初めて開催されたDevOps Enterprise Summit Europe in Londonで,SIXのアプリケーションエンジニアリング部門の長を務めるRobert Scherrer氏は,規制の厳しいスイスの金融業界において,同社がいかにDevOpsの原則とメリットを活用しているかを解説した。コンプライアンスの監査人とソリューションに関して早期に(変更コストが過大になる以前に)合意することと,旧態依然とした(対外的な規制とは実際には無関係な)社内規制を回避することが,有用なアドバイスとして紹介された。
監査人と戦略的な技術プランを共有(および交渉)することで,潜在的なコンプライアンス問題の事前の解決が可能になる。Scherrer氏はその実例として,クラウドインスタンスを共有するマルチテナント金融サービスに関する監査人の懸念に対して,Openshiftプライベートクラウドへの変更を行なったことを説明した。このソリューションでは,ユーザ毎に専用クラウドを割り当てるインフラストラクチャプールを用意した。構成は多少複雑になったが,監査人のセキュリティに対する懸念を解消できたことで,その後の運用への移行はスムーズなものになった。
社内規制への盲目的な追従はコスト的に誤った判断であり,DevOpsの利益を損なうことになる,とScherrer氏は指摘する。一方で,社外的な規制は,実際には関連する社内規制ほど制約的でない場合も多い。さらには,サービスあるいはコンポーネントのすべてが等しく重要な訳ではない。従って,すべてに同じレベルのコンプライアンスを求めるのは,極めて無駄な行為ということになる。管理層によるバックアップを受けることによって氏は,いくつかの内部規制の根拠となる外部規制を特定し,前者の制約を緩和することに成功した。
特に注目すべきなのは,開発者が運用中のシステムにアクセスできないという社内規則だった。社外的な規制にこのような要件はなく,これは“職務要件の分離”を文字通り解釈した結果だったのだ。Sherrer氏によると,現在はSIXの開発者の65%がポケットベルを所持し,運用システムに対して(オンコールローテーション中に)一時的なロールベースのアクセスを許可されている。また,システム外部に運用システムのログを集中管理することで,開発チームが運用ログを効果的に参照できるようになった。さらに,不変インフラ(immutable infrastructure)に移行したことで,運用中の操作介入が最小限にまで低減され,監査上の信頼性がさらに向上した。
高度に規制された環境におけるDevOps導入のメリットとしてScherre氏が指摘するのは,リリース自動化による詳細なレベルのトレーサビリティ(とその結果としての監査可能性),セキュリティの向上(ビルド時の脆弱性検索の自動実行など),システムの品質(プルリクエスト機構などによる)などだ。興味深いのは,重要なコード(支払に関するコンポーネントなど)をすべて確実にレビューする(レビュー自体にトレーサビリティがある)ことによって,いくつかの重要な要件(PCI DSSなどによる)を満足すると同時に,知識の共有やコード品質も向上するという点だ。
この記事を評価
- 編集者評
- 編集長アクション