一目でわかる
- 開発者のワークフローやプルリクエストにセキュリティ機能を直接組み込む
- 事後対応型の定期スキャンから、継続的なセキュリティフィードバックへと移行しました
- 到達可能性に基づく優先順位付けノイズ 低減し、誤検知を減少
- SAST、SCA、およびシークレット 単一のプラットフォームで統合
- 200以上のリポジトリにわたり、最小限のオーバーヘッドでセキュリティを拡張
- ISO 27001、GDPR、および医療関連規制に準拠した企業のセキュリティとコンプライアンスを支援します
大規模なセキュアなデジタルヘルスケアの構築
Ovivaは、肥満や2型糖尿病などの慢性疾患を対象に、保険適用対象となるエビデンスに基づいたデジタルヘルスケアプログラムを提供しています。同社のプラットフォームは、臨床的専門知識、AIを活用した知見、そして個別化されたコーチングを組み合わせることで、患者の長期的な治療成果の向上を図っています。このような環境において、セキュリティは患者の安全と切り離して考えることはできません。Ovivaは極めて機密性の高い医療データを扱い、ISO 27001、GDPR、および各国固有の医療基準を含む厳格な規制枠組みの下で事業を展開しています。信頼は単に期待されるものではなく、必須の要件なのです。
「デジタルヘルスにおけるセキュリティとは、根本的には患者を保護し、信頼を維持することにある。」
- トム・コシー、Oviva 主任DevSecOps
会社の規模が拡大するにつれ、その責任は方針だけでなく、ソフトウェアの構築方法にも反映される必要がありました。
成長がセキュリティのワークフローを上回ったとき
以前 Aikido、SAST、SCA、脆弱性 、複数のオープンソースツールを組み合わせて利用していました。個々のツールは単独では有効でしたが、大規模な運用においては運用上の摩擦が生じていました。セキュリティスキャンは継続的ではなく、スケジュールに基づいて実行されていました。検出結果は各ツール間で集約する必要がありました。優先順位付けにはチーム間の調整が必要でした。リポジトリやコントリビューターの数が増えるにつれ、運用上のオーバーヘッドも増大していきました。
時が経つにつれ、この状況は開発者とセキュリティチームの双方に摩擦を生むようになった。問題の発見が遅れ、責任の所在が不明確であり、修正作業ではなく調整や優先順位付けに貴重な時間が費やされていた。セキュリティ対策は講じられていたものの、それは開発者のワークフローの外側に存在していた。チームは、この状況を変える好機を見出した。
継続的かつ開発者中心のセキュリティへの移行
Ovivaは、セキュリティを開発プロセスに直接組み込むことを目指しました。定期的なスキャンや一元的な優先順位付けに頼るのではなく、プルリクエスト、ビルド中、そして開発者のワークフローの中で、問題が発生したその場でそれを可視化することを目標としました。開発者には、本番環境に到達する前に問題を解決できるよう、即座に実行可能なフィードバックが必要だったのです。
ノイズ低減も同様に重要でした。誤検知が大量に発生すると、チームの作業効率が低下し、セキュリティツールへの信頼も損なわれてしまいます。新しいアプローチでは、精度、明確さ、そして使いやすさを最優先にする必要がありました。誤検知でエンジニアを圧倒するようなツールは、結局使われなくなってしまうのです。
オヴィバが選んだ理由 Aikido SnykやPrisma Cloudではなく
評価の過程で、OvivaはSnyk、Prisma Cloud、Semgrep、GitHub Advanced Securityなどのプラットフォームを評価しました。 Aikido は、一般的なトレードオフを解消した点で際立っていました。
Prisma Cloudのような大規模なプラットフォームが運用上の複雑さを招いた一方で、 Aikido は既存のGitやCI/CD ワークフローにシームレスに統合されました。Snykのようなツールが大量の検出結果を生成しがちだったのに対し、 Aikido は本質的な問題に焦点を当て、チームが重要な課題を優先できるように支援しました。
複数のツールを組み合わせる代わりに、Ovivaはアプリケーションセキュリティの中核機能を単一のプラットフォームに統合し、開発者がすぐに導入できるようにしました。
「Aikido 「機能性、使いやすさ、そして開発者体験のバランスを絶妙に保っている。」
数週間以内に200以上のリポジトリに展開される
導入は迅速かつスムーズに進みました。Ovivaは数週間のうちに75名以上の開発者をオンボーディングし、200以上のリポジトリを連携させました。
リポジトリの統合とスキャン機能の有効化には、わずか数ステップの設定だけで済みました。このプラットフォームは直感的に操作できるため、開発者は大規模な導入支援やトレーニングを受けることなく、すぐに使い始めることができました。
セキュリティチームにとって、これは拡大を続ける大規模なエンジニアリング環境全体を即座に把握できることを意味しました。
事後対応型のスキャンから継続的なセキュリティへ
~と共に Aikidoにより、セキュリティは定期的なスキャンからリアルタイムのフィードバックへと移行しました。
チェックは現在、プルCI/CD 内で直接実行されます。開発者は変更を加えたその場で即座にフィードバックを受け取れるため、コードがマージまたはデプロイされる前に脆弱性を解決することができます。
一方で、 Aikido は、ノイズ 低減し、あらゆる理論上の問題をフラグ付けするのではなく、実際に悪用可能な脆弱性を特定します。明確な是正措置のガイダンスと自動修正機能と組み合わせることで、チームはトリアージに時間を費やすことなく、真のリスクに集中できるようになります。
セキュリティ対策は、開発の最終段階における「ゲート」から、開発の全工程にわたる「ガードレール」へと移行します。
脆弱性 とコンプライアンスの簡素化
以前は、脆弱性 を行うには、各ツールの結果を集約し、外部システムを通じて管理する必要がありました。
~と共に Aikidoでは、すべてが1つのプラットフォームに集約されています。セキュリティチームは、組み込みの優先順位付けと責任者追跡機能により、すべてのリポジトリにわたる脆弱性を明確かつ一元的に把握できます。開発者は、何を修正すべきか、そしてその理由を正確に把握できます。
これはコンプライアンスに直接的な影響を及ぼします。医療現場においては、セキュリティ態勢を迅速かつ明確に示す能力が極めて重要です。
「Aikido 「合気道は、脆弱性に関する情報を一元化し、優先順位を明確に示してくれるため、コンプライアンス報告が格段に容易になります。」
影響
養子縁組 Aikido の導入により、Ovivaのエンジニアリングおよび組織の両面におけるセキュリティへの取り組み方が一変しました。脆弱性はより早期に特定され、より迅速に解決されるようになりました。開発者は、事後に対処するのではなく、即座に実行可能なフィードバックが得られるため、セキュリティに積極的に関与しています。
重要なのは、チームがもはやノイズ調査に時間を費やす必要がなくなったという点です。彼らは真の問題の解決に取り組んでいます。セキュリティチームは手作業による優先順位付けから、より付加価値の高い業務へと移行し、組織全体としては、事業規模の拡大に伴い、規制要件を満たす能力を強化するとともに、セキュリティ態勢を明確に把握し続ける体制を確立しました。
セキュリティ成熟度における飛躍的な向上
Aikido これにより、Ovivaは、事後対応型でツール主導のアプローチから、先手を打つ開発者中心DevSecOps へと移行することができました。現在、セキュリティは組織全体で継続的かつ統合され、拡張可能なものとなっています。
「Aikido 「合気道」のおかげで、私たちは受動的な監視から、能動的で開発者中心のモデルへと移行することができました。これにより可視性が向上し、ビジネスの成長に合わせてセキュリティを拡張できるようになりました。
今後の展望
Ovivaがプラットフォームの拡大を続ける中、それに合わせて進化できるセキュリティ基盤が必要となっています。 Aikidoを活用することで、チームは複雑さを増すことなく、コンテナやクラウドセキュリティといった新たな領域へとアプローチを広げることが可能になります。なぜなら、デジタルヘルスケアにおいて、セキュリティとは単にシステムを守るだけのことではないからです。それは、患者を守ることに他なりません。
