元現場エンジニアの「もっとこうしておけばよかった」という経験をアンチパターンとして振り返りつつ、どうすればDevSecOpsを浸透させることができるのかを紹介した、CloudNative Days TOKYO 2021のセッション「元現場エンジニアが思う『もっとこうしておけばよかった』から学ぶDevSecOps」の様子をレポートする。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
新人だった頃や、慣れない仕事を始めた時など、過去の自分を振り返って「今にして思うと、もっとうまくできたのに」と思うことは、誰しも少なからずあるだろう。JFrogでデベロッパーアドボケイトとして活動し、以前はアプリケーション開発に携わっていた横田紋奈氏も、自身がエンジニアだった頃を振り返ると、「知らなかったことやできていなかったことがたくさんあることに気付いた」という。
「エンジニア時代のモチベーションとしては、『良いものを作りたい』という思いで仕様を検討したり、エンジニア組織の外と協力したりすることができた。一方、インフラやセキュリティにめっぽう弱く、チャレンジする勇気も小さかった」(横田氏)
そんな横田氏の経験をアンチパターンとして振り返りつつ、どうすればDevSecOpsを浸透させることができるのか。横田氏は「CloudNative Days TOKYO 2021」のセッション「元現場エンジニアが思う『もっとこうしておけばよかった』から学ぶDevSecOps」で、そのベストプラクティスを紹介した。
1つ目のアンチパターンは、「アプリケーションの作り込みこそが『良いものを作る』の大部分を占めるという意識をどこかで持っていた」ことだという。一見良いものを作るための作り込みは良いことに思えるが、「それこそが大事な活動だという意識をどこかで持っていた」(横田氏)ことによって、デリバリーのプロセスや、セキュリティの改善などは、「やらないといけないタスク」「自分たちの作業を楽にするためにするもの」と認識していた。
この過去の経験を踏まえ、横田氏は「ユーザーに届くまでが『良いものを作る』、もっというと、その後も続く」ことだとした。何を作るかだけでなく、ユーザーにどうやって素早く安全に届けるかという部分も「良いものを作る」ことの一部であるとして、「もっとポジティブに取り組むべきことだった」(横田氏)と振り返った。
2つ目のアンチパターンは「実際の組織としても気持ちの上でもセキュリティチームが自分のチームの外側にあった」ことだ。横田氏が当時所属していた組織では、セキュリティのチームが開発チームの外側にあり、必要なときにやりとりをする程度の関わりしかなかった。
Copyright © ITmedia, Inc. All Rights Reserved.