迅速なソフトウェア開発によるビジネス機会の拡大は重要だ。アイデアや顧客の要求をいち早くアプリケーションに取り入れてより良い製品を提供するために、近年は「DevOps」と呼ばれる開発手法が注目されている。DevOpsとはDevelopment(開発)とOperations(運用)を組み合わせた言葉であり、計画から開発、運用までの一連のプロセスを迅速に回すための概念だ。

さらに最近では、巧妙化するサイバー攻撃や内部不正へ対応するために、DevOpsにSec(セキュリティ)の要素も取り入れた「DevSecOps」の重要性が増している。本稿では、DevSecOpsを支援するプラットフォーム「GitLab」を提供するGitLabの日本カントリーマネージャを務める小澤正治氏に、同プラットフォームの特長と今後の日本での展開について取材した。

  • DevSecOpsのライフサイクル

    DevSecOpsのライフサイクル

高まり続けるセキュリティ要件

2023年に情報処理推進機構(IPA)が発表した情報セキュリティ10大脅威の中には、ランサムウェアやフィッシングなどの詐欺に加えて、内部不正などソフトウェア開発環境に起因する事象が含まれている。

  • 情報セキュリティ10大脅威 2023(資料:IPA)

    情報セキュリティ10大脅威 2023(資料:IPA)

2021年に話題となった、大手金融機関ほかのシステムに関連するソースコードが流出した出来事も記憶に新しい。この件は故意ではないとされるが、結果的に外部の人間が誰でもソースコードを閲覧できる状況となってしまった。ソースコードからおおよその年収を推定できる外部の転職サービスを利用したことが原因とみられる。

海外と比べ、日本のITシステム開発の産業構造は、外部委託などによる多重下請け構造が特徴的だ。上記の一件も下請けの外部人材によるものだ。このように、ソフトウェア開発を進める際にはサプライチェーン全体のリスクマネジメントが非常に重要になる。

その一方で開発者の人材不足は顕著で、今後はオフショアをはじめ海外の人材を頼る場面も増加すると考えられる。そうした場合に、これまでなんとなく日本人同士の価値観で成り立っていた取り決めやワークフローが成り立たない場面も出てくるだろう。

欧米ではソフトウェア開発のガードレールを事前に設定し、そのガードレールの中でツール選定やルール設計が行われる。日本も今後はそうしたガードレール式の開発プロセスが求められるようになるはずだ。

ハード(製造業)からソフト(サービス業)へと変換を図る日本企業が増える中で、ソフトウェア開発プロセス全体のセキュリティ担保は重要な命題となりつつある。

GitLabは開発プロセス全体を支援する

GitLabはソフトウェアのプランニングからデプロイ、リリースまでの一連の開発工程を支援するプラットフォームとして提供している。個別のフェーズではなく、工程全体を最適化するようなAI活用も進めているという。主にエンタープライズ向けに展開し、コードなど知的財産をいかに守るのかに焦点を当てている。

コーディングはもちろんのこと、コードレビューやセキュリティスキャニング、脆弱性の可視化などに対応。開発工程全体をカバーしているため、開発工程の各フェーズや各タスクに要した時間を可視化してボトルネックを見つけ出すような使い方ができる。

  • GitLabの特長

    GitLabの特長

日本においては、通信業界や自動車業界、金融機関など、業界規制が厳しく機密性が高い情報を扱う領域での導入が進んでいるそうだ。

小澤氏は「現在のセキュリティの話題はランサムウェア対策など防御が中心。しかし大手金融機関のコード流出の事件からも分かるように、ソフトウェア開発工程のセキュリティやガバナンスの不備がビジネスに与えるネガティブな影響は非常に大きい。ソフトウェアをビジネスの成長ドライバーとする企業が増えているからこそ、後追いで対応するのではなく、先んじて開発工程に潜むリスクを低減してほしい」と語る。

  • GitLab 日本カントリーマネージャ 小澤正治氏

    GitLab 日本カントリーマネージャ 小澤正治氏

"二手"遅い日本のソフトウェア開発環境

現代はソフトウェアを開発するためのプラットフォームが多数出そろっている。アイデアを迅速に具現化してリリースするまでの期間をいかに短縮するかは重視すべき戦略だ。

「開発期間を短縮するためにセキュリティ工程を無視すると、後から手戻りが発生するなど結果的に時間がかかってしまう。内部不正に対応しながら外部からのサイバー攻撃に備えるためにも、プラットフォームエンジニアリング組織が必要」(小澤氏)

アメリカではDevOps組織にセキュリティとITインフラの要素も加えた、プラットフォームエンジニアリング組織が見られ始めているそうだ。翻って、日本のエンタープライズではまだ開発、運用、セキュリティ、ITインフラは個別の組織によって管理される場合が多く、互いに連携は進んでいない。

「開発工程の全体を一元的に管理するプラットフォームエンジニアリングを目指してほしいが、その前にまずは日本のエンタープライズもDevOps組織から着手すべきだろう。グローバルに追いつくまであと二手必要」と同氏。

国内のソフトウェア開発工程を見ると、各工程をまたいで複数のツールが使われる。これら各ツールはAPIなどで連携されるが、その保守業務のために時間が取られるといった課題も生じているという。開発者の作業時間のうち生産的な業務に使える時間は10~15%であるとする調査結果もあるそうだ。

「当社のプラットフォームを通じて、より良いDX(Developer Experience:開発者体験)を提供したい。ハードからソフトへとビジネスドメインを変革する企業が増える中で、人材の獲得競争も激化するからこそ、開発者が本来やるべき作業に集中できる環境を作るための支援をしていく。会社から与えられたワークフローを単に受け入れるだけでなく、開発現場から既存のワークフローを積極的に変えてもらえるような提案をしていきたい」と、小澤氏は今後の展望を語っていた。

  • GitLab 日本カントリーマネージャ 小澤正治氏