decadence

個人のメモ帳

部署横断のフロントエンド会・セキュリティ会

仕事

これは何

社内における業務の効率化・横断的な知識の共有を目的として、部署横断の「会」を開催した話。

課題感

「会社の規模は100人未満・複数サービスを提供・内部統制のための情報管理は維持」

スタートアップとしてtry & errorを繰り返していく中でこのような状態となり、やりたいことと守らなければならないことが混在しうる。このような場合において、一例として以下のような課題感が生じていた。

  • 異なる部署・チームにおいて人・知識が分散している
    • 異なるチームで同様の技術を使う中で、同じような悩みを抱えることは不毛
    • Spotifyのスクワッドのような体制を組む程の人/時間はない
  • 会社全体としての「盛り上がり」をしたい
    • 個々人の力・個々のチーム力のみならず、同じ会社で働いている人間同士で共に成長できる場が欲しい
  • 誰でも提言できる場を作りたい
    • 内部統制のために必要以上の権限は持たない*1
    • 一方で、各人が持っている知識について活かしたい
  • 個別の部内制御はできているが、広い目線でポテンヒットが発生しうる*2

会について

機能や参加者が全く異なっている2つの会、フロントエンド会とセキュリティ会について記載する。

フロントエンド会

フロントエンド会はわりとどこにでもあるような、部署横断でフロントエンド技術のことを話せる場として開催している。参加者は主としてエンジニアの中でフロントエンド技術に興味のある人となっており、主なトピックとしては以下のようなものがある。

  • 直近であったサービス開発内の変更・方針の共有
  • 界隈であったおもしろネタ

たとえば前者にはとある新サービスにおいて、日付処理はどのようなライブラリを用いているのかを共有したりしている。後者においては、最近であるならばNext.js 13であったり、React use の話をしたりしている。

セキュリティ会

セキュリティ会は社内・プロダクト双方において、セキュリティに係る人へ何でも話せる場として開催している。参加者はリスク管理・セキュリティ・インフラ...それ以外にもオブザーバとしての内部監査担当者など様々である。もちろんスリーラインディフェンスのような形で本来守られるべき事項については個別の部署や各委員会のような形で担保されるべきこともあるが、ここでは困っていること、ふと気になったこと、他部署の事例について個別にアドバイスしたいことなどが取り上げられることが多い。

セキュリティ会において重要視していることは、以下のことである。

  • 「本来どうあるべきか」を話す
    • 本来対応すべき部署以外にも知識がある人が入ることで、新しい目線が生まれ、ゴールを正しく知ることができる
  • 「現状としての最善手」を話す
    • 限られたリソースの中で、出来ることを検討する*3
  • 「優先度・ボールの持ち手」を話す
    • 限られたリソースの中でできそうなこと・やらなければいけないことを前提に用意
    • やるべきことについては明らかにわかるもの以外でポテンヒットとならないように担当部署 (not 担当者) の認識を統一させる
    • 例えば新規案件についてボールの持ち手となる部署側でチケットなどが切られたならば、知識を十分に得た場合においては、ここで議論はもはやしなくてよい

特徴

いずれの会においても、別に職務横断チームやギルドを作りたいわけではない。自分の知識・経験が足りなくとも、誰か知識のある人が教えてくれる・助けてくれる状況になりえる。そういった個々人の成功体験を踏まえて知識の集約と属人性の排除や知識分散を行い、強い会社としての継続性を図りたい。そのゴールに対して、限られたリソース・時間の中で最低限の労力で拾える部分のみを拾いたいだけなのである。

そのためにも、会が開催されている時間内において、参加者の自主性やコミュニケーションを取れるような進行が誰にでも行える状態とする

  • 会の開催においては、元々用意されたテンプレートページをベースに話を進める
  • 司会は毎回ローテーションされ、テンプレートページには誰が司会をやってもできるような司会進行案内を記載する
  • 会の開催時には以下のことを実施する
    • Slackにzoom urlを投下するなどして、誰でも参加可能なように開催場所への案内を行う
    • 喋りながらでも思いついたtopicは随時記載してもらうことを周知
      • 参加コストをあげないために、当日参加からでも議題をあげたり議論に参加できる状態とする
  • 会の終わりには以下のことを実施する
    • 次回の司会を決める
    • 次回のページを作成し、都度都度ページに次回話したいことを書いてもらうことを依頼

株式会社FOLIOでは、サービスセキュリティから内部統制を含め、中からも外からも情報セキュリティへ取り組んでいきたい方を募集しています。ぜひ興味があればカジュアル面談からでもお話させてください。

corp.folio-sec.com

*1:とはいえ、必要に応じて兼務などは許容

*2:CTO/CISOのようなところで担保する案もあるが、個人に依存するのもよろしくはない

*3:当然最終的には経営判断・権限のある部長判断等により左右されうるものという前提