GitLab Connect Japan 2024レポート 「Opening Remarks and Welcome Keynote: The Evolution of DevSecOps」より

2月7日、GitLab Connect Japan 2024が東京で開催されました。本稿ではイベント最初のセッション「Opening Remarks and Welcome Keynote: The Evolution of DevSecOps」の模様をレポートします。

Opening Remarks and Welcome Keynote: The Evolution of DevSecOps

このセッションでは、GitLab社に所属するメンバーやゲストが登壇する形で行われました。

今回のイベントについて

最初にGitLab合同会社 Japan Country managerの小澤正治氏から挨拶がありました。

写真

小澤氏は「DevSecOps」について、徐々にマーケットに認知されてきたが、先に「クラウドシフト」にきちんと対応するとともにこの領域を手当てしていきたいのではないかと取り上げました。また顧客の声を聞いていると、ソフトウェア開発基盤の刷新や仕組みの見直しにフォーカスが進んでいるようにみえると言います。

今回はGitLab社のほうから製品のビジョンやロードマップ・機能の紹介のほか、カスタマーズストーリーとして企業目線でのDevOpsへの課題と課題解決の取り組み、パートナー企業から組織・プロセス・セキュリティを分解して取るべき道筋を紹介したいと述べました。

ソフトウェア開発変革の3つの壁

そして登壇したのがGitLab Inc. Chief Marketing and Strategy OfficerのAshley Kramer氏です。Ashley氏は、企業組織がソフトウェア開発をできるだけ速く進めるために、GitLabがどのように取り組んでいるのかについて話しました。

写真

最初に顧客事例として、ロッキード・マーティン社を取り上げました。ロッキード・マーティン社は11万の社員がいます。ソフトウェアのセキュリティやクオリティを担保したり効率的したりするのに壁にぶつかり、既存のものを見直してGitLabを導入したそうです。

ロッキード・マーティン社に限らず多くの顧客には共通して、ソフトウェア開発の変革時に直面する次の3つの壁があり、この壁に対応する必要があると言います。

人材(リソース)
どのようなかたちでソフトウェア開発の変えていくのか、アプローチが必要ですが、それには障壁を打ち崩すチームが必要です。そして、より少ない人材でより迅速にイノベーションを実現することが必要になります。現実的には、実際の問題に対応していく人材は非常に限られています。よって、より効率的に、より生産性をどのように高められるかがポイントになります。
プロセス(仕組み化)
ソフトウェア開発における継続的デリバリーやモダナイゼーションをより効果的にしていくのかがポイントです。特にセキュリティが話題であり、セキュリティを初期の段階で統合することが重要だと言われています。GitLab社では昨年、DevSecOpsについて5,000人に調査しました。この調査から、74%がセキュリティのシフトレフトを実行した、またはこの3年のうちに行う予定とう回答をえています。
テクノロジー⁠ツールを統合して効率性を高める
技術的な壁であり、ツールを統合していくことが重要です。上記調査でも66%の組織がツールチェインの統合を望んでいます。

具体的にこの問題を見ていけば、ソフトウェア開発の環境において「ツール自体が関連していない」⁠個別のチームがそれぞれ動いている」といったかたちで分断が起きていること、また開発チーム自体も分断化・分散化されていることに気づき、その結果、効率性が失われていると指摘します。

この対策としてDevOps/DevSecOpsチームを設定して統合(管理・補助)を行っていく必要があるとし、ここが具体的にイノベーションを行っていくうえで重要となると話しました。

なお、Gartner社の「2024年の日本における技術投資上位と目標」というレポートを取り上げ、日本のマーケットを補足していました。

  • 90%が、2026年までにAIまたは機械学習を導入したいと回答
  • 80%が、サイバーセキュリティおよび情報セキュリティへの投資を増やすと回答
  • 66%が、技術投資には営業利益の改善が不可欠と回答
    ⁠投資をおこなっていきたいか、という質問において)

GitLab⁠包括的なAIを搭載したDevSecOpsプラットフォーム

こういった問題を解決するのがGitLabであることをAshley氏は紹介しました。

GitLabではソフトウェア開発ライフサイクル全体をシングルアプリケーションに統合しています。つまり、ライフサイクルの各ステップがすべて、ひとつのプラットフォーム上で動かせます。これにより共同作業を効率化し、コンテキストスイッチを排除できます。それによって価値を生み出すまでの時間を短縮できます。また、組織としてより優れたインサイトをおこなうための指標を確認できたり、チームがどのように物事を遂行しているのかも知ることができます。DevSecOpsのために採用することもできます。

写真

そしてGitLabではAIが搭載されています。それがGitLab Duoです。GitLab Duoを使うことで、ソフトウェア開発の各ステップで「コーディングの高速化」⁠セキュリティの向上」⁠より良いドキュメントの作成」⁠テストの自動化」⁠オンボーディングの迅速化」⁠プランニングの改善」といったAIによる支援が受けられます。

写真

なお、GitLab Duoではプライバシーと透明性を最優先に位置付けていて、企業利用においてセキュリティが担保されるようにしています。AIのモデルをトレーニングすることも可能で、事例に応じてにベストのモデルを使えるそうです。

そして、GitLab Duoの機能概要を動画で示しました。

ソフトウェア開発とデプロイワークフロー全体もGitLab Duoで支援されます。そのことをワーフフロー図を示して説明しました。エピックやイシューの要約から、マージリクエストの作成、テストの生成、脆弱性の検知と説明、レビューの要約、バリューストリーム効果の予測といったことがおこなえます。これにより開発効率を上げ、生産性を上げることができます。Ashley氏は「現在、AIを使った多くの機能を製品に導入していて、我々としても期待がふくらんでいる。ぜひ試してみてほしい」と述べていました。

写真

GitLabの顧客事例とROI

Ashley氏は、GitLabの顧客事例を紹介しました。

ここでまず取り上げたのが、シンガポールに本社を置くデジタル・トラベル・エージェンシーのAgoda社です。以前は9つの異なるツールを使っていましたが、GitLabを使ってツールを統合できました。GitLabを使うことで、ガバナンス・コンプライアンス・セキュリティ監査において一元的で確かな情報が入手できるようになり、アーティファクトからコードのコミットまで、トレーサビリティが確立できると述べています。そして、待機時間の98%以上を削減、導入最初の1か月で3,000時間の作業時間を短縮、開発者の満足度スコアを17%改善したことを紹介しました。

また、アメリカのNasdaqの事例を動画で取り上げ、クラウドシフトの達成にどのようにGitLabが貢献したのかを紹介しました。

GitLab社ではROI(投資利益率)の調査もおこなっています(2022年にForrester Consulting社に委託した「Total Economic Impact⁠⁠。その結果、収益を生み出すアプリケーションとして最初の3年間で427%を達成していました。また6か月未満という迅速な期間で投資を回収できていることもわかりました。

アナリスト企業のGartner社とForrester社は2023年に初めてDevOpsカテゴリを認定しています。定性的分析であるGartner社のMagic QuadrantForrester社のForrester Waveのそれぞれで、DevOps Platformのリーダーとして評価されていることも紹介しました。

なお冒頭で取り上げたロッキード・マーティン社は、システムメンテナンスにかかる時間を最終的に90%短縮しています。また80倍速くCIパイプラインをビルドできるようになり、1,000台のJenkinsサーバーの撤去に成功しています。こうしたプロセスの変革により、セキュリティを担保したかたちで開発効率もかなり上がったことを情報を受けています。

Ashley氏は最後に「セキュリティを担保して、ソフトウェア開発のチームをしっかり支えていきたい。そして必要な効率性・生産性を実現していただきたいと思う。多くのお客様から実績として、ソフトウェア開発ライフサイクルが7倍高速化したことを実感していただいている」と結びました。

プラットフォームとしてのGitLab

次にGitLab Inc. Chief Revenue OfficerのChris Weber氏が登壇しました。冒頭、自分自身は7か月しか勤めていないがすでに何度か日本に来ていることに触れ、GitLab社にとって日本のマーケットがいかに重要であることかを示しました。

写真

Chris氏は現在、金融・農業・運送・医療・通信などさまざまな業界で企業として成功を収める差別化要因にソフトウェアが挙げられると言及し、その差別化をはかるためのプラットフォームがGitLabであると述べました。たとえば、先ほど取り上げられたNasdaq社ではGitLabを使って、業界を代表する統合化されたひとつのビューを実現し、セキュリティについてもゲームチェンジャーとなるような変革を遂げています。

GitLabをプラットフォームの観点から見ると、シングル・テナントなプラットフォームであり、すべてを一元的にとらえて管理できると説明しました。さまざまなコラボレーションやAIの活用もこのプラットフォーム上で機能します。

そして、各顧客と協働でプラットフォーム開発に取り組んでいることも紹介しました。さまざまな顧客プラットフォーム上で開発された機能を、GitLabの商用プラットフォーム上で統合してきたとし、その数は238にのぼり、いまはそれを保守していると言います。

ここで取り上げたいのが金融サービス企業のUBSであるとし、以前は異なるシステムが8、9ありましたがGitLabを介して統合できたそうです。その際、それまで1か月間で10億あったツールチェーンのビルドが1,200万まで削減でき、生産性が上がったと述べました。

セキュリティ対策としてもとめられるDevSecOps

ここでChris氏は、GitLabのDevSecOpsで大きな役割を担っているパートナー企業としてCloudflareに触れ、Cloudflare Japan株式会社エバンジェリストの亀田治伸氏に登壇してもらいました。

亀田氏は今日呼ばれている理由として、CloudflareがGitLabにセキュリティネットワークを提供してるためと述べました。

そして亀田氏はCloudflareの話はこれで終え、今回はいまのソフトウェア開発において必要な取り組みについて、長年クラウドコンピューティング業界にいる視点から話しました。

企業を取り巻く現在のビジネス環境

はじめに企業を取り巻く現在のビジネス環境について取り上げました。

ここ数年ワークスタイルが変化しています。企業の決裁者も知識としては持っていますが、肌間隔ではその変化を実感していないことがあると言います。たとえば営業チームが営業キャンペーンがした際に、昔と違ってリモートワークの割合が多いのでアポイントは取りにくいです。しかし目標は一定なので現場の負荷が高まるといった具合です。

また労働人口が、アメリカが2036年までは増えるのに対して、日本は2019年をピークに減り始めています。よって日本ではリモートワークを企業戦略に上手に組み込み、世界中からの雇用を考えることも必要になってきます。これは人口が減っている国では必須の考え方です。

このように人が一か所に集まらなくなってきているため、人の購買行動も変わってきています。たとえばリモートワークでは自分のプライベートスペースで情報を手に取るわけです。その場合には従来とは異なり、企業が作りこんだマーケティングキャンペーンや商品メッセージはユーザーに刺さりずらくなってきていると指摘しました。

いまユーザーの購買行動に一番強い影響を与えているのはSNSであり、SNSではある人の意見が、ほとんどの場合において無意識に別の人の意思判断や購買決定に強い影響を与え、企業がコントロールできないバタフライエフェクトのようなものがSNSで増幅されていると説明しました。

そしてこのようなビジネス環境で、製品のロードマップを策定していく必要があると話が続きます。その際に「これがスタンダードだ」という考え方は重要ですが、それと同時に新しくリリースした機能に対して世間がどう反応し、ポジティブなのかネガティブなのかを察知して次の開発ロードマップに織り込んでいく、というサイクルをいか高速に回すかが、いまの企業のビジネス開発、つまりそれを支えるソフトウェア開発にとって必要であると示しました。

なお、アナリストは企業にとってデジタル変革が必要で、もし変革が進まなかったとしてもその際に得られる知見を蓄積していくことが重要だと言うことに触れ、こういった失敗は業界の歴史からも学べることが多くあると補足しました。

写真

DevSecOpsに必要なガードレール/シフトレフト

そして、ソフトウェア開発ライフサイクルを高速化していくときに問題になるのがセキュリティであると取り上げ、分散コンピューティングの話に入りました。

昔のホスティングコンピューティングの時代からITは分散と集中と繰り返していて、いまは分散黄金時代だと言います。クラウドコンピューティングが生まれデータセンターを意識する必要がなくなり、ソフトウェアの稼働プラットフォームだけを考えておけばよくなりました。最近ではクラウドを飛び越えてCDNといった、もっともユーザーの近いところで処理がおこなわれるエッジコンピューティングが選ばれてきています。

しかし無作為な分散は企業がリスクをおうことになると指摘しました。システムが分散するほど、攻撃対象領域(Attack Surface)となるIPアドレスやドメイン名が増えるためです。よってセキュリティを正しくほどこした状態での分散というのが非常に重要になると言及しました。

つまり、ソフトウェア開発プラットフォームをより管理しやすく安全性の高いものにし、考え方もDevSecOpsを導入していまの業務のあり方を変えていくことが重要になってきていると紹介しました。このことをパブリッククラウドではガードレール型セキュリティ、セキュリティ業界ではシフトレフトと言います。亀田氏はさらに次のように説明しました。

「ものごとは時間ともに関係者が増え続け、いろいろなしがらみが増え続け、複雑になります。よって同じことをしようとした場合、後工程のほうが関係者の時間がかかります。この考え方に則るのであれば、ソフトウェア開発ではなるべく最初の段階から必要なセキュリティを投入するのが望ましい。これがシフトレフトやガードレールの考え方です。つまり、アプリケーションソフトウェア開発者が通っていい道をルールとして定義しておくことが、企業のDevSecOpsにとって重要になるわけです。もちろん100%の関門を設けて進めることは難しいですが、これからも多くのセキュリティの検知のメカニズムがAIによって強化されていくはずです」⁠亀田氏)

日本の文化的側面から考えるDevSecOps

ここで先に登壇していたChris氏から亀田氏に日本のマーケットについての質疑応答が行われました。

Chirs氏の質問は「日本におけるソフトウェア開発ライフサイクルのなかでコンプライアンスやガバナンスをどのように考えていけばいいのか」といったものでした。Chirs氏は自身の経験から、日本企業はセキュリティに注意を払っているが文化として人為ミスも含めて回避するというイメージがあるとし、それによってセキュリティがブロッカーとなってソフトウェア開発のスピードを落としてしまっているようにみえると述べました。また、まだ現役である古いシステムのレガシープラットフォームを新しい技術を使ったものに切り替えていくタイミングや実際に切り替える場合の備えについても尋ねました。

この質問に対して、亀田氏は文化的な側面でコメントしたいとして次のように答えています。

「日本企業とグローバル企業では多くの文化ギャップがあると思います。典型的な日本企業は母国語で仕事をしているため、問題があっても話ができればいいと考えていますし、すべてのステップでしっかり話をしていく必要があると考えています。一方、グローバル企業では第二言語で仕事していますし、タイムゾーンが異なります。そのため話すことがリスクになりえます。たとえば、英語の会議に参加したメンバーが100%理解しあえるわけではありません。また過去の経験からすると、マネジメントチームがルールや規則を作るのにほとんどの時間を割いています。

セキュリティの話をすると、日本のスタイルは信号機のようなものです。ライトが赤だとみんなが止まって話をして、すべてを確認したのち多くのマネージャーによって承認が下りて再開します。そうするとスピードが落ちてしまいます。そこで、シフトレフトやDevSecOpsという面からも『メカニズム/ツールを使ってルールをそれに対して実装して、そのあとで開発者がプラットフォーム(ツール)上で自由にやっていく』といった考え方に変えていくことや、コンセプトを変えていくことが日本では必要なことではないかと思っている」⁠亀田氏)

Chirs氏は「日本は優先順位が高いマーケットであり、顧客の要求にきちんと対応していきたい。詳しくは小澤さんから紹介したい」と述べ、降壇しました。

日本マーケットへのGitLabの取り組み

そしてGitLab合同会社の小澤氏が再び登壇し、GitLab Japanとしてマーケットにどのように貢献していくか、GitLab社のコーポレートミッションがEveryone can contributeであることにも触れ、その取り組みを話しました。

その具体的な話の前にトレンドとして、製造業やハードウェアメーカーがソフトウェアを軸とした成長戦略に軸をずらしはじめていること、また日本のITマーケットでは「2025年の崖」と言われる大量のIT人材がいなくなるという状況が待っていて、いかにIT人材を確保するのが重要になっていることを挙げ、このような状況のなかDXという言葉の名のもとに企業変革を行っていると紹介しました。

そして、DXの一つのコンポーネントが内製化だと指摘しました。その際、Gartner社が発表した「日本におけるソフトウェア開発の内製化に関する調査結果」を引用し、ほとんどの企業は内製化を進めるために動いていることを取り上げました。

写真

しかし、すべてを内製化することは現実的ではないと言います。その要因に、日本のITマーケットで業態として存在するシステムインテグレーターを挙げました。もちろんソフトウェア開発を効率よく回していくためにもエンジニアの確保競争があることからも、システムインテグレーターは必要な存在であることも補足しています。このことはクラウドシフトのトレンドでも同じようなことが言えるといい、iPaaSが入ってきても企業のクラウド採用が100%はシフトせず、オンプレのいい部分を残しながらクラウドを活用するハイブリットのモデルで着地していることを例に出しました。

またこのセッションで取り上げたプロセス(仕組み化)の話においてシングルプラットフォームですべてを回すことの重要性を示しましたが、押さえるべきポイントは、ここにシステムインテグレーターや、グローバル企業であれば海外の開発拠点を巻き込んだかたちで仕組み化する必要があり、自社内で完結するワークフローにはならないといった難しさを抱えていている点であることを挙げました。また亀田氏が述べていたとおり、日本語で話が通じてしまうことから仕組み化を苦手とする日本人は多く、このマインドセットを書き換えるのは難しい部分もあることにも触れました。

そのようななか、Ashley氏の話で示された人材・プロセス・テクノロジーの3つに対するGitLab社の貢献として、テクノロジーではアプリケーションであるGitLabを通して貢献できること、人材とプロセスでは特にプロセスの部分で我々の知見も十分に活きてくると述べました。個々の部分はパートナー企業と手を握って進めていきたいとし、最後にパートナー企業を紹介しました。

写真

おわりに

このあとのセッションでは記事冒頭のほうで触れたとおり、引き続きGitLab社のほうから製品の機能紹介のほか、国内企業のDevOpsの取り組みやパートナー企業からの話がありました。

なお、今回のイベントの模様は3月に期間限定のネット配信が予定されています。詳細はイベントサイトをご確認ください。

おすすめ記事

記事・ニュース一覧