ストーリー
田
田中VPoE
DevOps文化の全体像は掴めたか。次は組織の現在地を客観的に測る方法だ。感覚ではなく、フレームワークで評価する
あなた
「うちはDevOpsができている」と言う人もいれば「全然できていない」と言う人もいて、認識がバラバラです
あ
田
田中VPoE
まさにそれが問題だ。成熟度モデルを使えば、「何ができていて、何ができていないのか」を共通言語で議論できる。経営層への報告にも使える客観的な指標だ
あなた
どのような評価軸があるんですか
あ
田
田中VPoE
DevOps成熟度モデルにはいくつかの流派がある。今回は実務で最も使いやすい「5段階×7軸」のモデルを教える。DORA(DevOps Research and Assessment)の知見も取り入れた実践的なものだ
DevOps成熟度モデルの概要
5段階の成熟度レベル
| レベル | 名称 | 特徴 | 典型的な組織の状態 |
|---|---|---|---|
| Level 1 | Initial(初期) | アドホックで属人的 | 手動デプロイ、個人の英雄的活躍に依存 |
| Level 2 | Managed(管理) | 基本的なプロセスが存在 | CI/CDの部分導入、一部チームで自動化 |
| Level 3 | Defined(定義) | 標準化されたプロセス | 全チームで共通のCI/CDパイプライン、IaC |
| Level 4 | Measured(計測) | データ駆動の改善 | DORAメトリクスの計測、SLI/SLO運用 |
| Level 5 | Optimized(最適化) | 継続的な学習と実験 | 実験文化、自律的な改善サイクル |
成熟度の階段:
Level 5 ┃ 継続的学習・実験文化・自律的改善
┃
Level 4 ┃ メトリクス駆動・データに基づく意思決定
┃
Level 3 ┃ 標準化・全社展開・プロセスの定義
┃
Level 2 ┃ 部分的な自動化・チーム単位の取り組み
┃
Level 1 ┃ アドホック・属人的・手動作業
┗━━━━━━━━━━━━━━━━━━━━━━━━━7つの評価軸
| # | 評価軸 | 評価観点 |
|---|---|---|
| 1 | CI/CD | ビルド・テスト・デプロイの自動化レベル |
| 2 | インフラ管理 | IaC、プロビジョニング、構成管理の成熟度 |
| 3 | モニタリング・オブザーバビリティ | 可観測性、アラート、インシデント対応 |
| 4 | コラボレーション | チーム間連携、情報共有、共通目標 |
| 5 | 学習と改善 | ポストモーテム、振り返り、実験文化 |
| 6 | セキュリティ(DevSecOps) | セキュリティのシフトレフト、自動スキャン |
| 7 | ガバナンス | 変更管理、コンプライアンス、監査対応 |
各軸の詳細評価基準
軸1: CI/CD
| レベル | 基準 |
|---|---|
| 1 | ビルド・デプロイは手動。テストも手動で実施 |
| 2 | CIが一部チームで導入。ユニットテストの自動実行あり |
| 3 | 全チームでCI/CDパイプラインが標準化。自動テストカバレッジ70%以上 |
| 4 | デプロイ頻度・リードタイムをメトリクスで追跡。カナリアリリース実施 |
| 5 | On-demandデプロイ。フィーチャーフラグ。トランクベース開発 |
軸2: インフラ管理
| レベル | 基準 |
|---|---|
| 1 | 手動でサーバー構築。構成はドキュメントベース |
| 2 | 一部でIaC導入(Terraform/CloudFormation)。手動変更も残る |
| 3 | 全インフラがIaCで管理。環境の再現性が保証される |
| 4 | インフラ変更のリードタイム計測。ドリフト検知の自動化 |
| 5 | Self-serviceプラットフォーム。開発者が自律的にインフラを構築 |
軸3: モニタリング・オブザーバビリティ
| レベル | 基準 |
|---|---|
| 1 | 障害発生後に手動で調査。ログは各サーバーに分散 |
| 2 | 集中ログ管理、基本的なアラート設定 |
| 3 | メトリクス・ログ・トレースの3本柱。SLI/SLOの定義 |
| 4 | エラーバジェットに基づく意思決定。AIOps導入 |
| 5 | プロアクティブな異常検知。カオスエンジニアリング |
軸4: コラボレーション
| レベル | 基準 |
|---|---|
| 1 | 開発と運用が分離。チケットベースの依頼関係 |
| 2 | 定期的な合同ミーティング。一部の情報共有 |
| 3 | クロスファンクショナルチーム。共通のバックログ |
| 4 | Shared ownership(共同責任)。ブレームレスな文化 |
| 5 | 完全なYou Build It, You Run It。自律的なチーム |
軸5: 学習と改善
| レベル | 基準 |
|---|---|
| 1 | 障害後の振り返りなし。同じ問題が繰り返される |
| 2 | 重大障害後にポストモーテム実施。ただし形骸化 |
| 3 | すべてのインシデントでブレームレスポストモーテム。アクションアイテムの追跡 |
| 4 | 定期的な改善スプリント。実験文化(GameDayなど) |
| 5 | 学習する組織。全員が改善を日常的に実践 |
軸6: セキュリティ(DevSecOps)
| レベル | 基準 |
|---|---|
| 1 | リリース前の手動セキュリティレビュー。事後対応型 |
| 2 | CI/CDに脆弱性スキャンを一部統合 |
| 3 | セキュリティテストがパイプラインに組み込まれている。SAST/DAST |
| 4 | セキュリティメトリクスの計測。脅威モデリングの定期実施 |
| 5 | Security as Code。開発者がセキュリティを自律的に実装 |
軸7: ガバナンス
| レベル | 基準 |
|---|---|
| 1 | 変更管理プロセスなし。または重い承認プロセスが障壁 |
| 2 | 基本的な変更管理。ただしスピードとのトレードオフ |
| 3 | 自動化された変更管理。コンプライアンスチェックの自動化 |
| 4 | リスクベースの変更分類。低リスク変更は自動承認 |
| 5 | ガバナンスがパイプラインに組み込まれ、スピードを阻害しない |
成熟度評価の実施方法
評価プロセス
Step 1: 評価チームの編成
├── 各部門の代表者を含める
├── 開発、運用、セキュリティ、マネジメント
└── 外部の視点(可能であればコンサルタント)
Step 2: データ収集
├── 定量データ: CI/CDメトリクス、デプロイ頻度、MTTR等
├── 定性データ: インタビュー、サーベイ、観察
└── ドキュメント: プロセス定義書、ポリシー、運用手順書
Step 3: 軸ごとの評価
├── 7軸それぞれについてレベルを判定
├── 根拠となるエビデンスを明記
└── 複数の評価者間でキャリブレーション
Step 4: 総合評価とギャップ分析
├── レーダーチャートで可視化
├── 強み・弱みの特定
└── 目標レベルとのギャップを明確化
Step 5: 改善計画の策定
├── 優先度の高い軸を特定
├── 短期(3ヶ月)・中期(6ヶ月)・長期(12ヶ月)の目標設定
└── 具体的なアクションプランの策定評価時の注意点
| 注意点 | 説明 |
|---|---|
| 全社一律で評価しない | チーム・部門ごとに成熟度は異なる。代表値だけでなく分布を把握する |
| 自己評価バイアスに注意 | 自チームを過大評価する傾向がある。客観的なエビデンスを求める |
| Level 5を目標にしない | すべての軸でLevel 5を目指す必要はない。ビジネス要求に応じた最適レベルを設定する |
| プロセスの有無ではなく実態を評価 | ドキュメントがあっても実行されていなければ意味がない |
成熟度評価の活用
レーダーチャートによる可視化
CI/CD
5
|
ガバナンス 4 - - - - インフラ管理
| 3 |
| / \ |
セキュリティ--2--+--モニタリング
| \ / |
| 1 |
学習と改善 - - - - - コラボレーション
─── 現在の状態
--- 目標の状態ギャップ分析の例
| 評価軸 | 現在レベル | 目標レベル | ギャップ | 優先度 |
|---|---|---|---|---|
| CI/CD | 3 | 4 | 1 | 中 |
| インフラ管理 | 3 | 4 | 1 | 中 |
| モニタリング | 2 | 4 | 2 | 高 |
| コラボレーション | 2 | 4 | 2 | 最高 |
| 学習と改善 | 1 | 3 | 2 | 最高 |
| セキュリティ | 2 | 3 | 1 | 中 |
| ガバナンス | 2 | 3 | 1 | 低 |
「技術的な軸(CI/CD、インフラ)は比較的進んでいるが、文化的な軸(コラボレーション、学習)が遅れている。これが典型的な『ツールは入れたが文化は変わらない』パターンだ」 — 田中VPoE
まとめ
| ポイント | 内容 |
|---|---|
| 5段階モデル | Initial → Managed → Defined → Measured → Optimized |
| 7つの評価軸 | CI/CD、インフラ、モニタリング、コラボレーション、学習、セキュリティ、ガバナンス |
| 評価プロセス | チーム編成→データ収集→軸評価→ギャップ分析→改善計画 |
| 注意点 | 全社一律で評価しない、自己評価バイアスに注意、Level 5を一律の目標にしない |
チェックリスト
- DevOps成熟度の5段階レベルを理解した
- 7つの評価軸の内容と評価基準を理解した
- 成熟度評価の実施プロセスを理解した
- レーダーチャートによる可視化とギャップ分析の方法を理解した
次のステップへ
次は「文化アセスメント手法」を学びます。DevOps成熟度モデルを補完する形で、組織文化そのものを評価する手法を身につけましょう。
推定読了時間: 30分