スケーラビリティエンジニアの仕事
今出川FMは、株式会社ヘルピールの今をお届けするポッドキャストです。
というわけで、久々の回ですね、やっていければと思うんですけども、
今日もスペシャルなゲストにお越しいただいてます。
ヘルピールでスケーラビリティエンジニアですかね、として活躍していただいてます、
木村さんにお越しいただきました。木村さんどうぞよろしくお願いします。
はい、よろしくお願いします。
ちょっと緊張しますか?
はい。
いきなりぶっ込んだ質問をしちゃいますけれども。
私もちなみに久々の今出川FMで、緊張というよりは盛り上がりを感じておりますが、
気軽に話していただければと思うんですけれども、
木村さん、さっきスケーラビリティエンジニアですという紹介の仕方をしたんですけれども、
簡単に普段どういう仕事をしているかとか、最近やった仕事とか、
そういう話も聞ければと思うので、最初に普段どういう仕事をしているかを
教えていただいてもよろしいでしょうか。
最近の仕事と脆弱性調査
普段はですね、アプリの開発とかレビューとかをしつつ、
サーバーのメトリクスの状態を監視したりとかっていう感じでやってます。
最近の仕事では、本当に機能開発面のと、
特に最近ホットだったのは、
OpenSSHで脆弱性が見つかったので、
ちょっと脆弱性の調査を始めて展開していたりとかっていう感じのところとかやったりしていました。
いいですね。脆弱性調査なんてまさに一丁道バンチのところかなという気もするんですけれども、
脆弱性の種類によっても違うと思うんですけれども、
今回のOpenSSHの脆弱性でいくと、
例えばどんなところを調査したのか教えてもらってもいいですか。
基本的にはまずサーバーをSSHで入れたらまずいので一応確認しました。
といってもマネージドサービスをよく使っているので、
コートが空いていることはないんですが。
脆弱性がどんなものかっていうのを調べて、
一応影響範囲として何が一番まずいかサーバーだと調べて、
その辺りからサーバーを中心に他の構成図で、
この用途のところも入れたらまずいので調査しておいたほうがいいですね。
権限ないんである人お願いできますかみたいな感じで広めています。
結構念のためこの辺りも怪しいんじゃないかで点検してるっていうような進め方なんですね。
この辺りって自宅サーバー運営してる人とか、
当然SSHって22番ポートじゃないにしても使ってたりするわけじゃないですか。
慌ててアップデートしないと大変なことになりそうですよね。
自宅サーバーとかは結構緊張感はあったと思うんですけど、
一応初報では32ビットOSでは再現できたんですけど、
64ビットでは再現できてなかったって言って、
脆弱性の種類がレースコンディションに入るってものなんで、
結構悪用が難しい点で。
SSHの認証をバイパスできるので入れたらやばいんで、
無視はしないほうがいいんですが、
めちゃくちゃバタバタしなくてもみたいな位置づけをしたり。
聞いてる方がもしかしたらエンジニアじゃない方も聞いてる可能性もあるので、
せっかくなんでレースコンディションに入るかどういうものなのか教えてもらってもいいですか。
普段OSSHとかもネットワーク越しのコンピューターに対して何か依頼して返答するのをサーバーと言うんですけど、
ネットワーク越しにいるんで、
いろんな人が同時にこれやってくれって言われることがあるわけですよね。
ウェブサーバーとかもいろんな地域でいろんな人がバンバンアクセスしますもんね。
電話みたいに前の人が終わるまで繋がれませんって言われたらとても無事じゃないから使えないので。
昔のダイアロープ回線とかは回線塞がっちゃって、
お母さんが全然電話使えないんだけどって切れるとかよくある話でしたけどね。
全然違う話になっちゃったけれども。
現代のハイテクなインターネッツでは。
直近4,50年のハイテクなインターネッツはですね。
同時にいろいろと処理をすることがありまして。
いい時代ですね。
同時に処理をする過程で、たまにプログラムがうまくないと、
他の処理と混ざってしまうとかっていう状況とかが発生したりします。
そういうのがよくマルチスレッドで大丈夫かとか言われるんですが、
そういう同時アクセスでおかしな状況になるっていうのをレースコンディションと言いまして、
同時にやったら変なことが起こるという現象なのですが、
コンピューターの生きてる時間が何ミリ秒とかの世界だったりするので、
その同時って何と何が同時に起こったんだみたいな難しさがあるという感じですね。
そこの脆弱性つくには結構相当ピーキーな操作じゃないと、
そう簡単にはつけなさそうだけれども、
ただ脆弱性自体は危険性は高いから対処が必要だねっていうものですかね。
そうですね。施工したときの危険性は高いんですが、相当大変。
ただ後々方法が効率化される恐れもあるので、
パニックほどではないにせよそれなりに落ち着いて素早く対処してくださいみたいな脆弱性だったと。
なるほど。あまりにも脆弱性の解説が鮮やかすぎてちょっと感動してたんですけれども、
結構木村さん昔から脆弱性とかに向き合うことあったんですか。
例えば前職とか今までのキャリアなのかとかでも。
情報処理安全確保支援士の経験
そうですね。前職の中では一応その辺の面倒も見てました。
一応、登録セキュスペって俗に言われる情報処理安全確保支援士の試験を受けて、
最初セキュスペを取ろうと思ったらその年から長い名前になっちゃったんですけど。
なるほど。
登録はしてないんですけど、セキュスペの資格のつもりで取ってるから。
一応その辺でセキュリティ面を当時の現場であまりここ手薄だなと思ったんで、
勉強してカバーして以降なんとなく見てるみたいな雰囲気があります。
いいですね。
じゃあもう資格は取れるような試験の通過の仕方はして、あれからですね、
更新手数料とかも必要なんでしたっけ。
そうですね。登録したら更新手数料があって、
合格した後の登録の期限がこの間調べたとき意外となかったので、
まだ登録しようと思えばできるのではないかと思っているんです。
謎の制度ですね。
登録しないことを決めたときも、このくらいだったら、
必要になったらもう1回通れるぐらい勉強しておくべきだろうという強火のスタンスで
登録しないことを決めているので、別にもう1回通るでもいい。
必要だったら通るでもいいんじゃないかなと思っています。
面白いですね。
情報処理安全確保支援士登録せきつべってやつですか。
はい。
今見たんですけど、なるほど。
じゃあこれで登録してないと、
情報処理安全確保支援士の方から来ましたみたいな、
消防署の方から来ましたみたいな感じの。
そうですね。
多分、方からでもちょっと登録してないのに言うのはまずいので。
確かにですね。
まずいので。
試験は通りましたが、
ちょっと説明が長いので、
そうですね。
本格的にやるんだったら、
登録した方が良いんではないかと。
登録すると法的責任とかも発生したはずですが。
そうです。あれなんか結構いろいろ責務が決まってますよね。
その守秘義務もそうだし、みたいな感じで。
じゃあ結構あれなんですね。
沼さんは結構そういう勉強とかも進めてたんですね。
はい。
すごいですね。
で、うちの会社に入社していただいたのっていつぐらいでしたっけ。
2023年の4月入社ですね。
ちょうど1周年経ったあたりっていう感じですかね。
そうです。
1周年経ってどうですか。
なんかうちの会社は。
ガバッとした居酒屋セーラーみたいなちょっとあれだけの。
そうですね。
やっぱりやりやすいですね。
みんな熱意が高くて本当に。
いろいろ。
むしろ本気でエンジニアリングのやり取りしても。
向こうの方が詳しいなって思う人も多いぐらいで。
すごく張り合いがある感じがあります。
なんかやっぱりあれですか。
個センス上でディスカッションしてるとそういうの感じること多いですか。
どういう時にそういうの感じますか。
そうですね。
例えば個センス上で設計議論とかするとやっぱり。
本当に思いついてなかったいろんなケースを考えてましたっていったり。
考えてますって書いてあったりとかで。
そういう視点もあるんだとか。
ノード系とかタイプスクリプト系のエコシステムにすごい詳しい人がいて。
正直僕留学者までそのエコシステムはエアップだったので。
いつも助けてもらっておりますっていう感じですけど。
やっぱり結構エコシステムってしかも変わっていくじゃないですか。
そこをキャッチするっていうのは結構大変ですからね。
それを一緒に議論できる仲間がいるのは結構いい環境ですよね。
あんまりCTOがいい環境ですよねとかって言うと変な圧っぽい。
今のお話、木村さんから伺ってると楽しく議論できてる感じ向けていいなと思うんです。
あとちょっと個人的に木村さん面白いなって思うのが、
普段使ってるOSLinuxですよね。
かつディストリビューションめっちゃ珍しいなと思っていて。
PopOSについて
全然知らなかったですけど、そのあたりの話を聞きたいなと思うんですけど。
使ってるディストリビューション何でしたっけ?
PopOSってやつですね。
例えばRed HatとかUbuntuとかだと結構名前通ってるんですけど、
PopOS実は木村さんが使ってるって話聞いてから初めて知りまして。
PopOSどんなOSなのか、ディストリビューションなのか教えてもらってもいいですか?
OSはシステム76と読むのか、システム76と読む名機なのか。
とにかくシステム76がメンテナンスしているディストリビューションで、
Ubuntuベースでシステム76の売り文句ではセキュリティ面を強化していますということですね。
デフォルトでディスク暗号化とかも入っていたり、
セキュリティアップデートの頻繁なアップデートとかもかかったりしています。
じゃあUbuntuそのまま使うよりもよりセキュアになってるっていう理解であってますか?
そうですね。僕もなんかセキュアなUbuntuぐらいの認識で使っています。
いいですね。UbuntuというかPopOSはどこで知ったんですか?木村さんは。
実は僕もPopOSを買うまで知らなくて、どっちかというとLinuxの入ったノートPCが欲しいという動機から入って、
で、Linux入れるのにWindowsのライセンス料払いたくないなって思って、デフォルトでLinuxが入っているのを探したら何か見つけたという。
結局あれですね、元からの既製品買うと言うとOSなしってあんまり選べるイメージないですね、確かに。
スケーラビリティエンジニアとは
選べないですし、ライセンス料がやりやすくないじゃないですか。
確かに数万円はやっぱりしますもんね。あれか、出るとかで買っても結局OSなしは選べないんでしたっけ?どう頑張っても。
そうですね。今状況変わってるかわかんないんですけど、当時は本当にやっぱりWindowsのバージョンが選べるぐらいみたいなところばっかりだったと記憶してます。
じゃあ逆に言うとあれなんですね、PopOSってある種、OSSでオープンなイメージとは裏腹に、構造上はAppleに近くて、ハードウェアとOSが結構一体になってまず提供されていて、OS自体も単体で配布されてるっていう感じなんですかね。
そういう意味で言うとAppleとちょっと違うのが、マシン自体はBTOで作ってるんですよ、System76が集めてきて。で、BTOでビルドしたノートPCに自分たちのOSをインストールして配送してくれるっていう感じでした。
実際PopOS使っててどうですか?便利な感じありますか?
そうですね。個人的な初LinuxデスクトップOSということで、他のLinuxとの比較があんまりないんですけど、Windowsとかと比べて個人的にはそんなに遜色はないですっていうのは、オフィス製品を使い込んでないせいもあるかもしれませんが。
確かにね、開発者とWordとかExcelを使うかっていうと、クライアントで使うシチュエーションほぼないし、うちの会社の場合だとGoogleドライブ使ってるので、Word、Excelの類は全部ね、Google DocsだったりGoogle Spreadsheetsだったりでいいわけなんで、ブラウザー使えれば基本的には問題ないっていう感じですよね。
そうですね。その辺はGoogleのスイート使ってると、もうスイートって言わないかもしれないですけど。
そうですね、昔G Suiteって何でしたっけ? 今はGoogleワークスペースに名前変わりました。
ワークスペース使ってると、特に気にしないで済むかなっていうのもありますね。
なるほど。ブラウザはちなみに何使ってるんですか?
ブラウザは、業務ではChromeを使ってます。プライベートではFirefoxを使ってます。
おー、いいですね。Chrome版ってあれでしたっけ?ChromeはLinux版もあるんでしたっけ?
そうですね。Chrome Linux版もあって、普通にサイトで行くと、.devがiOSされてて、ダブルクリックでインストールできるみたいな感じになってて。
めちゃくちゃ便利ですね。
もう便利です。
今の時代って普通にLinux、ガンガン業務で使える感じなんですね。
そうですね。デスクトップOSで普通に使える業務でも、開発業務だと使えるみたいな感じだと思います。
いいですね。なるほど。
Linux触ったのも10年くらい前。Linux触ったのって言ったって、UNIX互換のターミナルとかをいじってるわけなので、そんなに昔の記憶でもないけれども。
Linux気軽に使おうと思うと、VM立ち上げるとかになりがちだったりするので、フルでLinux環境があるって、面白い感じがしますね。
そうですね。面白いですね。
僕も10年くらい前だと、Windowsでバーチャルボックス入れて、ベイブランドでタッチ。
とか、VM立ち上げかパーティション切るかみたいな感じじゃないですか。
大体パーティション切るのミスって。
パーティション切って、デュアルブートはすごい沼る人がやる。
1日8日間が結構ありましたからね。
それでデータ1回、2回ぐらい消したことあるので、自分のPCで結構ショックがでかかったなと思いながら、懐かしい思い出を思い出しました。
なるほど。
エルフィルテックコンフ2024
あとあれですよね。話だいぶ変わっちゃいますけど、8月にテックコンフというイベントを開催すると思うんですけども、当社で。
エルフィルテックコンフ2024というイベントで、木村さんも登壇していただける予定ですよね。
午前の枠をいただいております。
いいですね。
これ、どういう話をする予定なのかとかも簡単に聞いてみたいですけども、登壇のテーマとかでも決まってるんですか。
そうですね。登壇のテーマとしては、シャンキー振り返ってみたらメモリの悲鳴が聞こえてきた話かっこかりということで、
冒頭でお話した監視の方の業務をメインに話していこうかなと思っています。
いいですね。ここで話聞いちゃうともうもったいない感じがするので、ディティールは聞かないとして、ざっくり概要もちょっと聞いてみましょう。
メモリっていうのがあれですかね。我々結構IaaSパース使っていて、メモリを例えば自分たち増設する、差し替えるみたいな操作はないわけじゃないですか。
その中でメモリを見ていって、マネジメントしていくっていう話なんですかね。
そうですね。アプリケーションサーバーのRAMの話で、PaaSを使っているので選択肢がインスタンスを大きくするか、アプリケーションを効率的にするかというのが主な選択肢になります。
結構そこのサーバー増強だけじゃなくて、アプリ側の構造ベースで結構変えるぞっていう意思決定できるのは、スケーラビリティエンジニアという、
ジョブタイトルに結構沿った動きでいいなと思ってたんですけど、スケーラビリティエンジニアってうちの会社が勝手に言ってる造語じゃないですか。
キムさん応募していただいた時、結構ある種私の立場でよくないんですけど、ちょっと困ったこともあるかなと思っていて、スケーラビリティエンジニアって最初聞いていただいた時どう思いましたか。
最初、何をするのかわかんないけどとりあえずエンジニアかなみたいなぐらい。
説明聞いていただいた上で、今1年経ってるじゃないですか。経った上の感想としては、スケーラビリティエンジニアという、こういう肩書きジョブタイトルはどう思いますか。
そうですね、スケーラビリティエンジニアってタイトル、なかなか面白くて、
もともとGoogleのサイトリアビリティエンジニアリングという書籍で紹介されてるSREとかの関心事の中の1つにスケーラビリティっていうのがあるんですけど、特にそこにフィーチャーしてるのかなと思ってて、
アプリケーションロジックの効率化の話出ましたけど、とかで問題を解決していく、メモリが逼迫だとかコストだとかっていうのは割と前職の終盤とかもやっていて面白い分野かなと思っています。
いいですね。結局そこが職種としてはっきり分かれてしまって、それぞれが計測の対象になってくると、どっち側で調整するかみたいな話が、最終的にマネージャーだったり上位レイヤーの人が調整することになっちゃいそうだけども、
スケーラビリティにしろっていう動き方だと直接もうコードベースもいじるし、インフラベースもいじるしっていう、ある種領域をまたぐような仕事の仕方になりますもんね。
そうですね。またげるのが先ほどちょっと言及したSREの、元来の言われてた動きに近くて、そうなんですよね。自分たちの組織内なのに利害対立が起こったりしないっていうのが、すごく動きやすいポイントになるかなと思っています。
いいですね。なんか突然アジェンダに無い無茶ぶりをするんですけども、スケーラビリティエンジニアの今後ってどういう発展の仕方をしていくと思いますか?
スケーラビリティエンジニアの今後?
うん。ないから。ないのにいきなり、ちょっと悪いんだけども、将来こういう職務が増えていくんじゃないかとか、こういう観点からこういう職務が増えていくんじゃないかとか。
そうですね。今後って言ったら、実は入社時期にスケーラビリティエンジニアっていうのを考えてた時に、スケーラビリティをエンジニアリングするとは名前に書いてあるけど、ソフトウェアとは言ってないんで、実はその辺で結構広くスコープを取ってたんですよね。
スケーラビリティの広げ方
なので、実はスケーラビリティって言ってもいろいろあるよなと思ってて、事業上のスケーラビリティ、例えばここが特に従業員の数に比例してしか捌けないから、従業員を増やすしかないとかっていうポイントが起こったりするとか、単純に組織がスケールしていくにあたって情報が届かれやすくなって、
必要な情報が組織内で届かないとかっていう問題が発生するような、みたいなことを考えてたんで、本当に個人的に勝手にやってた動きなのですが、わりとシステムやソフトウェアのシステムとかソフトウェアに限らないで、ビジネスとかプロダクトのレイヤーでスケーラビリティを加工していくっていう広げ方はあるのかなと思っています。
おー、なるほど、面白いですね。結局そのスケーラビリティという語を広く取ると、事業成長に必要ないろんなことを実はある種貢献できる可能性のある立場なんじゃないかっていうところですかね。
はい。
いいですね。ちょっと技術的な話になるかなと思ったら、結構事業成長にもコミットっていう言い方は違うかもしれないんだけれども、例えばあれですね、情報のそどころりみたいな話でいくと組織設計みたいな話になってくると思いますし、結構そういうスコープ、逆に言うと木村さんはそういうスコープも含めてちょっと興味があるというか見始めてるんですね。
そうです。スコープに興味があって、あまりノウハウとか方法論の経験がないので地道に草の活動みたいなことをやってるっていう感じの動きにはなってますけど。
いいですね。この辺は結構ボトムアップの活動も大事ですしね。具体的にやった取り組みとかってあるんですか?急にまたアジェンダにないことを振っちゃいますけど。
そうですね。実は細かすぎて挙げづらいんですけど、弊社社内でコセンス旧スクラップボックス使ってるじゃないですか。
なので、そこのドキュメンテーションでよく記述を更新したり書かれてない記事を解体して、見た人が必要な知識を獲得できるようにするだとか、いつもちょっと遺存症並みに徘徊しているので、
このページあったなっていうのを、それに関連して困ってそうな人のところに投げつけたりとかいうことをやってます。
いいですね。結構そういう小さいかもしれないけど貢献していくっていうのが組織を円滑に回すコツだったりもしますからね。
いいですね。なるほど。スケーラブリティエンジニアの仕事を考えた時に、木村さんが果たしている役割って結構技術的な役割からさらに広げたところも含めて最近はやられてるんですね。
そうですね。インフラの安定だけやって、インフラは大丈夫です。事業メンバーパンクしてますってすごいシュールな状況じゃないですか。
めちゃくちゃ堅牢なインフラの上でちっちゃかめっちゃかのチームご一緒は結局意味がないみたいなのがあります。
そこの視野の広さは木村さんのいいところかもしれないですね。昔からそういうのに興味あったんですか。
昔、前職から転職直前の1、2年ぐらいでリーダー的な立場をやらせてもらって、その時に厳選して問題があちこちに起こるなっていうか、問題解決がそもそもシステムの範囲だけだと足りないなって感じたことはあって、
そこの時に視野が広がったかなと思ってますね。
なるほど、いいですね。やっぱりそういう経験がさらに自分の担当できる領域を広げていくというか、そういうところもありますね。
ヘルピヒルテックコンフ2024とエンジニアの募集
面白い話をいろいろ伺ったんですけど、実はだんだん時間が迫ってまいりまして、締めに入れればと思うんですけれども、先に宣伝を挟ませていただければと思います。
われわれ株式会社ヘルピヒルにて、ヘルピヒルテックコンフ2024というイベントを開催します。
開催日2024年8月25日日曜日。場所は東京ポートシティ竹芝ポートホールという場所でやっています。
詳しくは公式サイトまたはヘルピヒルテックのエクサカウントをご覧ください。
というわけで、きょう木村さんにお話いただいたんですが、最後にお話を聞いていただいている皆様に向けて木村さんから一言いい感じのワードをお願いします。
ハードル上げちゃってすみません。
ハードルがばっかりしましたが、ヘルピヒルでの特にテックコンフはエンジニア目線のイベントになるかと思いますが、
まだまだヘルピヒルでは一緒に働いていただけるエンジニアを募集中です。
特に言及のあったSREなどの方でもまだ募集を続けるみたいなので、そのへん興味ある方ぜひいらしてくれると、いろいろお話できるんじゃないかなと思っています。
まだどんな方がいらっしゃるかもよく分かってないですが、実際に会える日を心待ちしております。
どうぞよろしくお願いします。
はい、ありがとうございます。
というわけで今日はまたスペシャルなゲスト、ヘルピヒルスケーラビリティエンジニア木村さんにお越しいただきました。
木村さんどうもありがとうございました。
ありがとうございました。
今寝川FMは過去の全エピソードもSpotifyやApple Musicなどでお聴きいただけます。
ぜひ感想お待ちしています。
Xでハッシュタグシャープ今寝川FMで投稿してください。
ではまた次回もお楽しみに。
バイバイ。