コンテンツにスキップするには Enter キーを押してください

Crash Override、可視性の課題に対抗するためERMを導入

投稿日 2025年7月24日

出典:Agencja Fotograficzna Caro/Alamy Stock Photo

可視性は依然として、そしてますます、企業にとって大きな課題となっています。潜在的な問題に対する可視性がなければ、セキュリティチームは脅威をタイムリーに監視、検知、対応する能力が制限されます。攻撃対象領域が拡大するにつれて、問題も大きくなります。

組織は膨大な量のコードを抱えていますが、コードの変更やライフサイクルの追跡—コードの問題を特定し修正するために不可欠な作業—は困難です。リモートワーカーの増加、旧式システムの継続的な利用、リソース不足が可視性の懸念をさらに高めています。ソフトウェアセキュリティのスタートアップであるCrash Overrideは、エンジニアリング・リレーションシップ・マネジメント(ERM)プラットフォームによって、現在および新たに生じる可視性の課題に取り組むことを目指しています。

同社は2022年に設立され、今月初めに2,800万ドルのシード資金を調達しました。

ERMはどのように可視性を高めるのか?

Crash Overrideは、企業が自社の保有するテクノロジーとその接続状況をカタログ化する際の課題に取り組むことを目指しています。さまざまな業界のCISO(最高情報セキュリティ責任者)やエンジニアリング部門の責任者との会話の中で、創業者のMark Curphey氏とJohn Viega氏は、DevOpsやクラウドへの移行の過程で、誰もが可視性を失っていたことを発見しました。Curphey氏は、「エンジニアは自分のコードが本番環境でどこに行くのか分からず、セキュリティ担当者も誰がそのコードの所有者なのか分からなかった。突然、皆が盲目になってしまった」と説明します。

創業者たちは、Curphey氏が「コード、インフラ、ツール全体を横断する唯一の信頼できる情報源」と表現するものを作ることで、ERMが可視性の向上に役立つと判断しました。これにより、企業はコードがどこにあり、誰が所有しているのかを把握できます。その情報をもとに、企業はコード内の脆弱性や死角を減らすため、より積極的なアプローチを取ることが可能になります。

「ERMを使えば、これらすべての問題を解決できる」とCurphey氏は言います。「本質的には、顧客関係管理(CRM)と同じ問題です。活動の可視化と、それに基づく予測の策定です。」

自動化は、可視性向上の取り組みにおいて重要な要素です。

コードを最初から最後まで追跡

Curphey氏はこれらの議論の中で、CISOやエンジニアリングディレクターが直面するほぼすべての問題が、実は同じコインの裏表であることにも気づきました。「私たちは、セキュリティツールというよりも開発ツールだと考えています。なぜなら、セキュリティは結局エンジニアリングの機能になりつつあるからです」と彼は述べています。

このプラットフォームは、コードの変更、どの部分に誰が関わったか、アプリケーションのライフサイクル全体を追跡することで機能します。Curphey氏は「このプラットフォームは、誰が何をしたのか、何が変わったのか、どこに行ったのか、という疑問に答えるのに役立ちます」と説明します。すべての情報が集約・相関されることで、シャドウエンジニアリング、コードの所有権、コンテナへの移行、レガシーテクノロジーの排除など、さまざまなユースケースの解決に役立つといいます。

シャドウエンジニアリングは、セキュリティの観点から懸念事項です。チームは、環境内で使用されているツールを把握し、適切なセキュリティコントロールを適用する必要があります。しかし、誰でも開発者になれる時代では、その把握は困難です。もう一つのユースケースは、インシデント対応の調査です。

「これにより、セキュリティ担当者は自分の仕事ができるようになります」とCurphey氏は言います。「ある非常に大きな企業が障害を起こした際、コードの所有者を特定し、誰に連絡すべきか、どう修正すべきかを把握するのに2日もかかりました。」

「巨大なGenAI問題」

Curphey氏は、生成AI(GenAI)によるコードが新たな、しかもより深刻な可視性の課題をもたらす可能性があると警告します。GenAIによるコードの問題は本質的には既存のものと同じですが、その規模はより大きくなります。この技術によって、開発者がAIを使ってコードを生成し、セキュリティを考慮せずに環境全体に展開できてしまいます。すると、どのGenAIコードが本番環境に投入され、誰がそれを行ったのか、チームが把握できなくなるのです。

「もしマーケティング部門の誰かがAIエージェントを使って、本番環境にコードを投入し、セキュリティや本番環境化の方法を全く理解していなかったら、非常に大きな問題になります」と彼は言います。「私たちはGenAIの問題を非常に重大なものと見ており、多くの企業に影響を及ぼすと考えています。」

翻訳元: https://www.darkreading.com/application-security/crash-override-erm-combat-visibility-challenges

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です