セキュリティメーカーにおけるオンプレ & SaaS ハイブリッド開発での生産性向上の取り組み

Transcript

1. © AMIYA Corporation セキュリティメーカーにおける オンプレ & SaaS ハイブリッド開発での 生産性向上の取り組み 株式会社網屋

   開発部 ALog 開発チームリーダー 福地信哉

2. 1 福地信哉（Shinya Fukuchi） 株式会社網屋 開発部 ALog 開発チームリーダー • 株式会社網屋 •

   ログからサイバー攻撃を検出するSIEM 製品「ALog」の開発に、 バックエンドエンジニア・SRE エンジニアとして携わる。 • スクラムマスター、チームリーダー、プロダクトオーナーとして経験を積む。 • チームビルディングや製品のコンセプトを考えるのが好きに。 • 経歴 • 東京大学大学院人文社会系研究科基礎文化研究専攻修士課程 → 株式会社網屋 自己紹介 @vacation__e @sfukuchi

3. 2 アジェンダ 事業紹介 01 開発体制（before） 02 開発生産性向上の取り組み（after） 03 成果 04

   まとめ 05

4. 3 事業紹介

5. 4 官公庁や自治体、企業、そして病院。 組織規模の大小に関わらず、今、世界中のすべての人や組織がサイバー攻撃の脅威に晒されています。 網屋はセキュリティ製品やサービスを自社で開発・製造・販売するセキュリティの総合プロバイダ。 攻撃者がターゲットを選ばない時代だからこそ、 高水準のセキュリティを”誰でも”享受できる社会を創りたい。 SECURE THE SUCCESS. それが私たちのアイデンティティです。

   すべての人がサイバー攻撃のターゲットとなる時代に、 すべての人に高水準のセキュリティを Product × Service 自社製造商品も自社製造サービスも 提供する総合プロバイダ One-stop Vendor 企画/開発/販売まで完結できる ワンストップベンダー Security × Network セキュリティもネットワーク（ICT）も 対応できるサイバー集団 当社の特徴 競争力の源泉 ＝ ビジョン

6. 5 セキュリティ監査 サービス サイバーセキュリティトレーニング 複雑なログをわかりやすく管理。 AIと高度な分析機能で効果の見え るログ管理を実現。 煩わしいネットワーク構築や、導 入後の運用や障害対応までをクラ ウド上のサポートセンターが代行。

   ログ管理 クラウドCSIRTサービス クラウドネットワークインフラ 脆弱性診断 サービス 経営層から一般社員、エンジニア まで網羅的なサイバーセキュリ ティトレーニングで組織のセキュ リティレベル向上をサポート。 当社のセキュリティ専門チームが お客様の環境全体を監視し、ラン サムウェア攻撃をはじめとした一 連のサイバー攻撃への対策を包括 代行。 AMIYA = 総合セキュリティプロバイダ

7. 6 複雑でむずかしいログデータをカンタンに管理する SIEM 製品。 あらゆる履歴を収集し、幅広いセキュリティ対策をひとつにして活用します。 ファイルサーバ ネットワーク機器 APサーバ AD サーバ

   Ｗeb プロキシ クラウドサービス データベース PC サイバー攻撃対策 監査対応 利用状況の把握 インシデント調査 内部不正対策

8. 7 開発体制 (before)

9. 8 • • 1 リリースに 3-6 ヶ月 • この期間で [要件定義

   → 開発 → テスト → リリース] • 12 人ほどのエンジニアに対して PM がタスク管理 オンプレ & ウォーターフォール

10. 9 • アジリティ • より迅速にリリースしたい • スケーラビリティ • 事業拡大・エンジニア増員に耐える組織構造にしたい 課題

11. 10 開発生産性向上の取り組み （after）

12. 11 + きっかけ

13. 12 +SaaS で何が変わるか？ Biz Dev • クラウドネイティブ技術の採用 • マイクロサービス、コンテナ etc.

    • より迅速なリリースが重要に ※ オンプレのリリースはそのままに +αで • サブスクリプション型ビジネスへの移行 https://speakerdeck.com/fukuchi/saas-izing-siem- with-serverless-and-multi-account-architecture

14. 13 変わること 変わらないこと

15. 14 変わらないこと = マネジメントのコア 指標はゲームに 心躍るゴールを

16. 15 「他より 10x いい」をゴールにする 心躍るゴールを

17. 16 最速の検索性 心躍るゴールを

18. 17 Q. ベロシティは上げるべきか？ A. 重要なのはその値や推移ではなくむしろ： ベロシティから達成率へ 指標との向き合いかた • コミットしたスコープを達成しきれたどうか（0/1） •

    スコープを達成しきるというモチベーション・責任感があり、 経験を通じて実際に達成しきる確率が上がっているかどうか P O I N T

19. 18 4Keys で現在地を知る 指標との向き合いかた cf. https://cloud.google.com/blog/products/devops-sre/using-the-four-keys-to-measure-your-devops-performance?hl=en

20. 19 指標をゲームに 指標との向き合いかた PR 王 収益 bot

21. 20 • PR • めちゃくちゃ小分けにする • コスト • 仕様変更による削減 ゲーム

    = HACK されても良い 指標との向き合いかた HACK はそれ自体で価値を持つと考える P O I N T

22. 21 変わること オンプレ & SaaS ハイブリッドだから • チーム編成 • ソースコード

    • CI/CD セキュリティだから • QA • カルチャー

23. 22 機能別のフルスタックチーム チーム編成 ETL Team SA Team Analytics Team SIEM

    Team SWE QAE SM PdM オンプレ & SaaS ハイブリッド

24. 23 ドメインモデルの統一 オンプレ & SaaS ハイブリッド ▷ ソースコード

25. 24 ロジックも最低でも IF レベルで共通化 オンプレ & SaaS ハイブリッド ▷ ソースコード

26. 25 • クラウド：スプリント（2w）ごとのリリース • オンプレ：2mos. ごとのリリース Monorepo 上でライフサイクル分離 オンプレ &

    SaaS ハイブリッド ▷ CI/CD

27. 26 • クラウド：スプリント（2w）ごとのリリース • feature ブランチごとに terraform apply -> destroy

    • main ブランチへのマージをトリガーに staging env にデプロイ • リリースタグ打ちをトリガーに prod env にデプロイ • オンプレ：2mos. ごとのリリース • feature ブランチごとにローカルで開発 • main ブランチへのマージをトリガーにパッケージビルド • テストにパスした最新版をリリースし、タグ打ち リリースフロー オンプレ & SaaS ハイブリッド ▷ CI/CD

28. 27 QA セキュリティ ETL Team SA Team Analytics Team SIEM

    Team SWE QAE SM PdM 各機能チームに 1 メンバーとして関わりながら、QA チームとして縦の情報共有

29. 28 QA セキュリティ • UT レベルは SWE で • ログロスト、コスト観点といったビジネス的にクリティカルな項目については

    QAE がテストレビュー・実施

30. 29 • 「品質責任とはすぐに対応しすぐに直すこと」というカルチャーを意識的に作 る • 「絶対にバグを出さないこと」ではない 攻めの品質意識 セキュリティ

31. 成果

32. 31 成果

33. まとめ

34. 33 • 「オンプレ & ウォーターフォール」から「オンプレ/SaaS ハイブリッド & ア ジャイル」への変革で開発生産性向上 •

    コアは「心躍るゴール」と「指標のゲーム化」 • オンプレ/SaaS ハイブリッドという特性は、フルスタックチーム構成、Monorepo でのモ デル・ロジック共通化、CI/CD ライフサイクル分離に反映 • セキュリティという特性は、QA とカルチャーづくりに反映 まとめ

35. 一緒に事業を成長させてくれる エンジニア大募集中です！ https://amiya-dev.notion.site/ セッションのアンケートへの ご協力をお願いいたします！