DevSecOps文化を育てる：少しずつ、でも着実にチームと前進するために / 開発者向けブログ・イベント

はじめに：文化は、導入するものではなく、育てていくもの

この記事は、複数のチームが関わる中規模〜大規模な開発組織で、DevSecOpsを推進しようとしている方々に向けて書いています。
横断チームのマネージャーとして、組織をまたいで文化を育てるという難易度の高いテーマに向き合ってきました。

DevSecOpsという言葉に初めて出会ったとき、定義や概念には納得感がありました。
でも、いざ現場に落とし込もうとすると、「で、うちのチームでは何から始めるべきなのか？」が見えてこない。

本や記事では「継続的な価値提供」「セキュリティのシフトレフト」などの美しいフレーズが並んでいます。
しかし、それをどう実現するか──現場と一緒に、泥臭く、迷いながら、どこまで進めるのか？
その答えは、自分たちで見つけるしかありませんでした。

この記事は、私たちがその中で見えてきたもの、失敗したこと、気づいたことを丁寧に綴った記録です。

1. DevSecOpsを手探りで始めた私たちの第一歩

最初のきっかけは、クラウドやAIなどの新しい技術を取り入れてみることでした。

・GitHub Copilotによる補完体験
・CodeRabbitを活用したAIコードレビュー支援
・クラウドCI/CDの導入
・セキュリティチェックツールの連携

正直なところ、「とりあえず使ってみよう」というノリでした。
でもやってみると、自分たちのチームや組織に“合う・合わない”があることにすぐ気づきます。

例えば、AIレビューは便利だけど、出てくる指摘の意味が分からなければ信頼されません。
CI/CDも、パイプラインの構成が複雑すぎると定着しない。
つまり、“使える技術”と“文化として根づく技術”には距離があるということです。

🧭 図解：DevSecOps文化醸成のステップ

2. ツール導入と現場とのギャップ

技術を導入するだけでは文化は変わりません。

最初は、「便利そう」と感じてくれるチームもありました。
しかし、誤検知の多い静的解析や、ブラックボックスに見えるAIの指摘に戸惑い、“なぜやるのか”が見えなくなる瞬間が多くありました。

私たちはそこで、「まずは実感できる成功体験を届けよう」と考えました。

・Copilotが実際にバグを予防した例を共有する
・セキュリティチェックで見つけた課題を可視化して「よかった」と言える空気をつくる
・PR作成時に自動で走るCIを“当たり前”にする構成を用意する

文化は機能よりも「習慣」によって育ちます。
“気づいたら使っていた”が、“なぜか定着していた”に変わる。そんな状態を目指しました。

3. チームの状態を可視化する仕組みをつくった

定着し始めたツールや仕組みを次に活かすには、「今、どうなってるのか」を見えるようにする必要があります。
私たちは、4Keysをもとにした社内向けの可視化ツールを内製しました。

・チーム単位で数値を出す（可能な限り負担は軽く）
・数字を競わせるのではなく、「きっかけ」として使う
・状態を見て、対話し、課題があれば一緒に考える

このサイクルが、チームを“自分たちで変えていく”文化への入口になっていきました。

📊 図解：4Keys活用による改善サイクル

4. 改善を“自分ごと”にする文化づくり

改善を文化として根づかせるには、やらされ感をなくし、「自分たちで選んだ」感覚を持ってもらう必要があります。

そこで私たちが大切にしたのは以下の3つです：

１．目標はチームが自分たちで決めること
２．KPIではなく“会話”を中心に運用すること
３．改善アクションを称え合う空気をつくること

この3つを軸にすることで、改善は押し付けから、自発的な営みへと変化していきました。
改善そのものを“文化”と呼べる状態が少しずつ育ち始めたのです。

5. 一人では進めない。だから仲間と進む

横断チームのマネージャーとして、旗を振ることはできます。
でも、進めるのは現場のメンバーたちです。

そこで私たちは、各チームにセキュリティ担当や推進開発改善リーダーを置き、共に進める仲間を増やしました。

・成功事例は小さくても共有
・工夫や悩みを安心して話せる場づくり
・重複する課題は横断で引き取り、仕組み化して展開

文化は、一人の声では育ちません。
たくさんの「共感」から生まれる小さな行動の連鎖が、やがて“チームの空気”になります。

🤝 図解：横断チームとプロダクトチームの関係性

6. よくあるつまずきと、私たちの乗り越え方（FAQ）

よくある悩み	私たちのアプローチ
何から始めれば？	小さなテストや自動化から着手
チームの温度差が大きい	状態を可視化して対話を促進
セキュリティ教育のハードル	「ちょっと気にする」会話から始める

7. そして今、文化を「つくる」フェーズへ

2024年は、土台を整え、仕組みを準備した年でした。
2025年は、いよいよ文化を“定着させていく年”です。

・ツールを“使う”から“使いこなす”へ
・チームが自律的に改善サイクルを回す状態へ
・各チームにあった形で、改善が“当たり前”になるように

一歩ずつ、着実に前へ進んでいます。

おわりに：まだ道の途中。でも、確かな手応えがある

DevSecOpsは、技術だけではありません。
それは、「価値を届ける力を、チームで育てる文化」だと思っています。

うまくいかないこともある。
迷うこともある。
でも、仲間と一緒に考え、小さくても前に進む。

👉 これからも、変化を楽しみながら、チームとともに文化を育てていきます。

この記事が届いてほしい人へ

この記事は、こんな方に届けばと思っています。

・DevSecOpsを導入しようとしているが、最初の一歩に悩んでいる方
・技術だけでなく、文化として根づかせたいと願っている方
・横断的な立場で、各チームをどう巻き込むかに悩んでいる方

あなたの悩みや迷いに、少しでも寄り添えたなら嬉しいです。
もし共感いただけたら、ぜひ社内やSNSでも共有してください。

ブログの著者欄

谷中佑貴人

GMOインターネット株式会社

システム本部マネージャーと技術広報を兼務しています。2013年4月に新卒で入社して以来、Webアプリケーションのバックエンドとフロントエンドの両面でプロダクト開発に取り組んできました。さらに、社内研修、セキュリティ対策、DevSecOps推進を通じ、組織文化の醸成や最新技術を活用した業務効率化の取り組みをリードしています。技術広報としては、テクニカルなイベントの企画にも力を入れており、いつかどこぞのイベントで皆様とお会いできる日を楽しみにしています。