ストーリー
田
田中VPoE
理論は十分だ。ここからは、実際の組織データを使ってアセスメントを実施してみよう
田
田中VPoE
以下に5つのチームのヒアリング結果とメトリクスデータを用意した。これを分析して、組織全体のCI/CD現状アセスメントレポートを作成してほしい
あなた
わかりました。成熟度モデルと分析フレームワークを使って進めます
あ
田
田中VPoE
ただし、注意してほしいことがある。データには矛盾や曖昧さがある。実際の組織分析でも完璧なデータは手に入らない。不確実な情報の中で判断を下す力が必要だ
ミッション概要
| ミッション | テーマ | 目安時間 |
|---|---|---|
| Mission 1 | チーム別成熟度評価 | 15分 |
| Mission 2 | 組織全体の課題マッピング | 10分 |
| Mission 3 | ギャップ分析 | 10分 |
| Mission 4 | 改善ロードマップ策定 | 15分 |
| Mission 5 | 経営層向けサマリー作成 | 10分 |
前提条件
以下の5チームのデータが与えられています:
【チームAlpha】ECプラットフォーム開発
- CI/CDツール: GitHub Actions
- テスト: ユニットテスト(カバレッジ85%)、E2Eテスト
- デプロイ: Blue/Greenデプロイ(ArgoCD)
- セキュリティ: Snyk SCA、GitHub CodeQL
- デプロイ頻度: 週3-4回
- ビルド時間: 約8分
- 課題: 「特に問題ないが、E2Eテストが不安定」
【チームBravo】社内管理システム開発
- CI/CDツール: Jenkins(オンプレミス、バージョン2.x)
- テスト: ユニットテスト(カバレッジ30%)
- デプロイ: 手動デプロイ(担当者がSSHで実行)
- セキュリティ: なし
- デプロイ頻度: 月1回
- ビルド時間: 約25分
- 課題: 「Jenkinsの設定がわかる人が1人しかいない」
【チームCharlie】モバイルアプリ開発
- CI/CDツール: Bitrise
- テスト: ユニットテスト(カバレッジ60%)、UIテスト
- デプロイ: App Store / Google Playへの自動配信
- セキュリティ: OWASP Mobile Top 10チェック(手動)
- デプロイ頻度: 2週に1回
- ビルド時間: 約15分(iOS)/ 約12分(Android)
- 課題: 「ビルドキューが混雑してリリースが遅れることがある」
【チームDelta】データ基盤チーム
- CI/CDツール: GitLab CI
- テスト: データ品質テスト(Great Expectations)
- デプロイ: Airflow DAGの手動コピー
- セキュリティ: なし
- デプロイ頻度: 週1回
- ビルド時間: 約5分(パイプライン自体)
- 課題: 「データパイプラインのテストが難しい」
【チームEcho】インフラ/SREチーム
- CI/CDツール: GitHub Actions + Terraform Cloud
- テスト: Terraform plan、OPA/Conftestポリシーチェック
- デプロイ: GitOps(Terraform Apply via PR merge)
- セキュリティ: tfsec、Checkov
- デプロイ頻度: 日次(インフラ変更)
- ビルド時間: 約3分(planのみ)
- 課題: 「他チームがインフラ変更を依頼してくる待ち時間が長い」Mission 1: チーム別成熟度評価(15分)
要件
上記5チームそれぞれについて、6つの評価軸(ビルド/テスト、デプロイ、セキュリティ、インフラ、可観測性、ガバナンス)で成熟度レベル(1-5)を評価してください。
期待される成果物
チーム×評価軸のマトリクスを完成させること。
解答例
| チーム | ビルド/テスト | デプロイ | セキュリティ | インフラ | 可観測性 | ガバナンス | 平均 |
|---|---|---|---|---|---|---|---|
| Alpha | 4 | 4 | 3 | 3 | 不明 | 2 | 3.2 |
| Bravo | 2 | 1 | 1 | 1 | 不明 | 1 | 1.2 |
| Charlie | 3 | 3 | 2 | 2 | 不明 | 2 | 2.4 |
| Delta | 2 | 1 | 1 | 2 | 不明 | 1 | 1.4 |
| Echo | 3 | 4 | 4 | 4 | 不明 | 3 | 3.6 |
注意: 可観測性のデータが不足しているため「不明」としています。実際のアセスメントでは、追加のヒアリングが必要です。これがノイズレベルHIGHの特徴 — 不完全な情報の中で判断を求められます。
Mission 2: 組織全体の課題マッピング(10分)
要件
5チームのデータから、組織全体に共通する課題を5つのカテゴリ(サイロ化、セキュリティ、品質、スケーラビリティ、フィードバック)で整理してください。
解答例
| カテゴリ | 課題 | 該当チーム |
|---|---|---|
| サイロ化 | 4種類のCI/CDツールが混在(GitHub Actions, Jenkins, Bitrise, GitLab CI) | 全チーム |
| サイロ化 | チーム間でベストプラクティスの共有がない | 全チーム |
| セキュリティ | 2チーム(Bravo, Delta)でセキュリティスキャンが未実施 | Bravo, Delta |
| セキュリティ | セキュリティポリシーが組織レベルで未定義 | 全チーム |
| 品質 | テストカバレッジが30%〜85%と大きなばらつき | Bravo, Charlie |
| 品質 | 手動デプロイが残るチームがある | Bravo, Delta |
| スケーラビリティ | ビルドキューの混雑(共有リソースの不足) | Charlie |
| スケーラビリティ | Jenkins属人化による単一障害点 | Bravo |
| フィードバック | DORA指標を計測しているチームがない | 全チーム |
| フィードバック | 可観測性のデータが収集できていない | 全チーム |
Mission 3: ギャップ分析(10分)
要件
各チームの自己認識(「課題」欄の回答)と客観的な評価のギャップを分析してください。
解答例
| チーム | 自己認識 | 客観評価 | ギャップ |
|---|---|---|---|
| Alpha | 「特に問題ない」(E2Eの不安定さのみ) | セキュリティスキャンがSCA/SASTのみでDAST未実施。ガバナンスが未整備 | 自己評価が高すぎる。セキュリティとガバナンスの課題を認識していない |
| Bravo | 「Jenkinsの属人化が課題」 | 成熟度が全軸でLevel 1-2。手動デプロイ、セキュリティスキャンなし、テストカバレッジ低い | 課題の一部しか認識していない。最も深刻な問題はセキュリティの不在 |
| Charlie | 「ビルドキューの混雑」 | ビルドキュー以外にもセキュリティスキャンの自動化やカバレッジ向上の余地がある | 表面的な課題のみ認識。根本的な改善ポイントを見逃している |
| Delta | 「テストが難しい」 | データパイプラインのCI/CD全体が未成熟。手動デプロイ、セキュリティなし | テスト以前に、基本的なCI/CDプラクティスが不足 |
| Echo | 「他チームからの依頼待ち」 | 最も成熟度が高いが、セルフサービス化が進んでいない | 正確に課題を認識している。解決策はプラットフォーム化 |
Mission 4: 改善ロードマップ策定(15分)
要件
3フェーズ(短期: 1-3ヶ月、中期: 3-6ヶ月、長期: 6-12ヶ月)の改善ロードマップを策定してください。
解答例
Phase 1: 短期(1-3ヶ月) — 基盤整備
| 施策 | 対象 | 期待効果 |
|---|---|---|
| 全チームにセキュリティスキャン導入 | Bravo, Delta | セキュリティリスクの即座の軽減 |
| DORA指標の計測開始 | 全チーム | 改善のベースライン確立 |
| Bravo: JenkinsからGitHub Actionsへの移行計画策定 | Bravo | 属人化リスクの軽減 |
Phase 2: 中期(3-6ヶ月) — 標準化
| 施策 | 対象 | 期待効果 |
|---|---|---|
| 標準パイプラインテンプレートの策定 | 全チーム | サイロ化の解消、品質の底上げ |
| 共有ランナー基盤の構築 | 全チーム | スケーラビリティ向上、コスト最適化 |
| セキュリティポリシーの組織レベル定義 | 全チーム | 統一されたセキュリティ基準 |
Phase 3: 長期(6-12ヶ月) — 最適化
| 施策 | 対象 | 期待効果 |
|---|---|---|
| セルフサービスCI/CDプラットフォーム | 全チーム | チームの自律性と標準化の両立 |
| 自動コンプライアンスチェック | 全チーム | ガバナンスの自動化 |
| メトリクスダッシュボード | 全チーム | 継続的な改善文化の定着 |
Mission 5: 経営層向けサマリー作成(10分)
要件
上記の分析結果を、経営層(CTO/VPoE)が5分で理解できるエグゼクティブサマリーとして作成してください。
解答例
# CI/CD現状アセスメント エグゼクティブサマリー
## 現状
- 5チーム中2チームでセキュリティスキャンが未実施(セキュリティリスク: 高)
- 4種類のCI/CDツールが混在(年間ライセンスコスト: 推定XX万円)
- 成熟度レベルの組織平均: 2.4/5.0(業界平均: 3.0)
- DORA指標: 未計測(改善の基準がない)
## リスク
1. セキュリティインシデントのリスクが高い(2チームでスキャン未実施)
2. 属人化による事業継続性リスク(Jenkins管理者が1名)
3. 技術負債の蓄積(手動デプロイ、低テストカバレッジ)
## 提案
3フェーズで改善:
1. **短期(1-3ヶ月)**: セキュリティ強化、計測基盤構築
2. **中期(3-6ヶ月)**: パイプライン標準化、共有基盤構築
3. **長期(6-12ヶ月)**: セルフサービス化、自動ガバナンス
## 期待効果
- セキュリティリスクの大幅低減
- CI/CDインフラコスト: 推定30%削減
- デプロイ頻度: 全チームで週次以上を目標達成度チェック
| ミッション | テーマ | 完了 |
|---|---|---|
| Mission 1 | チーム別成熟度評価 | |
| Mission 2 | 組織全体の課題マッピング | |
| Mission 3 | ギャップ分析 | |
| Mission 4 | 改善ロードマップ策定 | |
| Mission 5 | 経営層向けサマリー |
まとめ
| ポイント | 内容 |
|---|---|
| 成熟度評価 | 多軸でチームごとに評価し、組織全体の傾向を把握する |
| ギャップ分析 | 自己認識と客観データの差が最も価値ある発見 |
| ロードマップ | 短期・中期・長期で段階的に改善する |
| 経営層報告 | 技術的な詳細より、リスクとビジネスインパクトを伝える |
チェックリスト
- 不完全な情報の中で成熟度評価ができた
- 組織全体の課題パターンを特定できた
- 自己認識と客観データのギャップを分析できた
- 段階的な改善ロードマップを策定できた
- 経営層が理解できるサマリーを作成できた
次のステップへ
次は理解度チェックのクイズです。Step 1で学んだCI/CD成熟度モデル、課題パターン、分析フレームワークの知識を確認しましょう。
推定読了時間: 60分