Athumiは、ベルギーの3つの地域のうちの1つであるフランダース(ベルギーの人口の約60%を占める)で、信頼できるデータ交換を可能にする上で中心的な役割を担っています。データ仲介者として、その使命は最高レベルのデータ保護、コンプライアンス、開発者のエンパワーメントを必要とします。私たちはAthumiのCTOであるDavid Van den Brande氏と対談し、同社がどのようにセキュリティ成熟度を向上させたか、そしてなぜAikidoがその道のりにおいて重要なパートナーとなったのかを探りました。
「Aikidoは、効果的なサイバーセキュリティへの高まるニーズに対応するため、まさに適切なタイミングで適切な焦点を当てて対応するダイナミックなパートナーです。」
Athumiでのご自身と役割についてご紹介いただけますか?
Athumiには設立当初から在籍しています。当時は、フランドル政府の機関であるDigitaal Vlaanderen内のプログラムとして、公共サービスのデジタルトランスフォーメーションに取り組んでいました。私はテクノロジーとインフラストラクチャの両方を統括し、組織全体の整合性、俊敏性、戦略的適合性を確保するためにアーキテクチャの意思決定を導いています。
私がこの仕事に惹かれたのは、その課題の規模でした。レガシーシステムと新しいプラットフォームの統合、分散型開発チームと統一されたガバナンスのバランスを取り、高い品質基準と企業レベルのコンプライアンスを確保すること。これらすべてを、野心的なイノベーションプロジェクトを推進し、テクノロジーを活用して官民パートナー間の協業を確立・育成しながら実行する必要があります。
Athumiのミッションは何ですか?そして、どのようにベルギー政府をサポートしていますか?
Athumiは、COVID期間中のフランドルレジリエンス復旧計画の一環として、ベルギーのフランドル地方における経済復興を支援するために設立されました。私たちは、政府および民間組織から信頼されるデータ仲介者として、個人データおよびビジネスデータを安全に流通させます。
GDPRとNIS2は重要な保護策を確立しましたが、同時にシステム間の連携を困難にしました。私たちは市場にギャップがあることに気づきました。信頼を損なわずにデータを活用するにはどうすればよいか、という点です。Athumiは、技術的、法的、組織的な側面から、このギャップを埋めるのに貢献します。
業務においてセキュリティはどのくらい重要ですか?
セキュリティは私たちの活動の核心です。私たちは個人データと機密性の高いビジネス情報の両方を扱っています。信頼は譲れないものであり、私たちのエコシステム全体がそれに依存しています。
そのため、私たちは早期に専用の情報セキュリティマネジメントシステム(ISMS)に投資し、CISOを雇用し、サイバーセキュリティを役員レベルの責任として位置づけるよう組織を構築しました。
Aikidoをご利用になる前は、どのような課題に直面していましたか?
複数の課題がありました:
- 分断化: 複数のホスティングターゲットがあり、それぞれが独自のCI/CDパイプラインと特定のデプロイルールを持っていました。
- コンプライアンスのオーバーヘッド: 中央集権的な監査がチーム固有のワークフローと衝突しました。
- 開発者とリスクの距離: 開発者は、サイクルの後半になるまでセキュリティの影響を常に認識しているわけではありませんでした。
- 可視性の欠如: リーダーシップ層が「我々はセキュアなコードを出荷している」と自信を持って言えない状況。
セキュリティ意識は大きく異なりました。役員会が明確な保証を必要とする一方で、開発者には具体的で実用的なツールが必要でした。「有言実行」は、人々がそれを実行する手段を持っている場合にのみ機能します。
「私は、外部のCTOとしてトップダウンでセキュリティを推進したくありませんでした。Aikidoは、開発者がコンテキスト内でセキュアコーディングを学ぶことで成長するのを支援します。彼らが修正する各脆弱性は、次の脆弱性を防ぐ能力を向上させます。」
セキュリティアプローチを正式化するきっかけは何でしたか?
以前はチーム間で分散していたホスティング環境を統合したことで、CI/CDパイプラインを再設計するための白紙の状態が得られました。独立したセキュリティ専門家で構成される諮問委員会は、私たちに「この新しいパイプラインをどのように設計段階からセキュアにするのか?」と問いかけました。
その結果、画一的なパイプラインを強制することなく、分散型チームをサポートするソリューションを検討することになりました。
Aikidoをどのように知りましたか?
Aikidoは、同僚の推薦と諮問委員会の意見が組み合わさって私たちの元に届きました。私たちは理想的なセキュアなCI/CDプロセスをマッピングし、チームの働き方を評価していました。Aikidoはその柔軟性で際立っていました。メインブランチでのMOBing、フィーチャーブランチでの作業、PRを通じたデプロイなど、既存のチームワークフローにシームレスに統合されました。
チームはコントロールを維持しつつ、明確で自動化されたセキュリティチェックの恩恵を受けることができました。
評価中に何が際立っていましたか?
3つの点が際立っていました:
- 実務を通じた開発者フィードバック: 私たちのチームは、正式なセキュリティコースに参加するのではなく、実践を通じて学習します。Aikidoはその考え方に合致しています。
- 非侵襲性: サイドカーとして動作します。ワークフローを妨げることなく補完します。
- 即座の価値:開発者は迅速なインサイトを得て、ワークフローの中で問題を修正できます。
「フィードバックループは即座です。開発者はトレーニングコースを必要とせず、実践を通じて学び、Aikidoはそれをサポートします。」
統合はどのように進みましたか?
私たちはIDEプラグイン、Slackアラート、Jira連携といったシンプルなものから始め、チームがすぐに結果を確認できるようにしました。参入障壁の低さが重要でした。現在では、ランタイムセキュリティとクラウド設定にまで拡張しています。チームごとに、それぞれのペースでスケールアップできます。
「それは組み込み型ではなく、サイドカーです。生産パスの制御は維持しつつ、Aikidoがセキュリティを可視化し、実行可能にします。」
Aikidoは作業方法をどのように変えましたか?
セキュリティはもはやブロッカーでもサイロでもありません。それは習慣であり、私たちのチームがコードを出荷する方法の一部です。私たちは積極的に確立しています:
- 開発者の間での意識向上
- 脆弱性修正の迅速化
- より優れた監査対応
- 透明性のための、一元化されたダッシュボード
「Aikidoは、セキュリティへのコミットメントを開発およびランタイム環境全体での具体的な行動に変えることで、私たちの有言実行を支援してくれます。」
コンプライアンスに役立ちましたか?
もちろんです。私たちはISO認証取得に向けて取り組んでおり、Aikidoは、当社のセキュリティ体制を文書化、追跡、および伝達する上で大きな役割を果たしています。
セキュリティは単なるチェックボックスではありません。Aikidoを使用することで、いつでも構造的に改善し、成熟度を容易に実証できます。
他の政府系テクノロジーリーダーに何を伝えますか?
信頼から始めましょう。ツールを押し付けるのではなく、適切なツールでチームを支援してください。セキュリティはバックオフィス機能ではありません。それは製品の懸念事項であり、プラットフォームの懸念事項であり、ビジネスを可能にするものです。
Aikidoは私たちと共に進化します。働き方を一つに限定しません。その柔軟性は、分散型チームを管理し、同時にコンプライアンスを拡大する際に不可欠です。
Aikidoがヨーロッパ製であることがなぜ重要なのでしょうか?
思っている以上に重要です。セキュリティは戦略的です。欧州のイノベーションを支援することは、経済的レジリエンス、主権、信頼、そして進化する欧州の規制フレームワークへの準拠といった当社の価値観と合致しています。当社の状況を理解している欧州(そして、当社の場合ベルギーの)パートナーを持つことは、大きな利点です。
Aikidoを一文で説明するとどうなりますか?
「Aikidoは、高い社内セキュリティ基準、法規制、地政学的状況の中で、最も必要とされる時に適切な焦点を当てて現れるダイナミックなパートナーです。」
