Apherisが断片的なセキュリティ・ツールを1週間以内に入れ替えた方法

やあ、アレハンドロ！Apherisは何をする会社で、あなたの役割は何ですか？

Apherisは、統合されたライフサイエンス・データ・ネットワークを提供し、知的財産やプライバシーの問題からサイロ化された専有データへのアクセスという重要な課題に取り組んでいます。当社の製品は、ガバナンス、セキュリティ、プライバシー制御を備えた連携コンピューティング・インフラストラクチャであり、ライフサイエンス企業が複数の関係者から提供される補完的なデータを用いて、より高品質なモデルを共同でトレーニングすることを可能にします。私たちは比較的小さなチーム（約25人のエンジニア）ですが、そのおかげで機敏に動き、新しいことに挑戦し、Aikidoようなテクノロジーをいち早く採用することができます。

私はアレハンドロで、Apherisでセキュリティ、プライバシー、ITをリードしています。12年以上のキャリアを持ち、Cisco、Rackspace、Auth0といった大企業からスタートアップの世界まで、セキュリティ、プライバシー、コンプライアンス・プログラム（およびそれを支えるチーム）を一から構築してきました。クラウドやアプリケーションのセキュリティ、Infrastructure as Code（コードとしてのインフラ）、自動化、システムの耐障害性とデータの機密性の維持などに重点を置いています。

スペインの日当たりの良いアリカンテを拠点にしています。時間が許す限り、コードを書いたり、検出をチューニングしたり、社内ツールを構築したりと、実践的な作業を楽しんでいます。最近は、AIと自動化の世界に飛び込み、セキュリティとITのワークフローを合理化し、我々のスタックを少し賢く（そしてより効率的に）するために、ガバナンスに適したエージェントを導入しています。

製薬会社の顧客と仕事をする場合、セキュリティ上の課題はどの程度あるのでしょうか？

その通りです。私たちは機密データを扱っているので、セキュリティは単なるベストプラクティスではなく、ビジネスを行うための必須条件なのです。例を挙げましょう：ある企業との取引では、契約前に独立機関による4回の侵入テストに合格する必要がありました。これは、話を始めるためだけに10万ユーロ以上を費やしたことになります。また、トラスト・センターを構築し、顧客や潜在顧客が社内のプライバシー、セキュリティ、コンプライアンス態勢をすべて確認できるようにしました。これは、お客様がベンダーのレビューやコンプライアンス評価を合理化し、対応時間を一桁短縮するのにも役立ちます。

「契約書にサインする前に、これほど厳しくチェックされるのは初めてだ。近道は許されない"

私たちは、プライバシーとセキュリティを初日から製品とプロセスに組み込んでいます。私たちの製品をデータに提供するのであって、その逆ではありません。当社の連携モデル・トレーニング・システムは、AWSアカウントなど、クライアントのインフラ上で実行されるため、データを移動する必要はありません。このセットアップは、コンプライアンスを維持し、プライバシーを保護し、製薬会社の顧客が期待するデータの扱い方と一致しています。当社はISO 27001、SOC 2 Type IおよびII、GDPRに準拠しています。セキュリティとプライバシーは後付けではなく、当社のビジネスの根幹です。 

Aikido転向する前は、どんな困難に直面していましたか？

私たちのセットアップは断片的で、一元化されていませんでした。秘密スキャンにはオープンソースのツールを、コンテナ・セキュリティと依存関係管理にはSnykのようなプロプライエタリなソリューションを、ウェブ・アプリケーション・スキャンにはDetectifyを、それぞれ組み合わせて使っていました。それぞれのツールは目的を果たすものでしたが、まとまりがなかったため、ダクトテープとひじ油を大量に使ってすべてをつなぎ合わせることに多大な労力を費やさなければなりませんでした（笑）。

Aikido 採用したことで、これらの取り組みのいくつかが、より統一された単一の製品に統合され、チームの摩擦が減りました。Aikidoは銀の弾丸ではありませんが、私たちが大切にしている他のツールやプロセスも含めた、より広範なセキュリティ戦略の重要な一部となっています。

「小さなチームがいくつものオープンソースツールをメンテナンスするというオーバーヘッドがあった。それは苦痛だった。

各ツールは、それぞれのサイロの中にありました。リポジトリ間でコンフィギュレーションを管理するのは難しく、セキュリティ態勢の全体像を把握するのはさらに困難だった。シークレットスキャンはノイズが多かった。コンテナのスキャン結果は実用的ではなかった。また、全体的に、スキャンするリポジトリが増えるにつれて、メンテナンスの負担が大きくなっていました。Snyk の出力は、特に、さまざまなツールについて知り、さまざまな方法でそれらとやり取りする必要があるエンジニアにとって、行動しにくいものでした。Github インフラストラクチャをコードとして使用していても、これらのツールを最新の状態に保ち、機能させることは、時間の浪費となっていました。

「セキュリティ・エンジニアである私が調査結果の解読に時間を割かなければならないとしたら、エンジニアがそれに基づいて行動することを期待できるでしょうか？無視されるだけだ。

Aikido選んだきっかけは？

私たちは、視界を確保し、ノイズを減らし、フルタイムの人間が子守をする必要のない、ひとつのプラットフォームを求めていた。

Aikido 、私たちが必要とする多くのことを、すぐにカバーしてくれます。私たちがすでに使っていたオープンソースのツールの多くがプラットフォームに統合されていたため、使い慣れたものに感じられ、移行のオーバーヘッドを減らすことができました。GitHubのセットアップ・アズ・コード・アプローチのおかげで、当初予想していたよりもずっと早く、わずか数日でリポジトリ全体に展開することができました。

もちろん、どのようなロールアウトであれ、本当に楽なものなどない。パイプラインを検証し、カバレッジが期待に合っているかダブルチェックする必要がありました。しかし全体的には、Aikido おかげでプロセスを加速させることができ、手作業でつなぎ合わせる運用負担を減らすことができました。Aikidoは現在、私たちの幅広いセキュリティ・ツールの確かな一部となっていますが、（どのベンダーでもそうであるように）私たちは脅威モデルの中でのAikidoの役割を継続的に評価し、監視しています。

「これまでの経験から、移行には時間がかかると予想していました。しかし、誰も混乱させることなく、1週間ですべてを移行することができました"

Aikido展開して何が変わったのか？

その差は昼夜を問わない。セキュリティはほとんどの開発者にとって目に見えないものになった。 

Aikido おかげで、エンジニアはセキュリティチームに質問を送り返すことなく、簡単に問題を確認し、解決できるようになった。すべてのレポに、適切で実用的な洞察があります。私がセキュリティ・レポートを翻訳する必要がなく、エンジニアがセルフサービスで簡単に問題を解決できる。当て推量は不要。PDFを解釈する必要もない。プルリクエストやIDEとの統合も簡単です。

あなたにとって最もインパクトのあった機能は何ですか？

強いて挙げるなら、チーム比較レポートです。異なるチームがどのようなパフォーマンスを見せているのかを知ることができますし、Slackにもレポートを投稿しています。これは競争そのものを目的としたものではありませんが、健全な方法でセキュリティをゲーム化していることは間違いありません。

とはいえ、AutoFixも傑出している。Aikido 機能だけでなく、Aikido チームが私たちのフィードバックに素早く対処してくれたことです。当初は、PRタイトルやコミットメッセージといったプルリクエストの厳しい基準を義務付けているため、私たちのPR基準がAutofixの適切な実行を妨げていました。数週間以内に、チームは私たちの特定のセットアップのためのサポートを追加しました。

私たちは、顧客からのフィードバックに無反応で（私たちは小さな会社なので）、小さなことでも長い窓口のサポートチケットが必要で、アカウントマネージャーから連絡があるのは更新サイクルの直前だけという企業向けソリューションから来ました。

「チームは私たちのフィードバックを受けて、数週間以内に修正を施してくれました。このような対応力は重要です"

Aikido 一言で表すと？

Aikido 、セキュリティの責任がカバーされているという安心感があるため、エンジニアは妥協することなく出荷に集中することができます」。

‍