド認証は引き続き適用されていたため、Timefoldは大きな影響を受けませんでしたが、それでも彼らが迅速に特定し修正したいと考えていた種類の問題でした。
コンプライアンス面では、Timefoldは現在SOC 2に準拠しており、Vantaのような既存のコンプライアンスツールと並行して、Aikidoの継続的なカバレッジを使用しています。
まとめ
Timefoldが必要としていたのは、絶えず注意を要するセキュリティプラットフォームではありませんでした。彼らが必要としていたのは、静かにセキュリティを維持し、コンプライアンス作業をサポートし、エンジニアが生産性を維持できるプラットフォームでした。
Pieter氏にとって、それが理想的な結果です。
「Aikidoはそこにありますが、私たちはそれに気づきません。それが気に入っています。」
Aikidoはバックグラウンドで実行されるため、チームは集中を維持でき、ボトルネックになることなくセキュリティが向上します。
