Athumiは、ベルギーの3つの地域の1つであるフランダース地方（ベルギーの人口の約60％を占める）において、信頼できるデータ交換を可能にする中心的な役割を果たしている。データ仲介者である彼らの使命は、最高レベルのデータ保護、コンプライアンス、開発者のエンパワーメントを必要とする。Athumi社のCTOであるDavid Van den Brande氏に、同社がどのようにセキュリティの成熟度を高めていったのか、そしてなぜAikido その旅において重要なパートナーとなったのかを聞いた。

Aikido 、効果的なサイバーセキュリティに対するニーズの高まりに対応するため、適切なタイミングで適切な焦点で対応するダイナミックなパートナーである。

自己紹介とアスミでの役割について教えてください。

Athumiには、まだDigitaal Vlaanderen（公共サービスのデジタル・トランスフォーメーションに取り組むフランダース政府の機関）内のプログラムだった設立当初から在籍しています。私はテクノロジーとインフラの両方を監督し、組織全体の一貫性、敏捷性、戦略的適合性を確保するためのアーキテクチャ上の決定を導いています。

レガシーシステムを新しいプラットフォームと融合させ、分散した開発チームと統一されたガバナンスのバランスをとり、高い品質基準と企業レベルのコンプライアンスを確保する。野心的なイノベーション・プロジェクトを推進し、テクノロジーを活用して官民のパートナー間のコラボレーションを確立・育成しながら、すべてを行う必要があります。

アスミの使命、ベルギー政府への支援は？

Athumiは、ベルギー・フランダース地方の経済復興を支援するため、COVID期間中にフランダース地方のレジリエンス復興計画の一環としてスタートしました。私たちは、政府や民間組織から信頼されるデータ仲介業者として、個人データやビジネスデータを安全に流通させる役割を果たしています。

GDPRとNIS2は重要な保護を作り出しましたが、同時にシステム間の対話を困難にしました。信頼に反することなくデータのロックを解除するにはどうすればいいのか？Athumiは、技術的、法的、組織的にこのギャップを埋める手助けをします。

あなたの仕事において、セキュリティはどの程度重要ですか？

セキュリティは、私たちが行うすべてのことの中心にあります。私たちは、個人データとビジネス上の機密情報の両方を扱っています。信頼は譲れません。私たちのエコシステム全体がそれにかかっているのです。

そのため、私たちは早くから専用の情報セキュリティ管理システム（ISMS）に投資し、CISOを雇用し、サイバーセキュリティを取締役会レベルの責任として位置づけるよう組織を構成しました。

Aikido活動する前は、どのような問題に直面していましたか？

私たちには複数の課題があった：

• 断片化：私たちは複数のホスティングターゲットを持ち、それぞれが独自のCI/CDパイプラインと特定のデプロイメントルールを持っていました。
• コンプライアンスのオーバーヘッド：一元化された監査がチームごとのワークフローと衝突。
• 開発者のリスクからの距離：開発者は、サイクルの後半になるまで、セキュリティの影響に気づかないことがあった。
• 可視性の欠如：リーダーシップは自信を持って「安全なコードを出荷している」とは言えなかった。

セキュリティに対する意識は大きく異なっていた。取締役会は明確な保証を必要としていたが、開発者は具体的で実行可能なツールを必要としていた。"口先だけ "は、人々がそれを実行する手段を持っている場合にのみ機能する。

「私は、セキュリティをトップダウンで押し付けるアウトサイダーCTOにはなりたくなかった。Aikido 、セキュアなコーディングを文脈の中で学ぶことで、開発者の成長を助けます。脆弱性を修正するたびに、次の脆弱性を防ぐことができるようになります。"

セキュリティ・アプローチを正式化するきっかけは何だったのですか？

これまでチームごとに分断されていたホスティング環境を統一したことで、CI/CDパイプラインを再設計するための白紙に戻すことができました。独立したセキュリティの専門家で構成された私たちの諮問委員会は、「この新しいパイプラインを、デザインによってどのようにセキュアにするのか」という課題を私たちに投げかけました。

そこで私たちは、万能のパイプラインを強制することなく、分散型チームをサポートするソリューションを模索することになりました。 

Aikido知ったきっかけは？

Aikido 、同業者の推薦と諮問委員会の意見をミックスして私たちのところに来ました。私たちは、理想的なセキュアなCI/CDプロセスをマッピングし、チームの作業方法を評価していました。Aikido 、既存のチームのワークフローとシームレスに統合され、メインでMOBを行うか、フィーチャーブランチで作業するか、PRを通して出荷するかなど、その柔軟性で際立っていました。

チームは、明確で自動化されたセキュリティ・チェックの恩恵を受けながら、コントロールし続けることができる。

評価で目立った点は？

3つのことが際立っていた：

1. 開発者の現場でのフィードバック：私たちのチームは、正式なセキュリティコースに参加するのではなく、実践することで学んでいます。Aikido その考え方に合っています。
   
2. 邪魔にならない：サイドカーとして動作します。私たちのワークフローを妨げることなく補完します。
   
3. 即時の価値：開発者は迅速な洞察を得ることができ、作業の流れの中で問題を修正するのに役立つ。
   

「フィードバック・ループは即座に得られる。開発者はトレーニングコースを必要とせず、実践することで学ぶ。

統合はどうだった？

私たちはシンプルに始めました：IDEのプラグイン、Slackのアラート、Jiraの統合などです。参入障壁の低さが鍵でした。今では、ランタイムセキュリティやクラウド設定にまで拡張しています。あなたのペースで、チームごとに拡張することができます。

「組み込みではなく、サイドカーです。Aikido セキュリティを可視化し、実行可能なものにします。"

Aikido あなたの働き方をどのように変えましたか？

セキュリティはもはやブロッカーでもサイロでもありません。私たちのチームがコードを出荷する方法の一部なのです。私たちは積極的にそれを確立しています：

• 開発者の意識向上
• 脆弱性修復の迅速化
• より良い監査準備
• 透明性のための中央ダッシュボード
  

Aikido 、開発環境とランタイム環境全体にわたって、セキュリティへのコミットメントを実際の行動に移すことで、私たちの話を実行に移す手助けをしてくれます」。

コンプライアンスに役立っているか？

もちろんです。私たちはISO認証取得を目指していますが、Aikido 私たちのセキュリティ態勢を文書化し、追跡し、伝える上で大きな役割を果たしています。

Aikido、セキュリティーを構造的に向上させ、成熟度をいつでも簡単に示すことができる。

他の政府技術部門のリーダーたちに何か言いたいことはありますか？

信頼から始めよう。ツールを押し付けるのではなく、適切なツールでチームを支援する。セキュリティはバックオフィスの機能ではない。製品の問題であり、プラットフォームの問題であり、ビジネスを可能にするものなのだ。

Aikido 私たちとともに進化する。合気道は、私たちをひとつの仕事のやり方に固定しません。この柔軟性は、分散化したチームを管理し、同時にコンプライアンスを拡大する際に非常に重要です。

Aikido ヨーロッパ的であることがなぜ重要なのか？

想像以上に重要。安全保障は戦略的です。欧州のイノベーションを支援することは、経済的な回復力、主権、そして進化する欧州規制の枠組みに対する信頼とコンプライアンスという私たちの価値観に合致します。私たちの状況を理解してくれるヨーロッパ（私たちの場合はベルギー）のパートナーを持つことは大きな利点です。

Aikido 一言で表すと？

"Aikido 、社内の高いセキュリティ基準、法律、地政学的な問題など、最も必要とされるときに、的確な焦点を持って現れるダイナミックなパートナーです"