Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SREによる隣接領域への越境とその先の信頼性

 SREによる隣接領域への越境とその先の信頼性

Avatar for shonansurvivors

shonansurvivors

November 12, 2024
Tweet

More Decks by shonansurvivors

Other Decks in Technology

Transcript

  1. 自己紹介 株式会社スマートラウンド 執行役員VP of Reliability 山原 崇史 (やまはら たかし)  経歴等

     ・SIer → 銀行 → Web系ベンチャー数社 → 現職  ・2023 / 2024 Japan AWS Top Engineers  ・AWS Startup Community Core Member shonansurvivors
  2. セキュリティへの取り組み SOC2報告書 米国公認会計士協会( AICPA)の定めるトラストサービス規準に基づき、セキュリティ・可用性・処理の完 全性・機密保持・プライバシーに関する内部統制の適切性および有効性を監査法人が作成した報告書 にてご確認いただけます。 ISO/IEC 27001(ISMS認証) 情報セキュリティマネジメントシステムに関する国際標準規格である ISO/IEC

    27001(ISMS)の認証を取 得しています。ISMS委員会やマネジメント(経営層)レビュー、内部監査等を定期的に実施し、情報セ キュリティの向上に組織全体で取り組んでいます。 AWS認定ソフトウェア AWSのパートナーソリューションアーキテクトによるレビュー( FTR)を通過し、セキュリティ・信頼性・運用 上の優秀性に関して AWSのベストプラクティスに従っていることが確認された AWS認定ソフトウェアと なっています。 ※営業資料より抜粋
  3. 初めて触る・担当するモノたち • 各種ツールの管理者 ◦ Google Workspace管理者 ◦ Slack管理者 ◦ Notion管理者

    • MDM(Mobile Device Management)運用 ◦ Jamf運用 • ISMS(ISO/IEC 27001)運用のリード ◦ CTOにて認証取得したばかりであったので、その運用と今後の維持審査対応を担当
  4. コーポレートIT1年目でのおもなトライ • アクセス管理 ◦ 退職や業務委託終了に伴う 各種アカウント削除の徹底と、削除漏れ防止のための定期 棚卸し • データ保護 ◦

    顧客情報取り扱いガイドライン の制定 ◦ Googleドライブでの共有ドライブ利用の推進(マイドライブ利用の非推奨化) • IT資産管理 ◦ SaaS管理SaaSを導入し、社内ITツール利用状況の可視化( シャドーIT排除) • コスト管理 ◦ 社内全てのITコストの可視化
  5. SREとコーポレートITが一体運営であることの良さ • 全体を横串で見渡しやすい ◦ 例)プロダクトの費用( AWS等)と社内IT(SaaS等)の費用、どこから削減すべきかの検討 • SREとコーポレートITを跨ぐような施策をスピーディに実施できる ◦ 例)Googleアカウント(コーポレート

    IT管理)を使ったAWS(SRE管理)のSSO化 • 類似性や共通性を見出す楽しさがある ◦ SREによるプロダクトの信頼性維持とコーポレートITによる企業の信頼性維持 ◦ SREの目指すDeveloper Experience向上と、コーポレート ITの目指すEmployee Experience向上
  6. コーポレート部門との関係性構築によって得られた成果 • プライバシーポリシーおよび利用規約 の改善 ◦ コーポレートIT x 法務 x PdM(サービス仕様の知識)

    x SRE(各種非機能要件の知識) • 入社対応フローの型化 (業務委託契約開始も含む) ◦ コーポレートIT x 人事 x 労務 • PC入出庫管理のアウトソーシング化 ◦ コーポレートIT x 総務 • SOC2取得にあたり必要だった 取締役会規則改定など ◦ コーポレートIT x 法務
  7. 経営メンバーとしてのSREとコーポレートIT 「CTO」や「VPoE」のようにわかりやすく役割を内外に示していけるように、 「経営メンバーとしての SRE」を言語化することとした(就任前より CTOと相談しながら準備) • 肩書きを作る 👉 VP of

    Reliability • 職務記述書の作成 ちなみに... 「経営メンバーとしてのコーポレート IT」であればCIO(Chief Information Officer)。 しかし、自分のこれまでのバックグラウンドを考え、 CIOは適さないと判断した。
  8. VP of Reliabilityの職務記述書 v1.0 プロダクトの信頼性とセキュリティに責任を持ち、継続的に改善するための戦略を策定、実行する。これにはエンジニアリングの観点 だけでなく、法規制対応(*)や内部統制等のコンプライアンスの観点も含まれる。 また、この考えをプロダクト以外の社内ITや業務にも展開し、各部門と連携しながら会社組織・事業全体の信頼性とセキュリティの向 上を図る。 信頼性とセキュリティの維持・向上にあたっては、第一義にはユーザーの期待に応え、その安全を守ることを目的とするが、セキュリ ティ要件の厳しい大手企業をユーザーとして獲得するための施策を戦略的に展開するなど、トップライン拡大の観点も持って取り組

    む。 その他、CTOが事業のコアであるプロダクトの開発および開発組織の運営に注力することを支援するために、プロダクト外における 攻めのIT利活用の推進も担う。 上記の実現にあたっては全社リソースの適切な配分を意識し、事業計画策定に経営メンバーの1人として加わる。 (*) 法規制対応については個人情報保護法や電気通信事業法などプライバシー保護の要素が含まれるものを中心に担い、その他の法規制は必要に応じて各 CxO等や法務担当の支援を仰ぐ
  9. VPoRの職務記述書のキーワード • プロダクトの信頼性( SRE) • プロダクトのセキュリティ( SREと親和性が高い領域) • 会社組織・事業全体の信頼性とセキュリティ(コーポレート IT

    x 経営) • 法規制や内部統制等のコンプライアンスの観点(コーポレート ITと親和性が高い領域) • トップライン拡大の観点(経営) • 攻めのIT利活用の推進(コーポレート IT x 経営) • 全社リソースの適切な配分(経営) • 事業計画策定(経営)
  10. まとめ • SREがコーポレートITを兼務することで多くの発見に繋がった ◦ 視野の広がり ◦ 一体運営による各種の利点(全体の俯瞰、横断施策のやり易さ) ◦ 類似性や共通性を見出す面白さ •

    コーポレート部門に入り込み協働することで、互いの専門知識を結集して成果を挙げられた ◦ プライバシーポリシーおよび利用規約の改善など • 経営メンバーとしての SREについて ◦ 肩書き(VP of Reliability)や職務記述書で言語化 ◦ 各種領域を超えて組織の信頼性を高めていく 関連note記事
  11. 経営体制の変更(続き) • 2024年7月から経営メンバーの 1人となる(再掲) 経営メンバー 執行役員 インフラ部 SRE コーポレートIT 各CxO

    コーポレート部 総務 労務 経理 法務 人事 管掌 各取締役 各執行役員 ⛰3つ目の越境 自分 ⛰4つ目の越境 • SRE/コーポレートIT組織だけでなく、コーポレート部門も同時に管掌