アジリティとガバナンスの最適解 進化を続けるクラウド基盤「C-MAC」
パーソルグループでは現在、AWSをメインとして各種IaaS、SaaSへの移行を進めています。
今回ご紹介するのは、パーソルグループ内で提供されているクラウド基盤「C-MAC」(シーマック)。
C-MAC開発にあたり大切にしてきたことや、今後C-MACに期待される役割とは。
- 「C-MAC」概要
- C-MACは、パーソルグループ内で提供されているAWSクラウド基盤。開発のアジリティを高めることを目的に、旧来のAWS基盤と比較して各IT担当者が実行可能な操作権限を広く設定している。
パーソルホールディングスとグループ各個社が”共同で管理する基盤”であるというメッセージを込め、「Co-managed AWS Cloud」、略してC-MACと名付けられた。
相反する2つの課題の克服 C-MAC開発の背景
―C-MAC以前にも、AWSを用いたクラウド基盤が構築されていましたが、なぜC-MACの構築が必要になったのでしょうか?
おっしゃっていただいた通り、これまでパーソルグループでは、2種類のクラウド基盤を利用していました。1つは、中央集権型の基盤である「G-MAC」です。
管理者であるパーソルホールディングス内で組成されたチームで統制がとりやすいため、ガバナンスには非常に長けている基盤です。一方で、制限をかけているサービスが多く、基盤を利用するグループ会社のIT担当者が、自由に開発をできない点が課題でした。
もう1つは、自由度が高い基盤である「P-MAC」です。利用者となるグループ会社のIT担当者へほぼすべての権限を委譲している基盤のため、スピード感を持って自由に開発を行うことが可能です。
一方で、権限を委譲してしまっているがゆえに、管理者であるパーソルホールディングスがガバナンスを効かせにくいという課題を抱えていました。
こうした背景を受け、双方の基盤の”いいところ取り”をするような形で構築されたのが「C-MAC」なのです。
IT担当者目線に立った”使いやすい”クラウド基盤
―C-MACを開発するにあたり、どのようなコンセプトが設定されたのでしょうか?
「アジリティとガバナンスの両立」をコンセプトにしました。
C-MACではAWS ConfigやService Control Policy、GuardDutyなどの複数のAWSサービスを組み合わせて、セキュリティポリシー違反を検知・防止するためのガードレールを設けています。そのため、C-MACの利用者は、このガードレールの範囲内でAWSのサービスを自由に利用することができるんです。
こうした取り組みにより、利用者側の自由度の高い開発とセキュリティ面でのガバナンスの担保を実現しています。
―C-MACでは、グループ各社のIT担当者にはどのようなメリットがあるのでしょうか?
中央集権型の基盤である「G-MAC」では、AWS上で利用できるサービスが20~30であったのに対し、C-MACでは130ものサービスを利用可能と設定しています。
飛躍的に利用できるサービス数が増加したことにより、クラウドネイティブなシステム構成・アプリケーション構築も可能になりました。
これらのサービスは利用可能設定を行うにあたり、C-MACの運用チームでパーソルグループのセキュリティ基準に則っているかということを確認しています。
もちろん各IT担当者は、C-MACをご利用いただく際にセキュリティリスクを考慮していただきたいとは思うものの、C-MACをご利用いただければ、一定のセキュアな環境が整っていると言えると考えています。
―それほどまでにメリットがあれば、パーソルグループ内に与える影響は大きいのではないでしょうか?
そうですね。
2023年5月に発表された中期経営計画では、パーソルグループは「テクノロジードリブンの人材サービス企業」への進化を掲げています。
C-MACによって扱えるサービスが増えれば、テクノロジーを活用できる用途も拡がっていくと思うんです。そうすることで、ビジネスが加速するだけでなく、よりよいはたらき方の創出に近付いていくと考えています。
国内最大規模のアカウント数でも、進化を絶やさない基盤運営
―C-MAC構築において、特徴的だったことはありますか?
G-MACのような一極集中の基盤から環境分離を実施し、アカウント単位で本番・開発環境でシステムを分離したいというニーズに合ったソリューションが、当時のLanding Zoneでした。
Landing ZoneはAWSのベストプラクティスに基づいて、作成されたアカウントを展開していく仕組みです。導入を検討していた当時は、複数のAWSアカウントを管理するためのソリューションとして海外では導入実績があったようなのですが、当時日本での導入事例はほとんどない状況だったと聞いています。
C-MACの構築当時は東京リージョンで利用可能なサービスは、Landing Zoneのみだったこともあり、当時のニーズを満たすソリューションとしては最適だという判断で導入を決めました。
結果的にLanding Zoneの日本初の導入事例として、これまでも活用を進めてきました。
現在はLanding Zoneのサポートが終了することを受け、急ピッチで後継となるAWS Control Towerへの移行を進めています。200以上のワークロードがあるAWS基盤のLanding ZoneからAWS Control Towerへの移行は、日本でも例を見ない大規模プロジェクトです。Landing Zoneと同様、マルチアカウントの環境のセキュリティを担保しながら運用できるサービスとなっており、こちらは私が主導して進めています。
―アカウント数について、AWSのご担当者の方からコメントがあったそうですね。
はい。「保有しているアカウント数はLanding Zoneから移行しようとしているエンタープライズの中では日本最大規模」とおっしゃっていただいています。
パーソルグループは国内だけで35社を超えるグループ会社があることから、必然的にアカウント数は多くなるんですよね。加えて近年、パーソルグループとしてグループとしてクラウドシフトを推進していることも相まって、現在200以上のアカウントが稼働しています。
現在はAWSの機能拡張やサービスリリースに追従できるよう、積極的にサービス開放を続けている点や、現在提供できていない監視や共通プロキシといった共通サービスの開発も積極的に行っています。
―C-MACだからこそ実現できている取り組みの具体例があれば教えてください。
2021年にリリースされたAmazon FSx for NetApp ONTAPを利用して、C-MACがファイルサーバーのシステムリプレイス先となるような環境構築が行われていたりもします。
こういったサービス利用は、C-MACだからこそ安全に利用することができると言えるでしょうね。
サポートからアドバイザーへ C-MACチームに期待される役割
―C-MACを運用される上で和田山さんをはじめとするC-MACチームの皆さんは、どのような役割を担っているんですか?
C-MACはここまでお伝えしている通り、IT担当者の自由度が高いので、基本的にはIT担当者の方々がそれぞれに使ってくださっています。その上で、それぞれのIT担当者の要望を実現するためのアドバイザーとして相談を受けることが増えました。
―チーム構成にも特徴があると伺いました。
そうなんです。C-MACチームは1つの組織に運用部隊と改善部隊が同居しているDevOpsチームなんです。運用しているIT担当者の声を拾い、それをそのまま改善部隊に連携することで、機能拡張や改善をシームレスに繋げられる点が強みです。作りっぱなしにならないよう、サービスリリース後にしっかり運用できる点もメリットですね。
進化を続けるC-MAC
―最後に、C-MACの展望を教えてください。
C-MACは自由度が高い反面、システム構築・運用に伴う利用者側での対応事項も多くなるため、グループ会社のIT担当者の中には運用負担が大きいと感じる方もいます。そのため、C-MAC上でよく利用されるサービスを共通テンプレート化したり、AWSの利用に関する勉強会を実施するなどして、C-MACの使いやすさ向上や、AWS活用方法の浸透を今後より図っていきたいと考えています。
また、パブリッククラウドはAWS以外にも選択肢はさまざまありますが、その中でも「C-MACを利用したい」と思っていただけるよう、さらに基盤の付加価値を高めていきたいと思います。
(2023年6月時点の情報です。)
- 和田山拓郎Takuro Wadayama
- パーソルホールディングス株式会社
グループIT本部 ビジネスコアインフラ部 クラウド推進室 C-MAC基盤チーム
コンサルタント - 2020年、パーソルホールディングスに新卒入社。グループ全体に提供するクラウド基盤の管理・運用を行うチームにて、マネージド型クラウド基盤であるG-MACの運用メンバーとして参画。その後、C-MACの運用・開発チームに参画し、基盤の機能改善・開発業務に従事。
