企業のセキュリティ対策業務に関わる担当者の悩みを解決したいと開発された、セキュリティ対策実行支援プラットフォーム、Secure SketCH(セキュアスケッチ)。
運営に関わるNRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)の足立道拡さんと川﨑聡太さんは、ソニックガーデンとの取り組みの中で「仕事の価値観が変わった」と話します。
ソニックガーデンの納品のない受託開発は、1〜2週間の単位で作る機能を決め、出来上がったシステムを触って、改善や次の開発へと進みます。仕様変更や開発の優先順位も柔軟です。このアプローチが、Secure SketCHの開発だけでなく、足立さんと川﨑さんの考え方にも大きく影響したのです。2人に、どんな変化があったのでしょうか。
お客様事例の後半では、Secure SketCHの開発プロセスとリリース後の社内外の反響、そして今後の展望をご紹介します。
インタビューにご参加いただいた皆さん
- NRIセキュアテクノロジーズ株式会社 部長 GRCデジタルプラットフォーム部・足立道拡さん
- NRIセキュアテクノロジーズ株式会社 プロダクトマネージャー GRCデジタルプラットフォーム部 兼DevSecOps事業部 川﨑聡太さん
- ソニックガーデン プログラマ 大野 浩誠
- ソニックガーデン プログラマ 遠藤 大介
企業のセキュリティ対策を劇的に変えるSecure SketCH(セキュアスケッチ)|NRIセキュアテクノロジーズ株式会社[前編]
システム開発は、シンプルに考えて柔軟に対応できる
──足立さんと川﨑さんは、システム開発のディレクションがはじめてとうかがいました。Secure SketCH(セキュアスケッチ)を開発するなかで、どんなことが印象に残っていますか。
足立
はじめのうちは、開発プロセスに戸惑っていたところもあったのではないかと思います。自分たちが作りたいものを大まかなイメージで伝えるのですが、物事を大きく考える傾向があったんです。私たちの依頼を聞いた大野さんは、「まずはここまで作ることを出発点としましょう」と、適度な大きさにタスクを調整されていましたね。
「ソニックガーデンの魅力は、ビジネス課題ごとに適した担当者がアサインされること」と話す足立氏。ソニックガーデンでは、1案件ごとに1名の「顧問プログラマ」が関わるが、必要に応じてチームで対応している。
大野
一般的なウォーターフォール型の開発は、どういったシステムを作るかをすべて盛り込んだ要件定義が必要です。しかしソニックガーデンが採用しているアジャイル開発は、少しずつ開発していく方法をとります。
遠藤
Secure SketCHのように、新規事業で前例が少ないシステムは、ビジネスの成長に合わせて仕様が変わったり、途中で考えていたことよりも良い案が浮かんだりといった変化が起こりやすいものです。だから、1つ作って実際に触ってみて、次に何を開発するか?を考えながらのほうが、適しているんです。
大野
はじめの頃、足立さんたちからいただいた開発依頼は、いくつかの機能が合わさった大きい仕様だったんですね。ですから、タスク内容を分解して、適切なサイズにしていきました。ある程度システムが形になってきたら、お付き合いのある企業に使っていただいて、フィードバックをもらい、改善や開発に生かすことも行っています。
川﨑
大野さんにタスク量をコントロールいただき、週次で進捗しあうというサイクルをくり返していくと、次第に自分たちでも適切なタスク量がつかめるようになったんです。「物事を小さく捉えて考える」とか「少しずつ動かしながら補足していく」というソニックガーデンのアプローチが、自分たちの頭でっかちな視点もシフトしてくれました。
「納品のない受託開発」で、仕事の価値観も変わった
──たとえば、どんな変化がありましたか。
川﨑
Secure SketCHには、自社のスコアを比較するための企業属性分類があります。以前の考え方だったら、大きいカテゴリーの「金融」を作って、さらに、「銀行・損保・生保・地方銀行・ネット銀行・・・」と細かい分類まで、はじめから完璧にそろえることを優先していたと思います。
今では、「まず金融まで作りましょうか」と言えるような、割り切りがありますね。「あとから変更があるかもしれないし、改善もできる。はじめは、ミニマムでつくろう」と考えられるようになりました。
遠藤
カーナビやテレビなどのプロダクトと違って、ウェブシステムは、良くも悪くもすぐにデプロイして変更ができます。その環境に慣れている開発側は感覚が身に染みているのですが、はじめて関わる人は「どういうことなんだろう?」と思われるんです。だから、実際に体験いただくのがいいんです。
大野
「まずはここまで作りますね」と開発に着手して、翌週にシステムの実物をお見せすると、「最初に考えていたのと違うね」「もっと、こうしたいね」という心境の変化が、実感できます。
1度にすべて開発しきってしまうと、後戻りが難しいです。でも、タスクを分けて開発していくと、途中で変化に対応しやすいし、気づきも多い。このサイクルを積み重ねていくと、「今は仮説で進めてみよう」「小さく作って、このあと考えよう」と思えるようになります。
──開発のプロセスの中で、「小さく作り、触って、変えていく」を実感いただくのが、大切なんですね。
足立
週次に進捗やアップデートがあがり、仕事に波がなく、一定に進んでいく状況も新しい体験でした。コンサルティング業務は、忙しいときとそうでないときの波が起きやすいんですね。でも、波を作らないほうが効率的かもしれないと考えるきっかけになりました。仕事の価値観が、劇的に変わっています。3年前の自分にコンサルしてあげたいくらいです(笑)。
川﨑
ウェブ会議やリモートワークも、やればやるほど心地よくなっていくんです。時間の使い方を劇的に変えないと生産性が上がらないと思うようになって、今ではお客様にもウェブ会議をご提案しています。議事録も、録画の方が早いと発想を変えられるようになりました。
きっと、ソニックガーデンさんに出会っていなかったら、ここまで大胆に働き方を変えることはできていなかったと思います。
新規事業開発は、泥くさい作業の連続!?
──Secure SketCHは、2018年の4月にリリースされました。どのような反響がありましたか。
足立
お客様や社外からは、良い意味で「NRIセキュアらしくない」と言われました(笑)。とくに、デザインのわかりやすさに対して、セキュリティベンダーである当社が持つ堅いイメージが柔らかくなったという声が多かったです。
またSecure SketCHは、フリープランと、より多くの機能が利用できる有料プランを用意しています。多くの企業に使っていただくことで、データを収集し、サービスの精度を高めるサービス設計をしています。フリープランがあることは、これまでのNRIのプロダクトと大きく違うポイントです。
川﨑
さらに、セキュリティの競合ベンダーさんからは、「無理難題を乗り越えて、よく実現されましたね」と労うような評価をいただいています。実はSecure SketCHのようなサービスって、同業の企業さんも「あったらいいな」と思い描いていたと思うんですよ。でも、高い壁があって、なかなかサービス化は難しかった。
だからこそ、企画だけでなく、形にして世に出すことの難しさと苦労がわかる同業者からの評価は、嬉しいです。
足立
なにしろ、セキュリティベンダーが提供するセキュリティ対策サービスですから、セキュリティは徹底しなければなりません。また、新規事業であるため、Secure SketCHをリリースするまでの社内レビューも頻繁でした。
その道のりは平坦ではなく、ときには心が折れそうなこともありました。でも、ソニックガーデンさんと一緒にここまで作ったSecure SketCHを、絶対にリリースしたいという気持ちに背中を押されて、やりきりましたね。
大野
NRIセキュアさんの社内からは、どのような反響がありましたか。
足立
新しいセキュリティサービスを世にリリースしたことに対する労いや応援を、本部や部の枠組みを超えて、多くの同僚からもらいました。新規事業の企画初期から、社長がトップダウンで社内有識者を巻き込み、相談しやすい環境を作ってくれていたことの賜物だと感謝しています。
川﨑
社内で強く印象に残っているのは、リリース前の2016年12月に、Secure SketCHの原型となる最初のウェブモックアップを社長や経営メンバーにプレゼンしたときです。そうそうたる参加者から、ポジティブなフィードバックや激励があり、事業化の可能性を感じた瞬間でした。
遠藤
今回の開発は、インフラまわりをより専門性の高いベンダーさんに支援いただいています。みんなで、泥くさい作業を乗り越えてきていますよね。
足立
それまで新規事業といえば、イノベーションとかスタートアップとか、私服を着てピザ食べながら・・・みたいなイメージがあったんです。とんでもない思い違いですね(笑)。
事業を生み出す苦労は並大抵のことではありませんが、それがあったからこそ、リリースして今も事業を伸ばせていることは嬉しいです。関わったメンバーみんなも、プロダクトに愛着を持ってくれています。
企業のセキュリティ対策をグローバル規模で支えたい
──最後に、Secure SketCHの今後について教えてください。
足立
Secure SketCHは、2016年にはじまったNRIセキュア7カ年の中期経営計画のひとつです。2022年へ向けて、会社の主力事業に育て、グローバル展開をより強化していきたいです。具体的には、導入企業を10,000社規模に増やすことを目指しています。
まずは、国内市場の支持を得て、事業基盤をつくりたいと思います。みんなでSecure SketCHの枠組みを大きくしていき、お客様のセキュリティ対策を起点としたビジネス支援プラットフォームという存在に育てたいですね。
川﨑
現在もSecure SketCHは、海外13ヵ国でご利用いただいています。海外拠点をお持ちのお客様から、現地のセキュリティチェックがやりやすくなったと評価をいただいています。Secure SketCHは3カ国語に対応しており、実際に現地とのコミュニケーション負荷を軽減できていると嬉しいです。
やはり、海外メンバーとのコミュニケーションは大変で、セキュリティ担当者の業務を超えた作業が発生するケースも多いんです。この後も対応言語を増やす予定ですし、セキュリティ担当者が本来やるべき業務に注力できるような環境作りを支援したいです。
──ソニックガーデンの2人は、いかがですか。
大野
Secure SketCHの開発は、プログラマとして戦いがいがあるといいますか、いろんな難しさがあるぶん、取り組むのが楽しいです。足立さんたちがSecure SketCHで実現したいことを開発面から支える中で、僕自身もチャレンジできていますし、みんなで一緒に成長できていけたらいいなと思っています。
川﨑
事業が成長し、有償版をご利用いただいているお客様も着実に増えている現在、自社の社員や社外専門スタッフの内製開発チームを拡大し続けています。大野さん、遠藤さんには、これまでのメイン開発の役割に加え、内製開発チームに対する設計やアーキテクチャのアドバイス、コードレビューなども見ていただいています。
ビジネスに関する深い理解や、Ruby on Rails の圧倒的な知見と経験をふまえた、ときに厳しいコメントは、プロダクトとチームの成長にとって不可欠で、とてもありがたく感じています。テックリードやアーキテクトの立場からも、引き続きSecure SketCHの成長を支えてほしいです。
遠藤
NRIセキュアさんには、ソニックガーデンのセキュリティ対策について、ご相談しています。リモートワークに適したセキュリティ対策について、親身にアドバイスをいただいています。今後も、頼りあえるパートナーとして僕たちも頑張っていきたいです。
川﨑
フルリモートワークのソニックガーデンさんは、新しい働き方の先駆者であり、NRIセキュアがこれまで企業に行ってきたセキュリティ対策のベストプラクティスが、通用しないことも多いんです。でも、自分たちの知見を更新できている手応えがあります。
足立
面白いのが、そこへ時代がついてきているんですね。昨今の働き方やリモートワークに適している、ゼロトラストネットワークという、会社のネットワークに接続することを前提にしないセキュリティが注目されています。
ソニックガーデンさんの相談を受けていることで、類似例にも対応できているんです。お互いにわからないことは素直に伝え合え、信頼して互いの課題を考えられる関係性を、今後も築いていきたいと思います。
前編:企業のセキュリティ対策を劇的に変えるSecure SketCH(セキュアスケッチ)|NRIセキュアテクノロジーズ株式会社
- インタビュアー/ライティング:マチコマキ
- 広告営業&WEBディレクター出身のビジネスライター。専門は、BtoBプロダクトの導入事例や、広告、デジタルマーケティング。オウンドメディア編集長業務、コンテンツマーケティング支援やUXライティングなど、文章にまつわる仕事に幅広く関わる。ポートフォリオはこちらをご参考ください。