WhiteSource導入事例 - 株式会社WorkVision様※WhiteSourceは、「Mend SCA」に名称変更となりました。
WhiteSourceを活用し、OSSライセンス
確認・脆弱性対応などの
作業時間を
1週間から15分に短縮しました
株式会社WorkVision
株式会社WorkVision(以下、WorkVision)では、同社が開発・提供しているソフトウェア製品に組み込まれているオープンソースのライセンス違反や脆弱性などに関する調査作業を効率化するためにWhiteSourceを導入。確認作業の省力化と精度向上を実現しています。同社 技術統括部 パッケージ開発センター 参事 大芝 一隆氏(写真左)、主任 緑川 彰太氏(右)に、導入の経緯や効果について詳しく聞きました。
(株式会社WorkVisionについて)
中堅企業向けのクラウド/パッケージを中心としたIT関連ソリューション商品の企画、コンサルティング、販売、ソフトウェアの設計・開発、運用・保守、サポートまでを一貫したサービス体制で提供。流通、製造業、医療・福祉、物流業などの「業種別ソリューション」、そして販売管理、財務・会計、人事・給与、就業などの「業務別ソリューション」を幅広く展開し、企業が抱える問題をICTの力で解決している。2019年7月、東芝デジタルソリューションズグループから独立し、東芝ソリューション販売株式会社より社名を株式会社WorkVision(ワークビジョン)に変更した。
クラウドパッケージで利用しているOSSに起因するトラブル要因を未然に回避
WorkVisionにおけるWhiteSourceの利用状況を教えてください。
当社では2017 年9 月より、開発・提供しているソフトウェア製品に組み込まれているオープンソースソフトウェア(以下 OSS) ライセンス情報の分類・検出、およびセキュリティリスク情報に対するパッチバージョン情報などを調査し、ライセンス違反や脆弱性などに起因するトラブルを未然に回避するためにWhiteSourceを利用しています。
現在、当部署ではクラウド上で展開している自社開発製品の「WorkVision®︎ 販売管理」および「WorkVision®︎目標管理クラウド」で利用しています。
「WorkVision®︎ 販売管理」は、当社が40 年以上にわたり開発・提供してきた販売管理システムです。サブスクリプション方式によるサービス提供がメインとなります。
「WorkVision®︎ 目標管理クラウド」は、人材育成と能力開発により企業の成長をサポートする目標管理システムです。月額100 円からご利用いただけるクラウド型のサービスで、企業や組織と社員を、目標と成果でつなぐコミュニティ・ソリューションとなります。
どのくらいの頻度でWhiteSourceを利用していますか。
各製品の開発フェーズによりますが、通常は月1回程度、WhiteSourceを使い定期的にOSSの調査を実施しています。また、新しくサービスをローンチする前には、社内規定で商品認定出荷前の知的財産レビューを実施することになっており、その際にも利用しています。
開発の効率化と期間短縮、コスト削減を目的に導入を検討
WhiteSourceを導入した経緯について教えてください。
製品の提供スタイルがクラウド中心となり、開発においてサービス品質やスピードを向上させ、さらにリソースやコストを抑えるために、積極的にOSSを活用するようになりました。その結果、管理・調査しなければならないオープンソースコンポーネントの数や種類は増加し、サービスの信頼性を担保するために、脆弱性やライセンスに関する正確な情報をリアルタイムで把握する必要性も高まってきました。
しかし、従来のようにOSS に関する調査を手作業で行うのは非常に大きな負担でした。現在のように定期的な調査を実施するのは難しく、開発の最終段階になってから調査を実施せざるを得ない状況でした。開発の最終段階になって問題が発覚すると、大きな手戻りにつながることもあり、OSS の活用がかえって開発期間やコスト、品質に影響を及ぼしかねない状況も発生していました。
加えて、手作業では調査結果の正確性が担保しきれないというのも大きな課題でした。そのような状況を改善し、作業時間の短縮と正確性向上のため、SCA(Software Composition Analysis=ソフトウェア構成分析)ツールの利用を検討することになりました。
1週間かかっていたOSSの調査を約15分に短縮
WhiteSourceの使い勝手はいかがでしょうか。
WhiteSource を導入する以前は、対象システムに組み込まれているOSS ライセンス情報のチェックは1つ1つ手作業で調べなければなりませんでした。利用しているOSS の数は非常に多く、Spring FrameworkのようにOSS ライセンスをいくつか内包しているようなものもあり、時間がかかる上に大変な作業でした。工数で換算すると、OSSのリストアップ作業に約12時間、各OSS ライセンス情報を確認するのに約16時間を費やしていました。
そして、セキュリティリスクが検出された場合は、内容を確認したり、場合によっては最新バージョンを取得したりするのにまた約8時間以上かかるという状況も。これらの作業だけで、担当者のスケジュールが1週間埋まってしまうことも珍しくありませんでした。現在、このように従来手作業で行っていた3 つの作業はWhiteSourceを使うことで、それぞれ5分程度、計15分程度で完了できるようになりました。別途、WhiteSource で出力したレポート情報を定型のレイアウトにまとめる作業もありますが、それでもこれらの作業時間を約144分の1までに短縮できたのは大きいです。
WhiteSource を使うことで、数百以上にものぼる利用中のOSS一覧を簡単な操作で出力させることができます。新しいバージョンへのリンクや、検知した脆弱性への解決方法なども提示してくれます。セキュリティリスクも漏れなく自動で判定し、セキュリティ、品質、ポリシー、バージョンといったアラートとその危険度が可視化されるのも非常に便利です。また、クラウドサービスなので保守運用にかかる負荷からも解放され、気軽に利用できるのもポイントです。
OSSの一覧やライセンス情報など必要 としている情報を出力できる点を評価
SCAツールを選定する際、どのような機能が必要だと考えていましたか。
SCA ツールの主な要件は次の通りです。
- 利用しているOSSの一覧を出力できること。
- OSSのライセンス情報を確認・出力できること。
- 正確かつ確実なバージョンアップ情報を確認できること。
- 運用負荷がかからないこと。
WhiteSourceを選定した理由を教えてください。
導入の決め手となったポイントは次の通りです。
- 利用しているOSSの一覧やライセンス情報など必要としている情報を出力できる点。
- ソースコード解析やリポジトリ照合、独自の脆弱性データベースにより誤検出がゼロである点。
- セキュリティの脆弱性が検出されたとき、警告するだけでなく修正方法の提案なども提供される点。
- ハッシュ化されたデータにより脆弱性スキャンを行うため、ソースコードをインターネット上にアップロードする必要がない点。
- クラウドサービスとして利用でき運用負荷がかからないため、導入・利用に関するコストを抑えることができる点。
最終的には、試用版で使い勝手やパフォーマンスを確かめました。事前準備も必要なくすぐにチェックを開始でき、すぐに結果が出ることが印象的でした。このような使い勝手から、我々の課題を解決できるツールだと感じ、直ちにWhiteSource の導入を決めました。
リックソフトへの期待
リックソフトへの要望や期待などがあれば、聞かせてください。
WhiteSource は使い方がシンプルなのでサポートを利用しなければいけない機会は少なく済んでいます。しかし問い合わせの際には、対応は迅速で、こちらの疑問が解決するまで責任を持って丁寧に対応してもらえるので、とても感謝しています。
現在、当社ではDevOps、さらにはDevSecOpsの推進・強化に関しても積極的に取り組んでいきたいと考えています。リックソフトは、ソフトウェア開発業務を効率化するさまざまな製品やサービスを提供しており、知識やノウハウも豊富なので、WhiteSource とこれらのツールとの連携も含め、相談に乗ってもらえればと思っています。よろしくお願いいたします。
リックソフトへの要望や期待などがあれば、聞かせてください。
実際に使ってみると、どれだけ負担を軽減できるのかが実感できるはずです。我々と同じような課題をお持ちであれば、すぐにでもWhiteSource を試してみてください。
本日はお忙しい中、貴重なお話をありがとうございました。
本事例の内容は2020年10月取材時のものです。
本事例に記載されている会社名、製品名は各社の商標または登録商標です。