39-7 · 章 39 · 2 分で読めます

プラットフォームとガバナンス：チームの一貫性を保ちつつ、スピードを落とさない方法

セキュリティポリシーやコンプライアンスルールを、開発チームのスピードを損なわずに徹底する方法を解説。ポリシー・アズ・コードとガードレールによるプラットフォームエンジニアリングの実践的アプローチ。

プラットフォームとガバナンス：チームの一貫性を保ちつつ、スピードを落とさない方法

「すべてのコンテナイメージは本番デプロイ前にスキャンしなければならない」というセキュリティポリシーがあるとしよう。「本番リリースには2名の承認が必要」というコンプライアンスルールもある。あなたはこれらのルールをエンジニアリングチームに伝え、あとは待つだけだ。

さて、何が起こるか？各チームはルールを異なる方法で解釈する。あるチームは独自のスキャンスクリプトを自作する。別のチームはSlack経由で手動承認フローを組む。3つ目のチームは機能開発で忙しく、ルールのことをすっかり忘れている。結果は不統一だ。ルールを守っているデプロイもあれば、守っていないものもある。そして、何かが壊れるまで、その違いに誰も気づかない。

これこそが、プラットフォームエンジニアリングがガバナンスと出会うことで解決する問題だ。ルールを撤廃するのではなく、チームがすでに使っているツールにルールを組み込むのである。

ポリシー文書の問題点

ガバナンスが文書の中にだけ存在すると、摩擦が生まれる。開発者はポリシーを読んでから、それを自分たちで実装する方法を考え出さなければならない。どのスキャンツールを使うか、どうやってパイプラインに接続するか、誰に承認を依頼するか、ツールが何かを検出したらどう対処するか——すべてを決める必要がある。

チームごとに異なる選択をする。良い選択をするチームもいれば、手を抜くチームもいる。そしてセキュリティチームやコンプライアンスチームは、監査で問題が明らかになるまで、ルールが実際に守られているかを確認する方法を持たない。

問題はポリシーそのものではない。問題は、ルールを書き、それを多数のチームで一貫して実行するまでのギャップである。

ポリシー・アズ・コード：自動実行されるルール

プラットフォームエンジニアリングは、ガバナンスルールをパイプライン内の自動化された仕組みに変換することで、このギャップを埋める。「すべてのイメージをスキャンせよ」というPDFの代わりに、プラットフォームはすべてのパイプラインにデフォルトでスキャンステップを含める。承認のためのメールスレッドの代わりに、プラットフォームはリポジトリ内のレビュー権限を確認し、承認が得られるまでデプロイをブロックする。

これがポリシー・アズ・コードだ。ルールは、人間が読んで解釈するテキストではなく、実行可能なチェックとして記述される。ルール自体は存在する。しかし、誰もそれを覚えたり、設定したり、人に追従を強いたりする必要はない。

以下の図は、自動化されたポリシーチェックを伴うパイプラインを変更がどのように流れるかを示している：

flowchart TD A[開発者がコードをプッシュ] --> B[ビルド & テスト] B --> C[セキュリティスキャン] C --> D{スキャン結果} D -- 合格 --> E[承認チェック] D -- 不合格 --> F[デプロイをブロック] F --> G[修正情報とともに開発者に通知] E -- 承認済み --> H[本番にデプロイ] E -- 未承認 --> I[レビューアの承認を要求] I --> E

具体的な例を挙げよう。あなたの組織では、すべてのデータベースマイグレーションは本番デプロイ前にDBA（データベース管理者）のレビューを受ける必要があるとする。プラットフォームがなければ、開発者はDBAが誰かを知り、リクエストを送り、返事を待ち、手動でステータスを追跡しなければならない。プラットフォームがあれば、パイプラインがマイグレーションがDBAグループの誰かによってレビューされたかをチェックする。レビューがなければ、パイプラインは停止する。開発者には明確なメッセージが表示される。「デプロイがブロックされました。データベースマイグレーションにはDBAチームの承認が必要です」。誰も追跡したり覚えたりする必要なく、ルールが強制される。

ゲートではなくガードレール

プラットフォーム主導のガバナンスと手動による強制の重要な違いは、ガードレールの概念にある。ガードレールはすべての経路を塞ぐわけではない。安全な通路を定義する。開発者はその通路内であれば、セキュリティやコンプライアンスを意識せずに素早く動ける。しかし、誤って通路の外に逸れることはできない。

ガードレールはゲートではない。ゲートはすべてを停止させ、例外ごとに手動承認を要求する。ガードレールは移動を許可するが、危険な結果を防ぐ。例えば、ガードレールはコンテナイメージに深刻な脆弱性がある場合にデプロイをブロックする。しかし、低重要度の警告ではデプロイをブロックしない。開発者は生産性を維持できる。プラットフォームがノイズを処理する。

これにより開発者体験が変わる。ガバナンスを乗り越えるべきハードルと感じる代わりに、開発者はプラットフォームが自分たちを守ってくれていると感じる。安全にコードをリリースするために、セキュリティの専門家やコンプライアンスのスペシャリストになる必要はない。ゴールデンパスに従うだけで、ガードレールがトラブルを防いでくれる。

信頼を損なわずに例外を処理する

完璧なシステムはない。開発者がガードレールをオーバーライドしなければならない時もある。セキュリティスキャンがまだ実行中でも、緊急のバグ修正をすぐに本番にデプロイしなければならない。レビューアが誰もいない午前2時にホットフィックスをデプロイする必要がある。

優れたプラットフォームは、こうした状況が存在しないふりをしない。オーバーライドの仕組みを提供する。しかし、オーバーライド自体は明確なプロセスに従う。開発者は理由を提示しなければならない。プラットフォームはオーバーライドを監査証跡として記録する。セキュリティチームは後でこれらのオーバーライドをレビューし、プロセスの調整が必要か判断できる。

これが、硬直的な強制とインテリジェントなガバナンスの違いだ。硬直的な強制は「例外は絶対に認めない」と言う。インテリジェントなガバナンスは「例外は可能だが、可視化され、文書化され、稀である」と言う。開発者は緊急時に必要な柔軟性を得られる。組織はコンプライアンスに必要な監査証跡を得られる。

プラットフォームガバナンスがチームにもたらす変化

ガバナンスがプラットフォームに組み込まれると、いくつかのことが変わる：

セキュリティチームは依然として基準を設定する。どの脆弱性をクリティカルとみなすか、どのスキャンツールを使うか、どの承認ルールを適用するかを決める。しかし、すべてのチームを監視する必要はない。プラットフォームがルールを一貫して強制する。

コンプライアンスチームは依然としてポリシーを書く。しかし、証拠を求めてチームを追いかける必要はない。プラットフォームが自動的に監査証跡を生成する。すべてのデプロイ、すべてのスキャン結果、すべてのオーバーライドが記録される。

開発者はほとんどの場合、ガバナンスについて考える必要がない。コードを書き、機能をリリースすることに集中する。プラットフォームが残りの部分を処理する。何か問題があれば、プラットフォームが何を修正すべきか明確に伝える。

プラットフォームチームはガードレールを維持する。スキャンツールを更新し、承認フローを調整し、例外を処理する。彼らはポリシーと実行の間の橋渡し役だ。

プラットフォームガバナンスのための実践的チェックリスト

プラットフォームを構築または評価しているなら、以下のポイントでガバナンスが適切に組み込まれているかを確認できる：

すべてのガバナンスルールがパイプライン内の自動チェックとして表現できるか？
ルール違反時にプラットフォームが自動的にデプロイをブロックするか？
例外は可能で、文書化され、監査可能か？
開発者はポリシー文書を読まなくてもルールを把握しているか？
セキュリティチームは手動監査なしでコンプライアンスを確認できるか？

これらのいずれかが「いいえ」なら、ガバナンスはまだ文書やメールの中に生きている。プラットフォームにはまだやるべき仕事がある。

まとめ

ガバナンスはチームのスピードを落とす必要はない。プラットフォームにガードレールとして組み込まれれば、開発者には見えなくなり、組織にとっては信頼できるものになる。ルールは存在する。一貫して強制される。しかし、何かがおかしくなるまで、誰もそれについて考える必要はない。これこそが、プラットフォームエンジニアリングがガバナンスをボトルネックから基盤へと変えるポイントである。