WhiteSource導入事例 - クオリカ株式会社様※WhiteSourceは、「Mend SCA」に名称変更となりました。
クオリカでは、全社で活用する
CI/CD基盤にWhiteSourceを組み込んで、
OSSの脆弱性を自動チェックしています
クオリカ株式会社
クオリカ株式会社で、流通・サービス業のお客様向けサービスを開発している 流通サービス事業部 プロダクトディベロップメント部 部長:清水 克彦氏、主任:大谷 尚久氏にWhiteSourceを導入した経緯とその効果について詳しく聞きました。また、社内へのDX推進を主導されている執⾏役員 CTOの坪口 智泰氏からコメントをいただきました。
(クオリカ株式会社について)
クオリカ株式会社(https://www.qualica.co.jp/) は世界的な建設機械メーカー、コマツのIT部門から生まれ、これまで製造業、流通・サービス業のお客様を軸に、お客様の業務を支える情報システムの構築及びサービス提供、IT基盤の提供を行うITソリューションプロバイダです。現在では、TISインテックグループの一員として、日本のみならず、中国と東南アジアにも拠点を持ち、IoT、クラウドサービス、業務用システム開発、パッケージソフト開発、システム運用、情報端末製造・販売等、幅広いITソリューションを展開しています。特に外食産業向け営業支援システムのTastyQubeは業界大手にも全社導入されるなど業界で高い評価を得ています。社員数969名。年商218億円(いずれも連結)
(※ この事例に記述した数字・事実はすべて、事例取材当時に発表されていた事実に基づきます。数字の一部は概数、およその数で記述しています)
CI/CD基盤にWhiteSourceを組み込む
クオリカでは現在WhiteSourceをどのように活用していますか。
当社では、流通・サービス業界のお客様向けとしては、現在主に3つのクラウドサービスを展開しています。(注:他業界向けのクラウドサービスも展開しています)
- SpecialtyQube(小売専門店様向け店舗・本部営業支援システム)
- TastyQube(外食産業向け営業支援システム)
- TimeManagementQUBE(シフト・勤怠のシステム)
クラウドサービス運営において、顧客のニーズを迅速に実現するためにアプリケーションデリバリー速度向上と、サービス信頼性向上を目的としてDevOpsサイクルを導入し、2015年頃からはDevSecOpsを社内で積極推進したことで、社内の開発環境はすでにCI/CD化されています。
WhiteSourceは2019年1月より、そのCI/CD基盤の中に組み込む形で活用しています。
CI/CDの「ソース静的解析」「自動テスト」と合わせて、WhiteSourceのチェックが実施される仕組みになっています。
具体的には、CI/CD環境に組み込まれているため、ソースコードをビルドする毎にWhiteSourceが自動的に起動し、ソース内に含まれているオープンソースソフトウエア(※ 以下 OSS)のセキュリティ脆弱性とライセンス妥当性をチェックするという仕組みです(※ 以下 「OSSチェック」と総称)。
- 1.ライセンス違反や脆弱性に問題があった場合は開発者にメールが通知
- 2.開発者は通知を受けてWhiteSourceで詳細を確認
- 3.詳細については、ダッシュボードのリストからドリルダウンで確認できる
- 4.明確な対処を実施できる
このようにリリース前に一括検査・対応するのではなく、開発フローに組み込むことで、脆弱性やライセンス違反をその都度対応し、クラウドサービスを安全かつ早期リリースを可能にします。
WhiteSourceを組み込んだ開発フローは確立し、SpecialtyQube、TastyQube、TimeManagementQUBEはすでに大手企業にサービスインしており、DevSecOpsサイクルでバージョンアップの開発~運用を行っています。
DevSecOpsの取り組み
クオリカでのDevSecOpsの取り組みについて、くわしく教えてください。
昨今、システム開発においてユーザーからは納期までのスピードと高品質でのリリースの両方が求められています。その要望に応えるために、ただ人手を増やすのではなく、一定の品質を確保かつ納期を短縮しコスト削減を実現するOSSの利用が増加しています。
しかし、OSSの活用を進めることは、一方で「OSSの脆弱性およびライセンス妥当性のチェック」という別の工数が発生します。 使うOSSの数が数十本程度であれば、開発者が手作業でチェックする方法でも可能でした。しかし、現在開発・運用している「SpecialtyQube」「TastyQube」「TimeManagementQUBE」の中で1000本以上のOSSを使用しているため、全てのOSSのライセンスや脆弱性の管理を手作業で現場社員が対応するのは時間がかかるだけでなく、抜け漏れも生じやすくなります。OSSのライセンスや脆弱性の管理を個別にすることは非現実的です。
OSSを使って開発を進める以上、脆弱性リスクやコンプライアンス違反リスクに対する改善と対策は必須であり、一元管理できる仕組みとしてWhiteSourceを導入し、自動チェックする仕組みを確立することで、DevSecOpsを実現しました。
OSSチェックツールの選定基準
OSSチェックツールはどう選定したのですか。
WhiteSourceを含むOSS管理ソフトウェア3製品を比較検討しPoCを実施しました。
その際の比較ポイントは3つです。
- 機能性
- ユーザビリティ
- コスト
「機能性」では誤検知がないこと、常に最新のOSS脆弱性に関するデータベースを参照していて確実なチェックを行えることやトラッキング、 精度の高いレポートが出せることを重視しました。また、アラートが出た時にどの程度深刻なもので、開発者がどう対処すれば良いか、重み付けのついた形で具体的に分かることを重視しました。
「ユーザビリティ」の面では開発社員が日々使い続けていくツールとして、ダッシュボードがわかりやすく、直感的なインターフェースであることも重視しました。
最後に上記2つの要件を満たした上で、高い費用対効果を実現できる、合理的な価格であることを求めました。
社内の生産性向上を担うチームが、これらの要件を満たす製品を比較検討した結果、WhiteSourceが最もよく満たしていたので、全社的に開発に組み込もうという流れになり導入が決定しました。
WhiteSourceへの評価
WhiteSourceをこれまで使い続けての評価をお聞かせください。
CI/CDへの組み込みはきわめて容易でした。脆弱性アラートは現在、月間、数件程度発生していますが、OSSに脆弱性があるときリアルタイムにメール通知が来て、すぐに対応することができます。そのため見落としを心配することなく、安心して開発を続けられます。
OSSを使ってクラウドサービスを開発していると、サービスをリリースしたそのとき問題がなくても、後になって新たな脆弱性が判明することがあります。つまりOSSを使うからには、脆弱性に対し「継続的に」留意し続ける必要がある。その意味でも、WhiteSourceを使って、人の目と手作業に頼ることなくシステマティックにOSSの脆弱性をつぶしていく仕組みが確立できました。当社の製品・サービスの信頼性向上に役立っています。
今後はDevSecOpsの重要な位置づけの製品として全社SaaSへ展開し、OSSの脆弱性、ライセンス違反を開発段階で見える化したいと考えています。そして、当社サービスの品質やセキュリティ向上へ貢献していきたいです。
当社は、引き続きお客様のビジネスの成功に貢献するサービスを開発していきます。リックソフトにはそうした当社の取り組みを優れた製品、提案、サポートを通じて後方支援いただくことを希望します。今後ともよろしくお願いします。
本日はお忙しい中、貴重なお話をありがとうございました。
執行役員 CTO イノベーションテクノロジー本部長 坪口氏のコメント
私たちはSIerの本質的な課題への対策、DXに対しての取り組みを2014年頃から中長期的な試みとして続けています。DevSecOpsへの取り組みと言うのは実は当社の全社的な取り組みの一部になります。
具体的には、まずアプリケーションの開発技術の転換としてテスト自動化、仮想API、Docker・コンテナ、APIマネージメントなどに取り組みました。同時に長くに渡りエンタープライズなSORのシステムを安全安心で構築、運用するためにベンダーロックインされモノリシックなシステムを多く構築しました。
一方でエンタープライズなシステムにもOSSを活用した事例が多くなる傾向にあり、顧客のリテラシーもOSSの普及に伴い高くなり、OSSを積極的に活用する開発も多くなっていきました。それらの背景の中、OSSに関するリテラシーを開発者、利用者ともに身に着ける必要性が急務でした。開発者、サービス提供者はそのコンポーネントの依存性、バグ、セキュリティ、バージョンアップ等のライフサイクル、利用者側はライセンスリスク、コンプライアンス管理が必要となってきます。その中でそれらを可視化、検知する必要が必須となりました。WhiteSourceはそれらに最適な製品でした。
また、他選定の中でいくつかの製品を比較しましたが、コンポーネントの依存関係やセキュリティリスクの評価は製品毎に特色があり、疑わしいもの全てと言った製品はリスクが低いながらも膨大な量を検出してしまい、最終的に精査する時間を浪費してしまうものもありました。実際にリリースのスピード向上とリスク評価は相反する中で、WhiteSourceは誤検知が少なくリリースのスピードを妨げないと言う点で最終的に当社に最適だと判断しました。
当社では2014年以降様々なサービスにOSSを積極的に採用しています。SaaSのみならず、IoTプラットフォーム、AI PaaSにも採用しています。DXを続けていく中で、更なるセキュリティトランスフォーメーション、DevSecOpsの確立を目指し、顧客に信頼されるライフサイクルマネージメントを提供したいと思っています。
本事例の内容は 2020年9月取材時のものです。
本事例に記載されている会社名、製品名は各社の商標または登録商標です。