「DevSecOps(デブセックオプス)」が主流になる時代が必ず来る グローバルウェイがエーアイセキュリティラボと業務提携した理由
株式会社グローバルウェイは2月1日、株式会社エーアイセキュリティラボと代理店契約を締結したことを発表した。エーアイセキュリティラボが開発したクラウド型脆弱性診断ツール「AeyeScan」を、グローバルウェイが販売する。
今回の業務提携はサービスの拡販にとどまらず、企業の「DevSecOps」(デブセックオプス)を支援するコンサルティングへの展開も想定しているという。それはどういう意味なのか。エーアイセキュリティラボ代表取締役社長の青木歩氏と、グローバルウェイ取締役の梁行秀、根本勇矢が意見を交換した。(キャリコネニュース編集部)
選定の決め手は「一番尖ってそうな会社」だったから
根本 エーアイセキュリティラボさんとの提携は、当社サイトのセキュリティ診断にツールを使わせてもらったことがきっかけだったんですよね。
青木 ありがとうございます。当社の「AeyeScan」を採用していただきました。
梁 昨年11月に当社のグループ会社が「TimeCoin」のIEO(暗号資産取引所を通じた資金調達)を実施したんですが、国際的にも注目度の高い取り組みだったので、国内外からの攻撃に備えるためセキュリティを強化する必要がありました。
当社の運営サイトは20個近くあって、すべて社外に診断依頼をすると非常に高額になる。そこでセキュリティ診断を内製化できるツールがいくつか候補にあがりました。選定の決め手は「一番尖ってそうな会社」だったから(笑)。
青木 当社には、尖ったエンジニアが揃っていますので。
梁 役員の方々の経歴もしっかりしているし、これは間違いないなと。人材採用では過去のキャリアばかり見てはいけないと思うんですが、ソフトウェアサービスの場合は「どんなことをやってきた人が作っているのか」は重要です。
青木 日本ではセキュリティ人材が20万人近く不足していると言われています。しかもセキュリティ会社は暴利をむさぼっているわけでもないのに、業務が非常に忙しくて人材が定着しない。働く人の仕事の中身もツールの設定など、必ずしも付加価値の高いものになっていない。
だったら、AIで全部自動化しちゃおうと。そうすれば、お客様もハッピーだし、セキュリティ業界もハッピーになる。そう考えて「セキュリティ人材の不足を、我々が有する、業界知見と技術力(開発力)を最大限に活用し解決する」という企業理念を掲げています。
内製化で「個人と組織の学習レベル」が上がる
根本 私が担当するウェブメディアサービス事業部では、企業口コミサイトの「キャリコネ」などで診断ツールを使わせてもらったんですが、前回の調査以降に開発した部分の問題が網羅的かつ的確に指摘され、スピーディな改修につながりました。
以前使っていたサービスと比べて、コストもかなり低く抑えられています。このサービスは、ビジネスアプリケーション事業部でも使っているのですよね。
梁 ええ。大手クライアント向けのシステム開発で使っています。
根本 テスト工程ではなく、開発中に使っているんですか。
梁 以前は納品直前の最終チェックでセキュリティチェックを入れていたんですが、それだと、その時点でアウトになるとスタートラインに戻ってしまいます。
いまは自分たちで開発中に手軽にチェックできるようになったので、個人と組織の学習レベルが上がりました。ここがこういうエラーになるんだと事前に指摘されて学ぶことができると、二度とそういうコーディングはしなくなる。
プログラムの書き方が変われば仕事の品質も上がるし、エンジニアの価値も高まっていく。マネジャーとしては嬉しいことばかりです。
根本 そういうセキュリティの内製化って、通常は専門家を内部に置き、体制を組んでルールを作って、とやっていると、大企業であれば何千万円とコストがかかることも珍しくないと思うんですよね。
そういったセキュリティ内製化を簡単にできてしまうサービスを提供してしまうと、エーアイセキュリティラボさんの売上は下がってしまいませんか?
青木 それがそうでもなくて、確かに減る仕事もありますけど、セキュリティの専門の仕事は残るんですよ。自動化できずに人間がやらなければならない部分は、人間がやる。人間が本当に専門的な仕事ができるように、セキュリティ内製化を自由に簡単に手軽にできるしくみを提供したい。それが私たちの目指す姿です。
「データ経営」が内製化を促している
根本 「セキュリティ診断の内製化」について、DevSecOps(デブセックオプス)という言葉が使われますが、これはどういう概念なのでしょうか。
青木 DevSecOpsとは、DevOps(デブオプス)にSecurity(セキュリティ)を組み込んだものです。DevOpsと対比されるウォーターフォール型の開発手法は、システムの開発を「要件定義」「設計」「プログラミング」「テスト」といった工程に分けて順に行います。なぜウォーターフォール(滝)なのかというと、工程が滝のように上流から下流へ流れていき、基本的に下流から上流に工程が戻らないからです。
一方、DevOpsとは、開発(Development)と運用(Operations)を有機的につなげていくことで、ソフトやシステム、ビジネスを作りながら運用の課題を開発にフィードバックし、価値を継続的に高めていく手法です。DevOpsのサイクル内の開発手法として、アジャイルとかスクラムといった概念が含まれますが、プロセスがメビウスの輪のように切れ目なくつながっていきます。
また、ウォーターフォール型の開発が基本計画からテストまで何ヶ月もかけて、一方向に進んでいくイメージなのに対し、DevOpsでは週単位でサイクルを回し、早い段階で動作テストまで行います。
このサイクルにセキュリティ診断を組み込むのがDevSecOpsです。もともとDevOpsでは、作業の効率化や自動化のツールを活用する場合が多いのですが、私たちが提供する診断ツールをそのひとつとして使っていただくことを想定しています。
梁 セキュリティの強度を、システムを作りながら高めていこうという考え方ですよね。もちろん最後に第三者機関で診断することは重要ではあるけれども、それと合わせてやるとより安心ということです。
根本 人材業界では、これからは大企業のシステム開発も内製化が進み、SIerのエンジニアが事業会社に流れると言われています。これは開発手法の変化とも関係しそうですが、どういった背景があるのでしょうか。
梁 ひとつは速さです。どれだけ速く自分たちのサービスを回して改善していけるか。1日に何回もデプロイするようなSaaSでは、求められる開発のSpeed(速度)、Agility(敏捷性)、Quickness(即時性)に、何ヶ月もかけるウォーターフォールのプロセスやSIerへの外注体制が合わなくなっている。
もうひとつはデータです。サービスに関するデータを中で持ち、それを見ながら改善する。そのサイクルを迅速に回し続ける「データ経営」を行うために内製化が求められ、テクノロジー人材の移動も必然となるわけです。
「開発のグローバルウェイ」と組む意味
根本 ビジネスアプリケーション事業部としては、エーアイセキュリティラボさんのツールをユーザーとして利用するだけでなく、DevSecOpsの概念とともにツールを広めていきたいという思いがあるわけですよね。
梁 ユーザーとしては、作っている段階から答え合わせができ、セキュリティの強度が上がることがメリットなわけですが、これをクライアントに提供する価値向上だけでなく、最終的にすべてのエンジニアに展開することで、セキュリティホールをなくし、不要な作業を減らしていきたい。そういう世界観を実現したいので提携を決めました。
もうひとつ、DevSecOpsの第一人者として、エーアイセキュリティラボさんと一緒にコンサルティングをさせてもらいたいと考えています。事業会社がセキュリティの内製化を進めるにはどうやったらいいかは、セキュリティのスペシャリストだけでは分からないところがある。そこを並走支援させていただければと。
青木 私たちはセキュリティのテクノロジーには自信がありますが、開発現場の知見は深くない。セキュリティを組み込みながら、アジリティをもった開発をどうやっていけばいいか、どんな組織体制が必要なのか、どんなドキュメントが必要なのか、プログラムをどうしていったらいいのか、といったことは、グローバルウェイさんの方が詳しいんです。
いまIT業界で大きなプロジェクトを動かしているのはウォーターフォール型の開発をしている大企業ですが、いずれDevOps型に変わっていく。そういうことを理解しているグローバルウェイさんと組ませていただくことは、私たちにとってメリットが非常に大きいということです。
うわべだけの開発知識では、コンサルティングはやっていけません。グローバルウェイさんの開発の力と、私たちのセキュリティの力を融合して、クライアント様の内製化を並走支援し、さらにレベルの高い問題が出てきたときには、グローバルウェイさんや当社で請け負わせていただく体制になればと思っています。
梁 テクノロジーが進むと、人間が考えるルーティンワークは全部コンピュータのプログラムがやることになります。残るのは、答えのないところや答えを定義しにくいところだけで、人間が生きる道はそこしかない。これからは外部に丸投げの世界から、外部業者と一緒にやりながら徐々に内製化に移行していく。いまやろうとしているのは、そこまで駆け上がっていく段階の支援です。
増えている「危機感をもった若手エンジニア」
梁 ところで最近、若手エンジニアの採用面談が多いんですが、大手企業の大規模開発の経験者で「管理・監督の仕事ばかりしていたくない」という危機感をもった人が増えていますね。
青木 DevOpsのサイクルの中にいると、経営の意思判断とお客様の声によって、何を作ればいいのかが非常にクリアになるんですよね。DevOpsは腹落ちするけれども、ウォーターフォールは「いいからやれ」となることが多い。しかもそういう「やらせるルーティン」はどんどん自動化する方向に行きます。
根本 でも、いまはウォーターフォールとDevOpsの両方を知っている人がいるからいいけど、DevOpsしか知らない人が増えてくると問題は起きないんですか?
梁 実はそういう問題は起こり始めています。例えると、オートマ車しか運転したことがない人がマニュアル車の問題に直面しても、どうすればいいのか分からない。やはりマニュアル車を運転して、オートマによって何が楽になったのかを理解したうえで、オートマ車を運転した方がいいということです。
当社も実はアジャイルとは言わずに「並走支援開発」と呼んでいます。DevOpsしか知らない人は「ドキュメントなんかいらないよね」と言い出す。しかしプロとして、商用として納品する限り、やはり先を見据えた時にドキュメントを作った方がいいし、コストとの関係で省くことがあったとしても作れる能力は必要です。
青木 アジャイルだから適当なことをやればいいのではなくて、きちんとした要件定義があり、そこからの落とし込みをやって、それが正確にできているかのテストは必ずやらなければならない。アジャイルだとそれをやらなくてもいいというのは、誤った考え方です。
いまクラウドサービスの設定ミスによる深刻なセキュリティの問題が多発しているのも、そのあたりが関係していますよね。ノーコードの考え方は素晴らしいと思うんですが、本来はノーコードであってもコードの知識は必要なんです。
梁 DevOpsになって、チーム力や人間力といったものの重要性を感じています。いま当社では、チームをとても大事にしている。定義されている工程ごとの仕事を人に割り振っている会社は、DevSecOpsの時代につらくなってくると思う。
青木 人間にしかできないことをやろうと思うと、チームが大事になるんですよね。開発の現場で脆弱性に怯えることなくサービスをリリースできる。そのプラットフォームとして、当社のサービスを日本全国で、ひいては世界で使っていただく、というのが大きな野望です。