コンプライアンス対応をチームの力に ~ 監査人が考える今後のDevOps

location_city Tokyo schedule Apr 21st 03:00 - 03:45 PM JST place Hall B people 8 Interested

特にエンタープライズな領域で、DevOpsやアジャイルの適応範囲が広がるに従い、コンプライアンス要件への対応に苦労されているチームは増えているのではないでしょうか?
例えば、次のようなお悩みです。

  • コンプライアンス要件では開発者と運用者の分離が求められているが、それでどうやってDevOpsするのか?
  • コンプライアンス要件では役職による承認を求めるが、それでどうやって自動化されたパイプラインを構築するのか?

本来、コンプライアンス対応はビジネスの一部です。上手に対応することで、競合他社を一歩リードすることができます。しかし、このような状況が続いてしまうと、チームはスピードとモチベーションを失い、DevOpsで目指すビジネスの価値が損なわれてしまいます。

そこで、DevOpsチームのコンプライアンスへの向き合い方について示唆を提供すべく、PwCの監査人と永和システムマネジメント Agile Studio のエンジニアが協力し、DevOpsとコンプライアンスを共存させるためのレポートと参照実装を公開させていただきます(※ 正式公開は3月頭の予定)。

このセッションでは、実際にレポートをまとめたPwCの佐藤さんをお招きします。参加者からの、コンプライアンス対応における具体的な悩み事に直接お答えいただくことで、DevOpsチームがどのように対応できるのか、皆様と一緒に考える時間にしていきたいと思います。

 
 

Outline/Structure of the Talk

  • 解釈を再鋳造せよ ~ DevOpsにおけるコンプライアンス対応の要所
    • 実際のところ、コンプライアンス対応って?
      • Why(守らないとどうなる?) How(どうやって)?  What(結局なに)?
    • よくあるケースと対応案
      • 「職務の分離」要件への対応
      • 「テストと承認」要件への対応
      • 「アクセス権を必要最小限に保つ」要件への対応
      • 推奨事項「可監査性の確保」への対応
  • 監査人に聞いてみよう(Q&Aコーナー)
    • 質問や疑問に現役監査人がインタラクティブに回答(Slidoを利用)します。

Learning Outcome

  • DevOpsチームがコンプライアンス対応するためのポイント
  • コンプライアンス対応への新しい視点

Target Audience

主にエンタープライズ領域のDevOpsエンジニア/ コンプライアンス対応に挑んでいるチーム

Prerequisites for Attendees

  • 特にありません
schedule Submitted 4 months ago

Public Feedback


    • Satoshi Yokota
      keyboard_arrow_down

      Satoshi Yokota / Tadahiro Yasuda - 価値あるソフトウェアをすばやく届けるために僕らがやってきたこと 〜経営者による組織とカルチャー作り〜

      60 Mins
      Keynote
      Beginner

      クラスメソッド株式会社とクリエーションライン株式会社の社長二人が、お互いが経験してきた生々しい話を赤裸々にお話しします。

    • Mesut Durukal
      keyboard_arrow_down

      Mesut Durukal - Common Pitfalls and Life-saving Solutions in Agile Testing

      90 Mins
      Keynote
      Beginner

      Motivation: I have experienced a lot of challenges in both technical and social manners and tried to develop solutions to cope with them throughout all the testing activities that I was involved in. Eventually, I have wrapped them up to make a list of common pitfalls which can be encountered by any tester and some golden rules to successfully get rid of them and manage a test project. 

      The most common problems are:

      • In continuous testing environments, due to time pressure, sometimes Quality focus may be shifted. How can we ensure to stick to the correct mindset even under stress?
      • While trying lots of approaches, how can we optimize the best way? How can we decide to go with it? How can we monitor the progress, trends and results of each single POC?
      • Test Reliability & Test Smells
      • Efficiency

      Some fundamental solutions are:

      • Being truly agile: Adapt new solutions quickly.
      • Manage the progress: Be aware of what is going on by setting KPIs to track & monitor with tools like CloudWatch, Grafana
      • Technical part: Automation principles for the sake of robustness. Solutions to reduce flaky tests & analysis effort & costs.
      • Holistic testing!

       

    • Ryo Mitoma
      keyboard_arrow_down

      Ryo Mitoma - 作る人から作りながら運用する人になっていく

      Ryo Mitoma
      Ryo Mitoma
      開発者
      サイボウズ株式会社
      schedule 4 months ago
      Sold Out!
      45 Mins
      Sponsor Talk
      Intermediate

      サイボウズのクラウドサービスは開発と運用の人員が分離されており本部も分かれています。
      これにより部門間の連携した作業の高コスト化や、各部門のミッションが対立するなど典型的な課題が存在しました。

      本セッションでは海外向けのクラウドサービスを国内オンプレミスのデータセンターから AWS へ移行するにあたり、開発と運用両方に取り組むために結成されたチームが、チームの制約に合ったデプロイメントパイプラインを構築していく中で得られた知見を DevOps の考え方を踏まえてお話します。

    • Yoshiyuki Ishikawa
      keyboard_arrow_down

      Yoshiyuki Ishikawa / Yosuke Kushida / Kei Tanahashi - カオナビのDevOps実践 ~ 運用自動化・テスト自動化の秘訣 ~

      45 Mins
      Sponsor Talk
      Beginner

      カオナビでは、自社システムの運用・保守を日々行っていく中で、定常業務を手動で対応してきました。
      しかし、開発規模・運用規模の拡大に比例して作業量も増加し、手動での運用に限界を感じるようになっていました。

      起きていた問題としては、主に
      ・「運用でカバー」する事による作業時間の圧迫
      ・自動テストの整備不足による手動テスト工数増加
      ・手作業によるヒューマンエラーリスク
      です。

      この問題の解決策を模索していく中で、DevOpsという単語をよく見るようになりました。
      開発部門の中でも2020年頃からDevOpsへの関心が高まり、積極的に自動化・見える化・効率化に取り組むようになりました。

      その中でも、特に注力したのが下記の3点です。
      ・業務自動化用サービスサイトの開発
      ・リリース自動化
      ・E2Eテスト開発

      本セッションでは、上記対応を進めていく中で、発生した課題とそれに対する有効な取り組み、取り組んだ結果得られたものについてお話します。

    • hagevvashi dev
      keyboard_arrow_down

      hagevvashi dev - 食べログのソフトウェアテスト自動化デザインパターン

      20 Mins
      Talk
      Intermediate

      食べログは誕生してから17年の歴史を持つプロダクトとなりました。
      そのプロダクト開発はすべて自社開発で、開発もQAもすべて自分たちで行ってきました。
      しかしながら、一般的なQA組織が食べログにできたことがなく、開発者が開発とQAどちらも行ってきました。

      そのため、食べログではテスト自動化前、手動テストにおいて

      • コード修正後のフィードバックが遅い
      • テストが再利用できない

      と言った課題があり、テストの負担が大きくなりがちでした。

      このテストの負担を減らすため、QA専門の組織を立ち上げ、テスト自動化の導入をすることにしました。
      テスト自動化を導入するにあたって、テストが不安定になるなどのいくつかの課題が生じましたが、戦略的にテスト自動化を導入し解決しました。

      本セッションでは、食べログにテスト自動化を導入する際に生じた課題と解決策を

      • アーキテクチャ設計
      • パイプライン設計
      • フレームワーク設計
      • テストケース自動化設計
      • インフラ設計

      などのテスト自動化導入パターンとしてまとめました。
      このパターンをもとに、テスト自動化導入を成功させる秘訣を紹介します。

    • kamo shinichiro
      keyboard_arrow_down

      kamo shinichiro / Hiroyuki TAKAHASHI / Yasuko NAITO - ファクトから始めるカイゼンアプローチ ~「LeanとDevOpsの科学」を実践して~

      45 Mins
      Talk
      Intermediate

      カイゼンを進めてみたものの、よくなっている感触を得られずカイゼン活動が続かなかった経験はありませんか?
      これはファクトを十分に集めずに進めてしまったことが要因の一つと言われています。

      「LeanとDevOpsの科学」という書籍ではfour keysと呼ばれるパフォーマンス指標や、four keysの改善促進が高いとされるケイパビリティが紹介されており、現在私たちは、これらの指標を計測し、ファクトを元により良く、速く、安全にプロダクト開発を続けていくことを目指しています。

      特にfour keysの計測方法を紹介した記事は一定あるものの、実際に計測できるのか?、計測結果をどう活かしているのか?
      など疑問に感じている方もいるのではないでしょうか。
      今回のセッションではLeanとDevOpsの科学を実践して収集したファクトからどのようにカイゼンを進めているか、事例や書籍では読み取れない実践する上での勘所をお話します。
      ビズリーチではファクトを元にカイゼンをする文化をつくろうとしており、今回の話はその一つです。

    • 45 Mins
      Talk
      Beginner

      Who owns it?

      For a software development team, ownership is the responsibility each person takes to achieve the overall project objectives and its success. Culturally, teams in Japan and the West, particularly in the US, approach ownership quite differently. For the latter, it can amount to making sure we have someone to blame when things go badly, and for the former it can be so that no one can be blamed.

      There are things to learn from both cultures, and a way we have seen successful teams deliver high-value outcomes for the stakeholders can be seen as a blend of both. Taking some ideas from the book “Extreme Ownership” we will review a way of thinking about ownership on software development project teams.

      WO8kxKI.png

      Japanese interpretation provided.

    • Yuki Nishimura
      keyboard_arrow_down

      Yuki Nishimura - Airワークのサービス拡大に向けて課題を対応する中で見えたDevOpsの重要性と歩み

      45 Mins
      Talk
      Beginner

      昨年より「Airワーク 採用管理」のサービス拡大に伴いアーキテクトとしてシステム改善に関わりました。
      Airワークはクラウド(AWS)で構築されたサービスで参画当初以下のような問題がありました。

      • DB負荷が不定期に高騰する
      • アラート通知が月1000件以上発生
      • AWS障害発生 → 再発対策の流れがうまく回ってない
      • モニタリング基盤はあるものの何を見るべきかの更新がされていない
      • デプロイ、切り戻しに時間がかかる

      オンプレでの開発・運用経験を活かして、課題は一通り対応してシステムにはいっときの平穏が訪れました。
      しかし、この平穏はそう長くは続かないという予想もしていました。
      長期にわたる平穏のためには何が必要でしょうか。そんな時、対応していた時の気づきを思い出しました。

      「これらの問題、アプリの問題は開発チームで解決することができたはずだし、インフラチームは専任でいてインフラの問題も解決できたはずだ。解決できたはずの問題が未然に防げなかったのはなぜだろう」

      ここで、クラウドのような変化の激しい基盤では特にDevOpsが重要になると気づき、アプローチを始めていきました。

      このセッションではAirワークで実施した運用課題の改善事例とそこから得たシステム運用を安定化させるための実践トライ, 考え方についてお話ししようと思います。

    • Kakeru Iikubo
      keyboard_arrow_down

      Kakeru Iikubo / Hiroshi Koiwai / Kyoko Yamada / Tomoharu Nagasawa - DASAアンバサダーセッション ~エンタープライズにおけるAgile,DevOps適応の未来を語る~

      45 Mins
      Talk
      Beginner

      DevOps Agile Skills Association(通称:DASA)とは、DevOpsとアジャイルに関するスキル開発を目的としたオープンかつグローバルなコミュニティベースの団体です。2016年4月の団体発足以来、現在はワールドワイドにおいて約300のパートナーに支えられ、DevOps推進におけるナレッジ共有を活発に行っています。

      今回のセッションでは、アジャイルやDevOpsの導入や推進に課題を感じている方に向けた具体的な方法論・アプローチをはじめ、DASAが提供している体系的な教育トレーニング内容やコンピテンシーモデル、そしてアジャイル、DevOpsの未来について語ります。日本でアンバサダーとして活動している3名がパネルディスカッション形式でお届けします。

    • 45 Mins
      Talk
      Beginner

      Do bugs speak?

      Yes, they do. People speak different languages like English, German, French, Chinese etc. But is communication to bugs possible? It is important to understand them, because they really tell us something. There is valuable information underlying the defects of a software, and information mining from defects promises for improvements in terms of quality, time, effort and cost.

      Problem Definition

      A comprehensive analysis on all created defects can provide precious insights about the product. For instance; if we notice that a bunch of defects heap together on a feature, we can conclude that the feature should be investigated and cured. Or we can make some observations about the severity or assignee of similar defects. Therefore, there are some potential patterns to be discovered under defects.

      Wrap-up

      Defect analysis is very important for QA people, and especially for QA managers. We utilize lots of aspects to get an idea about the product itself or our procedures. For instance while monitoring defect distribution across testing types, we will discuss how to get an idea about the quality of our testing approach. I.e whether we are applying all types in a balanced way. (functional, performance, documentation, etc.) Or over another graph, in which we track the gap between open defects and resolved defects, we will discuss what action items we can take when the gap widens. Finally, with ML assistance, we will see how we can reduce manual effort and cost.

      Results & Conclusion

      In this session, we discuss data mining from bugs and usage of ML in defect management. Objective of the study is:

      • To present in which ways defects can be analyzed
      • To present how ML can be used to make observations over defects
      • To provide empirical information supporting (b)

       

    • T. Alexander Lystad
      keyboard_arrow_down

      T. Alexander Lystad - [Video] Measuring Software Delivery and Operational Performance to improve commercial outcomes

      T. Alexander Lystad
      T. Alexander Lystad
      Chief Cloud Architect
      Visma
      schedule 7 months ago
      Sold Out!
      45 Mins
      Talk
      Beginner

      In this talk, I summarize the evidence that shows how engineering performance drives commercial performance, including Visma's own internal research. I'll show why and how we measure Software Delivery and Operational Performance across ~100 teams and how we use it to improve commercial results.

    • 45 Mins
      Talk
      Beginner

      DevOpsは論文が大量に出るまでに成長した概念になりました。書籍を読めどもまだまだ実践が不足している自分は論文を200本前後読んでみました。そこで今回はDevOps素人かもしれませんが、DevOpsについて言及されている論文を100本紹介します。

    • aki matsuno
      keyboard_arrow_down

      aki matsuno - 金融×Dev×Ops~5年間DevOpsを実践してきたチームの体験記~

      aki matsuno
      aki matsuno
      engineer
      -
      schedule 4 months ago
      Sold Out!
      20 Mins
      Talk
      Beginner

      ミッションクリティカルな性質を持った顧客業務に対応するために、DevOpsを実践したシステム開発を金融領域で5年間行ってきました。
      1秒の処理遅延が数億の損失に直結し得るシステムにおいてDevOpsを実践することで、多数の困難に直面することになりましたが、貴重な経験が多数得られ、DevOpsの意義も実感することができました。

      本セッションでは、実際にDevOpsを5年間実践しているチームの話や5年間実践してきて得られた経験をお話することで、金融領域においてDevOpsを実践することで得られる意義や、DevOpsを実践しているが故に発生した苦難をはじめとした日常業務のリアルをそのままお伝えします。
      また、セッション後半では、DevOpsを継続的に実践していくにあたって個人的に重要だと感じた点についてもお話できればと思っています。

    • Yotaro Takahashi
      keyboard_arrow_down

      Yotaro Takahashi - 右手にThe DevOpsハンドブック、左手にクックブック

      45 Mins
      Talk
      Intermediate

      タイトルは「もしも食べ専エンジニアがThe DevOps ハンドブックを読んだら」など、ほか候補やより良いアイデアがありそうかなと思っていますのでぜひコメントでご意見ください!

       

      私は妻と小学生の男の子二人、トイプードルの娘の5人暮らしなのですが、我が家の料理隊長である妻がアメリカに1年間行くことになりさぁ大変! 食べ専エンジニアの私が残された4人分の3食を毎日なんとかすることになりました!

      食べ専から日々の料理を作ること、いやいや作ることと食べることだけではなく後片付けや調達、作ることとそれにまつわる運用、、、

      あれ?これってDevOpsの原則が参考になるんじゃない?

      というわけで手に取ったのが仕事で過去手に取った『The DevOps ハンドブック 理論・原則・実践のすべて』です。

      このセッションでは、The DevOpsハンドブックに記載されている3つの道、すなわち①フローの原則、②フィードバックの原則、③継続的な学習と実験の原則、を通して、料理のワークフローの中でどのようにDevOpsの原則を実践してきたかの体験談をお伝えします。

    • Ryusuke Kimura
      keyboard_arrow_down

      Ryusuke Kimura - レガシーなシステムをリプレースした後に起きた開発組織の変化について

      Ryusuke Kimura
      Ryusuke Kimura
      System Architect
      VisasQ
      schedule 5 months ago
      Sold Out!
      45 Mins
      Talk
      Advanced

      2020年2月私が入社した時、システムは現代のモダンなシステムとの剥離が出てきている狭間でした。

      一方、会社はその後、すぐに上場をして、一気に組織の人数が増加しました。

      システムも社会的責任を果たせるようにアップデートをしなくてはいけないのは自明で、「必要最低限のアップデートをする」という選択ではなく、「全てを作り直す」という選択をして、システムリプレースを行っています。

      新しいシステムはモノリシックからマイクロサービス化に変更しましたが、私はマイクロサービス化に伴う組織的な変化、いわゆるコンウェイの法則を期待してマイクロサービス化の採用をおこないました。

      本セッションでは、マイクロサービス化を行った後に起きた開発組織の変化について赤裸々にお話できたらと思っています。

       

    • Kohsuke Kawaguchi
      Kohsuke Kawaguchi
      Co-CEO
      Launchable, Inc.
      schedule 5 months ago
      Sold Out!
      45 Mins
      Talk
      Intermediate

      フレイキーなテストは、根絶できない疫病のように昔から開発者をずっと悩ませ続けてきました。皆さんの開発チームでも、目にはついていなくても、フレイキーなテストがイライラを引き起こしたり、プルリクエストを失敗させたり、ホットフィックスの開発にストレスを上乗せしたり、必ずしているはずです。

      この問題に世界中の技術者達がどのように立ち向かってきたのか、Jenkinsの開発者としても有名な川口が紹介します。GoogleやGitHubのようなユニコーン会社から、もっと身近な等身大の会社まで、どういった取り組みが効果を上げてきたのかを見ていきます。皆さんの会社での取り組みにもきっと役に立つはず!

    • Yasunobu Kawaguchi
      keyboard_arrow_down

      Yasunobu Kawaguchi - DevOps の源流 : Flickr 10+ Deploys per Day のトーク (2009年) を再訪する

      45 Mins
      Talk
      Beginner

      昨年の DevOpsDays 創始者 Patrick Debois さんのトークでも触れられた、DevOpsという言葉ができるきっかけになった2009年の講演「10+ Deploys per Day」をとりあげます。その講演で何が語られたのか?について、短い時間でお伝えすることはしてきたのですが、今回は時間をちゃんと使って、話してみたいと思います。

      このトークの周辺の事情については私の過去のトークで、私の整理をお伝えしてきましたが、今回はこのセッションそのものをお伝えしまーす。

      DevOpsの時代
      https://speakerdeck.com/kawaguti/age-of-devops

      アジャイルとDevOps
      https://www.slideshare.net/kawaguti/agile-and-devops

      10+ deploys per day (動画)
      https://www.youtube.com/watch?v=LdOe18KhtT4

      10+ deploys per day (スライド)
      https://www.slideshare.net/jallspaw/10-deploys-per-day-dev-and-ops-cooperation-at-flickr

       

    • Gal Shelach
      keyboard_arrow_down

      Gal Shelach - SLA is for lawyers, SLO is where the money hides

      20 Mins
      Talk
      Beginner

      We have thousands of frontend servers in 7 data centers serving over 500k HTTP requests per second. They all expect to answer as quickly as possible to meet our SLA 

       

      Having said that, not breaking the SLA is one thing, but how to define the SLO is another. Let's say our SLA has a response time of p99 < 1000ms. This gives us a wide range where we can determine the SLO. This gives us a wide range where we can determine the SLO. 

       

      It may seem logical to set the SLO as low as possible. This way, we are less likely to break our SLA. What if I tell our customers that we have a magic feature that boosts revenue and only takes 400ms? Should we then define a different SLO? Maybe we should embrace the risk of breaking SLA from time to time but to have bigger revenue most of the time?

       

      My lecture will describe three systems we developed to utilize our system dynamically to gain an RPM-oriented SLO. Those are Java infrastructures we use internally to provide the most valuable responses to our customers within the limits of our Service Level Agreement.

    • Omar Galeano
      keyboard_arrow_down

      Omar Galeano - How to communicate the ROI of test automation to your business - テスト自動化のROIをビジネスサイドに伝える方法とは?

      Omar Galeano
      Omar Galeano
      Quality Engineering Principal
      Slalom
      schedule 4 months ago
      Sold Out!
      20 Mins
      Talk
      Intermediate

      In the era of modern software development, test automation has gone from a ‘nice to have’, to a critical component of delivering quality software at velocity.

      Business decision makers generally agree that test automation is a good idea, but may hesitate to commit appropriate resources, especially when budgets or deadlines are tight.

      We will interactively walk through scenarios that highlight the key factors that deliver test automation value. You will learn how to quantify the ROI of test automation and influence fiscally-minded decision makers with confidence!

      1*xhslp76-jPekWH_lYdfqqQ.png

      Note:Simultaneous interpretation will be provided in English and Japanese for this session, so please feel free to attend even if you are not comfortable with English!

       

      現代のソフトウェア開発において、テストの自動化は「あったらいいな」程度のものから、高品質なソフトウェアを迅速に提供するための重要な要素となっています。

      ビジネスの意思決定者は、テスト自動化が良いアイデアであることには同意しつつも、特に予算や納期が厳しい場合には、適切なリソースの投入決定にはためらうかもしれません。

      本セッションでは、テスト自動化の価値を高めるために、重要な鍵となる要素をシナリオを用いながら対話形式で紹介します。また、以下について学ぶことができます。

      ・テスト自動化のROIを定量化方法

      ・財政観点を重要視する意思決定者に対して自信を持って切り込む方法

      ※なお、本セッションは英語・日本語の同時通訳がつきますので、英語が苦手な方もお気軽にご参加ください!

       

    • Hiroki Arai
      keyboard_arrow_down

      Hiroki Arai / Kenta Sasa - Value Stream Mapping ワークショップ Online

      100 Mins
      Workshop
      Beginner

      Value Stream Mapping を体験するワークショップです。 みんなで一緒にValue Stream Mappingを使ったプロセスの見える化・カイゼン案の検討を実際に体験してみましょう。

      Value Stream Mapping = ソフトウェア開発工程の流れ(価値の流れ)を見える化するために作成するプロセス図です。アイデアが生まれてから顧客に対して価値が届くまでの全行程を見える化することによって、ムダな作業や非効率なフローをチーム内で共有することができるようになるため、カイゼンに役立てることができます。

      4、5人でグループを作ってグループワークを行います。Value Stream Mapping が描けるようになるだけではなく、チームで作った時の効果も感じられると思います。

      今回はOnlineということでDiscord+zoom+muralを使って実施しようと思っています。オンラインでワークショップってどんな感じなんだろう?と興味がある方も是非参加してみてくださーい!

    help