実はセキュリティと親和性がある? 最近注目される「FinOps」という考え方
先日、アイティメディアの別編集部から取材同行を依頼され、ある勉強会のレポートを書きました。その勉強会のテーマはセキュリティとはちょっと違うもので、その名も「FinOps」。実は私もその本質を理解しておらず、思わず「最近金融関連もFinTechで盛り上がっていますよね!」と、見当違いの反応をしてしまいました。 FinOpsフレームワークにはAllied Personasの一つに「セキュリティ」が存在する(出典:FinOps FoundationのWebサイト) FinOpsは金融系のお話しではなく「さまざまなクラウドリソースの費用を運用とともに最適化する」という考え方です。決してセキュリティとも遠くない考え方だと思ったので、自分の勉強メモとしてもここでまとめてみたいと思います。
「FinOps」とセキュリティの意外な共通点
「○○Ops」といえば、運用を回しつつフィードバックを受け、開発を改善していくというプロセスをイメージする方が多いかと思います。セキュリティにおいては、オペレーションに関して開発チームと運用チーム、セキュリティチームを融合させて最適化しようという「DevSecOps」という言葉もあります。対してFinOpsは運用を回しつつ、クラウドのコストを最適化するというものです。 Linux Foundationのプロジェクトの1つ「FinOps Foundation」の創設者であるJ.R.ストーメント氏は、FinOpsについて「クラウドのビジネス価値を最大化し、タイムリーなデータ主導の意思決定を可能にし、エンジニアリングや財務、ビジネスチーム間のコラボレーションを通じて財務的説明責任を果たすための運用フレームワークだ」と言います。さらに同氏は、これは技術やコスト削減、クラウド利用の削減ではなく「組織における文化的慣習だ」とも述べており、ツールで解決する問題ではなく、組織が一丸となり実践するものだとしています。 この考え方は比較的最近生まれたもので、2021年頃から注目を集めています。FinOps Foundationはクラウドを横断して統一した指標でコスト最適化に向けたデータセット標準「FOCUS」(FinOps Open Cost & Usage Specification)を策定しています。Amazon Web Services(AWS)やMicrosoft、Google、OracleといったハイパースケーラーもFOCUSに対応しているため、現場や経理担当者、そして経営者の共通の“言語”として利用可能です。 FinOps Foundationは毎年大規模なカンファレンスを開催しており、2024年6月には米国のサンディエゴで「FinOps X 2024」が開催されました。日本からも数人が参加したと報告がありましたが、基調講演ではUberやディズニー、アメリカン・エキスプレスといった名だたる大企業が登壇しています。 特にUberについては、クラウドサービス事業者からの請求プロセスにおいて誤請求がかなり存在し、「過剰支出を戦略的に回避するためにいかにbotを活用するか」というテーマでの講演を行っています。講演は「YouTube」で動画が公開されているので、興味のある方はぜひ視聴してみてください。