Apherisがいかに1週間以内にセキュリティとコンプライアンスを統合したか。

移行元 -

Snyk,

オープンソースツール,

公開日：

2026年3月9日

最終更新日:

2026年3月9日

アレハンドロさん！Apherisではどのような事業を行っていますか？また、役割は何ですか？

Apherisは、フェデレーテッドライフサイエンスデータネットワークを強化し、IPおよびプライバシーの懸念によりサイロに閉じ込められたプロプライエタリデータへのアクセスという重要な課題に対処します。当社の製品は、ガバナンス、セキュリティ、プライバシー制御を備えたフェデレーテッドコンピューティングインフラストラクチャであり、ライフサイエンス組織が複数の関係者からの補完的なデータに基づいて、より高品質なモデルを共同でトレーニングできるようにします。私たちは比較的小規模なチーム（約25名のエンジニア）であるため、アジャイルを維持し、新しいことに挑戦し、Aikidoのようなテクノロジーの早期導入者となることが可能です。

私はアレハンドロです。Apherisでセキュリティ、プライバシー、ITを統括しています。この分野で12年以上の経験があり、Cisco、Rackspace、Auth0のような大企業からスタートアップの世界へと移り、セキュリティ、プライバシー、コンプライアンスプログラム（およびそれを支えるチーム）をゼロから構築してきました。私の専門は、クラウドおよびアプリケーションセキュリティ、Infrastructure as Code、自動化、そしてシステムの回復力とデータのプライバシー保護です。

スペインのアリカンテを拠点としています。時間があるときは、コードを書いたり、検出を調整したり、内部ツールを構築したりと、実践的な作業を楽しんでいます。最近では、AIと自動化に深く取り組んでおり、ガバナンスに配慮したエージェントを導入して、セキュリティとITワークフローを合理化し、当社のスタックをよりスマートに（そしてはるかに効率的に）しています。

お客様は、貴社のセキュリティとコンプライアンスのプラクティスにどのようなプレッシャーをかけていますか？

非常に多く、それには正当な理由があります。当社は医療データを扱っており、地球上で最も規制の厳しい業界の一部に販売しています。あるエンタープライズ契約では、お客様から契約前に4回の独立したペネトレーションテストの実施を求められました。それは、交渉を開始するだけで、お客様側で10万ユーロ以上が費やされたことになります。

「契約締結前に、これほどの精査を受けたことはありません。安易な近道はありません。」

セキュリティは、当社の製品とプロセスに最初から組み込まれています。ISO 27001、SOC 2 Type IおよびII、GDPRに準拠しており、お客様がメールのやり取りなしに当社のセキュリティ体制を簡単に確認できるよう、トラストセンターを構築しました。これらはすべて、迅速に信頼を築くためのものです。

以前は、セキュリティとコンプライアンスにどのように対応していましたか？

当社のセットアップは、動きの速いチームにとってはごく一般的で、断片的で一元化が不足していました。シークレットスキャンにはオープンソースツールを、コンテナセキュリティと依存関係管理にはSnykを、WebアプリケーションスキャンにはDetectifyを、それぞれ組み合わせて利用していました。各ツールは目的を果たしていましたが、連携が不足していたため、多くのダクトテープと労力を費やして、すべてを繋ぎ合わせる必要がありました(笑)。

「小規模なチームが複数のオープンソースツールを維持管理するという負担がありました。それは大変な苦痛でした。」

各ツールはそれぞれの目的を果たしていましたが、連携していませんでした。シークレットスキャンはノイズが多く、リポジトリ全体での管理が困難でした。コンテナスキャンはエンジニアが対応するのが困難でした。証拠収集やSLAの追跡といった基本的なコンプライアンスタスクでさえ、分断されていました。

例えば、Snykの出力は、特にさまざまなツールについて知り、異なる方法でそれらとやり取りする必要があるエンジニアにとって、対応が困難でした。当社のGithubのInfrastructure as Codeを使用しても、これらのツールを最新の状態に保ち、機能させることは時間のかかる作業となりました。

「もし私自身がセキュリティエンジニアとして、検出結果を解読するのに時間を費やさなければならないとしたら、どうして当社のエンジニアにそれらに対応するよう期待できるでしょうか？彼らはただ無視するだけでしょう。」

AikidoとVantaを組み合わせる前のコンプライアンス証拠収集プロセスはどのようなものでしたか？

非常に手作業が多いものでした。ポリシーはSharePointに保存され、オンボーディングとオフボーディングは個別に追跡されていました。監査証拠をまとめるには、複数のツールやスプレッドシートを行き来する必要がありました。

「手作業、手作業、そしてまた手作業。監査サイクルごとに、ビジネスに負担が生じていました。」

脆弱性、インベントリ、ベンダーリスクなど、あらゆるものに対する統合されたビューが不足していました。小規模なチームにとって、このような運用上の摩擦は、最も重要な局面で作業を大幅に遅らせる可能性があります。

現在、テクノロジーがセキュリティとコンプライアンスの態勢をサポートする上でどのような役割を果たしているか、どのように説明しますか？

違いは歴然です。セキュリティはほとんどの開発者にとって意識されないものとなり、それは良いことです。

Aikidoのおかげで、エンジニアはセキュリティチームに質問を戻すことなく、問題を簡単に確認し解決できるようになりました。すべてのリポジトリに関連性の高い実用的なインサイトが提供されます。エンジニアは、セキュリティレポートを翻訳してもらう必要なく、セルフサービスで問題を解決できます。推測不要。解釈すべきPDFなし。プルリクエストやIDEとの連携は素晴らしいです。

Aikido and Vanta together give us both visibility and automation. Aikidoは継続的に課題をスキャンし、Vantaにリアルタイムデータを提供します。その内容は以下の通りです。

脆弱性およびパッチSLAトラッキング
マルウェア検出
変更管理
基本構成の検証 (TerraformとIaC経由)
GitHubポリシー適用
そして、自動化されたセキュリティ意識向上トレーニング

「手動でレポートを作成することなく、SLAやコントロールをどのように満たしているかを示すことができるようになりました。」

Vantaは、監査、顧客レビュー、および内部GRCの監視において、信頼できる唯一の情報源として機能します。監査に対応可能かつ実用的な証拠ですべてを連携させます。

両方のツールを評価する際に際立っていた点は何ですか？

Aikidoの場合、それは展開の容易さと開発者フレンドリーさでした。困難な移行を予想していましたが、1週間以内にすべてのリポジトリで稼働させることができました。Aikidoは、すぐに使える状態で必要なものの多くをカバーしています。すでに使用していた多くのオープンソースツールがプラットフォームに統合されていたため、慣れ親しんだ感覚で、移行のオーバーヘッドを削減できました。GitHubのセットアップ・アズ・コードのアプローチのおかげで、当初予想していたよりもはるかに速く、わずか数日でリポジトリ全体に展開することができました。

「これまでの経験から、移行には時間がかかると予想していました。しかし、実際には誰にも支障をきたすことなく、1週間ですべてを移行できました。」

Vantaの場合、自動化の広範さと、手動での証拠収集をいかに迅速に削減できたか、という点でした。Aikido、Microsoft Defender、GitHubなどとの連携により、コンプライアンスを一元化するのに最適でした。

両社は労力とリスクの両方を削減しました。可視性を向上させ、ノイズを削減し、フルタイムの担当者が常時監視する必要のない体制に移行しました。

AikidoとVantaが時間やストレスを軽減した具体的な事例を教えていただけますか？

確かに。Aikidoのチーム比較レポートは、異なるチームがどのようにパフォーマンスしているかを明確に示し、レポートはSlackにも投稿しています。これは競争そのものではありませんが、健全な形でセキュリティをゲーミフィケーションします。

とはいえ、AutoFixも際立っています。その機能だけでなく、Aikidoチームが私たちのフィードバックにどれだけ迅速に対応したかという点でもです。当初、PRタイトルやコミットメッセージなど、厳格なプルリクエスト基準を義務付けていたため、私たちのPR基準がAutoFixの適切な実行を妨げていました。しかし数週間以内に、チームは私たちの特定のセットアップに対するサポートを追加しました。

顧客からのフィードバックに反応が鈍く（当社のような小規模な組織にとっては特に）、ささいな問題でもサポートチケットの対応に時間がかかり、アカウントマネージャーからは更新サイクルの直前にしか連絡がないようなエンタープライズソリューションから移行しました。