ソニックガーデンでは、NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)が提供する、企業のセキュリティ対策実行支援プラットフォーム「Secure SketCH(セキュアスケッチ)」の開発と運用を担当しています。
NRIセキュア様内の新規事業であったSecure SketCH。コアバリューの定義から始まったそのプロジェクトは、やがて多くの人をチームに巻き込みながら事業領域を拡大。創成期にはごく少人数だったチームは倍以上の大きさとなりました。開発と運用はもちろん、チームづくり、プロダクトの領域拡大から若手エンジニアの育成まで、ソニックガーデンはチームを率いるコアメンバーという立ち位置でその発展に寄与し続けています。
また、今年に入ってインフラ刷新という一大プロジェクトを完遂し、個々のスキルとチーム力がさらに強固なものとなりました。
長きにわたるお付き合いの中で、事業がどのように変容していったのか、内製メンバーとソニックガーデンメンバーがどのように共創しているのか、Secure SketCHのこれまでとこれからについてのお話を伺いました。
↓↓↓ 以前のインタビューはこちらから ↓↓↓
企業のセキュリティ対策を劇的に変えるSecure SketCH(セキュアスケッチ)
インタビューに参加された皆さん

⎯
「Secure SketCH」とは、どんなサービスですか?

神野
『高度で定量的なセキュリティ評価をもっと手軽に』というコンセプトで提供している「セキュリティ対策実行支援プラットフォーム」で、ウェブ上で設問に回答するだけで、各種ガイドラインに沿ったセキュリティ評価を定量的に可視化して、セキュリティ対策を効率的に推進できるSaaSです。
3,000社以上の統計データをもとに、同業他社と自社の結果を比較できること、専門家の知見に基づいたベストプラクティスやリスクを把握しながら対策を行えることを特徴としています。攻撃者視点で自動診断もできるので、セキュリティ担当者の内部視点と攻撃者の外部視点の360度から企業のセキュリティ評価ができるところも強みです。
元々は自社評価から始まったサービスですが、グループ会社評価や委託先のセキュリティ評価へユースケースが拡大して、多様なケースで多くのお客様にご利用いただいています。
⎯
神野さんは現在、どういった役割を担っていらっしゃるんでしょうか。

神野
プロダクトオーナーという立場です。お客様のニーズやセキュリティに関する法制度、競合サービスの調査を行い、開発ロードマップの策定をしています。また、機能仕様をまとめて、デザイナーやエンジニアと協働しながらアジャイル開発を推進しています。
内製メンバーも、ソニックガーデンメンバーも、一心同体の「チーム」として共創する

神野
現在、事業サイドと開発サイド、合わせて35名ほどとなっています。
前回インタビューしていただいた時(2020年2月)から倍近い人数になりました。あの頃取り組んでいたコア機能も確立して、多くのエンタープライズのお客様にご導入いただいて、現在はプロダクトの領域をさらに広げるというフェーズにいます。
当時からPMFを目指すというのがひとつの目標で、お客様からいただく多様なニーズにできるだけ速いスピードでお応えするために、ソニックガーデンさんに体制強化に協力していただきました。今や開発当初の倍以上のエンジニアにご支援いただいています。

⎯
ソニックガーデンからもエンジニアを増員しましたが、同時に内製のエンジニアチームも強化されているそうですね。そのプロセスについて教えていただけますか。

神野
サービスの開始当初から、会社としてエンジニアを増やしていきたいという思いがあったんです。最初はそれこそソニックガーデンさんのエンジニアだけでしたが、私が参画したタイミングで、内製開発を本格的にやっていこうという流れになりました。

安達
メンバー自体は社内公募で異動してきてくれたり、チーム内で若手を育てたりしています。
⎯
実はソニックガーデンとしてもお客様の内製の開発メンバーとチームでというのは珍しい体制です。

神野
そうですね。ソニックガーデンさんにとっても弊社にとっても新しい取り組みだったなと思っています。自社としてアジャイル×内製でプロダクトを開発・提供していきたいという思いは常々お話ししていて、そういった気持ちにも寄り添っていただいて、柔軟に対応していただく形となりました。
また、開発当初はインフラを別の会社に協力いただいていたのですが、そこもソニックガーデンさんに一本化しました。現在の体制としては、インフラを弊社のメンバーに加えて、ソニックガーデンの安達さんというチームで、アプリケーション開発はソニックガーデンと弊社のメンバーの混成チームで、「評価」、「対策」、「ユーザビリティ」の3チームに分けて進めています。
各チームごとにソニックガーデンさんのエンジニアにテックリードに立ってもらって、チーム運営をしているような状況です。

安達
振り返ってみると、Secure SketCHが始まった頃と今では、組織体制や開発チームの運営、インフラの運用なんかも、全く形が変わりましたね。
⎯
評価・開発実行・ユーザビリティとは、変わったチーム分担ですね。

安達
機能ではなく、提供価値で分けているんです。

神野
そうです。内部ではレッド、ブルー、ピンクチームという愛称で呼んでいます。ゆくゆくは2色増やしてゴレンジャーを目指しています(笑)。今後も開発組織を拡大していきたいという想いを持っています。

⎯
『納品のない受託開発』のオーソドックスなパターンだと、日常的に密にコミュニケーションを取って開発するという形にはならないんですが、そのあたりはどのようにチームを構築しているんでしょうか。

神野
基本的には社内のエンジニアと変わらない形で参画してもらってます。一般的な受託開発とは違う新しい形態で開発しています。例えば開発の朝会は、社員もソニックガーデンさんのメンバーも一緒に行いますし、報告や相談、議論、KPT(ふりかえり)も全て一緒に行っています。Zoomで懇親会も一緒にしますし、もう一心同体です。

安達
われわれにも、今までNRIセキュアさんのような事例がなかったんですよね。だから、一体どうしたらいいんだろうかというのを考えるところからのスタートでした。進め方から何から『納品のない受託開発』の形自体をオーダーメイドのようにカスタマイズしていきました。

神野
そのとおりです。全体をまとめる開発マネージャーは、ソニックガーデンの安達さんに就いていただいて、開発チーム全体のマネジメント、3チームの連携やインフラ、育成等まで幅広く目を配っていただいています。
⎯
育成というと、エンジニアの教育にも関わっていると。

安達
そうです。先ほどチームが3つに分かれているというお話がありましたが、その中のひとつのチームに若手メンバーが多いので、そこをソニックガーデンの伊藤がリードして育成しています。適宜モブプロやペアプロ会をやったりして、学習しながら開発しているような状況です。

神野
正直、※伊藤さんのようなトップエンジニアから直接指導してもらえるのは、かなり恵まれた環境だなと思っています。ありがたいですね。
※…ソニックガーデン 伊藤 淳一
保守性、拡張性の高いシンプルなコードを追求するプログラマ。 著書に「プロを目指す人のためのRuby入門」(技術評論社)、訳書(電子書籍)に「Everyday Rails - RSpecによるRailsテスト入門」がある。
⎯
そういったエンジニアの育成などは、プロダクト自体の開発だけではなく、プロジェクト全体の方針に関わってくると思うんですが、そういう意思決定はどのように行っているんでしょうか。

神野
全体の意思決定をする開発マネジメント定例を行っていて、そこに安達さんに参加してもらっています。

安達
例えば、さっきの育成に関して言うと、ひとりひとりに対して丁寧なケアをするのがどうしても難しくあります。それならチームという枠組みの中で切磋琢磨しながら学んでもらうほうが、成長スピードが上がるんじゃないかと。それで育成できるチームを組成して、指導者をソニックガーデンからアサインするという形に落ち着いたんです。

神野
プロジェクト全体のことを、都度相談して決めています。この若手育成に関してはとりわけ良い取り組みだと思っておりまして、この先、伊藤塾からSecure SketCHの開発のエースになるような卒業生をたくさん輩出できればと期待しています。
インフラ刷新という大仕事にも安心して挑める盤石さ

⎯
最近、インフラを刷新されたそうですが、それについてはどのように行ったんですか。

神野
これまで使っていたサービスが今年の春に終了することになったので、それに伴ってインフラを刷新しなければならなくなったのです。
そこで、Secure SketCHのインフラ刷新するプロジェクトを、昨年の秋から半年くらいかけて、安達さんにアドバイスいただきながらSREチームで進めていきました。
コンテナでのインフラの構築経験がなかったので、そこはソニックガーデンさんに先導していただくような形で行いました。ソニックガーデンさんと進められたおかげで、安心して新しい技術の採用も決断できたと思っています。
また、そうやって新しい技術に触れること自体が、若手開発メンバーにとって刺激になりますし、モチベーションも高まります。大きなインフラ刷新を経験できたおかげで、プロジェクト管理や基盤運用、技術スキルの向上など、育成の観点でも大変実りの多いものになりました。

安達
NRIセキュアのメンバーは、開発だけでなく、運用もして、マルチに開発業務を行っていますよね。

神野
そうです。だからDevSecOpsも回しやすい。インフラ業務をやることはセキュリティの学びになりますので。NRIセキュアはセキュリティ企業なので、そこは重要と捉えています。
結果、これを経験した開発チームの社員の1人は、弊社内部でもトップクラスのコンテナ技術を使えるエンジニアになりました。

安達
Railsの開発はもちろん、すごく攻めてる技術要素や比較的新しい技術トレンドを使って取り組めたんで、スペシャリストとして育っていってるなと思います。
⎯
経験がスペシャリストを育てたのは、理想的な展開ですね。

神野
コンテナの技術は弊社の診断サービスでも活かせますし、キャリア転換することになってもかなり知見が活きるのではないでしょうか。事業成長の過程でメンバーの成長に繋がったのは良かったなと思っています。
他社では考えられないほどマルチな支援体制
⎯
ソニックガーデンとの関わりの中で印象的だった出来事は何かありますか。

神野
私自身は、これまでのキャリアとしてSecure SketCHを含めて3つの事業の開発に携わってきました。その中でも、パートナー企業のエンジニアとここまで密になりながら開発したのは、ソニックガーデンさんとの仕事が初めてです。
開発ミーティングもそうですが、社員と分け隔てなく常に真剣に、楽しみながら議論しています。懇親会でソニックガーデンのメンバーと話したときも「NRIセキュアの社員だと思って開発をしている」と言ってくれまして、もうマインドから一心同体でいてくれるというのは、すごく印象深いですね。
アジャイル開発からインフラ、若手メンバーの教育など、1社のパートナー企業からこれほど幅広い支援をいただいたことも経験がなかったことです。これほど多方面から面倒を見てくださる会社は、中々ないと思います。

⎯
まだまだお付き合いは続いていくのですが、これまでソニックガーデンとともにシステム開発や運用に取り組んでみてのご感想はいかがですか。

神野
2024年の4月25日で、Secure SketCHはサービス開始から6周年を迎えました。ソニックガーデンさんにはサービス開始前から支援いただいているので、もう8年くらいのお付き合いになります。新規事業として立ち上がったサービスですが、今日までで導入社数は7,000社、利用カ国数も98カ国。2022年度にはグッドデザイン賞もいただき、本当に大きく成長することができました。
これは何より事業構想から、アジャイル開発、インフラまで、ソニックガーデンさんが全面的な支援をしてくださったからこそと思っております。これまでの支援にも感謝していますが、何より、一緒に仕事ができて本当によかったと思っています。
試行錯誤しながら立ち上げ、変容しながら成長する、そのすべてのフェーズに伴走できる
⎯
どんな会社にソニックガーデンの『納品のない受託開発』がフィットすると思いますか?

神野
Secure SketCHもそうでしたが、何でも最初に構想したことがそのまま予想通りに進むケースはありません。新規事業の立ち上げから、PMFする段階ではお客様の声に耳を傾けて、柔軟に戦略や機能を変更しながらスピーディにプロダクトを作っていく必要があると思います。
その段階で必要な事業構想のスキル、アジャイル開発のスキル、インフラ構築から運用のスキルを持っていて、多方面から支援できる会社はそう多くはありません。
それらを全面支援ができるソニックガーデンさんは、新規事業を試行錯誤しながら立ち上げていくフェーズでは、非常に頼もしいパートナーになるかと思います。
あと、現在のSecure SketCHのように、PMFしてからスケールしていく、複数チーム体制を組んで機能強化を加速させていくようなフェーズに移行する段階においても、しっかりバックアップしていただけるので、事業を成長させたいという会社にもフィットするのではないでしょうか。

⎯
今後の展望や、これからの『納品のない受託開発』に期待することはありますか?

神野
昨今のサプライチェーンにおけるセキュリティ事件の増加や、セキュリティ人材が不足する社会に貢献できるように、セキュリティ評価・対策のDX化の加速、AIを活用したセキュリティ業務の生産性向上など、Secure SketCHが提供していきたい価値はまだまだ多くあります。
今後の開発を通して、業種や国内外問わず、お客様が高度なセキュリティ評価を手軽にできる、サイバーリスクに強い、安全安心な社会づくりに貢献したいと思っています。
そのためには、ソニックガーデンさんのお力は不可欠ですし、引き続き共創しながらサービス開発を行っていきたいですね。

安達
「一緒に悩んで、いいものつくる。」というのがソニックガーデンのミッションです。それにのっとった伴走体勢を今後も取っていければと思っております。

神野
今後ともご支援のほど、どうぞよろしくお願いいたします。
<過去のインタビュー記事はこちら>
企業のセキュリティ対策を劇的に変えるSecure SketCH(セキュアスケッチ)[前編]
柔軟な考え方が、Secure SketCH(セキュアスケッチ)の可能性を広げる[後編]