こんにちは!松山品質保証部の北地です。社内で「セキュリティテスト」をテーマにパネルディスカッションを開催しました。その様子と得られた気づきをご紹介します。
テーマ選定やイベント開催の経緯についてはこちらにまとめています。
QAエンジニア(以下、QA)をメインターゲットとして企画した本イベントですが、プログラマー(以下、PG)やスクラムマスター、プロダクトオーナーにも興味を持ってもらえて、総勢約40名が集まりました!
パネラーに投げかけた質問
パネラーにはサイボウズ製品の品質保証責任者とセキュリティテストを担当するPSIRT(Product Security Incident Response Team の略)を招集しました。パネラーに向けて以下のような質問を投げかけディスカッションしていただきました。(一部抜粋)
- セキュリティテストの実施単位は?
- PSIRTは試験計画をどのように立案しているの?
- 開発チームはいつごろ、どのような内容でPSIRTに検証を依頼しているの?
- 社外から脆弱性の報告があった場合、対応フローは?
- PSIRTは開発チームのスクラムイベントに参加している?
- PSIRTが開発チームのスクラムイベントに参加する必要はある?
ディスカッションにより気づいたこと
上記のような質問に対してディスカッションを進めることで以下の気づきがありました。
セキュリティテストの実施タイミング
"開発完了後に一括して実施"するチームと"スプリント単位で実施"するチームがありました。
前者は、PGとPSIRTの間をQAが仲介しており、 変更が発生した際のPSIRTとのやり取りの手間がかかるために、"スプリント単位での実施"は困難とのことでした。
一方、後者は、PGとPSIRTメンバーが直にやり取りをすることで効率化しているようでした。PSIRTにとっての、スクラムイベントに参加するメリット
要件を早めにキャッチアップできたり、PGとのコミュニケーションがスムーズになったという意見が多かったです。振り返り
PSIRTは内部で振り返りを実施しており、開発チームの振り返りには参加していませんでした。しかし、このディスカッションを通して開発チームの振り返りに PSIRTが参加することのメリットはありそうだという意見が出ました。設計段階からの参加
今後の課題として、PSIRTがリリース前にセキュリティ観点で品質を作り込めることが挙げられました。
イベントを振り返ってみて
SPITzメンバー及びパネラーを交えて振り返りを行いました。Agile Testing活動のコンセプト(※)を実感できたか、という点を振り返ってもらった結果、「少し実感できた/あまり実感できなかった」という意見が大半でした(以下、参加者のコメント)。
〇少し実感できた
- 各チームのセキュリティテストのプロセスの流れはほぼ同じだったが、ほかのチームの取り組み方について知ることはできて、興味深かった。
- 今まで知らなかった他製品のプロセスを知れたことが単純に面白かった(参考になった)。
〇あまり実感できなかった
- 今すぐ何か取り入れたいということはなかった。
- 自分たちのチームではやっていない取り組みの話題は出ていたが、具体的な話をその場で質問できなかったため、壇上のメンバー同士で質問をする時間をもうけてもよかったかもしれない。
総じて「他製品のチームのプロセスへの理解が深まったものの、次のアクションにつなげるための効果としては弱かった」といった印象です。次回の活動では今回の弱点を改善していきます!
(※)製品QAメンバーに「他のチームのAgile Testing情報参考になる。自分たちもこれから取り入れてみよう!」と言ってもらうこと。
次回予告
「理想のAgile Testing ワークショップ 」を開催する予定です。レポートにご期待ください!
We are hiring!!
サイボウズでは「日々の仕事をカイゼンしたい」「いろんな人と繋がって学び合いたい」というカイゼン意欲をもった方がチャレンジできる環境があります。
キャリア採用 QAエンジニア | サイボウズ 採用情報(新卒・キャリア)
キャリア採用 QAエンジニア(ミドルウェア) | サイボウズ 採用情報(新卒・キャリア)
キャリア採用 テストエンジニア | サイボウズ 採用情報(新卒・キャリア)
ぜひ私たちと一緒に働きましょう!
