ホーム
87フォロー
104フォロワー
【図解】マッキンゼーも悩む。「戦略コンサル」100年目のジレンマ
安藤 裕紀NewsPicks Engineer, Site Reliability
約3年前に大手SIerにいた頃に見ていた上流の状況とほとんど変わっておらずこれまでの経緯として良いまとめだと思いました。DXの手段として企業の事業活動データの集積、AIや機械学習の活用による効率化などが挙げられる中で、Howの部分を含めたテクノロジーの意思決定支援と実行支援ができるアクセンチュアが強く引き続き規模を拡大している印象です。ある意味戦略コンサルのプライドを捨てた人海戦術的に泥臭く伴走する手段を厭わないことが成長の秘訣なのかもしれないなと思いました。
変化の激しい事業環境に企業が対応していくには、中期経営計画のような3〜5年スパンの大きな意思決定をコンサルに支援してもらうだけでなく、日々の現場のシステム改善やフィードバックループを洗練させていくこと、現場のオペレーションを機動的に修正することが必要になっていくと思います。ポジショントークですが、インハウスのプロダクトマネージャーやエンジニアの必要性も増していくと思っています。
積水ハウスにサイバー攻撃 約30万件の情報漏えい、パスワードも 流出疑いも50万件超【追記あり】
安藤 裕紀NewsPicks Engineer, Site Reliability
使用していないWebページや機能を廃止していくことの重要性に気付かされるニュースでした。
“2008年から11年にかけて運用していたが、現在は使用していないWebページのセキュリティ設定に不備があり、漏えいにつながったという。”
「データベースを操作するための言語を用いたサイバー攻撃」と聞くとSQLインジェクションという攻撃を想像します。
“調査したところ「データベースを操作するための言語を用いたサイバー攻撃を受けた」(同社)ことが分かったという。”
IPA、JPCERTへの届出数ベースで、クロスサイトスクリプティングに次いで2番目に多い、よく知られた攻撃手法です。
https://www.ipa.go.jp/security/reports/vuln/software/jod03a000000bv5c-att/vuln_software_report_2023q3.pdf
NewsPicksを運営するユーザベースのエンジニアがSQLインジェクション対策の実装について記載したブログがあります。よろしければこちらもご参考ください。
SaaS Product Team セキュアコーディングの啓蒙 第2回 (SQL インジェクション編)
https://tech.uzabase.com/entry/2023/11/27/155337
サイバーエージェント、新卒エンジニアの研修資料を2つ無料公開 「システム運用」と「オブザーバビリティ」を解説
安藤 裕紀NewsPicks Engineer, Site Reliability
ユーザーへのサービス提供やビジネスの屋台骨を支えるシステム運用の重要性と、システムの巨大化・複雑化に伴うオブザーバビリティの必要性、これらは私のようなITエンジニア十数年選手であれば骨身に染みて実感していることですが、23卒・22卒の若手エンジニアが言語化して24新卒エンジニア研修で教えるというのは、素晴らしい企業文化ですね。
必要は発明の母といいますが、サイバーエージェントはスケールの大きな事業とシステムでサービスを運用しているからこそ、新卒からこのような研修が行われるのであり、エンジニアの足腰が鍛えられる環境であることがよくわかります。
とはいえやはり多くの企業ではエンジニアに対して短期的な(売り物になる)機能追加や新サービス開発を求める現場が中心だと思いますし、運用業務を避けようとするエンジニアも一定数いるのではないでしょうか。
システム運用もオブザーバビリティも、事業やユーザーからは直接わかりづらい非機能なので、本記事のような追い風を受けて必要性をしっかり伝えていきたいと思いました。
【危機】グリコ、HOYAのトラブルが「他人事」じゃない理由
安藤 裕紀NewsPicks Engineer, Site Reliability
「システムの責任者にプロを置く」はその通りだと思いました。
前職は大手SIerで大企業からの発注をいただいていましたが、やはり記事にある通り「丸投げ」をいかに上手く捌くかがSIビジネスの要諦だったように思います。発注側にもプロがいてベンダーと共創できる関係が理想ですね。
構造的な問題として、大企業の発注側となる情報システム部門などは、現場の営業職が諸所の理由で本社機構に異動して働き方を変えるための受け皿となっている側面があります。
「情報システム部門はSIerに丸投げして発注管理する事務職なので、人材のセーフティネットにしても良いだろう」という認識を改めて、新卒からIT人材を育成したり外部から招聘して、システムの責任者にプロを置くことが重要だと思いました。
ただ、そうなると「IT素人でも問題ない本社機構の異動先」という受け皿がなくなるので、雇用を守らなければいけない企業としては人材の配置に頭を悩ませることになりそうです。
今の若者は「打たれ弱いから辞める」は間違い。若手離職の本当のメカニズムとは?坂井風太さんに学ぶ「組織の変わり方」
安藤 裕紀NewsPicks Engineer, Site Reliability
エンジニア採用をしていると、まさにキャリア採用戦国時代であり、たとえ若くても戦場を変え放題で活躍できるチャンスがあります。
36歳の私でさえ終身雇用はもはやアテにしていないのですから、20代前半の新卒ともなれば「将来のキャリア資産を築けない環境で気力・体力・時間のある20代を過ごすことの方がリスク」という考え方になってもおかしくありません。打たれ弱いのではなく見切るのが早いんですよね。情報化社会なので他社の情報収集も簡単にでき、隣の芝生がどれだけ青いかも可視化されやすくなっています。
「若手時代は下積みで組織の雑用から始めるもの」といった古い考え方で業務をアサインすると、あっという間に職場の方が損切りされてしまう可能性があることは肝に銘じておかなければならないと思っています。
創造的で成長実感を感じられる仕事をアサインし、本人のキャリアをなるべく同じ目線で考えて成長支援することには気をつけています。
JR東日本 モバイルSuica障害 徐々に解消 “サイバー攻撃原因”
安藤 裕紀NewsPicks Engineer, Site Reliability
モバイルSuicaのチャージはスマホアプリからもできるのでインターネットにつながっていますし、一般的なWebサービスと同じようにDDoSなどの攻撃対象になるのでしょうね
NewsPicksでも対策はしていますがDDoS攻撃は日常茶飯事であり、稀に繋がりづらくなってしまうことはあります(ご迷惑をおかけします)。
インターネットにつながっている以上完璧に防ぐことは現実的にはかなり難しいのではないでしょうか(攻撃を受けてから遮断するまでの時間影響が出ることは避けられない)
攻撃を検知して自動的に遮断できるようにするなどして、影響時間を極小化する努力を続けるしかないのがWebサービスの宿命だと思います
グリコ、障害で売上200億円の損失…ベンダのデロイトに損賠賠償請求の可能性
安藤 裕紀NewsPicks Engineer, Site Reliability
大手SIerのSE経験者ですが、記事の大手SIerのSEのコメントに完全に同感です。かなり玄人のSEにインタビューしていますね笑
> 「システム障害が原因で多くの商品が2カ月以上も出荷できないというケースは、あまり聞いたことがなく、異常な事態といっていい。通常、あらゆる障害発生を想定してコンティンジェンシープランを立てておくものだが、いったん旧システムに戻して業務は継続するといったプランなどをきちんと準備していなかったのか。あくまで報道を見る限りでの感想だが、部門ごとに乱立していた何十年も使われてきたシステムをパッケージソフトを使って一気に大規模なERPに統合するという計画自体、リスクが大きすぎて、ちょっと無理があったのでは。1年くらいの期間を設けて段階的に新システムへ移行していくという方法を取っていれば、今回のような障害は避けられた可能性がある」(大手SIerのSE/5月4日付当サイト記事より)
【速報】サイバー攻撃の可能性も 「モバイルSuica・PASMO」がつながりにくい状態に
安藤 裕紀NewsPicks Engineer, Site Reliability
モバイルSuicaのチャージはスマホアプリからもできるのでインターネットにつながっていますし、一般的なWebサービスと同じようにDDoSなどの攻撃対象になるのでしょうね
NewsPicksも対策はしていますがDDoS攻撃は日常茶飯事であり、稀に繋がりづらくなってしまうことはあります(ご迷惑をおかけします)。インターネットにつながっている以上完璧に防ぐことは現実的にはかなり難しいのではないかと思います(攻撃を受けてから遮断するまでの時間影響が出ることは避けられない)
攻撃を検知して自動的に遮断できるようにするなどして影響時間を極小化する努力を続けるしかないのがWebサービスの宿命かと思います
モバイルSuicaの利用の方はインターネットにつながっていない別システムなので影響ないということでしょうか。駅の改札機はサーバ処理に切り替わりつつあるようですが、応答時間最大200ミリ秒で1分間に60人改札を通れるという仕様はインターネットサービスのプロトコルや暗号化通信で実現するのはかなり厳しいと思えるほど高速ですからね…
> Suicaの特徴といえばお馴染みの「200ミリ秒」での高速処理だが、これにまつわる処理のトリックは以前の記事でも触れた通りだ。
> 今回センターサーバー方式へと移行することで、Suicaの処理は改札機内でのローカルで完結するものから、いったんセンターサーバーへの問い合わせが発生するため、どうしても通信の往復時間(RTT:Round Trip Time)が発生する。詳細は公開されていないが、JR東日本は自前の通信網を抱えており、一般的なインターネット通信に比べるとはるかに高速で短いRTTを実現できると考えられるが限界はある。
https://www.watch.impress.co.jp/docs/series/suzukij/1493515.html
NORMAL
投稿したコメント