やあ、アレハンドロ!Apherisは何をする会社で、あなたの役割は何ですか?
アフェリスは、知的財産権やプライバシー上の懸念からサイロ化された独自データへのアクセスという重大な課題に対処し、連合型ライフサイエンスデータネットワークを推進します。当社の製品は、ガバナンス、セキュリティ、プライバシー管理を備えた連合型コンピューティングインフラであり、ライフサイエンス組織が複数当事者からの補完的データを用いて共同で高品質なモデルを訓練することを可能にします。当社は比較的小規模なチーム(約25名のエンジニア)であるため、俊敏性を保ち、新たな取り組みに挑戦し、 Aikidoなどの技術をいち早く取り入れることが可能です。
私はアレハンドロで、Apherisでセキュリティ、プライバシー、ITをリードしています。12年以上のキャリアを持ち、Cisco、Rackspace、Auth0といった大企業からスタートアップの世界まで、セキュリティ、プライバシー、コンプライアンス・プログラム(およびそれを支えるチーム)を一から構築してきました。クラウドやアプリケーションのセキュリティ、Infrastructure as Code(コードとしてのインフラ)、自動化、システムの耐障害性とデータの機密性の維持などに重点を置いています。
スペインの日当たりの良いアリカンテを拠点にしています。時間が許す限り、コードを書いたり、検出をチューニングしたり、社内ツールを構築したりと、実践的な作業を楽しんでいます。最近は、AIと自動化の世界に飛び込み、セキュリティとITのワークフローを合理化し、我々のスタックを少し賢く(そしてより効率的に)するために、ガバナンスに適したエージェントを導入しています。
あなたの顧客は、セキュリティとコンプライアンスの実践にどのような圧力をかけていますか?
たくさんね。それには理由があります。私たちはヘルスケア・データを扱い、地球上で最も規制の厳しい業界のいくつかに販売しています。ある企業との取引では、契約前に独立した侵入テストを4回受けるよう顧客から要請されました。これは、話を始めるためだけに10万ユーロ以上を費やしたことになります。
「契約書にサインする前に、これほど厳しくチェックされるのは初めてだ。近道は許されない"
セキュリティは最初から当社の製品とプロセスに組み込まれています。当社はISO 27001、SOC 2 Type IおよびII、GDPRに準拠しており、トラスト・センターを構築して、顧客が電子メールでやり取りすることなく当社の姿勢を簡単に確認できるようにしています。信頼を迅速に構築することがすべてなのです。
以前はセキュリティとコンプライアンスをどのように扱っていましたか?
私たちのセットアップは、動きの速いチームにとっては典型的なものでした。私たちは、シークレットスキャンにはオープンソースのツールを、コンテナセキュリティと依存性管理にはSnykを、ウェブアプリケーションのスキャンにはDetectifyを、それぞれ組み合わせて使用していました。それぞれのツールは目的を果たすものでしたが、まとまりがなかったため、ダクトテープとひじ油を大量に使ってすべてをつなぎ合わせることに多大な労力を費やさなければなりませんでした(笑)。
「小さなチームがいくつものオープンソースツールをメンテナンスするというオーバーヘッドがあった。それは苦痛だった。
それぞれのツールは目的を果たすが、一緒に機能するものはなかった。シークレットスキャンはノイズが多く、レポ間で管理するのが困難で、コンテナスキャンはエンジニアが行動するのが困難だった。証拠の収集やSLAの追跡といった基本的なコンプライアンスタスクでさえ、断片的だった。
例えば、Snykのアウトプットは、特にさまざまなツールについて知り、さまざまな方法でそれらとやりとりする必要があるエンジニアにとっては、行動しにくいものでした。コードとしてのGithubインフラストラクチャを使用しても、これらのツールを最新の状態に保ち、機能させることは、時間の浪費となりました。
「セキュリティ・エンジニアである私が調査結果の解読に時間を割かなければならないとしたら、エンジニアがそれに基づいて行動することを期待できるでしょうか?無視されるだけだ。
AikidoとVantaを組み合わせる前のコンプライアンス証拠収集プロセスはどのようなものでしたか?
手間のかかるマニュアル。ポリシーはSharePointに保存されていた。オンボーディングとオフボーディングは別々に追跡されていた。監査証拠をまとめるには、複数のツールやスプレッドシートを飛び越える必要があった。
「マニュアル、マニュアル、さらにマニュアル。監査サイクルのたびに、業務の足を引っ張ることになった"
脆弱性、インベントリ、ベンダーのリスクなど、あらゆるものを一元的に把握することができなかった。少人数のチームにとって、このような運用上の摩擦は、最も重要なときに物事を遅らせる可能性があります。
セキュリティとコンプライアンス態勢をサポートする上で、現在テクノロジーが果たしている役割について教えてください。
その差は昼夜を問わない。セキュリティはほとんどの開発者にとって目に見えないものになった。
Aikido エンジニアが問題を容易に把握・解決できるようになり、セキュリティチームに質問を投げ返す必要がなくなりました。各リポジトリには関連性が高く実用的なインサイトが提供されます。エンジニアは自ら問題を解決でき、私がセキュリティレポートを翻訳する必要はありません。推測作業も不要。PDFの解釈も不要。プルリクエストやIDEとの連携機能は最高です。
Aikido 組み合わせは、可視性と自動化の両方をもたらします。 Aikido は継続的に問題をスキャンし、実際のデータをVantaに供給します。これには以下が含まれます:
- 脆弱性 パッチ脆弱性 SLA追跡
- マルウェア検出
- 変更管理
- 基本構成の検証(TerraformとIaC経由)
- GitHubポリシーの実施
- 自動化されたセキュリティ意識向上トレーニング
「手作業でレポートを作成することなく、SLAやコントロールの達成状況を示すことができます。
Vantaは、監査、カスタマーレビュー、社内GRC監視のための唯一の真実の情報源として機能します。監査に対応し、実行可能な証拠ですべてを結びつけます。
両ツールの評価で目立ったのは?
For Aikido:導入の容易さと開発者向け機能の充実さです。移行は苦痛を伴うと予想していましたが、1週間もかからずに複数のリポジトリで稼働させることができました。 Aikido は、導入直後から必要な機能の多くをカバーしています。既に使用していたオープンソースツールの多くがプラットフォームに統合されていたため、操作感が馴染みやすく、移行の負担が軽減されました。GitHubのセットアップ・アズ・コード手法のおかげで、リポジトリ全体への展開をわずか数日で完了でき、当初の予想を大幅に上回る速さで実現できました。
「これまでの経験から、移行には時間がかかると予想していました。しかし、誰も混乱させることなく、1週間ですべてを移行することができました"
ヴァンタにとって:自動化の範囲の広さと、手作業による証拠収集をいかに迅速に削減できるかが決め手でした。 Aikido、Microsoft Defender、GitHubなどとの連携により、コンプライアンス管理を一元化する最適なソリューションとなりました。
両者は協力して労力とリスクを削減した。可視性が向上し、ノイズが減少し、常時監視要員を必要としない体制に移行した。
AikidoとVantaが時間やストレスを軽減した具体的な事例を教えていただけますか?
確かに。 Aikidoのチーム比較レポートは、各チームのパフォーマンスを把握する優れた指標となります。このレポートはSlackにも公開しています。競争そのものを目的としているわけではありませんが、健全な形でセキュリティをゲーム化していると言えるでしょう。
とはいえ、AutoFixも際立っている。その機能だけでなく、その動作の速さにおいても。 Aikido チームの迅速な対応が際立っています。当初、当社のPR基準(プルリクエストのタイトルやコミットメッセージなど厳格な要件)がAutoFixの正常な動作を妨げていました。しかし数週間後には、チームが当社の特定環境に対応する機能を追加してくれたのです。
私たちは、顧客からのフィードバックに無反応で(私たちは小さな会社なので)、小さなことでも長い窓口のサポートチケットが必要で、アカウントマネージャーから連絡があるのは更新サイクルの直前だけという企業向けソリューションから来ました。
「チームは私たちのフィードバックを受けて、数週間以内に修正を施してくれました。このような対応力は重要です"
ヴァンタ側では、セキュリティ信号を Aikido のセキュリティ情報をコンプライアンスダッシュボードに統合したことで、顧客から「脆弱性をどう管理しているのか?」と問われても慌てて回答を探す必要がなくなりました。既にそこにあるのです。コンテキストとSLA追跡機能付きで。
そして最後に: Aikido とヴァンタの影響をどう総括しますか?
“Aikido とヴァンタは私たちに心の平安をもたらします。セキュリティとコンプライアンスはカバーされているので、エンジニアは開発に集中できます。」
