ロンドンで2度目のDevOps Enterprise Summit (DOES) Europeが開催され、エンタープライズ分野のDevOpsコミュニティが集まった。中でも金融業界は、規制が強い産業の課題について独自の視点を提供し、DevOpsを活用してどのようにそのような課題を乗り越えたのかを語った。
DOESの主要な目的のひとつは迫真のレポートを集め、エンタープライズ分野でのDevOps導入に対する異論を打ち消すための証拠を集めることだ。巨大な金融機関のプレゼンで取り上げられた課題は共通していた。法務やコンプライアンス、セキュリティ要件、そして官僚的で組織の壁が厚い文化というような課題だ。このような課題に取り組むための手法にも共通点があった。継続的デリバリの自動化、リーンなアプローチ、価値の流れに基づいた組織、テスト自動化、コンプライアンスとセキュリティチェックの自動化、法務とコンプライアンス部門の密な連携などだ。外注から内製に切り替えた金融機関もあった。
SIXはスイスの金融セクターを支えるインフラを運用している企業であり、他の金融サービスも提供している。同社は金融業界で、組織的にも技術的にもDevOpsの導入が成功した模範的な事例だ。同社は価値の流れに沿って組織を再編した。例えば、ATMのネットワークはコンテナで管理される小さなサービスで作られており、テストと配置が自動化されている。
アプリケーションエンジニアリング部門のトップであるRobert Scherrer氏はSIXでのDevOpsの5+1の次元について示している。従業員はΠ型にスキルを形成する必要がある。つまり、ひとつの優れた専門性を持ち、他者とうまく協調し、新しい領域を学ぶ ということだ。組織は機能型からクロス機能型のチームに移行する必要がある。プロセスの正当性には十分な根拠が必要であり、そうでなければ修正するか排除しなければならない。インフラのプロビジョイングは自動化する。ソフトウェアシステムのアーキテクチャは、境界が明確でAPIをベースにする。この5つの次元を有効にするには、正しいマインドセットと態度が必要だ。DevOpsを有効にし、導入をスピードアップするため、SIXはゲーミフィケーションのアプローチ(ハックアワード)を使い、チームは数週間ごとに新しい達成を大勢の前で発表するようにした。
SIXはプロセスをシンプルにするために多くの労力を割いた。バリュー・ストリーム・マッピングを使って、不要なステップを除くことで無駄を省いた。IT部門はコンプライアンス部門の担当者と監査人の近くで働き、内部の規則が公的な法律や規制が求める以上の負担にならないようにした。
アメリカの大銀行であるCapital Oneは2014年から本格的に動き始めた。ウォーターフォールのプロセス、ソースコードがオープンでないソフトウェア、たくさんの手動作業がスタート地点だった。縦割りでほとんどが外注されていたのだ。3年に渡って、アジャイルのプロセスを導入し、開発を内製にし、組織の壁を撤廃した。Capital Oneのプロダクトマネージャである"Topo" Pal氏は、どのようにして完全に自動化されたパイプラインを構築したのか、ソフトウェアのクラウド移行、部分的なオープンソース化について説明した。同社のオープンソースとしてはHygieiaが有名だ。Hygieiaのダッシュボードを使うことで企業はコミットからプロダクションまでの時間など、主要なメトリクスを測定できる。配置パイプラインには16のゲートがあり、脆弱性のスキャン、オーダーの自動変更、イミュータブルなサーバの自動プロビジョニングをしてくれる。
Capital Oneは安全でコンプライアンス対応をしているパイプラインモデルをオープンソースにしようとしている。ベースになるのはLGTMだ。監査とコンプライアンスを満たす30の設定を実装したモデルの構築を支援してくれる。
Fig. 1. Capital One&のデリバリパイプライン
BBVAでDevOpsとエンジニアリングプロセス部門のトップを務めるBrian Timmeny氏は7000万人の顧客を抱えるグローバルな銀行がどのようにしてDevOpsでアプリケーションの信頼性を向上させつつ、商品を市場に投入するまでの時間を短くしたのかを説明した。BBVAが取り組んだ課題も他の金融機関と同様だ。一貫性のない手動のプロセス、低いレベルの自動テストと縦割りのデリバリチーム。BBVAはこのような課題に取り組み、目標を果たすため、DevOpsの成熟戦略を工夫した。BBVAの成熟戦略は次の6つのエリアに分かれる。ひとつのプロセスのフレームワークを自動化する。メトリクスの視覚化。全て自動化。オープンソースコミュニティの育成。挙動の強制の自動化。継続的な実験による成熟化。
BBVAは、許可の条件を自動で適用し振る舞いを強制させる、自動化されたデリバリパイプラインを構築中だ。条件にはセキュリティや金融、収益に影響するポリシーが含まれる。組織の文化については、DevOpsのような規律の周りにコミュニティを作ろうとしている。同社のグローバルな状況では、それぞれの国のコミュニティリーダーがグローバルな改善をローカルに持ち込む、またはその逆の役割を果たす。Centers of Excellenceを作って、DevOps関連の共通の能力のハブにしようとしている。
Fig. 2. BBVAのデリバリのパイプライン
INGも銀行業がどのようにして高度に自動化されたデリバリのパイプラインに移行したのかを示す良い例だ。このパイプラインには、一般的な機能テストと同様に自動化された、セキュリティチェック、コンプライアンスチェック、性能検査が含まれている。サービスとしての継続的デリバリを担当するプロダクトオーナーであるDaniele Romano氏によれば、洗練されたデリバリパイプラインではあるものの、まだ、市場投入までにかかる時間と品質は満足できる水準ではない。INGはイタリアやオランダの大学の科学者と連携して、科学的でデータに基づいたアプローチで改善をした。50を超えるメトリクスを提供するカスタムのツールを作り、パイプラインを計測、監視し、プロセスを完全するようにした。740以上のアプリケーションがひとつのデリバリパイプラインを経由している。
コンプライアンスについては、Romano氏によれば、INGはイミュータブルサーバパターンを導入することでITリスクの証跡をよりしっかりと管理できるようになった。デプロイの後にサーバを変更することができないので、全ては完全に監査され、多くの管理作業は単純になくすことができる。
Fig. 3. INGのデリバリパイプライン
Barclaysも組織的な変革についての経験を共有した。この数年、Barclaysはアジャイルとリーンを実践するために大きな変革をしている。ITから始めているが、組織の他の部分も変えていく。
Barclaysの開発部門のトップを務めるJonathan Smart氏は、統制("正しく行う")とポートフォリオのマネジメント("正しいことをする")の両方にリーンのアプローチを使うことに注力した。Barclaysの統制に対するアプローチは統制"部族"と早く、定期的にコミュニケーションをし、プロダクトとビジネスに対して長い間関わる仕事をする方向に移行した。この継続的な協力と共に、リスクの文脈に敏感でリスクのストーリーを提供することでよりアジャイルに動けるようにした。ポートフォリオのマネジメントについては、Barclaysは"仮説駆動投資"を実験中であり、ビジネスの成果に着目しビジネスのケースを継続的に構築しようとしている。仮説はユーザーのストーリーから着想を得ている。"<この特性>は<この成果>に結びつく、と考え、<計測可能なシグナルが見れた>とき先に進むことに対する確信を持つことができます。"
実験から得られた役に立つ洞察のひとつが、"新しい考えを自分の方法で実践する方が、新しい行動のための自分の考えを生み出すよりも簡単だ"、ということだ。この洞察は、新たな価値観や態度を生み出すためには、文化の変化から始め、最終的に組織のビジネスの仕方を変えなければならないという考え方を変える。
セッションのスライドはGitHubにある。また、講演はYouTubeで見れる。
Rate this Article
- Editor Review
- Chief Editor Action