株式会社コウェル様｜導入事例

背景・課題

オフショア開発現場における OSS ライブラリの脆弱性に対する意識が低く、チェックに回す人員も不足

2007年の会社設立当初から業界内でいち早くオフショア開発をスタートしたコウェル。ベトナムにある開発拠点には、ハノイ工科大学など同国一流 IT 大学を卒業した約400名のベトナム人エンジニアが在籍し、主に日本向けのシステム開発業務に携わっている。一方、日本国内では、要件定義などの開発支援や現地のオペレーション、コミュニケーションをサポートし、グローバルレベルで高品質なソフトウェア開発・テスト体制を支えている。その品質の高さは、同社が参加するソフトウェアテストの国際的な資格認定機関「 ISTQB 」パートナーシッププログラムにおいて、全世界で8社、日本で2社のみが認定された最上位資格「 Global Partner 」を取得していることでも裏付けられている。

そんなコウェルのオフショア開発の現場では、プロジェクトの要件に合わせて多種多様な OS、開発言語、ツールが使われている。特に近年は、Java、PHP、Ruby、C#、Python などの Web アプリケーション開発言語を使用し、必要に応じて OSS ライブラリを利用したシステム開発が主流になっているという。しかし、この OSS ライブラリに関して管理面の課題があったと、オフショア開発の技術支援を担当する大谷友子氏は話す。

「お客様のなかにはオフショア開発の現場であるベトナム側の技術力やセキュリティを心配している方もいます。一方、以前の現場では、OSS ライブラリの脆弱性に対するリスク管理、バージョン管理についての重要性が十分に浸透しておらず、エンジニアによってセキュリティの意識に差があり、意識の高い一部のエンジニアだけが手作業で管理しているという状況でした。恥ずかしながら、パッケージ管理についてアップデートのやり方をよく知らないエンジニアもいたり、エラーが出ているにもかかわらず、そのままパッケージを使っていたりするエンジニアもいました。さらに、脆弱性のある古いバージョンをそのまま使い続けるプロジェクトも多く、セキュリティリスクの高い状況が続いていました。また、脆弱性が見つかった際には、どのバージョンを使っているのかを全プロジェクトチームにいちいちヒアリングして回り、該当のバージョンが見つかり次第手作業で対応するといった、とても非効率な作業を行っていました」（大谷氏）

そんな同社では、OSS の脆弱性に対して従来から対策を打っていたものの、社内で抱えるプロジェクトの多さなどの理由で十分な対策が取れていなかったとシステム部 部長の林 隆洋氏は述べる。

「ソフトウェアの品質を管理すべく、従来からソースコードに関して静的スキャンを使いながらテストを行う体制を整えていましたが、OSS に関する脆弱性が世の中にたくさんあり、それをすべてチェックしていたため膨大な時間と手間がかかっていました。また、月毎に OSS ライブラリのバージョン管理を行うのが理想的ですが、常に数多くのプロジェクトが同時に動いており、さらにチェックに回せる人数も十分に確保できなかったため、1年に1回、もしくは手が空いたときにしかバージョンアップが行えていないのも課題でした。さらに、OSS ライブラリに関してのセキュリティチェックをオプションサービスとして提供していましたので、その作業をツールを使って効率化したいと感じていました」（林氏）

そこで同社では、OSS ライブラリを利用するシステムのセキュリティリスクを低減するための施策を模索。そうした中で出会ったのが、OSSコンポーネントのセキュリティとコンプライアンスを管理するクラウドサービス「 WhiteSource 」だった。

導入プロセス

WhiteSource を約5分の1のプロジェクトに適用　OSS コンポーネントのバージョン管理から開始

WhiteSource は、開発言語やツールを問わず、ソフトウェアで使用されている OSS コンポーネントを可視化し、ライセンスや脆弱性を検知する機能を備えている。コウェルが OSS コンポーネントのセキュリティとコンプライアンスを管理する製品・サービスを探していた当時は、同社のニーズを満たすものがほかに存在しなかったこともあり、とくに他の製品・サービスと比較検討することなくスムーズに WhiteSource の導入を決めたという。実際に WhiteSource の利用を開始したのは、2018年のことだった。

「オフショア開発現場から上がってきたソフトウェアを WhiteSource に取り込み、ソフトウェアが使用する OSS ライブラリを参照して最新バージョンか、脆弱性が修正されたバージョンかを判断するところから利用し始めました。オペレーションはプロジェクト側ではなく、システム開発技術についてのサポートを横断的に行う日本の技術推進部門が担当することにしました」（大谷氏）

ちなみにコウェルが WhiteSource を導入した時点では、当時の国内販売代理店との契約だった。導入当初は、ドキュメントサイトが用意されているものの内容が難しかったり、日本語化が不完全で理解できない機能が多かったりと戸惑うことも多かったとのこと。しかし、その代理店が WhiteSource の取り扱いを中止することになり、その後、リックソフトが取り扱いを開始してからは、ドキュメントサイトが改善。リックソフトとの契約に切り替えてからは、ドキュメントサイトやコンテンツに関して困ることはなくなったという。

同社では、WhiteSource を適用するプロジェクトを徐々に拡大。現在は、同時に動いているプロジェクト全体の約5分の1に適用しており、1プロジェクトあたりおよそ2カ月に1回程度の頻度でチェックしているそうだ。

「当社はアトラシアンの『 Confluence 』を利用していたこともあり、以前からリックソフトとのお付き合いがありました。リックソフトは数多くの製品・サービスを取り扱っており、それぞれの製品・サービスに関する機能やノウハウを熟知した手厚いサポートが期待できることからリックソフトとの契約に切り替わる際も安心できました」（大谷氏）

導入効果

OSSコンポーネントのバージョン管理を正確かつ容易に実行　開発現場のセキュリティ意識も向上

コウェルでは WhiteSource の導入により、様々な導入効果が得られているという。

「 WhiteSource を導入したことにより、これまで一部プロジェクトだけが手作業で行っていた OSS コンポーネントのバージョン管理がより正確かつ容易に実行でき、誤った管理方法への指摘・修正が迅速に行えるようになりました。オフショア開発現場のプロジェクトでも、OSS コンポーネントのバージョン管理を実施する必要性の認識が根付き始めています」（林氏）

WhiteSource を適用したプロジェクトについては、顧客企業からの評価も高まっているという。

「お客様からは、WhiteSource によるチェックを定期的に実行して欲しいという要望も寄せられるようになりました。現在は一部のプロジェクトへの適用に限られていますが、できる限り早い段階ですべてのプロジェクトに適用し、日常的に使用したいと考えています」（林氏）

WhiteSource の契約がリックソフトに変わったことにも効果を感じているという。

「ドキュメントサイトの改善により使いやすくなったのはもちろんですが、リックソフトが WhiteSource を取り扱い始めたことで、 WhiteSource の知名度も向上し、よりメジャーなサービスになったと感じています。お客様からの信頼も得やすくなりました」（大谷氏）

今後の予定

CI/CDの方針に則ったリスク管理の自動化に合わせ、全プロジェクトへの WhiteSource の適用を目指す

コウェルは現在、すべてのプロジェクトにおいて CI/CD（継続的インテグレーション/継続的デリバリー）を導入する方針を掲げており、それに合わせてセキュリティやコンプライアンスなどのリスク管理を自動的に確認・実行できる仕組みを取り入れていく計画だという。そのためにも、上述したように WhiteSource をすべてのプロジェクトに適用することを目指した取り組みを進めている。

「最近は競合となる製品・サービスも登場しましたが、機能や検出精度の面ではまだ WhiteSource に及びません。ただし現時点においては、 WhiteSource に搭載されている豊富な機能が使い切れていないので、今後はそうした機能も含めて利用範囲を拡大したいと考えています。そのためにもリックソフトには、WhiteSource のお勧め機能やノウハウに関するコンテンツをさらに充実させてほしいと期待しています」（大谷氏）

オフショア開発プロジェクトにおけるバージョン管理の重要性やセキュリティ、コンプライアンスなどシステム開発品質のさらなる向上を目指すコウェル。WhiteSourceはこれからも、同社の高品質なシステム開発を支えていくに違いない。

本事例の内容は2021年5月取材時のものです。
本事例に記載されている会社名、製品名は各社の商標または登録商標です。