先日、アイティメディアの別編集部から取材同行を依頼され、ある勉強会のレポートを書きました。その勉強会のテーマはセキュリティとはちょっと違うもので、その名も「FinOps」。実は私もその本質を理解しておらず、思わず「最近金融関連もFinTechで盛り上がっていますよね!」と、見当違いの反応をしてしまいました。
FinOpsは金融系のお話しではなく「さまざまなクラウドリソースの費用を運用とともに最適化する」という考え方です。決してセキュリティとも遠くない考え方だと思ったので、自分の勉強メモとしてもここでまとめてみたいと思います。
●「FinOps」とセキュリティの意外な共通点
「○○Ops」といえば、運用を回しつつフィードバックを受け、開発を改善していくというプロセスをイメージする方が多いかと思います。セキュリティにおいては、オペレーションに関して開発チームと運用チーム、セキュリティチームを融合させて最適化しようという「DevSecOps」という言葉もあります。対してFinOpsは運用を回しつつ、クラウドのコストを最適化するというものです。
Linux Foundationのプロジェクトの1つ「FinOps Foundation」の創設者であるJ.R.ストーメント氏は、FinOpsについて「クラウドのビジネス価値を最大化し、タイムリーなデータ主導の意思決定を可能にし、エンジニアリングや財務、ビジネスチーム間のコラボレーションを通じて財務的説明責任を果たすための運用フレームワークだ」と言います。さらに同氏は、これは技術やコスト削減、クラウド利用の削減ではなく「組織における文化的慣習だ」とも述べており、ツールで解決する問題ではなく、組織が一丸となり実践するものだとしています。
この考え方は比較的最近生まれたもので、2021年頃から注目を集めています。FinOps Foundationはクラウドを横断して統一した指標でコスト最適化に向けたデータセット標準「FOCUS」(FinOps Open Cost & Usage Specification)を策定しています。Amazon Web Services(AWS)やMicrosoft、Google、OracleといったハイパースケーラーもFOCUSに対応しているため、現場や経理担当者、そして経営者の共通の“言語”として利用可能です。
FinOps Foundationは毎年大規模なカンファレンスを開催しており、2024年6月には米国のサンディエゴで「FinOps X 2024」が開催されました。日本からも数人が参加したと報告がありましたが、基調講演ではUberやディズニー、アメリカン・エキスプレスといった名だたる大企業が登壇しています。
特にUberについては、クラウドサービス事業者からの請求プロセスにおいて誤請求がかなり存在し、「過剰支出を戦略的に回避するためにいかにbotを活用するか」というテーマでの講演を行っています。講演は「YouTube」で動画が公開されているので、興味のある方はぜひ視聴してみてください。
●ある意味、セキュリティと近い立ち位置にある考え方かもしれない
個人的に興味を持ったのは、エンジニアの視点で見れば、ある程度自由に活用ができる(できてしまう)クラウドに対し、自らがコストという足かせを付けることにならないか、という点です。FinOpsはコスト管理という観点ですので、どちらかというと経営層の思いであり、経理担当者が見えていない部分を見える化したい、という意図を感じるのではないでしょうか。
クラウドはよく言えば数クリックで機能が手に入る、悪く言えば「一瞬で費用が発生する」のが特徴です。エンジニアにとってみれば、その部分にとうとうメスが入ることになり、メリットを感じないかもしれません。
とはいえエンジニアも組織の一員ですので、本来はコスト意識を持たなければならないでしょう。その方法論として、エンジニアも経理担当者も共通の指標を基に、正しい管理手法を考えるFinOpsは理にかなった考え方だといえます。
そして、このFinOpsに実はセキュリティが関係しています。FinOps Foundationが公開しているフレームワークには、中心メンバーとしてはエンジニアや経理担当者、リーダーとしていますが、関連する必要があるペルソナの一つとして、「セキュリティ」がしっかりと含まれています。
加えて、この「自らの首を絞めかねない」という取り組みは、セキュリティのこれまでの状況を思い起こさせます。「利便性とリスクのてんびん」とよく表現されますが、そういった厳しい選択や解決策を模索してきたセキュリティ担当者であれば、FinOpsという考え方は親和性が高く、心強い助言ができるように思えます。
●スペシャリストもジェネラリスト視点を求められる時代
これもセキュリティとは無関係ですが、先日開催されたゲーム開発者会議「CEDEC 2024」で「スマホゲームマーケの『ウソ』」を紹介するセッションレポートが大変興味深いものでした。
これは、ゲームマーケティングの担当者が陥りがちな状況に問題を提起をするとともに、「開発や企画チームの担当者に、マーケティングに興味を持つことを推奨する」という内容でした。「いくら正しいことを言っても経営層や開発チーム、プロデューサーは分かってくれない」というのは、どこかで聞いた話にとても似ています。
最近、セキュリティの世界でも「経営者視点を持て」「現場を見ろ」といった発言をよく聞くようになりました。エンジニアも同様のことをいつも言われていると思いますが、そういった「広い視点を持つこと」や「相手の立場で理解できる言葉を使え」というのは、決してこちらの世界だけの現象ではないのだと理解できました。自分の専門分野を深掘りするだけでなく、広く見識を持ち、一見無関係なメンバーとも正しいコミュニケーションが取れるよう努めることが、今後は重要になっていくのかもしれません。
その意味では、今回のFinOpsという考え方は、入口としては正しいように思えます。確実に共通言語になりえる「コスト」という面に目を向け、経営層とも会話をすることは、セキュリティ担当者だけでなく、多くの職責で役に立つ考え方だと思います。そしてセキュリティ担当者ならば、この考え方に新たな視点を加えられるはずです。
今回紹介した内容は第一歩のさらに手前かもしれません。日本でも注目が集まるであろうこの考え方を、ぜひ皆さんの目でチェックしてみてください。
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。