アトゥミは、ベルギーの3つの地域の一つであるフランダース（ベルギー人口の約60％を占める）において、信頼性の高いデータ交換を実現する中核的な役割を担っています。データ仲介機関として、同社の使命は最高水準のデータ保護、コンプライアンス、開発者エンパワーメントを必要とします。アトゥミのCTOであるDavid Van den Brande氏に、同社がセキュリティ成熟度をどのように拡大したのか、そしてなぜAikido がその旅路における重要なパートナーAikido を探るためにお話を伺いました。

Aikido 、効果的なサイバーセキュリティに対する高まるニーズに対応するため、まさに適切なタイミングで適切な集中力をもって応答する、ダイナミックなAikido 。

自己紹介とアスミでの役割について教えてください。

Athumiには、まだDigitaal Vlaanderen（公共サービスのデジタル・トランスフォーメーションに取り組むフランダース政府の機関）内のプログラムだった設立当初から在籍しています。私はテクノロジーとインフラの両方を監督し、組織全体の一貫性、敏捷性、戦略的適合性を確保するためのアーキテクチャ上の決定を導いています。

レガシーシステムを新しいプラットフォームと融合させ、分散した開発チームと統一されたガバナンスのバランスをとり、高い品質基準と企業レベルのコンプライアンスを確保する。野心的なイノベーション・プロジェクトを推進し、テクノロジーを活用して官民のパートナー間のコラボレーションを確立・育成しながら、すべてを行う必要があります。

アスミの使命、ベルギー政府への支援は？

Athumiは、ベルギー・フランダース地方の経済復興を支援するため、COVID期間中にフランダース地方のレジリエンス復興計画の一環としてスタートしました。私たちは、政府や民間組織から信頼されるデータ仲介業者として、個人データやビジネスデータを安全に流通させる役割を果たしています。

GDPRとNIS2は重要な保護を作り出しましたが、同時にシステム間の対話を困難にしました。信頼に反することなくデータのロックを解除するにはどうすればいいのか？Athumiは、技術的、法的、組織的にこのギャップを埋める手助けをします。

あなたの仕事において、セキュリティはどの程度重要ですか？

セキュリティは、私たちが行うすべてのことの中心にあります。私たちは、個人データとビジネス上の機密情報の両方を扱っています。信頼は譲れません。私たちのエコシステム全体がそれにかかっているのです。

そのため、私たちは早くから専用の情報セキュリティ管理システム（ISMS）に投資し、CISOを雇用し、サイバーセキュリティを取締役会レベルの責任として位置づけるよう組織を構成しました。

Aikido始める前に、どのような課題に直面しましたか？

私たちには複数の課題があった：

• 断片化：私たちは複数のホスティングターゲットを持ち、それぞれが独自のCI/CDパイプラインと特定のデプロイメントルールを持っていました。
• コンプライアンスのオーバーヘッド：一元化された監査がチームごとのワークフローと衝突。
• 開発者のリスクからの距離：開発者は、サイクルの後半になるまで、セキュリティの影響に気づかないことがあった。
• 可視性の欠如：リーダーシップは自信を持って「安全なコードを出荷している」とは言えなかった。

セキュリティに対する意識は大きく異なっていた。取締役会は明確な保証を必要としていたが、開発者は具体的で実行可能なツールを必要としていた。"口先だけ "は、人々がそれを実行する手段を持っている場合にのみ機能する。

「私は外部から押し付けられるCTOとして、上から目線でセキュリティを押し付ける存在にはなりたくなかった。合気道は開発者が文脈に沿ってセキュアコーディングを学ぶことで成長Aikido 。修正する脆弱性一つ一つが、次の脆弱性を防ぐ力を高めていくのだ。」

セキュリティ・アプローチを正式化するきっかけは何だったのですか？

これまでチームごとに分断されていたホスティング環境を統一したことで、CI/CDパイプラインを再設計するための白紙に戻すことができました。独立したセキュリティの専門家で構成された私たちの諮問委員会は、「この新しいパイプラインを、デザインによってどのようにセキュアにするのか」という課題を私たちに投げかけました。

そこで私たちは、万能のパイプラインを強制することなく、分散型チームをサポートするソリューションを模索することになりました。 

Aikido知ったのですか？

Aikido 、同僚からの推薦とアドバイザリーボードの意見が相まって当社にAikido 。理想的なセキュアなCI/CDプロセスの設計図を描き、チームの働き方を評価する中で、Aikido はその柔軟性でAikido 。メインブランチでのMOB（モデレート・オブ・ブランチ）作業、機能ブランチでの作業、プルリクエスト経由でのリリースなど、既存のチームワークフローとシームレスに統合できたのです。

チームは、明確で自動化されたセキュリティ・チェックの恩恵を受けながら、コントロールし続けることができる。

評価で目立った点は？

3つのことが際立っていた：

1. 現場開発者からのフィードバック：私たちのチームは、正式なセキュリティ研修に参加するのではなく、実践を通じて学びます。Aikido はそのAikido 。
   
2. 邪魔にならない：サイドカーとして動作します。私たちのワークフローを妨げることなく補完します。
   
3. 即時の価値：開発者は迅速な洞察を得ることができ、作業の流れの中で問題を修正するのに役立つ。
   

フィードバックループは即時的だ。開発者はトレーニングコースを必要とせず、実践を通じて学び、Aikido 。

統合はどうだった？

私たちはシンプルに始めました：IDEのプラグイン、Slackのアラート、Jiraの統合などです。参入障壁の低さが鍵でした。今では、ランタイムセキュリティやクラウド設定にまで拡張しています。あなたのペースで、チームごとに拡張することができます。

「組み込みではなく、サイドカーです。生産プロセスは常に制御下に置いたまま、Aikido 、Aikido 。」

Aikido あなたの仕事のやり方をどのようにAikido ？

セキュリティはもはやブロッカーでもサイロでもありません。私たちのチームがコードを出荷する方法の一部なのです。私たちは積極的にそれを確立しています：

• 開発者の意識向上
• 脆弱性修復の迅速化
• より良い監査準備
• 透明性のための中央ダッシュボード
  

Aikido 、開発環境と実行環境全体でセキュリティへの取り組みを実際に行動に移すことで、私たちの言葉と行動をAikido 。

コンプライアンスに役立っているか？

もちろんです。ISO認証取得に向けて取り組んでおり、Aikido セキュリティ態勢の文書化、追跡、伝達において重要な役割Aikido 。

セキュリティは単なるチェック項目ではない。Aikido、私たちは構造的にそれを向上させ、いつでも自然に成熟した対応を示す。

他の政府技術部門のリーダーたちに何か言いたいことはありますか？

信頼から始めよう。ツールを押し付けるのではなく、適切なツールでチームを支援する。セキュリティはバックオフィスの機能ではない。製品の問題であり、プラットフォームの問題であり、ビジネスを可能にするものなのだ。

Aikido 私たちと共にAikido 。一つの働き方に縛られることはない。分散型チームを管理しつつコンプライアンスを拡大する際に、この柔軟性は極めて重要だ。

なぜAikido ヨーロッパ発祥Aikido 重要なのか？

想像以上に重要。安全保障は戦略的です。欧州のイノベーションを支援することは、経済的な回復力、主権、そして進化する欧州規制の枠組みに対する信頼とコンプライアンスという私たちの価値観に合致します。私たちの状況を理解してくれるヨーロッパ（私たちの場合はベルギー）のパートナーを持つことは大きな利点です。

Aikido どう表現しますか？

Aikido 、高い内部セキュリティ基準、法規制、地政学が渦巻くまさにその時、最も必要とされる瞬間に、適切な焦点を持って現れるダイナミックなAikido 。