元現場エンジニアの「もっとこうしておけばよかった」から学ぶDevSecOpsのヒント:特集:クラウドネイティブのセキュリティ対策とDevSecOpsの勘所(1)
元現場エンジニアの「もっとこうしておけばよかった」という経験をアンチパターンとして振り返りつつ、どうすればDevSecOpsを浸透させることができるのかを紹介した、CloudNative Days TOKYO 2021のセッション「元現場エンジニアが思う『もっとこうしておけばよかった』から学ぶDevSecOps」の様子をレポートする。
新人だった頃や、慣れない仕事を始めた時など、過去の自分を振り返って「今にして思うと、もっとうまくできたのに」と思うことは、誰しも少なからずあるだろう。JFrogでデベロッパーアドボケイトとして活動し、以前はアプリケーション開発に携わっていた横田紋奈氏も、自身がエンジニアだった頃を振り返ると、「知らなかったことやできていなかったことがたくさんあることに気付いた」という。
「エンジニア時代のモチベーションとしては、『良いものを作りたい』という思いで仕様を検討したり、エンジニア組織の外と協力したりすることができた。一方、インフラやセキュリティにめっぽう弱く、チャレンジする勇気も小さかった」(横田氏)
そんな横田氏の経験をアンチパターンとして振り返りつつ、どうすればDevSecOpsを浸透させることができるのか。横田氏は「CloudNative Days TOKYO 2021」のセッション「元現場エンジニアが思う『もっとこうしておけばよかった』から学ぶDevSecOps」で、そのベストプラクティスを紹介した。
その1:アプリケーションの作り込みが「良いものを作る」ことの大部分だと思っていた
1つ目のアンチパターンは、「アプリケーションの作り込みこそが『良いものを作る』の大部分を占めるという意識をどこかで持っていた」ことだという。一見良いものを作るための作り込みは良いことに思えるが、「それこそが大事な活動だという意識をどこかで持っていた」(横田氏)ことによって、デリバリーのプロセスや、セキュリティの改善などは、「やらないといけないタスク」「自分たちの作業を楽にするためにするもの」と認識していた。
ユーザーに届くまでが「良いものを作る」ことであり、その後も続く
この過去の経験を踏まえ、横田氏は「ユーザーに届くまでが『良いものを作る』、もっというと、その後も続く」ことだとした。何を作るかだけでなく、ユーザーにどうやって素早く安全に届けるかという部分も「良いものを作る」ことの一部であるとして、「もっとポジティブに取り組むべきことだった」(横田氏)と振り返った。
その2:セキュリティチームが自分のチームの外側にあった
2つ目のアンチパターンは「実際の組織としても気持ちの上でもセキュリティチームが自分のチームの外側にあった」ことだ。横田氏が当時所属していた組織では、セキュリティのチームが開発チームの外側にあり、必要なときにやりとりをする程度の関わりしかなかった。
セキュリティチームも一緒にものづくりをする仲間
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
クラウドは便利、でもエンジニアの学ぶ機会が減ってしまった――クラウド技術が運用者にもたらした功罪とは
運用者目線で見たクラウド技術のメリット、デメリット、今後求められる運用者像とは何か。オンラインイベント「Cloud Operator Days Tokyo 2021」で行われたパネルディスカッション「クラウド技術、自動化技術が基盤“運用者”にもたらした効果と功罪」、その内容の一部を紹介する。
通称「魔境」の更改を巡り開発部門と運用部門が対立――NTT Comの仮想サーバ基盤Kubernetes移行の裏側
NTTコミュニケーションズはオンプレミスの仮想サーバ基盤をマネージドKubernetes環境に移行したという。プロジェクト半ばで課題となった部門間のすれ違い、体制面をどう解決に導いたのか、NTTコミュニケーションズでSREを務める船柳孝明氏が語った。
「クラウドネイティブアーキテクチャが急速に浸透」 IDCが国内パブリッククラウドサービス市場を予測
IDC Japanは、国内パブリッククラウドサービス市場の予測を発表した。2021年の市場規模は、対前年比20.3%増の1兆5087億円になる見込み。2020〜2025年の年間平均成長率は18.4%で、2025年の市場規模は2兆9134億円になると予測する。