TOP>事例>情報サービス>お客様の声に応え続ける製品開発は進化するOSSの活用とDevOpsへのセキュリティ融合がカギ

お客様の声に応え続ける製品開発は進化するOSSの活用とDevOpsへのセキュリティ融合がカギ

株式会社エヌ・ティ・ティ・データ・イントラマート

導入製品/サービス…
WhiteSource  


株式会社エヌ・ティ・ティ・データ・イントラマート WhiteSource導入事例

<取材協力> 株式会社エヌ・ティ・ティ・データ・イントラマート (左から)
 開発本部 プロダクトディべロップメントグループ グループリーダー 小吹 直久 様
 開発本部 プロダクトディべロップメントグループ 兼 デジタルビジネス事業推進室 榎本 潤 様
 執行役員 開発本部 本部長 大西 直樹 様

株式会社エヌ・ティ・ティ・データ・イントラマート(以下、NTTデータ イントラマート)では、2001年よりオープンソース・ソフトウェア(以下、OSS)を多数利用したアプリケーション製品群の開発を行い、現在5,300社を超える企業で採用されています。製品に含まれるOSSのライセンス規約や不具合、セキュリティホールの可能性が潜むバージョン管理など万全を期すために、2018年にWhiteSourceを導入し、製品のさらなる品質向上を目指しています。


導入のPOINT


1.DevOps+セキュリティ=「DevSecOps」環境をWhiteSourceで構築
2.OSS検出作業に必要な10人月相当の作業を完全自動化、無人化
3.品質と生産性の向上だけでなく人的リソースの最適配置により製品開発力のさらなる強化へ


課題

  • 年3回の製品リリースを確実に実施するために開発プロセスの効率化が求められていた
  • 製品リリースを重ねるにつれOSSライブラリ数が増加、OSSのリスク確認がDevOpsのボトルネックとなっていた
  • OSSのリスク確認を自動化し、DevSecOpsの実現を目指す

対策

  • 既存のDevOps環境にOSSの脆弱性・コンプライアンスチェックプロセスを組み込むことでDevSecOpsへ進化
  • npm、yarnなどで管理されているパッケージの依存先まで含めてWhiteSourceで自動検出・管理

効果

  • 依存性のあるOSS確認作業に必要な約10人月相当の工数を完全自動化
  • WhiteSourceをDevOpsに組み込みチェック頻度を上げ、品質向上とシフトレフトを実現
  • OSS管理の自動化・無人化により、人的リソースの最適配置が可能に

システム概要


システム概要


こだわりはお客様ニーズへのスピーディな対応


── OSSへの取り組みについて教えてください。

intra-martのバージョン1は1998年に誕生し、2001年のバージョン3よりOSSの積極活用を行ってきました。開発・管理維持のコスト削減ができること、世界中の開発者が関わっているため、お客様ニーズにスピード感をもって対応できることが大きな利点です。

現在、intra-mart製品は年に3回、つまり4ヵ月に1回という短いスパンの中で開発・テストを完了させ、アップデートリリースを行っています。当社では10年以上かけて開発プロセスの自動化に取り組み、intra-martにおけるDevOpsでは、開発サイクルの効率化や品質の改善、および開発環境の安定運用に取り組むことで品質を担保し、お客様ニーズに沿った製品を提供するという点を意識してきました。

── 開発効率を上げる取り組みに課題はありましたか?

intra-mart製品をアップデートしていくにつれ、組み込むOSSのライブラリも増加していきました。OSSの脆弱性情報、不具合の情報などを常に監視・確認を行ってきましたが、組み込んだOSSが増加したことで、複数バージョンにまたがる監視や個々の対応内容の確認といった作業が増え、リソースを消費していました。今後OSSライブラリがさらに増加するとIntra-mart製品の定期的なアップデートリリースに支障が出る恐れがありました。

── OSSの脆弱性とコンプライアンスチェックがボトルネックとなってきたわけですね。

そこでDevOpsの次のステップとして、OSSの脆弱性とコンプライアンスのチェックをCI環境に組み込み、ソースをコミットするだけで自動チェックをかけるDevSecOpsの実現を目指すことにしました。

DevOpsからDevSecOpsへの進化がもたらすもの


── OSSセキュリティ&コンプライアンス管理ツールに期待したことを教えてください。

検出率の高さはもちろんのことですが、ビルドツールやCIサーバにスムーズに組み込めること、Jenkinsの自動実行から呼び出しができること、CI環境に組み込んでチェック処理をした場合でもサクサク動くこと。つまり、DevOpsのスピード感にストレスなく反応してくれることがDevSecOps実現の必須ポイントでしたので、OSSセキュリティ&コンプライアンス管理ソリューションにはそのようなことを期待しました。

── WhiteSource採用の決め手は何でしょうか。

まずは、検出率の高さです。WhiteSourceは、依存先のライブラリがさらに依存しているライブラリのライセンスや脆弱性情報まで簡単に確認できます。特に、フロントエンドの開発において高い効果が出ています。node_modules配下に配置されたライブラリの依存関係、脆弱性の有無まですべて把握できるようになりました。これまで確認しきれなかったビルドツールが利用しているOSSライブラリの脆弱性も確認ができます。リリース前にまとめて確認を行っていた運用から、毎日確認を行う運用になった点も大きいです。

── DevOps環境への親和性はいかがでしょうか?

ビルドツールのMaven、CIサーバのJenkins、Shellからの実行など様々なプラグインが用意されており、特に課題や問題もなくスムーズに組み込むことができました。日本語による導入ガイドもあり、確認を含めて1時間足らずでCI環境への組み込みを行うことができます。アプリの規模にもよりますが、WhiteSourceのスキャン時間も数分と短時間で終了するため、当社のDevOps環境に別段影響もなく組み込むことができました。

また、WhiteSourceの各種プラグインはGitHubにOSSとして公開されているため、中身を確認できることも安心感につながりました。WhiteSourceの導入で当社が思い描くDevSecOpsが実現されていると思います。

OSSチェックの完全無人化がもたらしたこと


── OSSチェックを自動化したことでどのような変化がありましたか。

WhiteSourceにより、定期的に実施しているOSSの脆弱性とコンプライアンスチェック作業が自動化され、チェック時間も2~3分で終了するのでストレスがかからないですね。他社製品も評価しましたが、15~20分待たされたのを記憶しています。結果として、浮いたリソースをさらなる品質改善の活動に割り当てることができました。

OSSライブラリはネットワーク系や画面系など用途は様々で、それぞれの分野の知識が求められます。機能ごとに担当者はいますが、どのような影響があるのか判断がつきかねる場合もありました。また、OSSライブラリ数が多すぎて依存性の確認は事実上不可能とあきらめていましたが、WhiteSourceにより自動化・無人化が実現されたことで、1リリースあたり10人月程度の効果があったと思います。

担当者がチェック作業から解放されたことは工数面だけでなく、ストレス軽減の観点やリソースの最適配置の観点からも大きな成果です。

さらなる製品の品質向上を目指して


── 今後の展開をお聞かせください。

常日頃、お客様から機能追加のご要望をいただいています。また半年に1度のパートナー会でも機能追加のリクエストをいただいています。お客様やパートナー様からのご要望にスピーディにお応えするためにも、DevOpsからDevSecOpsへの進化は必須でした。今の仕組みをさらに改善してDevSecOpsへと進化させることで顧客満足度向上につなげていきたいと考えています。

OSSによるメリットを最大限活用して製品開発を進める当社にとって、WhiteSourceは生産性と品質向上のための武器として、intra-mart製品のリリースになくてはならないものになりつつあります。OSSは進化の激しい環境にあります。WhiteSourceが今以上に進化し、さらに機能拡張されていくことを期待しています。



エヌ・ティ・ティ・データ・イントラマート様へのインタビュー記事(PDF)を
ダウンロード


本事例をまとめたPDF資料を今すぐダウンロードいただけます。印刷や社内共有等にご活用ください。



本事例でご紹介したお客様情報

会社名 株式会社エヌ・ティ・ティ・データ・イントラマート
概要 株式会社エヌ・ティ・ティ・データの社内ベンチャーとしてスタートし、2000年に専門会社として独立。システム共通基盤「Accel Platform」はじめとするパッケージ開発・販売を展開。
本社 東京都港区赤坂四丁目15番1号 赤坂ガーデンシティ5階
設立 2000年2月22日
資本金 73,875万円
従業員数 175 名(2018年7月現在)
URL https://www.intra-mart.jp/
取材日 2018年7月

関連製品/サービス

WhiteSource

WhiteSource(ホワイトソース)はOSS(オープンソースソフトウェア)の脆弱性、コンプライアンス違反を簡単に確実に管理し、DevSecOpsを強力に支援するSaaS型サービスです。

  • コンプライアンス違反を未然に防止
  • 迅速な脆弱性対応を実現
  • 「DevSecOps」でセキュリティ品質を向上

詳細へ

事例に関するお問い合わせ

資料請求/お問い合わせはこちら(専門の担当者が確認し、ご対応します。)

ご興味のある事例がございましたら、お気軽にお問い合わせください。より詳しい情報をお届けします。

ページの先頭へ戻る