著者: Tim Johnson
ソフトウェア デリバリーのコンプライアンスを評価し、主張し、エビデンスを提供する作業は、絶対に必要ではあるものの、財政やロジスティクスの面では重荷であり、競争的価値を付加する作業からリソースを奪います。事実上、コンプライアンスはDevOpsのアンチパターンです。コンプライアンスはフローを中断させ、複雑であり、イノベーションを妨げます (訳注:経営幹部 600 名を対象にした、ソフトウェア コンプライアンス要件への対応とソフトウェア サプライ チェーンの保護に関して直面している問題についての調査による)。コンプライアンスが適切ではない場合、コンプライアンスの不足のせいで多額の弁護費用や行政手数料がかかったり、開発者の時間が奪われたりすることになり、最終的には開発者の不満がたまって人材の定着率の問題につながるおそれもあります。コンプライアンスの立証には以下の作業が含まれます。
- ソフトウェアデリバリーライフサイクル全体のすべてのコンポーネントの現状を評価します。
- プロセスとデジタル資産が内部的・法的に要求される規制および標準に準拠していることを主張します。
- 主張を裏付けるエビデンスを提供します。
このプロセスには、組織全体のさまざまなチームのメンバーがかなりの時間を費やす必要がありますが、本来ならそのメンバーはみな、別の場所で価値を生み出す仕事に専念できていたはずなのです。リスク管理者はGDPR、NIST、HIPAAといった規制の枠組みに基づいて企業が従うべきポリシーを策定し、コンプライアンスを満たすために必要な統制について組織を教育します。開発者はポリシー―さらには、セキュリティテストシステムが発する重大なセキュリティ脆弱性に関する嵐のような警告の数々―を解釈し、何が問題であり、どうすれば修正できるかを判断する必要があります。DevOpsツールチームは、ポリシーからの逸脱を防ぐ安全機構が機能していることを保証するほか、コンプライアンスの証明に必要なデータの収集も担当することがよくあります。監査者は与えられたデータを理解したうえで、データを信頼できなければなりません。最後に、CISOがすべてのデータを解釈し、すべてが約束されたとおり機能していることを取締役会や外部機関に対して証言します。
今日のソフトウェアデリバリーの複雑さを考えれば、これは並大抵のことではありません。私たちは、企業がさまざまなやり方でコンプライアンスに対処しようとするのを見てきましたが、そのやり方はスケーラブルでも持続可能でもありませんでした。私たちが知るある国際的な銀行では、100人のITスタッフが90日単位の交代制でフルタイムをコンプライアンスデータの収集に費やしています。米国のある大手資産管理会社は、各ソフトウェア開発チームにセキュリティの専門家を配備して、企業をシフトレフトしようとしています―つまり、各所に知見を浸透させることでプロセスにコンプライアンスを埋め込もうとしています。しかしながら、他の企業は特定の時点でのセキュリティテスト結果のスナップショットや文書化されたプロセスによってコンプライアンスを証明しています。昨年に私たちが話をした大企業の約半数は、プロセスをより簡単でスケーラブルなものにするために独自の内部システムを開発しようとしていました。
機会の選択
ビジネスリーダーや開発者は、イノベーションに集中したいと望んでいます。いっぽう、コンプライアンスの確保は開発者をイノベーションから遠ざけます。これは機会コストです。機会コストとは、ある行動を選択することは、別の行動を取った場合の潜在的価値を失うことを意味するという前提です。あることをすれば、他のことができなくなります。残念ながら、コンプライアンスを証明しないという選択は、どんな企業にとってもありえません。どんなものであれ、手持ちのリソースとプロセスを使ってコンプライアンスを達成する必要があります。つまり、人員と時間が必要です。
コンプライアンス税の計算式を理解する
投入したリソースの合計(一定期間に人員に支払った金額と、ツールを使用しているならそのコスト)と機会コストを合わせたものを、すべての組織がコンプライアンスを証明するために支払う税金とみなすことができます―さらにそのコストは価値を生み出しません。計算式はつぎのように考えることができます。
- コンプライアンスに投入したリソース + 機会コスト = コンプライアンス税
「コンプライアンスに投入したリソース」は簡単に計算できます。これは単に、コンプライアンスに携わったチームの時給とコンプライアンスに投入した時間の掛け算です。しかし、含まれるのは給与だけではありません。設備、福利厚生、備品なども計算に入れる必要があります(つまり、リソースの総コストを意味します)。この上乗せは、企業や業界、国によって異なります。特に、価値の高い技術スタッフの場合は、上乗せは20%から50%になる場合もあります。つまり、時給が100ドルの場合、総コストは120ドルから150ドルほどの場合もあります。これは、そのリソースが何をしていようと払う必要があるコストです。
機会コストも企業、業界、役職、国によって異なります。一見、つかみどころがない数字だと思われるかもしれませんが、シンプルに次のように考えることができます。リソースは、総コストをいくらか超える価値を生み出すことが期待されています。その価値はコストの1.5倍、2倍、あるいは3倍かもしれません。固定の金額である場合も、総収益を従業員の総数で割った金額の場合もあるでしょう。その基準額にリソースの数と時間を掛けたもの、それが機会コスト―リソースをコンプライアンスに従事させたことで手放した価値―です。
これらを足したものが、組織に競争的価値をもたらさないコストの総額―コンプライアンス税です。ポジティブに表現すれば、コンプライアンス税とは、悪い評判や株価に影響を与える重大な結果から会社を守るために支払うコストです。
支払いを減らしイノベーションを増やすには
コンプライアンス作業のリアルタイムでのコストを把握したいと思いますか?計算してみましょう。
今後のブログ記事では、コンプライアンス税を減らし、イノベーションを増やす方法について、いくつか例を挙げて詳しく説明したいと思います。CloudBeesの顧客がどのようにより迅速でより安全な企業運営を実現しているかを説明します。
(この記事は、CloudBees社 Blog 「The Compliance Tax: Prioritize Innovation by Reducing Your Compliance Tax」2023年2月1日の翻訳です。)