2020年11月にスタートしたエンジニアリング環境の再構築プロジェクト。新型コロナウイルス感染拡大防止のためオフィス内外を問わず同様の開発環境が求められるようになったことや、エンジニアの増員などを背景に、より柔軟かつ効率的な開発環境を実現するべく立ち上がったプロジェクトです。前回は、キーマンである田村、柿田にインタビューし、エンジニア環境における課題や、その解決のために2人がタッグを組んで進む様子をお届けしました。

半年がたった今、CASBやEDRを利用してエンジニア環境は少しずつ変化したといいます。ここに至るまでにどのような過程があったのか――改めて2人に話を聞きました。

• 自由で効率的で柔軟な開発環境を実現するために
• 長い間抱えていた課題に対する大きな一歩。その鍵は、相手としっかり目線を合わせた丁寧な対話
• 「制御」ではなく「自由とそれに伴う責任」――取り組みの意義をしっかりと伝えていきたい

 

自由で効率的で柔軟な開発環境を実現するために

――前回のインタビューから約半年ぶりに、お2人にお話を伺っていきます。まずは改めて、エンジニア環境構築プロジェクトの概要をお聞かせください。 

田村：エンジニアが開発をするにあたり、本来であればトライアンドエラーを繰り返してスピーディに開発を進めていきたいところではありますが、個人情報を扱うビジネスの性質上、当社では各種サービスの利用申請・許諾に大きな労力と時間を要しているという課題がありました。

そこで、本番データを扱わない範囲内で開発環境を完全に独立させ、エンジニア目線で最適な開発環境を用意することによって、開発効率の向上を図ろうと始動したのがこのプロジェクトです。

柿田：最大の目的は、自由・効率的・柔軟な開発環境を作ることです。以前は「パーソルキャリア社内 / 社外」の概念しかなく、外部サービスを使うには必ずプロキシサーバーとファイヤウォールを通さなければいけませんでしたし、この部分で承認をもらうのに時間がかかっていたんですよね。

それが今回の環境再構築によって、企業が認可したクラウドであれば、従来の申請を行わなくとも事業部側のマネジャーの承認のみで使えるようになりました。

 

――それは大きな変化ですよね……！ 

柿田：そうなんです。ただ、いきなり全てのサービスが申請なしの利用OKになった訳ではありません。「外部」と捉えるゾーンは相変わらず設けてあり、この外部ゾーンと企業認可クラウドを分離するにあたって情報漏洩や不正アクセスを防ぐための制御として、“CASB”と“EDR”を導入しています。

皆さんに自由に走っていただくために、今回道路と最低限必要なガードレールを整備した形ですね。

 

――自由で効率的・柔軟な環境を目指すにあたり、最初に「外部サービスをより柔軟に早く使えるようにすること」に着手されたのはなぜでしょうか？

柿田：このプロジェクトの目的を実現するために、やりたいことは本当にさまざまあります。そもそも別の開発ネットワークを新たに構築できないだろうか、というような大きな構想もありますが、それはすぐにはできないこと。なので、まずは足元で現場の皆さんが一番困っている課題を解決しようと考えました。

コロナ禍が一年ほど続いて在宅勤務が標準になったり、ワーケーションなどの取り組みが出てきたりという要因から、「オフィス内外を問わずに同様の業務ができるように」という文脈も確かにあります。しかしプロジェクト始動の時点ではまだこの先どうなるかは分かっていなかったんですよね。当時はやはり、外部サービスをすぐに使いたいという声が大きかったので、ここから手を打とうという判断でした。

 

――現場の方々からたくさんの声があがっている課題を解決することができれば、開発環境として前進しているという実感を皆さんにも持っていただきやすいですよね。

柿田：その狙いもあります。やはり今の時代、エンジニア人材は取り合いの状況です。その中で、せっかく入社していただいた優秀な方の力を発揮できる環境がないというのはもったいないですし、入社を検討してもらっている方も、自分のパフォーマンスを発揮できないと判断したら入ってきてもらえないですよね。採用の分野で、テック企業として魅力的な環境を提示するためにも、この環境整備が必要だったのかなと改めて振り返ります。

 

長い間抱えていた課題に対する大きな一歩。その鍵は、相手としっかり目線を合わせた丁寧な対話

――環境再構築の過程について、詳しく伺っていきたいと思います。今回「ガードレール」の役割としてCASBとEDRを導入されたということですが、構成を検討するにあたっての製品の選定理由について教えてください。

柿田：クラウド化が進んだ現代では、社内と社外の境界にファイヤウォールを置いてアクセス元を絞り、デバイスにアンチウイルスソフトウェアを入れるという従来の対策では、もはや大切な情報を守ることはできません。CASBは、企業の資産が企業ネットワークの外部に置かれ、「どちらが内か外か」という考え方がなくなった環境にも適応できるよう作られた製品です。操作元の端末とクラウドサービスの間に介在し、①端末やユーザーによるサービス利用の可視化/分析、②アクセス権限の制御、③コンプライアンスの観点からの情報保護、④外部からの脅威に対する防御 などができるものですね。

当社のエンジニアは情報感度が非常に高く、「新しいものを試してみよう」という知的好奇心も旺盛なので、CASBについては対応サービス数の豊富さが必須条件でした。今回導入したNetskope社の製品は3万種類以上のクラウドサービスに対応しており、また該当サービスを具体的に指定しなくても、SNS/チャッティングツールなどのカテゴリでアクセス制御ポリシーを設定してセーフティネットにかけることができるという点が決め手になっています。

また、導入前にしっかりと私たちのビジネスを見た上で適した使い方をご提案いただけたことや、サポートリクエストにもスピーディにご対応いただけたことも大きかったですね。

 

――EDRについてはいかがですか？

柿田：EDRは、事前に定義したウイルスやファイルを検知して侵入を防ぐというアンチウイルスソフトウェアの機能に加え、「このユーザーが外部に何かを持ち出そうとしている」などの振る舞いまで検知してくれるものです。

インシデント、いわゆる怪しい振る舞いが検知された時に、どの端末でどのような不正な動きがあったのかを捜査していく必要があるのですが、導入したクラウドストライク社の製品は、複数比較した中でもその一連の操作が一番簡単でした。検知されたイベントがフローチャートのように図で出てきて、直感的にクリックしていくだけで、怪しいファイルやそれを起動したユーザープロセス、危険のレベルなどを見極めることができます。

加えて、不正な動きをするユーザーの情報なども日々ポータルにアップロードされるので、啓蒙活動にも活かせそうだなと。

さらにクラウドストライク社とNetskope社はパートナーシップを結んでいるため、製品間の機能連携によってシナジーを生み出していくことにも期待しています。

また今回の事例は、Netskope社にも面白い取組みとして目に留まり、ユーザー会で登壇させていただきました。CASBを活用した事例としてお伝え出来たこともうれしかったですね。

――これらの製品を導入し環境を再構築するにあたり、情報セキュリティやコンプライアンスなどの調整が必要だったのではと推測していますが、具体的にどのように進めたのでしょうか。

柿田：そもそも外部のサービスが自由に使えなかったのは、私たちのビジネスが大切な個人情報を扱うものだからだとお話ししました。この時、個人情報を扱う領域 / 扱わない領域が明確に分離されていれば、後者については簡単な届出によって管理するレベルで、リスクなく外部サービスを使うことができたはずですよね。ただこれまでは、これらの領域が完全には分離されておらず、機微な情報を含んでいるかもしれない、グレーゾーンと呼べるネットワークも存在していたために管理が厳しくなっていました。

となると、申請・承認のルールや手続きを変更するためには、この「個人情報を扱う/扱わない」領域の棲み分けを白黒はっきりつけること、そして「どこまで現場に権限を委譲できるのか」というベースラインを握ることの二つが必要です。この二つがきちんと固められていれば、あとはどのようにプロジェクトを進めてもいいだろうという判断で、まずはこれらの調整を進めていきました。

 

――個人情報を守るという最大のポイントを考えると、調整はなかなか難しかったのではないでしょうか。留意されたことなどがあれば教えてください。 

田村：やりとりをする相手はITの専門家ではないので、そこを理解して相手の立場に立って伝わりやすい形で話すことが大前提です。その上で、単語の意味一つをとっても、相手と目線を合わせながら会話をすることを心がけました。

 

 例えば「開発ネットワーク」という単語にしても、開発ネットワークは複数あるため、どれの話をしているのかわからない、もしくは認識がずれる可能性があるんですよね。今回は分かりやすいよう「エンジニアリング環境」という固有名詞を与えるなど、「この部分の話をしていますよ」という目線合わせを丁寧に行って、言った・言わないなどの認識相違が起きないように進めています。

柿田：エンジニアは一足飛びに自分たちのフィールドで会話しようとしがちですが、いきなりプロダクトの名前を出されて「こんなことができます」と紹介されても、実際に触る訳ではない相手からしたら理解は難しいですからね。心配りは必要かなと思います。

「制御」ではなく「自由とそれに伴う責任」――取り組みの意義をしっかりと伝えていきたい

――2020年11月からPoCが始まると伺っていましたが、具体的にはどのようなことが進められた半年だったのでしょうか？

柿田：2020年11月から、フィジビリ運用を行ってきました。このプロジェクトにおけるフィジビリとは、ノンデグ確認のこと、つまりデグレードしていないかの確認です。

外部サービスを使うにあたり、申請・承認のフェーズとIP制限による身元の固定を行ってきたものが、これからは新しいサービスを申請や承認なしで使えるようになる。これは労力や時間の観点だけでなく仕組みとしても大きな変化ですから、この切り替えをいきなりやってしまうと、今まで使っていたサービスが場合によっては使えなくなってしまう可能性も多いにあります。

そこで、当社で常時使っているものから不定期で使っているものまで、数百を超えるサービスを網羅的に見て切り替えをするために、半年間のノンデグレード確認が必要でした。

 

――フィジビリ運用をやってみて、いかがでしたか？

柿田：11月から3月までのフィジビリ運用で、20名くらいの方が参加してくれました。業務との相性によって、うまく使えず継続利用を止めているケースもありますが、それらを含めて20〜30人くらいですね。その中で、あまりポジティブな評価はもらえていないというのが正直なところで、プロモーションがうまくできなかったなと反省が残る形になりました。

やはり当社のエンジニアたちは情報感度が高いので、CASBが何なのかは大まかに理解しています。すると、「柔軟な環境を作ると言っていながら、CASBを入れて制御しにきているじゃないか」「結局はやりたいことができなくなってしまうのではないか」と抵抗感を持たれてしまうことが多いんですよね。

 

――「制御」の側面が主だと受け止められてしまう、ということでしょうか。

柿田：はい。でも、本質はそうじゃないんです。あくまで、明らかに業務と関係のない範囲や、個人情報保護や法令遵守、公序良俗の観点から守るべき範囲を、最低限のガードレールとして敷いているだけ。もちろん一切管理をしないという訳ではないのですが、働く皆さんのプライバシーを守るためにも、管理者がWebブラウジングの履歴を積極的に閲覧しにいって監視する、ということもありません。

「制御することが目的なのではなく、自由を享受してもらうために、それに伴う責任として会社が本当に大切なものを守るべく導入している」のだときちんと伝えていく必要があります。せっかく優秀なエンジニアたちが集まってくださっていますし、これが心理的なプレッシャーになってブレーキを踏まれてしまうともったいないので、いいパフォーマンスを安心して発揮してもらうためにも言葉を尽くしていきたいところです。

 

――長い間抱えてきた課題に対しての大きな前進になりましたが、これからも挑戦は続いていくのですね。それでは最後に、今後の展望と抱負をお聞かせください。

田村：まずは、フィジビリを完了させて本展開というところですね。もともと4月を予定していましたが、様々な要因が重なって延期になっているので、6月までには第一段階として本展開できるように進めていきます。

その上で、今回整備した環境を使ってさらに効率良く業務ができるようにするのが第二段階だと思うので、引き続き機能強化にも取り組んでいきたいと思います。

 

――ありがとうございます。柿田さん、お願いいたします。

柿田：まずはやはり、きちんと周知して良いものだと理解してもらった上で、利用を促進していきたいです。

また現在当社には300名ほどのエンジニアが在籍していますが、個人情報が保存された本番サーバーの保守開発に従事してもらっている方々は今回の取り組みでは救えないんですよね。「エンジニアの業務を」と語りながら、個人情報に直接アクセスする一部のエンジニアをスコープアウトしてしまっているのは自己矛盾であるので、やり方は違ったとしても、このプロジェクトの延長線上で「全てのエンジニアの業務を効率化する」ことに挑戦していきます。

今回のプロジェクトを通して色々なところからお声が掛かるようになってきたので、その人脈も活かして、テクノロジー本部全体を巻き込みながら、取り組みを継続していけたらと思います。

――部署を超えての大きな挑戦を、今後も応援しています。ありがとうございました！

（取材＝伊藤秋廣（エーアイプロダクション）／文＝永田遥奈）

※2021年6月現在の情報です。