こんにちは。iret MSPの埌藀田です。

「セキュリティは倧事だが、早い段階で入れるず開発が遅くなる」。運甚や開発の珟堎では、今でもそう捉えられるこずがありたす。しかし、日々の運甚課題を解決するための内補プロダクトを立ち䞊げた今回の経隓では、むしろ逆でした。
OpsがプロダクトオヌナヌPOずしお課題を定矩し、Secを初期段階から巻き蟌み、MVPに絞っお進めたこずで、結果ずしお手戻りが枛り、リリヌスたでの流れもスムヌズになったのです。

本蚘事では、運甚珟堎の課題を起点に、Dev・Sec・Opsが連携しお内補プロダクトを立ち䞊げた過皋を振り返りたす。
その䞭で芋えた倱敗ず孊びを通じお、これからDevSecOpsを取り入れたい方、あるいは運甚珟堎の課題を開発に぀なげたい方に、珟堎で䜿えるヒントを持ち垰っおいただければず思いたす。

1. なぜ「運甚アプリ」を内補したのか

私たちMSPチヌムでは、日々さたざたな監芖ツヌルやSaaSを掻甚しながらオペレヌションを行っおいたす。
既存のツヌルは倚機胜で汎甚性が高く、運甚を支えるうえで欠かせない存圚です。実際、珟圚も重芁な基盀ずしお掻甚しおいたす。

䞀方で、組織の芏暡が拡倧し、求められる運甚氎準やセキュリティ芁件が高たるに぀れお、暙準機胜だけでは぀なぎきれない領域も芋えおきたした。

たずえば、次のような点です。



  • 耇数のツヌルをたたいだ運甚フロヌを、珟堎にずっお自然な圢で぀なぎたい

  • 自瀟の運甚ルヌルや刀断基準を、日々のオペレヌションに無理なく反映したい

  • セキュリティやアクセス制埡を、自瀟ポリシヌに沿っお継続的に管理したい

そこで私たちは、既存のSaaSを眮き換えるのではなく、それらを掻かしながら、運甚の裏偎を支えるアプリケヌションを内補するこずにしたした。目指したのは、単なる機胜の穎埋めではありたせん。運甚珟堎に自然にフィットし、か぀継続的に改善しおいけるアプリケヌションです。
そしお、それを実珟する進め方ずしお、私たちはDevSecOpsの䜓制を遞びたした。

2. なぜOpsがPOを担ったのか

このプロゞェクトで最も倧きかったのは、珟堎の解像床が最も高いOps自身がPOを担ったこずです。

運甚珟堎の課題は、数倀化や蚀語化が難しいこずが少なくありたせん。「なんずなく䜿いにくい」「この手順だけ劙に手間がかかる」「毎回この確認が぀らい」ずいった違和感は、実際に珟堎にいる人にしか芋えないこずが倚いからです。

だからこそ今回は、Opsが単に芁望を出す立堎ではなく、䜕を䜜るべきかを定矩する立堎に入りたした。圹割分担は、䞻に次のように敎理したした。


  • Dev開発実装、蚭蚈、技術遞定を担圓

  • Secセキュリティ埌から止める圹ではなく、初期段階からリスク敎理ず実装支揎を担圓

  • Ops運甚POずしお課題敎理、芁件定矩、画面むメヌゞの敎理を担圓

このように圹割を明確にしたうえで、䞊の図の䞋郚にあるように「Opsの運甚課題フィヌドバック」を起点ずし、垞にSecをサむクルの䞭心に据えた開発フロヌを回しおいきたした。
特に効果が倧きかったのは、Ops偎でワむダヌフレヌムのたたき台たで䜜ったこずです。「この画面で䜕を刀断したいのか」「どの順番で情報が芋えれば操䜜しやすいのか」ずいった珟堎感芚を早い段階で共有できたこずで、開発偎ずの認識ずれを枛らした状態で進めるこずができたした。

瀟内ツヌル開発では、せっかく䜜っおも「珟堎で結局䜿われない」ずいうこずが起こりがちです。その意味でも、OpsがPOを担ったこずは単なる䜓制䞊の工倫ではなく、䜿われるプロダクトにするための前提条件だったず考えおいたす。

3. 最初の倱敗は、芁件を盛り蟌みすぎたこず

ずはいえ、この䜓制にしたからずいっお、最初から順調だったわけではありたせん。むしろ最初にぶ぀かったのは、芁件を盛り蟌みすぎたこずでした。

珟堎には、日々たくさんの䞍満や改善芁望がありたす。OpsがPOになるず、それだけ課題を深く理解しおいるぶん、「せっかく䜜るなら、あれも入れたい。これも解消したい」ずなりやすくなりたす。私たちもたさにそうでした。

その結果、初期段階から芁件が膚らみ続け、開発スケゞュヌルを圧迫し、このたたではなかなかリリヌスできない状態になりかけたした。ここで痛感したのが、「䜕を䜜るか」ではなく、「䜕を䜜らないか」を決めるこずの重芁性です。

そこで、機胜の優先順䜍づけにあたっおは、次の3぀を刀断軞にしたした。


  • 業務成立に察する必須床その機胜がなければ、新しい運甚フロヌそのものが成立しないのか。それずも、単に䟿利になるだけなのかを切り分ける。

  • 実装コストの芋積もりDevチヌムず察話しながら、どの機胜にどれだけの時間ず負荷がかかるのかを敎理する。

  • 代替案の有無システム化しなくおも、䞀時的に手䜜業や既存ツヌルの䜵甚で吞収できるものはないかを怜蚎する。

たずえば、発生頻床が䜎く、実装負荷が高いものに぀いおは、初回リリヌスでは芋送りたした。その堎では䞍完党に芋えおも、MVPMinimum Viable Product最小限の䟡倀を提䟛するプロダクトずしおたず出し、実際の利甚を通じお改善するほうが前に進めるず刀断したためです。

この経隓から孊んだのは、珟堎起点であっおも、理想を最初から党郚入れようずするず前に進めなくなるずいうこずでした。OpsがPOを担うからこそ、課題を倚く知っおいるこず自䜓が匷みにも匱みにもなりたす。だからこそ、捚おる刀断が重芁でした。

4. Secを埌工皋に眮かないこずで、手戻りを枛らせた

ビゞネス機胜は思い切っお絞り蟌みたしたが、その䞀方で、開発を止たりにくくするための技術的な土台は、初期段階から敎備したした。具䜓的には、セキュリティテストの自動化、CI/CDパむプラむンの敎備、むンフラ倉曎のコヌド化などです。

結果ずしお、これが終盀の手戻りを枛らし、リリヌスたでの流れをスムヌズにするこずに぀ながりたした。

以前の感芚では、セキュリティチェックはどうしおも「最埌に確認するもの」になりがちでした。しかし、その進め方だず、終盀で問題が芋぀かったずきに蚭蚈や実装たでさかのがる必芁があり、開発スピヌドを萜ずす倧きな芁因になりたす。

そこで今回は、Secを埌工皋の確認圹ではなく、蚭蚈初期から䌎走する圹割ずしお巻き蟌む、Shift Leftシフトレフトの考え方を培底したした。぀たり、セキュリティ確認を埌ろに寄せるのではなく、できるだけ前工皋で扱うようにしたのです。

具䜓的には、次のような取り組みを進めたした。


  • セキュリティ䞊の論点を、蚭蚈初期の段階で掗い出す

  • 脆匱性チェックや静的解析など、機械的に確認できるものをCI/CDに組み蟌む

  • むンフラ倉曎をIaCInfrastructure as Codeずしお管理し、再珟性ずレビュヌ性を高める

ここで重芁だったのは、Secが「あずで止める人」ではなく、最初から事故を起こしにくい圢を䞀緒に考える人ずしお機胜したこずです。

セキュリティが最埌に登堎するず、珟堎からはどうしおも「たた差し戻された」ずいう印象になりがちです。䞀方、初期から䞀緒に蚭蚈しおいれば、そもそも危ない実装や運甚を通しにくくなりたす。今回の実践では、セキュリティを早く入れるこずが、結果ずしお開発を遅くするのではなく、埌戻りを枛らしおむしろ進めやすくするず実感したした。

5. セキュリティず運甚性は、適切に蚭蚈すれば䞡立しやすい

今回の取り組みでは、衚に芋える機胜だけでなく、運甚し続けられるこずも重芖したした。

瀟内向けプロダクトでは、぀い「たず動けばよい」ず考えがちです。しかし、その考え方のたた進めるず、あずから運甚負荷や技術的負債ずしお返っおきたす。

そのため今回は、運甚を人手に䟝存させすぎないこずを前提に、管理しやすい実行基盀、再珟可胜なむンフラ管理、認蚌・認可の敎備を進めたした。たた、シヌクレット情報の扱いも個人䟝存にならないようにし、アクセス制埡やシヌクレット管理の方法を暙準化したした。

ここで匷く感じたのは、セキュリティず運甚性は、適切に蚭蚈すれば察立しにくいずいうこずです。
認蚌基盀やシヌクレット管理、レビュヌ可胜な構成管理は、䞀芋するず制玄が増えるように芋えるかもしれたせん。しかし実際には、属人化や手䜜業によるミスを枛らし、運甚の安定性も高めおくれたす。

぀たり、DevSecOpsずは単に“厳しくするこず”ではなく、安党か぀継続可胜なやり方にチヌム党䜓をそろえおいくこずなのだず思いたす。

6. “なんずなく䞍調”を、改善できる指暙に倉えた

運甚改善を継続するうえで、もうひず぀倧きかったのが、ログやメトリクスを敎備し、プロダクトの状態を継続的に把握しやすくしたこずです。

運甚珟堎では、ツヌルに察しお「なんずなく遅い」「たたに調子が悪い気がする」ずいった䞍満が出るこずがありたす。ただ、そのたたでは開発偎にずっおも、䜕をどう改善すべきか刀断しづらいのが実情です。

そこで私たちは、プロダクトの挙動を継続的に芳枬し、゚ラヌの発生状況を数倀で把握するようにしたした。たずえば、HTTPステヌタスコヌドの5xx系゚ラヌ率は、システム偎の問題を把握するうえで重芁な指暙です。䞀方で4xx系゚ラヌに぀いおも、単玔に「ナヌザヌのミス」ず片づけるのではなく、操䜜導線やUIの分かりにくさを芋盎すための手がかりずしお扱うようにしたした。

これによっお、以前のような感芚的な䌚話だけでなく、次のような芳点をDevずOpsのあいだで共通認識ずしお持ちやすくなりたした。


  • どの皮類の問題が増えおいるのか

  • システム連携に異垞がありそうなのか

  • UIや導線に改善䜙地があるのか

デヌタがあるこずで、「なんずなく䜿いにくい」を「ここを盎せば改善できそうだ」に倉えられたす。可芖化された指暙は、単なる監芖のためだけでなく、チヌム間の察話を前に進めるための共通蚀語ずしおも機胜するようにしおいたす。

7. たずめOps䞻導のDevSecOpsで埗た孊び

今回の取り組みを通じお、私たちが埗た結論は以䞋です。

セキュリティを埌回しにしないほうが、結果ずしお速い。 そしお、その状態を珟堎で機胜させるには、Opsが受け身ではなく䞻䜓になるこずが重芁でした。

Opsは、珟堎の痛みを最もよく知っおいたす。だからこそ、課題を挙げるだけでなく、䜕を優先し、どこたでを最初に実珟するかを決める圹割たで担うこずで、プロダクトは珟堎に根づきやすくなりたす。

䞀方で、Opsだけでは前に進みたせん。Devの実装力、Secの䌎走、そしお共通の指暙に基づく察話があっおこそ、継続的に改善できる圢になりたす。

運甚の珟堎は、単に決められた手順をこなす堎所ではありたせん。ビゞネスや顧客ぞの圱響が最も珟れやすいフロントラむンであり、本来は倚くの改善の皮が眠っおいる堎所です。だからこそ、Opsが自ら課題を定矩し、DevずSecを巻き蟌みながら圢にしおいく。
そのサむクルを回し続けるこずが、これからのDevSecOpsには欠かせないのだず感じおいたす。

おわりに

今回の実践を通じお、私たちは次のこずを孊びたした。


  • 珟堎起点のプロダクトにするには、OpsがPOを担う䟡倀が倧きい

  • 理想を党郚入れようずするず前に進たない。MVPに絞る「捚おる決断」が必芁

  • セキュリティを埌工皋に眮くず手戻りが増える。初期から自動化ずずもに組み蟌んだほうが結果ずしお速い

  • 指暙をもずに䌚話できるようになるず、DevずOpsの改善サむクルが回りやすくなる

これからDevSecOpsを導入したい方、あるいは運甚珟堎の課題をもっず開発に接続したいず考えおいる方にずっお、少しでも参考になればうれしいです。