SREによる隣接領域への越境とその先の信頼性

Transcript

1. 2024/11/12 組織の信頼性を高める 〜 SRE/情シス/セキュリティの領域を超えて 〜 #Reliability_Meetup SREによる隣接領域への越境と その先の信頼性 株式会社スマートラウンド 山原

   崇史(@shonansurvivors)

2. 自己紹介 株式会社スマートラウンド 執行役員VP of Reliability 山原 崇史 (やまはら たかし)　 経歴等

   　・SIer → 銀行 → Web系ベンチャー数社 → 現職 　・2023 / 2024 Japan AWS Top Engineers 　・AWS Startup Community Core Member shonansurvivors

3. 事業およびプロダクト紹介 ミッション 　スタートアップが可能性を 　最大限に発揮できる世界をつくる プロダクト 　スタートアップ・投資家間の 　データ作成・共有プラットフォーム 更なる取り組み 　セカンダリー（未上場株取引） 　プラットフォームの構築

4. セキュリティへの取り組み SOC2報告書 米国公認会計士協会（ AICPA）の定めるトラストサービス規準に基づき、セキュリティ・可用性・処理の完 全性・機密保持・プライバシーに関する内部統制の適切性および有効性を監査法人が作成した報告書 にてご確認いただけます。 ISO/IEC 27001（ISMS認証） 情報セキュリティマネジメントシステムに関する国際標準規格である ISO/IEC

   27001(ISMS)の認証を取 得しています。ISMS委員会やマネジメント（経営層）レビュー、内部監査等を定期的に実施し、情報セ キュリティの向上に組織全体で取り組んでいます。 AWS認定ソフトウェア AWSのパートナーソリューションアーキテクトによるレビュー（ FTR）を通過し、セキュリティ・信頼性・運用 上の優秀性に関して AWSのベストプラクティスに従っていることが確認された AWS認定ソフトウェアと なっています。 ※営業資料より抜粋

5. アジェンダ 1. SREによるコーポレートIT兼務の始まり 2. SRE/コーポレートIT組織の構成と他部門との関わり方 3. 経営メンバーとしての SRE 4. まとめ

6. 1. SREによるコーポレートIT兼務の 始まり

7. 2022年に1人目SREとして入社 プロダクトの信頼性や開発速度向上 等に取り組む 監視整備 IaC化 CI/CD整備 トイル削減 コンテナ化 コスト適正化 セキュリティ

   etc…

8. コーポレートITの不在 • 当時、CTOと総務1名がコーポレートIT的な業務を担っていた ◦ 総務：PCや、いくつかのSaaSの管理 ◦ CTO：上記以外の全て

9. コーポレートIT兼務の始まり • 入社後しばらくしてから、 CTOからコーポレートIT兼務の打診があった • CTOがよりCTO業に専念できるよう、SREの自分がコーポレート ITを兼務することに ⛰1つ目の越境

10. 初めて触る・担当するモノたち • 各種ツールの管理者 ◦ Google Workspace管理者 ◦ Slack管理者 ◦ Notion管理者

    • MDM(Mobile Device Management)運用 ◦ Jamf運用 • ISMS(ISO/IEC 27001)運用のリード ◦ CTOにて認証取得したばかりであったので、その運用と今後の維持審査対応を担当

11. 全従業員 全社IT管理態勢 顧客企業(注) 視野の広がり 自分 関心・関与 注：ここでの「ユーザー」は、プロダクトを直接触って使ってくれる人たちを想定。 　　対して「顧客企業」は、弊社の企業としての信頼性を評価し、プロダクトの利用契約を判断する人たちを想定。 エンジニア プロダクト

    ユーザー 信頼性 ：SRE観点 ：コーポレートIT観点

12. コーポレートIT1年目でのおもなトライ • アクセス管理 ◦ 退職や業務委託終了に伴う 各種アカウント削除の徹底と、削除漏れ防止のための定期 棚卸し • データ保護 ◦

    顧客情報取り扱いガイドライン の制定 ◦ Googleドライブでの共有ドライブ利用の推進（マイドライブ利用の非推奨化） • IT資産管理 ◦ SaaS管理SaaSを導入し、社内ITツール利用状況の可視化（ シャドーIT排除） • コスト管理 ◦ 社内全てのITコストの可視化

13. SREとコーポレートITが一体運営であることの良さ • 全体を横串で見渡しやすい ◦ 例）プロダクトの費用（ AWS等）と社内IT（SaaS等）の費用、どこから削減すべきかの検討 • SREとコーポレートITを跨ぐような施策をスピーディに実施できる ◦ 例）Googleアカウント（コーポレート

    IT管理）を使ったAWS（SRE管理）のSSO化 • 類似性や共通性を見出す楽しさがある ◦ SREによるプロダクトの信頼性維持とコーポレートITによる企業の信頼性維持 ◦ SREの目指すDeveloper Experience向上と、コーポレート ITの目指すEmployee Experience向上

14. 2. SRE/コーポレートIT組織の構成と 他部門との関わり方

15. SRE/コーポレートIT グループ コーポレート部門との協働の強化 • 2023年に新SREが入社し、自分はグループのマネージャーに • 新SREにプロダクト側をある程度任せ、自分は コーポレート部門との協働を強化し、関係性を構築 プロダクト部門 コーポレート部門

    新SRE 自分 PdM デザイナー エンジニア 総務 労務 経理 法務 人事 ⛰2つ目の越境 協働 協働 関係性 構築 関係性 構築

16. コーポレート部門との関係性構築によって得られた成果 • プライバシーポリシーおよび利用規約 の改善 ◦ コーポレートIT x 法務 x PdM（サービス仕様の知識）

    x SRE（各種非機能要件の知識） • 入社対応フローの型化 （業務委託契約開始も含む） ◦ コーポレートIT x 人事 x 労務 • PC入出庫管理のアウトソーシング化 ◦ コーポレートIT x 総務 • SOC2取得にあたり必要だった 取締役会規則改定など ◦ コーポレートIT x 法務

17. 3. 経営メンバーとしてのSRE

18. 経営体制の変更 • 2024年7月から経営メンバーの 1人となる 経営メンバー 執行役員 インフラ部 SRE コーポレートIT 各CxO

    管掌 各取締役 各執行役員 ⛰3つ目の越境 自分

19. 経営メンバーとしてのSREとコーポレートIT 「CTO」や「VPoE」のようにわかりやすく役割を内外に示していけるように、 「経営メンバーとしての SRE」を言語化することとした（就任前より CTOと相談しながら準備） • 肩書きを作る 👉 VP of

    Reliability • 職務記述書の作成 ちなみに... 「経営メンバーとしてのコーポレート IT」であればCIO（Chief Information Officer）。 しかし、自分のこれまでのバックグラウンドを考え、 CIOは適さないと判断した。

20. VP of Reliabilityの職務記述書 v1.0 プロダクトの信頼性とセキュリティに責任を持ち、継続的に改善するための戦略を策定、実行する。これにはエンジニアリングの観点 だけでなく、法規制対応(*)や内部統制等のコンプライアンスの観点も含まれる。 また、この考えをプロダクト以外の社内ITや業務にも展開し、各部門と連携しながら会社組織・事業全体の信頼性とセキュリティの向 上を図る。 信頼性とセキュリティの維持・向上にあたっては、第一義にはユーザーの期待に応え、その安全を守ることを目的とするが、セキュリ ティ要件の厳しい大手企業をユーザーとして獲得するための施策を戦略的に展開するなど、トップライン拡大の観点も持って取り組

    む。 その他、CTOが事業のコアであるプロダクトの開発および開発組織の運営に注力することを支援するために、プロダクト外における 攻めのIT利活用の推進も担う。 上記の実現にあたっては全社リソースの適切な配分を意識し、事業計画策定に経営メンバーの1人として加わる。 (*) 法規制対応については個人情報保護法や電気通信事業法などプライバシー保護の要素が含まれるものを中心に担い、その他の法規制は必要に応じて各 CxO等や法務担当の支援を仰ぐ

21. VPoRの職務記述書のキーワード • プロダクトの信頼性（ SRE） • プロダクトのセキュリティ（ SREと親和性が高い領域） • 会社組織・事業全体の信頼性とセキュリティ（コーポレート IT

    x 経営） • 法規制や内部統制等のコンプライアンスの観点（コーポレート ITと親和性が高い領域） • トップライン拡大の観点（経営） • 攻めのIT利活用の推進（コーポレート IT x 経営） • 全社リソースの適切な配分（経営） • 事業計画策定（経営）

22. 4. まとめ

23. まとめ • SREがコーポレートITを兼務することで多くの発見に繋がった ◦ 視野の広がり ◦ 一体運営による各種の利点（全体の俯瞰、横断施策のやり易さ） ◦ 類似性や共通性を見出す面白さ •

    コーポレート部門に入り込み協働することで、互いの専門知識を結集して成果を挙げられた ◦ プライバシーポリシーおよび利用規約の改善など • 経営メンバーとしての SREについて ◦ 肩書き（VP of Reliability）や職務記述書で言語化 ◦ 各種領域を超えて組織の信頼性を高めていく 関連note記事

24. Appendix

25. 経営体制の変更（続き） • 2024年7月から経営メンバーの 1人となる（再掲） 経営メンバー 執行役員 インフラ部 SRE コーポレートIT 各CxO

    コーポレート部 総務 労務 経理 法務 人事 管掌 各取締役 各執行役員 ⛰3つ目の越境 自分 ⛰4つ目の越境 • SRE/コーポレートIT組織だけでなく、コーポレート部門も同時に管掌

26. コーポレート部を管掌することについて これだけで登壇できそうな濃いテーマであり、時間の関係で今回は簡潔に。 • 以前からのコーポレート部門との協働により、関係性構築ができていたことも 1つの背景 • 優秀なメンバーの助けを得ながら、各分野についてキャッチアップを継続 • メンバーに任せた方が良いこと、自分だからこそ付加価値を出せること、を見極めつつ取り組み中

27. スマートラウンドでは新しいメンバーを募集中です 私たちと一緒に、スタートアップが可能性を最大限に発揮できる世界をつくりませんか？ jobs.smartround.com