やあ、アレハンドロ！Apherisは何をする会社で、あなたの役割は何ですか？

Apherisは、統合されたライフサイエンス・データ・ネットワークを提供し、知的財産やプライバシーの問題からサイロ化された専有データへのアクセスという重要な課題に取り組んでいます。当社の製品は、ガバナンス、セキュリティ、プライバシー制御を備えた連携コンピューティング・インフラストラクチャであり、ライフサイエンス企業が複数の関係者から提供される補完的なデータを用いて、より高品質なモデルを共同でトレーニングすることを可能にします。私たちは比較的小さなチーム（約25人のエンジニア）ですが、そのおかげで機敏に動き、新しいことに挑戦し、Aikidoようなテクノロジーをいち早く採用することができます。

私はアレハンドロで、Apherisでセキュリティ、プライバシー、ITをリードしています。12年以上のキャリアを持ち、Cisco、Rackspace、Auth0といった大企業からスタートアップの世界まで、セキュリティ、プライバシー、コンプライアンス・プログラム（およびそれを支えるチーム）を一から構築してきました。クラウドやアプリケーションのセキュリティ、Infrastructure as Code（コードとしてのインフラ）、自動化、システムの耐障害性とデータの機密性の維持などに重点を置いています。

スペインの日当たりの良いアリカンテを拠点にしています。時間が許す限り、コードを書いたり、検出をチューニングしたり、社内ツールを構築したりと、実践的な作業を楽しんでいます。最近は、AIと自動化の世界に飛び込み、セキュリティとITのワークフローを合理化し、我々のスタックを少し賢く（そしてより効率的に）するために、ガバナンスに適したエージェントを導入しています。

あなたの顧客は、セキュリティとコンプライアンスの実践にどのような圧力をかけていますか？

たくさんね。それには理由があります。私たちはヘルスケア・データを扱い、地球上で最も規制の厳しい業界のいくつかに販売しています。ある企業との取引では、契約前に独立した侵入テストを4回受けるよう顧客から要請されました。これは、話を始めるためだけに10万ユーロ以上を費やしたことになります。

「契約書にサインする前に、これほど厳しくチェックされるのは初めてだ。近道は許されない"

セキュリティは最初から当社の製品とプロセスに組み込まれています。当社はISO 27001、SOC 2 Type IおよびII、GDPRに準拠しており、トラスト・センターを構築して、顧客が電子メールでやり取りすることなく当社の姿勢を簡単に確認できるようにしています。信頼を迅速に構築することがすべてなのです。

以前はセキュリティとコンプライアンスをどのように扱っていましたか？

私たちのセットアップは、動きの速いチームにとっては典型的なものでした。私たちは、シークレットスキャンにはオープンソースのツールを、コンテナセキュリティと依存性管理にはSnykを、ウェブアプリケーションのスキャンにはDetectifyを、それぞれ組み合わせて使用していました。それぞれのツールは目的を果たすものでしたが、まとまりがなかったため、ダクトテープとひじ油を大量に使ってすべてをつなぎ合わせることに多大な労力を費やさなければなりませんでした（笑）。

「小さなチームがいくつものオープンソースツールをメンテナンスするというオーバーヘッドがあった。それは苦痛だった。

それぞれのツールは目的を果たすが、一緒に機能するものはなかった。シークレットスキャンはノイズが多く、レポ間で管理するのが困難で、コンテナスキャンはエンジニアが行動するのが困難だった。証拠の収集やSLAの追跡といった基本的なコンプライアンスタスクでさえ、断片的だった。

例えば、Snykのアウトプットは、特にさまざまなツールについて知り、さまざまな方法でそれらとやりとりする必要があるエンジニアにとっては、行動しにくいものでした。コードとしてのGithubインフラストラクチャを使用しても、これらのツールを最新の状態に保ち、機能させることは、時間の浪費となりました。

「セキュリティ・エンジニアである私が調査結果の解読に時間を割かなければならないとしたら、エンジニアがそれに基づいて行動することを期待できるでしょうか？無視されるだけだ。

Aikido Vantaを組み合わせる前のコンプライアンス証拠収集プロセスはどのようなものでしたか？

手間のかかるマニュアル。ポリシーはSharePointに保存されていた。オンボーディングとオフボーディングは別々に追跡されていた。監査証拠をまとめるには、複数のツールやスプレッドシートを飛び越える必要があった。

「マニュアル、マニュアル、さらにマニュアル。監査サイクルのたびに、業務の足を引っ張ることになった"

脆弱性、インベントリ、ベンダーのリスクなど、あらゆるものを一元的に把握することができなかった。少人数のチームにとって、このような運用上の摩擦は、最も重要なときに物事を遅らせる可能性があります。

セキュリティとコンプライアンス態勢をサポートする上で、現在テクノロジーが果たしている役割について教えてください。

その差は昼夜を問わない。セキュリティはほとんどの開発者にとって目に見えないものになった。 

Aikido おかげで、エンジニアはセキュリティチームに質問を送り返すことなく、簡単に問題を確認し、解決できるようになった。すべてのレポに、適切で実用的な洞察があります。私がセキュリティ・レポートを翻訳する必要がなく、エンジニアがセルフサービスで簡単に問題を解決できる。当て推量は不要。PDFを解釈する必要もない。プルリクエストやIDEとの統合も簡単です。

Aikido Vantaを併用することで、可視化と自動化の両方が実現します。Aikido 継続的に問題をスキャンし、実際のデータをVantaにフィードします。これには以下が含まれます：

• 脆弱性とパッチのSLAトラッキング
• マルウェア検出
• 変更管理
• 基本構成の検証（TerraformとIaC経由）
• GitHubポリシーの実施
• 自動化されたセキュリティ意識向上トレーニング

「手作業でレポートを作成することなく、SLAやコントロールの達成状況を示すことができます。

Vantaは、監査、カスタマーレビュー、社内GRC監視のための唯一の真実の情報源として機能します。監査に対応し、実行可能な証拠ですべてを結びつけます。

両ツールの評価で目立ったのは？

Aikido場合：それはロールアウトの容易さと開発者の利便性でした。私たちは移行に手間がかかると予想していましたが、1週間もかからずに各レポジトリで使えるようになりました。Aikido 、私たちが必要とする多くのことをすぐにカバーしてくれます。すでに使用していたオープンソースツールの多くがプラットフォームに統合されていたため、使い慣れたものに感じられ、移行のオーバーヘッドを減らすことができました。GitHubのセットアップ・アズ・コード・アプローチのおかげで、当初予想していたよりもずっと早く、わずか数日でリポジトリ全体に展開することができました。

「これまでの経験から、移行には時間がかかると予想していました。しかし、誰も混乱させることなく、1週間ですべてを移行することができました"

Vantaの場合：自動化の幅の広さと、手作業による証拠収集をいかに迅速に減らせるかでした。Aikido、Microsoft Defender、GitHubなどとの統合により、コンプライアンスを一元化するのに適していました。

この2つによって、労力とリスクの両方が軽減された。私たちは視界を確保し、ノイズを減らし、フルタイムの人間が子守をする必要のないセットアップに移行した。

Aikido Vantaによって時間やストレスが軽減された瞬間を教えていただけますか？

間違いなく。Aikidoチーム比較レポートでは、各チームがどのようなパフォーマンスを見せているかを知ることができます。それ自体が競争というわけではありませんが、健全な形でセキュリティをゲーム化しているのは間違いありません。

とはいえ、AutoFixもまた際立っている。Aikido 機能だけでなく、Aikido チームが私たちのフィードバックに素早く対処してくれたことです。当初は、PRタイトルやコミットメッセージといったプルリクエストの厳しい基準を義務付けているため、私たちのPR基準がAutofixの適切な実行を妨げていました。数週間以内に、チームは私たちの特定のセットアップのためのサポートを追加しました。

私たちは、顧客からのフィードバックに無反応で（私たちは小さな会社なので）、小さなことでも長い窓口のサポートチケットが必要で、アカウントマネージャーから連絡があるのは更新サイクルの直前だけという企業向けソリューションから来ました。

「チームは私たちのフィードバックを受けて、数週間以内に修正を施してくれました。このような対応力は重要です"

Vanta社側では、Aikido セキュリティ・シグナルが当社のコンプライアンス・ダッシュボードに流れ込むことで、顧客から"脆弱性をどのように管理していますか？"と尋ねられたときに答えに窮することがなくなりました。コンテキストとSLAトラッキングがすでにあるのです。

最後に、Aikido ヴァンタの影響をどう総括しますか？

Aikido Vantaのおかげで安心です。セキュリティとコンプライアンスがカバーされているので、当社のエンジニアは建設に集中できます"