前編に続く後編の記事になります!
後編では、SOMPOのインフラポリシーやインシデント対応について、そしてアプリエンジニアやPMOといった一緒に働くメンバーとのコミュニケーションや仕事の進め方についても詳しく教えていただきました!
インフラエンジニアという仕事やキャリアパスに少しでも興味を持った方は、ぜひ最後までご覧ください。
▽▽▽【前編】はこちら!▽▽▽
◆お話を伺ったメンバー◆
藤野 智彦
2022年1月入社SOMPO Digital Lab Sprintチーム インフラエンジニア
プロダクトの監視運用設計、プロダクトセキュリティの強化及び設計・ツール検討を行う。
2023年からは、トータルヘルスケアアプリのプロジェクトに参画し、DevOps周りの改善に注力する。
最近嬉しかったことは、re:Inventに初参加したこと。
中西 基文
2021年8月入社SOMPO Digital Lab Sprintチーム インフラエンジニア
地方自治体向けプロジェクト、LLM活用PoC等に参画。各プロダクトのインフラ設計/構築/運用担当の傍ら、社内開発環境改善、リスク管理等にも従事。
最近ハマっていることは、Terraformの学び直し。
ーーSOMPOのインフラのポリシーとして「開発者体験とセキュリティの両立」があると聞きました。インフラエンジニアが考える「開発体験とセキュリティの両立」とは何ですか?
中西:
私としてはトライアル&エラーが気軽に繰り返せる環境かなと考えています。
環境のセキュリティをガチガチに固めてルール化すると、PoCのようなスピードを求められる開発であっても「申請出して1週間待って...」みたいな事態になりかねず、開発があまりうまく進まなくなってしまうんですよね。
結果的にプロダクトの品質にも影響しかねませんし、スケジュール優先の名目でセキュリティを迂回したり無視したりされても困ります。
開発をより円滑に進めていくためには、色々と試してその結果のフィードバックを元に作り直してといったサイクルを繰り返せるようにするのが、開発体験とセキュリティを両立させる秘訣かなと感じています。さらにその上で安心してトライアル&エラーができる環境を作るのが、私たちインフラエンジニアの責務だと思っています。
藤野:
そうですね、セキュリティでガチガチに固めて過ぎてしまうと開発者体験が損なわれてしまったりと、相反するものなのでこの2つの両立って結構難しいんですよね。
中西さんから話があったとおり、トライアル&エラーができる環境にすることによって、開発者体験を担保できますし、あとはそのトライアル&エラーをする中で、一定レベルのセキュリティを担保できる環境にするというのが、一つの重要なポイントになってくると思います。
つまり、柔軟に動ける上に、一定レベルのセキュリティを担保できてるといった環境を作ること、かつ管理できることを、SOMPOとしても意識しているところではありますね。
ーー開発者体験とセキュリティの両立を目指すにあたって、どのような工夫をされていますか?
藤野:
そうですね、AWSを使う事例でお話しますね。この場合、開発者が個人で使えるSandbox環境と、そのプロダクトで正式に使う環境の2つを用意しています。
個人で使えるサンドボックスの環境は、プロダクト開発で使うためのトライアル&エラーをしたりと、本人が自由に使える環境になっています。そこではもちろん、一定のセキュリティも担保されています。なのでこれらの環境を使い分けることによって、開発者体験とセキュリティの両立を実現しています。
中西:
あとは先ほども少し触れたとおり、SOMPOグループ全体のガバナンスを統括している部署や様々な関係者の意向もあるので、セキュリティ周りに関してはそれらの意向も汲んで、「納得を得ながら進めるにはどうするのがベストか」ということを意識しながら両立を目指しています。
なので、「これはルールで決まっているから駄目」と杓子定規な対応をするのではなく、プロジェクトごとに毎回ちゃんと考えて話し合いながら調整していくことが大事だと思って取り組んでいます。ルールとして定めることももちろん必要ですが、そのルールにプラスアルファでどんな工夫や出来ることがあるのかを考えるようにしています。
ーーアプリエンジニアなどからインフラ改善の要望が来ることはありますか?普段アプリケエンジニアとはどのようなコミュニケーションをとっているのでしょうか?
中西:
普段はSlackなどのコミュニケーションツールを使って、適宜気軽にやり取りしています。
要望については、雑談ベースで相談をもらってそこから詳細を詰めてタスクに落とし込んでいくこともありますし、最初からまとめられた要望として正式にもらうこともありますし、色々な流れがありますね。実際に着手する際にはチーム全体に対して、やる内容や目的を共有した上で進めていくのを基本としています。
藤野:
要望としていただく場合もありますが、こちらからヒアリングをしていく場合もありますね。
例えば私と木村さんは同じプロジェクトなのですが、私が参画したタイミングで「インフラ周りで、いま何か困ってることありますか?」とヒアリングをして、それに対して木村さんが「こういうところをもう少し改善したい」という意見を出してくださったので、それに対して優先度や進め方などを相談しながら対応しました。
こんな風に、一方的な要望ばかりではなくて、こちらから「こう変えたいんですが、どうですか?」とか、「何か困っていることありますか?」ってヒアリングをかけに行くこともありますね。
なのでインフラエンジニアとアプリエンジニアは、密に連携を取りながら仕事を進めていくのが良いのかなと思っています。
ーーインフラエンジニア以外の方々(アプリエンジニアやPMOなど)に、セキュリティの重要性を理解して貰うための取り組みがあれば教えてください。
藤野:
これはまさに現在の課題なんですよね。アプリエンジニアだとある程度セキュリティの重要さを理解されてると思うのですが、PMOやPM、そして更には営業や企画などのビジネス側のメンバーには、もっと理解してもらう必要があると感じています。
誰しもが「セキュリティ強化はやった方が良いよね」と考えていると思うのですが、それだけだと先ほど言ったように開発者体験などに制限がかかるので、ガイドラインのようなものを設けることで、「どのレベルまではやりましょう」とか「この基準までだったらやりません」ということを説明し、アプリエンジニアやPMO、QAエンジニア方々に理解していただいています。
そうすることで、フェーズごとに何をするべきなのかが明確になり、一定の基準を満たした状態で業務に取り組んでもらえるのではないかと考えています。
中西:
セキュリティ周りやリスク管理に関する業務フローについては、「なぜこの対応が必要なのか」「なぜこればNGなのか」といった目的や背景を添えて説明するようにしています。
この取り組みが実を結ぶには時間もかかると思いますが、各担当者にセキュリティに関する目的意識を持っていただけるような取り組みは、今後も続けていきたいと思います。
ーーSOMPOのインシデント対応プロセスはどのようになっていますか?何か参考にされた業界標準のプロセスなどがあったりしますか?
中西:
当然インシデント対応のプロセスも整備しています。ホールディングスのIT企画部という部署がグループ全体の対応フローを定めており、私たちはそれをベースに必要な対応を加えて整理したものを用意しています。
もちろん私たち当事者がインシデントに対応するのですが、IT企画部にグループとして対応をサポートいただける部分が心強いところでもあり、SOMPOのインシデント対応の特徴かなと思いますね。
藤野:
SOMPOグループ標準のインシデントフローと、あとは世間一般的なインシデントフローを組み合わせて、SOMPOの中で私たちが適切に動けるようなフローを作っています。具体的にはインシデントを次のような5つのレベルに定義していて、そのレベルに応じて対応する形にしています。
ーーSOMPOで募集しているインフラエンジニア像は、どのようなものですか?どのような経験・能力があるとマッチすると思いますか?
藤野:
インフラ周りの設計や構築といった、SRE(Site Reliability Engineering)やDevOpsチームでの経験がある人は特に歓迎しています。それに加えて、SOMPO全体としての観点からは、主体的に課題を発見して、そこに対して考えて動ける人が求められていますね。
インフラ周りの仕事だと、例えばアプリエンジニアから降ってきたこと等、言われた仕事をこなすという組織もありますが、Sprintチームではそうした働き方をしている人はいませんね。
道の無いところから道を作るみたいな仕事も結構あるので、ゼロから考えて「こういうところに課題があるから、こういう動きをしてやってみようと思います」といったことが言える人、自走できる人が歓迎されます。その提案内容が時に間違っていたとしても大丈夫なので、事象に対して課題を抽出する力や、それに対して行動が出来ることが重要だと思います。
中西:
私も主体的に動けることは必須だと思いますね。
藤野さんとは別の視点から補足すると、私たちはリモートワークが中心で出社頻度が週1以下のメンバーも多いです。そうなると自分から主体的にコミュニケーションを取れる方でないと、情報がなかなか共有されませんし認識のズレも起きやすいので、主体性に乏しい方は少し厳しいのではないかなと考えています。
あとは、幅広い視野を持てる方も求めています。インフラエンジニアとして運用保守、セキュリティ、コンプライアンス、ガバナンス、リスク管理などの観点はもちろんのこと、インフラエンジニアの観点だけでは判断が難しいケースも多々あります。
それこそアプリエンジニア、PMO、ビジネス部門など様々な立場や意見を鑑みて、総合的に「これがいいよね」って考えていける方に来ていただけると大変ありがたいです。なのでスペシャリストの方はもちろん大歓迎ですが、現時点でインフラエンジニアとしてのキャリアが浅めでも、いろんな観点から考えられる方であれば、ぜひご検討いただきたいなと思います。
藤野:
私も中西さんも、前職まではインフラエンジニアとして専門的にやってきたわけではなくて、SOMPOに入社してから勉強してここまでやってきたので、ある程度基本的な知識がある方であれば、ぜひ一度カジュアル面談でお話しできたら嬉しいです。
あと、そうそう。具体的なスキルや知識については、AWSかGCPで単独で設計構築までできる程度のスキルが必要になりますね。
中西:
そうですね。求める人物像についてまとめると、
- AWSやGoogle Cloudでのインフラ設計や構築の知見、経験
- SREやDevOpsの知見、経験
- 主体的に課題を発見して、そこに対して考えて動ける姿勢
といった感じでしょうか。スキルセットについては、「設計や構築を、自身の手と頭で主体的に進められる」程度を1つの目安にしています。入社後は、お互いに学びあえる関係を築けられたら素敵ですね。
ーーSOMPOでのインフラエンジニアのキャリアパスには、どのようなものがあるのでしょうか?
中西:
SOMPOでは決まりきったキャリアパスがあるというよりも、個人が希望するキャリアパスに沿えるようにという会社からの配慮があります。
例えばインフラエンジニアとしてスペシャリストを目指すことはもちろん、アプリエンジニアやPMなど、今とは別のポジションを目指すこともできます。さらに別部署に異動して今とはまったく違った業務に挑戦することもでき、現在そうした社内公募も発表されています。
ですので決まったキャリアの中から選ぶというより、自分自身で将来どうなりたいかを考えてそれを会社の中で実現していくと言えるでしょうか。
一般的によく言われるような開発者→リーダー→マネージャーといったルートしかない訳ではなくて、本当に自分がこうなりたいというキャリアパスを可能な限り叶えてもらえるような体制が、SOMPOには整備されています。
ーー最後に、お二人が描くキャリアパス・今後の展望をお聞かせください!
藤野:
直近の数年間は技術者に重きを置いて、いろんなスキルアップに徹していきたいですね。そして将来的には、チームのマネジメントにも興味があるので、技術的なことに取り組みつつ、チーム全体としての底上げにも携わっていきたいと思っています。
中西:
開発者にとってよりよい環境の整備を、もっと広げていけたら良いなと思います。本日お話ししたような開発者体験やトライアル&エラーをしやすい環境について、現在はまだチーム内に留まっていますが、部内そして会社全体へともっと領域を広げることに尽力していきたいですね。
ーー藤野さん、中西さん、ありがとうございました!
今回はインフラエンジニアの藤野さんと中西さんにインタビューしました。お二人が周囲に能動的に働きかける様子を知って、インフラエンジニアのイメージがガラッと変わった方も多いのではないでしょうか?
Sprintチームでは現在、インフラエンジニアを募集しております。藤野さんと中西さんのインタビューを読んで、「SOMPOのインフラエンジニアって面白そう!」「自ら課題を見つけて取り組むインフラエンジニアになりたい」とワクワクした方は、ぜひ下の「話を聞きたい」ボタンから、カジュアル面談に応募ください。
カジュアル面談では、働く環境や詳しい仕事内容など、ご興味のある内容について、ざっくばらんにお話しすることができます。少しでも気になった方は、私たちと一緒にお話ししてみませんか?
SOMPOホールディングスでは、今後もさまざまな社員やプロジェクトを紹介する記事を掲載していきますので、次回もどうぞお楽しみに。