サービスするインフラとセキュリティの肝。いつの時点から検討すべきか。システム開発中?リリース直前?

先日あるインターネットを利用したサービスを開発している事業者様とお話しする機会がありました。
コンシューマ向けのサービスの年内開始に向け、ゴリゴリ、プログラミングをされていらっしゃいます。
ですが、そろそろセキュリティ対策が心配になってきたのか、相談したいとのお話でした。

まずは、開発環境と、サービス開始後のインフラ環境のご予定をお聞きしました。開発環境はローカルのPCを利用してPHPベースで書いていて、インフラはまだ決まっていないなんとなく、さくらインターネットさんのサービスを使おうかなと思っているぐらいとのことでした。

15分ぐらいの立ち話でしたので、細かいところはわかりませんが、ざっとお聞きした課題点です。

1.サービス開始インフラの青写真がなく、開発環境が行き当たりばったりで作られている。
2.スタートアップなのでスモールスタートではあるが、その後のスケールアップやサービスの継続性などBCPなどのロードマップがイメージされていない。
3.セキュリティは後付けでよいと思っている。
4.サービスを開始した後のバグ対応、テスト、機能拡張などのリリース計画とその対応インフラがない。
5.クラウドやコンテナ、仮想化、Kubernetes、Iaas、PaaSなど最新技術やアーキテクチャの知識、ノウハウ、技術不足

立ち話での結論はサービスインの日程は決まっているとのことで、上記の課題点を解決して進めようとすると今の開発環境大幅な予定変更が余儀なくされそうです。今から軌道修正することはむずかしそうだということで、いったんサービスインが見えてきてから本格的な検討をしましょうと落ち着きました。

本来、あるべき姿はサービスのおおむねの形が見えてきた時点で、それを実現するインフラ、セキュリティのあるべき姿を立案し、システムの成長に従ったスケジュール、マイルストーンを作るべきです。そこから機能的な要件が導き出され、そのサービスインフラにあった形で、開発環境を作ります。最近は継続的インテグレーション(CI)/継続的デリバリー(CD)という言葉があり、アジャイルなサービスのための開発環境をうまく回していくモデルがあります。このような開発環境を運用することをDevOps(デブオップスと発音)と言われています。
また、セキュリティは開発の終盤段階で対応しようとしても不十分なままリリースに至ることを避けるために開発の前段階から、対策案を練っておき、開発段階からリリースまで一貫したプロセスとサービスの本番環境で盛り込んでいく必要があります。これをDevSecOps(デブセックオップスと発音)と言います。

小難しく言いましたが、一言でいうと。

「サービスのシステム開発に取り掛かる前にインフラとセキュリティを検討、立案してから進めなあかん。」

そういうことです。

ロッキャオンネットワークス株式会社ではスタートアップの企業様、インターネットを利用したサービス、IoTなど事業を検討している企業様のご支援が可能です。
市場にマッチしたスピード感のある機能提供、そして利用者に安心して利用してもらうためのセキュリティ対応。顧客満足度をあげる。サービスを成功に導くために必要なことは、実現する機能の開発だけでは足りません。

まずは開発環境とサービスのインフラのあるべき姿とそのセキュリティ対策を検討しましょう。ご支援します。

お気軽にご相談ください。

ロッキャオンネットワークス株式会社
草川秀人 hkusakaw@roccaon.com