Aikido Security｜オールインワン脆弱性診断SaaS | インタビュー掲載

インタビュイー：
株式会社AndGo 代表取締役 原 氏

Aikido Securityとはどんなセキュリティ製品ですか？

当社がご提供しているAikido Securityは、開発会社・開発部門の皆さま向けの、セキュリティ診断を“ひとまとめ”にして運用できるようにしたオールインワンの診断ツールです。静的コード解析だけ、クラウド態勢管理だけ、リリース前診断だけ、みたいに分断せず、開発と運用の現場で起きやすい論点を一つの画面で扱える製品になります。ソフトウェアサプライチェーンを強力に保護することができ、特に、昨今猛威を振るう開発環境を狙ったマルウェアへの対策として有効です。

具体的に何を見られるのですか？

まず1つ目が、ソースコードの診断です。コードの書き方が原因で、攻撃されやすい状態になっていないかを早い段階で見つけます。2つ目が、AWSなどクラウド側の設定ミスです。外から入られてしまう設定になっていないか、といったところを見張ります。3つ目が、サーバーOSやWordPressなど、依存ミドルウェア起因の脆弱性です。

開発現場でのセキュリティの扱い方は、どう変わってきていますか？

正直なところ、昔は「セキュリティは運用側が最後に何とかするもの」という前提が強かったと思います。ですが今は攻撃の手口も複雑ですし、作ったあとに1回チェックして終わり、では追いつきません。だから開発の初期からセキュリティを組み込むDevSecOps（開発（Dev）、セキュリティ（Sec）、運用（Ops））が現実解になってきていて、Aikido Securityはその“回し方”を作るためのツールだと考えています。

他社の脆弱性診断ツールと比べたときの違いは何ですか？

一番の違いは、開発者が気にしなければいけないセキュリティを、オールインワンでまとめて持てることです。単機能のツールを足していくと、アラートがバラバラに出て、結局“消し込み”が仕事になってしまうケースが多いです。そこを統一することで、対応すべきアラート自体を絞り込みやすくします。

アラートが多すぎて回らない問題は、どう解決しますか？

当社がよくお聞きするのは、「アラートが多すぎて、何が重要か分からなくなって放置が始まる」という悩みです。Aikido Securityは、バラバラだったアラートを統一し、対応すべきアラートを絞れるようにします。結果として、消し込み工数を減少でき、セキュリティ運用を“手に負える状態”に寄せていけます。

加えて、レポート機能でPDFやCSVに落として、社内の定例の場で「今月はここまで対応しよう」と優先順位を合わせていく運用も取りやすくなります。

脆弱性が見つかったあと、実際に修正されるまでのハードルってどこにあるんでしょうか？

診断ツールは、脆弱性の場所と直し方を示して終わり、になりがちです。そこで当社としては、直すところまで進めやすい体験が重要だと思っています。Aikido Securityには、オートフィックスとして修正案のドラフトを作ってプルリクエストまで投げられる機能があります。レビューして進める形にできるので、「じゃあ直すか」の速度が上がります。

また、エディター拡張で、書いている段階で危ない箇所に気づけて、修正方法まで学べるのも大きいです。結果として、開発者のセキュリティ教育にもつながります。

どんな企業・チームに向いていますか？

基本は、自社でサービスを提供していて、内製でアプリ開発をしている企業です。特にSaaSスタートアップはフィットしやすいです。一方で大企業でも、顧客向けのサービスを自社チームで作っている場合は同じ悩みを持つので、導入の効果が出やすいです。

もう一点、導入が進みやすいのは、CTOなど技術責任者がいて、開発の現場が主となってセキュリティ論点に対する意志決定ができる組織です。逆に、内部統制が強すぎて現場が動けない場合や、SOC外注に寄りすぎて開発環境の優先度が落ちている場合は、価値が出るまでに時間がかかることがあります。

導入検討でよく出る不安（データの扱い・権限）は何がありますか？

ここは大切なポイントなので、丁寧にお伝えしています。Aikido Securityは、コードスキャンの都度コンテナを起動し、お客さまのコードリポジトリを安全な仮想環境（コンテナ）に複製して検査し、検査後にその環境ごと削除する設計です。そのため、コード自体をAikido側が保持し続ける前提ではありません。また、よりコンプライアンスの厳しいお客様においては、お客様環境でスキャンを行う方式を選択いただくこともできます。この場合、コードのコピーは発生せず、スキャン自体を社内環境で完結させられます。

料金やプランについて教えてください。

料金はスポットの「診断1回いくら」ではなく、月額利用料が固定のサブスクリプション型です。まずはベーシック／プロプランを中心に検討していただき、必要ならカスタムも相談できる形です。オンプレミスでのスキャン、SSO連携が必要となる場合はプロプランのご案内となります。

両プランともに、利用者（エンジニア）のスロット数（例：10人まで）でライセンス規模が決まります。プランごとに診断対象数に関する標準枠があります。例えば、プロプランではリポジトリ連携数200個という上限があります。標準枠を超える分については追加オプションとして調整いただけます。

導入・運用のサポート体制はどうなっていますか？

Aikido Security自体はベルギーのスタートアップが開発している製品で、基本のプロダクトやサポートは英語になります。そこで当社が日本窓口として入り、日本語での一次対応や導入・運用の伴走を担います。

トライアル環境も無償でご用意していて、セットアップや監視対象のつなぎ込みも一緒に進めます。Slackで日々の詰まりどころを潰していく距離感でも伴走できます。

それと、アカデミア出身の経歴があるせいか「ちょっと話しづらそう」と思われていることもあるのですが、実際にお話しすると「想像と違って相談しやすかった」と言っていただくことが多いです。構えずお気軽にご相談ください。

今後の展望として、AI時代のセキュリティをどう見ていますか？

AIコーディングが当たり前になるほど、「AIが書いたコードも含めて、日常的に検証できる仕組み」が重要になります。その文脈で、AIエージェントがハッカーをエミュレーションして侵入テストを行い、ログや証跡を残す“AIペンテスト”の方向性も出てきています。これが進むと、コストや時間の都合で「リリース前に1回」が限界だった侵入テストを、ビルドパイプラインに組み込み、毎日回す世界が見えてきます。

まとめ・編集部コメント

Aikido Securityは、コード・クラウド・依存ミドルウェア起因の脆弱性といった論点を分断せず、アラートを統一して“運用が回る状態”に寄せていく考え方が中心にあります。導入検討者にとっては、開発を内製しているチームほど「アラート疲れ」や「ツールを足しても埋まらない穴」に直面しやすいので、オールインワン＋トリアージ＋レポートという設計が、そのまま意思決定の材料になりやすいはずです。また、英語UIというハードルはある一方で、日本語で伴走し、トライアルから現場に合わせて進められる点は、比較検討の不安を下げる要素になります。