テイラーがIT Infraに投資する理由ー自由でセキュアな環境を目指して
こんにちは、TailorでPdMを務める@hongoです。テイラーはエンタープライズ向けのソフトウェア開発基盤を提供していることから、ITインフラやセキュリティをとても大切に考えています。
今回は創業当初から技術顧問として関わっている @sudoとテイラーCTOの @mistatによる対談形式で、これまでのITインフラに関する取り組み・考え方についてご紹介できればと思います。
この記事に登場する方
@mistat :CTO / 取締役
楽天株式会社(2004年〜)等を経てGREE株式会社の創業期にエンジニアとして参画、Speee株式会社(東証スタンダード市場上場)、スポットライト(現楽天ペイメント)等のCTOとしての創業を経て、2017年メルカリ入社、AI、HCI、ブロックチェーン、量子コンピューターなど最先端の研究からELSIなど社会科学分野まで幅広く研究開発を行うmercari R4Dの立ち上げに参画。また研究成果のアウトプットとしてNFT事業など、ブロックチェーン関連事業の立ち上げにも関わる。
@sudo:技術顧問
日立製作所、株式会社インターネットイニシアティブ(IIJ)、グリー株式会社でネットワークエンジニア兼インフラエンジニア、株式会社Kaizen Platformでインフラ含むエンジニアリングのマネージメント、その後スマートニュース株式会社でCorporate Engineering Teamを立ち上げマネージャーを務める。 メルカリに2018年9月に入社し、IT teamのマネージャー、メルペイのITチームの立ち上げを歴任し、2019年10月にメルカリに戻り、Corporate Engineeringのディレクターとしてチームを立ち上げる。 現在合同会社DMM.com執行役員 / VPoT / ITインフラ本部長を務める。TailorではCorporate Engineering /ERP Product 周辺領域の顧問を担当。
@hongo:Product manager
Fast Retailing、Amazonなどを経て2022年に株式会社TailorにProduct managerとして参画。創業期のPMとして、Tailor PlatformのStater template作成、Documentation、Professional services projectなどに携わる。All for oneを体現すべく、必要ならばなんでもやるスタンスで日々奮闘中。
リモートワークが主流な状況下でのスタート
ーまずはこれまでの振り返りをしたいのですが、テイラーが創業したのはコロナ禍が明けた頃で既にリモートワークが主流でしたよね。
@mistat
「なぜリモートワークなのか?」といわれると、そこに議論も無かったですね。もうリモートが前提で、オフィスに行くという発想自体がなかったかもしれない。
@sudo
スタートアップにとって、高いお金を払ってオフィスを借りることのリスクもありますよね。
@mistat
もうリモートネイティブになっている状態からのスタートだったと思います。
ーその一方でセキュリティを意識した設計が必要とされているのかなと思っていて、リモートの働きやすさとのトレードオフってありましたか?
@mistat
どこで誰がどのように働いているかわからないのは怖かったですね。なのでPCを紛失しても大丈夫なようにMDMの導入をしたりとか、環境構築やセキュリティを個人に任せるのではなく組織として統一していくところから始めました。
@sudo
皆がオフィスに来てればなんとかなる部分ってあったと思うんですよね。ただそういう環境じゃないので、「ちゃんとやらなくちゃな。」という共通認識が当初からありました。
@mistat
出社が前提なら「オフィスからしかアクセスできない」という設計もできましたけどね。ただオフィスに置いてあるPCがハックされてしまうような事例もあるわけで、そもそもオフィスだけ防いでも、という考えもありました。オフィスがあるからセキュリティが担保できるかというと微妙かなと。
ー話を聞いているとテイラーって難しいことを結構さらっとやっている気がするのですが・・・
@sudo
ITのモダンなベストプラクティスができているなかで、それをやれるか・そこに投資できるかなんですよね。テイラーは立ち上がったばかりで昔ながらのシステムが一切無いところから投資する経営判断があったので、さらっとやっているように見えたのかもしれない。あとは自分たちでちゃんと手を動かしたってのも大きいです。
@mistat
オフィスを大きく構えないぶん、ここに投資しようよってのもありました。
ーリモート環境の構築で一番大変だったことってありますか?
@sudo
Jamfじゃないかな。それかMDM導入かなと。
@mistat
MDMはそうですね、普通この規模でやらないことだと思います。
@sudo
難しい理由がいくつかあって、作業自体の難しさもありつつ、基本エンタープライズソリューションなので契約の金額が大きいんですよね。なかなかスタートアップは踏み出せないと思います。シードなベンチャーはそこにお金かけられないってところが多い。テイラーはその点で経営として投資しようとなったのが、この後にも出てくるSOC2 Type2の必要要件でもあり大きかったと思います。
@mistat
導入の金額的な部分も当初想定していたロットの大きさよりは調整できました。なかなか手が出せないと思い込んでたなぁと。導入の技術的なところにも難易度はありますが、コストについては想像よりなんとかなった気がします。
ー技術的な難易度というのは?
@mistat
会社支給PCのセットアップ自動化の環境構築だったり。日本国内なら販売店から直接入社者に届けられ、電源を入れれば勝手にセットアップが始まる状態になっています。あとはMDMの設定は結構複雑でしたね。
@sudo
設計が多岐にわたるので、そもそも「何をやって、何をやらないか」の設計が大変なんですよね。実際の作業はポチポチと進められるんですが、設計を考えるのが面倒かもしれません。あとはテイラーもまだシードなスタートアップなので、ガチガチにやりすぎると身動きとれなくなるんですよね。その塩梅をとるのにセンスが必要だなと。
セキュリティ認証SOC2の取得について
ー去年にはセキュリティ認証であるSOC2 Type2を取得しましたが、導入の経緯というのは
@mistat
YCの採択もありグローバル展開を見据えるなかで、海外のベンチャーの動きも見ていて、エンタープライズ向けサービスをやるからには認証を取ったほうがいいなと。
とはいえ「大変じゃん!」と。お金も時間もかかるという。ただどうも5人くらいのベンチャーでSOC2をとれているらしいという話を聞いて、調べはじめました。SOC2を取得するためのSaaS(Vanta)もあって、意外と簡単にできるのではと導入を進めることにしました。
ーVantaを入れたことによって、タスクが可視化された感じですか?
@mistat
それもあるんだけど、台帳を作るような作業やインフラの変更履歴を残さなくてはいけなかったり継続的なモニタリングが必要だったり。それをVantaでできてしまうという。やるべきことを網羅的にみれることもそう。Vantaが全部やってくれるので、こっちでやらなくてよくなったことも多かったですね。
@sudo
SOC2になると規約がひたすら大事になるんですよね。定めなきゃいけないことが沢山あって。それがVantaというSaaSを入れることによって、彼らのベストプラクティスといえる雛形が使えるわけです。必要なところをテイラーでリバイズして、レビューして、と進めていけた。基本は0から作るか、どこかにその作業を依頼しなくてはいけないと思うんですけど、その雛形があるというのはかなり大きかったんじゃないかと思いますね。
@mistat
あれはすごいよね。
@sudo
うん、あれはすごい。SOC2ってセキュリティ関連の認定証なので、何かあった時にどう対応しますか?っていうのを定めなきゃいけないんですよね。その雛形がもうあるので、ここはうちには適さないね、とかポチポチ進めていくだけで基本OKなんですよ。
@mistat
かつそれに応じてインフラを自動的にリアルタイムでモニタリングしてくれる。
@sudo
SOC2って認証とってからも定期的なチェックをやらなくてはいけないですけど、それもVantaでやってくれるんですよね。同じ内容を外部に頼むと数千万のコストがかかるような内容だと思いますそ、コストは1/10以上の削減なんじゃないかな。
@mistat
さらっとやりましたけど、社内の認証をOktaに変えたじゃないですか。SOC2守ったままさくっとは実現できたのもVantaがあったから。あとはMDMを導入していたりとベースがあったことも、導入が楽になった理由になると思います。
@sudo
改めてSOC2取得の経緯について話すと、大体ERPとかエンタープライズ系のSaaSを導入検討するときは、導入先の企業からセキュリティチェックリストがくるわけです。その時にSOC2とってますと言えるのは大きい。そこは避けて通れないよね、と@Yo(テイラー代表:柴田)含め話してましたね。日本でこの規模の会社でSOC2とってるベンチャーってないんじゃないかな。
@mistat
当時、社員10人いなかったですね。
@sudo
エンタープライズ向けの製品作っているので、そこは最初から大事にしていきたいと思ってましたね。導入先の大企業からも「お、やるね」となると思うんですよね。この規模でちゃんとやっているなと。
ーそうした意思決定ができた背景に、何度か創業している経験も影響しているのですか?
@mistat
それはありますね。いずれこういうことをやらなくてはいけない、とわかっているというか。早いうちにやったほうが楽だし、スケールするなと。
セキュアなレベルを維持しながら多種多様なものを取り入れていく
ー話は変わりますがログ周り、Datadogの導入はどんな背景でしたか
@mistat
みんながオフィスにいたら誰かが気づいて対応することも、リモートだとバラバラだったり、働いている時間も異なったりというなかで、こういうモニタリングツールがちゃんと動いていることによる安心感がありますよね。これもオフィスの代わりの投資でもあるというか。
@sudo
Datadogってちょっと高いんですよ。でもそれをちゃんと使うという意思決定ができたのはすごいなと。
@mistat
人がやらなくていいことはやらなくていいと思うので。
ーはたからみてると、さらっとすごいことが意思決定されてすぐ終わってる感があったんですよね。
@mistat
こういうのは整えたほうが結果的に効率がいいですよね、っていうのはあります。
@sudo
「大人ベンチャー」のいいところがでたんじゃないですか。みんな経験があるからこそ「やったほうがいいよね」ってなる。
@mistat
ちゃんと仕組み作って出そうよっていう。デプロイの仕組みとかCI/CD環境とか最初から整ってますし、TerraformやCodecovなんかも使ってるし。Github CopilotやChat GPTもみんな当たり前のように使ってますね。こういうツールもすぐ導入してます。
ー今後取り組みたいことって何かありますか?
@sudo
これまではでスピード重視である程度環境を絞ってきましたけど、ビジネスの拡大に応じて多種多様なサポートが必要になると思うんですよね。今のセキュリティレベルを維持しながら、多種多様なものを取り入れていくのは大きなチャレンジになりそうですね。
@mistat
セキュリティレベルを保ちながらってなると大体リジェクトされがちなんですよね。そうじゃなくて、使いたいツールを安全に使えるようにしたい。
ー一気にスケールするためのさらなる仕組み作りが必要になりますね
@sudo
今は少数精鋭である程度リテラシーの足並みも揃った状態だと思うんですけど、組織の規模が大きくなってくると色々なことをリジェクトしたくなってくる。そこを僕らは「自由だけどセキュア」という状況にしたいという気概がありますね。
@mistat
すでにMDM、Okta、Vantaが入っているのは非常に大きくて。これだけでも自由度高くスピード感をもって動けるはず。。理想としては完全にゼロトラストな世界を作りたくてどこでも働けて、自分のデバイスでもよくて、それでもセキュアっていう。いま日本とアメリカに拠点がありますけど、これも増やしていきたいですしね。ちなみにゼロトラストでやれているモデル企業ってあるんですかね?
@sudo
Googleやクラウドネイティブですかね。
ーテイラーの規模や日本拠点の会社だとあまり思い浮かばないですか?
@sudo
小さいフェーズだとやるモチベーションがないというか、やってる場合じゃないという経営判断するところがほとんどなんじゃないかな。テイラーはビジネスが立ち上がる前によくやったなと。普通は売り上げ先行になってもおかしくないんですよね。
@misat
最初にしっかり調達していたことも大きいですけどね。「そういうモチベーションのサービス使いたいですか?」っていうのは思ってます。
@sudo
事業ドメインにもよりますけどね。優秀なエンジニアの方がいるんだったら、IT Infraじゃなくてサービス作ってほしいってなるのもわかります。その点、CTOがコミットしているのがテイラー。
@mistat
僕が社内インフラ好きなんですよね。
@sudo
ちゃんとやらなきゃいけないって思いと、ちゃんと手を動かせたのが大きいと思います。あと創業初期のタイミングで、普通ITの社外顧問つけないでしょっていう(笑)大体、何か起こってから着手する企業が多いなかで、しょっぱなからちゃんとやったのが大きいです。
@mistat
これまでの経験で苦い思いもしてきたので、あとPCって誰かしら失くしたりするじゃないですか。テイラーは誰も失くしてしてないですけど....。@yoも重要性を理解していますしね。
@mistat
最後に、この環境を一緒に構築・管理してくれる方を探してます!社内だけでなくTailor Platformもしていける面白さがあるんじゃないかなと。
ーありがとうございました!
テイラーでは、エンジニア、デザイナー、プロダクトマネージャー、事業開発、コーポレート系などすべてのポジションで採用を行っております。転職意向のある方は採用チームへのコンタクトを、情報だけフォローしておきたいという方はTwitter、Podcast、Noteのフォローをよろしくお願いいたします。
■ 技術スタック
言語、ライブラリー:TypeScript, React, apollojs, Go, gqlgen,Gorm, GraphQL, gRPC
インフラ:Google Cloud Platform, Amazon Web Service
データベース:PostgreSQL(Cloud SQL/RDS, AlloyDB), BigQuery, MongoDB
オーケストレーション:Cloud Run
CI:GitHub Actions
コード管理:GitHub
ミドルウェア:Cloud Pub/Sub, Cloud Scheduler, Cloud Functions, Cloud Tasks, AWS Lambda, Google Identity Platform
監視:Datadog
環境構築関連:Docker, Docker Compose, Terraform
認証: Auth0