海兵隊がDevOpsとアジャイル開発への移行でITの遅延を劇的に削減した方法

米国海兵隊は、戦場での精密さと適応力で知られています。しかし、ITの舞台裏では、時代遅れのITシステムとの戦いが繰り広げられており、それが海兵隊員やその家族へのサービス提供を困難にしていました。

そこで指揮を執ったのが、海兵隊コミュニティサービス（MCCS）です。この組織は、託児や家族カウンセリング、フィットネスセンター、小売店、食堂など、海兵隊員の生活の質を向上させるプログラムを担当しています。

しかし、MCCSは遅いITプロセスに足を引っ張られていました。新しいシステムの承認（ATO：運用認可）には数年かかり、1システムあたり100万ドル以上かかることもありました。こうした障害が、現代のニーズに追いつくことを難しくしていたのです。

「ITサービスの提供には、多くの制約があり、非常に長いサイクルタイムが生まれます」と、MCCSのデジタルプログラムマネージャー、デビッド・レイリー氏は語ります。「ウォーターフォール型の手法や、セキュリティに関する従来のコンプライアンスのために、機能が利用可能になるまで5年かかることもあります。」

このようなフラストレーションが、「オペレーション・ストームブレイカー」誕生のきっかけとなりました。この画期的な取り組みは、DevOpsとアジャイル開発手法を活用し、ITシステムの開発・セキュリティテスト・承認方法を根本から見直しました。

オペレーション・ストームブレイカーが開発の常識を覆す

2023年までに、MCCSは硬直したウォーターフォール型開発に我慢の限界を迎え、オペレーション・ストームブレイカーを自動化、短いイテレーション、継続的なフィードバックに基づくDevOpsとアジャイル手法を中心に構築することを決断しました。

レイリー氏とそのチームは、まずAmazon Web Services上に海兵隊認定のランディングゾーンを構築し、複数のシステム間でセキュリティ管理を継承できるようにしました。さらに、海軍省のRAISE（Rapid Assess and Incorporate Software Engineering）プラットフォームと組み合わせ、アジャイルおよびDevSecOps手法でソフトウェアライフサイクル全体にセキュリティを組み込みました。外部パートナーのRegScaleやRaven Solutionsの支援も受け、MCCSはATO承認にかかる時間を大幅に短縮しました。

「これらのツールとパートナーのおかげで、アジャイルなATOプロセスとCI/CDパイプラインを構築し、システムを迅速にカスタム構築・セキュア化・展開できるようになりました」とレイリー氏は説明します。

その効果は即座に現れました。ITシステムを一度購入して何十年も保守する「戦車」のように扱うのではなく、レイリー氏のチームは、リアルタイムでセキュリティコンプライアンスを自動チェックするパイプラインを通じて、継続的にソフトウェアアップデートを提供できるようになったのです。

オペレーション・ストームブレイカーによってより安全かつ効率的になった技術サービスには、以下が含まれます：

• 全ての海兵隊ウェブサイト
• コンテンツ配信システム
• イベント管理・予約システム
• ECおよびPOSシステム
• 人事システム

官僚組織における技術革新の課題

レイリー氏によれば、オペレーション・ストームブレイカーで最大の障壁となったのは、政府内で働く際の官僚的な性質でした。

MCCSは、レイリー氏が「凍った中間層」と呼ぶ、つながりのないゲートキーパーと組織的な惰性の網に直面していました。その結果、従来の大量のセキュリティチェックに依存した認可プロセスによくある長い遅延に、常に悩まされていました。

こうした限界を突破するため、オペレーション・ストームブレイカーでは作業を「バッチサイズ1」に分割し、最後まで待つのではなく、各セキュリティコントロールを一つずつ検証する新しいプロセスを導入しました。この新しい手法は非常に効果的でしたが、従来の直線的なプロジェクト型作業に慣れたチームにはカルチャーショックとなりました。

「ウォーターフォール型のプロジェクト組織と、プロダクトベースのチーム文化の違いを理解してもらう必要がありました」とレイリー氏。「今では2週間ごとのスプリントで開発し、MVP（最小限の実用的製品）に集中し、すべてのシステムを進化し続ける“生きたプロダクト”として扱っています。」

同様に重要だったのは、部門間の信頼構築です。オペレーション・ストームブレイカーは、コンプライアンス担当者、サイバーセキュリティリーダー、調達担当者を結集させました。粘り強さと透明性で、レイリー氏とチームは懐疑的だった人々を協力者へと変えていきました。

スピード向上、セキュリティ強化、コスト削減

2023年の開始以来、オペレーション・ストームブレイカーはATO取得期間を劇的に短縮し、数百万ドルの無駄なコストを削減しました。

「MCCSにとってのゲームチェンジャーは、今やソフトウェア機能を提供し、ATOを18か月ではなく1日で取得できるようになったことです」とレイリー氏は語ります。

「CI/CDパイプラインで開発を進めると、RAISEプロセスがそのワークロードが【国防総省】のセキュリティ要件を満たしているかを確認する指定があります。これが自動化により15分で完了します。つまり、ATO取得まで18か月待つボトルネックがなくなり、開発中に認可が得られるのです。」

さらに、サイバーセキュリティを「左側（開発初期）」にシフトしたことで、開発者は即座にフィードバックを受け取り、最初から安全なコードを書けるようになりました。このアプローチにより、セキュリティ脆弱性と承認時間の両方が大幅に減少しました。

財務的な影響としては、新しいDevOpsとアジャイル開発プロセスで承認された各システムごとに、MCCSはATO1件あたり約100万ドルを節約できたとレイリー氏は言います。2年間で、遅延に伴うコストを1,000万ドル以上削減しました。

運用面では、海兵隊員とその家族がより使いやすいデジタルサービスを体験できるようになりました。プロジェクト初期の成果の一つは、17の海兵隊施設に分散していたウェブサイトを統合したことです。ストームブレイカー以前は、各施設ごとに独自のウェブサイトがあり、異動する海兵隊員には分かりづらいものでした。

「今では統一された体験が得られます」とレイリー氏。「情報が探しやすくなり、サイトのナビゲーションも簡単になりました。そして何より、これらのサイトはすべてDoD（国防総省）のセキュリティ要件を満たしています。」

オペレーション・ストームブレイカーの取り組みにより、MCCSは2025年CSOアワードを受賞しました。この賞は、卓越したリーダーシップとビジネス価値を示したセキュリティプロジェクトを表彰するものです。

型破りな挑戦：オペレーション・ストームブレイカーからの教訓

公共部門のCIOやセキュリティリーダーにとって、オペレーション・ストームブレイカーは、セキュリティを犠牲にせずITサービスを近代化するための典型的な事例となります。

レイリー氏がプロジェクトを通じて得た3つの教訓を紹介します：

リスクの捉え方を見直す

「DevOpsとアジャイル開発により、毎晩CI/CDパイプラインでワークロードを実行しています。新たな脆弱性が見つかれば即座に対処します。このプロセスは常に監視され、セキュリティ状況がリアルタイムで可視化されます。つまり、より速く、しかもより安全に進められる証拠です。」

ボトルネックからアジャイルな飛躍へ

オペレーション・ストームブレイカーはITの成功事例であると同時に、官僚組織でも文化的変革が可能であることを証明しています。サイロを壊し、DevOpsとアジャイル開発を受け入れることで、MCCSは根深い政府手続きさえも刷新できることを示しました。

しかも、そのタイミングは絶妙でした。1万4,000人の従業員と12億ドルの収益で海兵隊員とその家族を支えるMCCSは、現代のスピードでサービスを提供するためのツールを手に入れたのです。

「このプロセスによって、従来の何倍もの速さで、しかもごくわずかなコストで機能を展開できるようになりました」とレイリー氏。「結局のところ、それこそがオペレーション・ストームブレイカーの本当の価値なのです。」

ミッションスピードでITを近代化
海兵隊のオペレーション・ストームブレイカーは、最も根強い官僚組織でさえ、より速く、より安全なデジタルサービスを提供できることを証明しました。他のCSOアワード受賞者がどのようにイノベーションとリーダーシップを推進しているかを知るには、今すぐCSOカンファレンス＆アワードにご登録ください → CSOカンファレンス＆アワード