弁護士ドットコム株式会社 Creators’ blog

弁護士ドットコムがエンジニア・デザイナーのサービス開発事例やデザイン活動を発信する公式ブログです。

カミナシ✕クラウドサイン『憧れのマイクロサービスと愛すべきモノリスの話』イベントレポート 後編 

前編ではカミナシとクラウドサイン、それぞれのプロダクトやこれまでの取り組み、開発体制についてLTをし、「憧れのマイクロサービスと愛すべきモノリスの話」を題材にしたフリートークの内容についてお伝えしました。

creators.bengo4.com

後編では熱を帯びてきたフリートーク、続いてのテーマは「セキュアでありたい話」です。

セキュアでありたい話

トリさんはセキュリティと信頼性がSaaSにおけるトッププライオリティだと断言。技術的にこの2つを超えて高いプライオリティがつくものはないという意見を持っています。しかしカミナシに入社してすぐ、同社のセキュリティや信頼性への認識をより高いレベルに引き上げていく必要があると判断。そこからどうやって優先順位を上げていけるか、を常に考えているそうです。

トリ:本当にまずい部分は穴を埋めつつ、全6回のセキュリティ勉強会をはじめたところ。主にWebと距離の近いセキュリティの話ですね。 ちなみにクラウドサインでは井田さんがISMAPの取得維持活動を担っていると聞きました。 たぶんビジネスサイドやクライアントからの声が大きかったんだと思います。非常に興味深い分野なので取得までの経緯を教えてください。

井田:きっかけはビジネスサイドからの要望でもなく、また公的機関のお客様からの意見でもなく、制度ができて早々にクラウドサインのプロダクト統括の市橋がエンジニアの見地から事業責任者にかけあってはじまったプロジェクトです。 我々が今後、政府官公庁に打って出るには必須である、という判断ですね。

これにはトリさんも舌を巻き「めっちゃいい話じゃないですか。市橋さんと友達になりたい」と絶賛していました。

井田も先鋭的な目のつけどころだったと振り返ります。 しかし1,000項目以上の基準を満たすための仕組み整備に地道に取り組むことで認定取得できた1年目に較べ、2年目以降のハードルの高さは想定外だったと振り返ります。

井田:2年目は、1年目で示した運用ルールに対する活動実績と証跡を示さなければならず、これが本当に強烈な業務量となって圧しかかってきました。 中でも内部統制では、内部に悪意を持つものがいたとしても、情報流出されないような仕組みや構造を考えるのが大前提でした。 今までは内部にそのような人がいないことを前提とした権限設定を行なっているところもあり、全く異世界の基準がそこにはあったといいます

スピード重視というエクスキューズ

開発者はすごく大変でしたね、と井田。 「たとえば作業する際には必ず承認が必要であったり、本番と開発のアカウントが分かれていて誤操作の可能性をゼロにするとかさまざまな統制が効いている証拠を揃えてください」という活動だったのです。

ここでトリさんから参加者からのチャットを取り上げて「セキュリティ向上が原因で開発スピードが遅くなることってあったのでは」とコメント。 実際に一回承認を挟む仕組みによって多少速度感に影響が出るのかな、と振ると、井田は「間違いなく出ます」と即答。

トリ:これを悪とする人が結構いるんですけど、僕はそれは間違っていると思っていて。 自分たちの事業にとって必要なセキュリティレベルを守るためにあるプロトコルを無視することで手に入るスピード感ってどうなんだろうか。 守るべきラインがあり、その上でどう生産性を上げていくかというマインドセットに一人ひとりのソフトウェアエンジニアが変わっていくべきだと思います。

スタートアップだからセキュリティは二の次、とか、スピード重視だからダメな設計だけどリリースしよう、というのはいかがなものかと苦言を呈します。

井田:いい加減なソフトウェアでリリースしても障害対応で手戻りして最終的なリードタイムが遅れるんですよね。 レビューを省くとか、プロセスを飛ばして得られるスピードはまやかしでしかなく、結局足をひっぱる構造なのでそれを含めて開発スピードだという認識を持つべきでしょうね。

さらに「提供しているサービスによってはお客様にとってかけがえのない信頼や安全につながることもあるので決して手を抜かないでほしい」と続けます。

制約の中でどう生産性を上げるか

トリさんは最近、易きに流れる意思決定で生産性を獲得しようとする現場を目撃する度に「それはかりそめの生産性ではないだろうか」と指摘しているそうです。

井田もセキュリティ軽視で訪れる危機は大きすぎるので、できる限りのことは現場でしっかりやることが重要と語ります。

トリ:とはいえ、じゃあがっちりセキュアにしようという声が例えば情シス方面からやってくるみたいなことはどんな会社でもあるかと思いますが、過剰な制約によって働きにくくなってしまうのもどうかと思います。大事なのはあくまで自分たちのビジネス・組織・構造において守るべきものが何かを定義することですね。

井田:ルールを守ることを目的としてしまっては、それこそ本末転倒。 ただクラウドサインは「契約」を扱っているので、自然と厳しい方に倒れる力学が働くんじゃないかと思っています。 だからといって倒れすぎても何も生まれなくなってしまう。ルールを正しく理解した上でここまでやる、これはやらないという線引きとバランスですよね。

セキュアに関する話の着地点が見えてきたところで、トリさんから「制約の中でどうすれば生産性が上がるか、制約の中でいかに最大限の成果を出すか、というように課題の捉え方の視点を変えることが好きな人はよりセキュアであることが求められるサービスに行くと楽しいんじゃないかな」、との提案が。

また井田も「いい意味でのイノベーションが生まれればセキュリティのレベルが上がるし、生産性も上がるし、働きやすいということになる。 マイクロサービスやモノリスの話と同様にセキュリティや信頼獲得にもエンジニアは正面から向き合って頭を使っていくべき」とコメントしました。

このあと、参加者からのQ&Aコーナーを経て1時間半におよぶイベントは無事終了。 参加者からはチャットに「ありがとうございます!」「いい話だった!」「88888」などのコメントが続々とポストされていました。

弁護士ドットコム株式会社では今後もイベントなどを積極的に開催予定です。 connpassでお知らせをいたしますので、connpassページグループ登録をお願いいたします。

bengo4.connpass.com