Vector Technology Solutions社がGitLabでライセンス監査を75%高速化した方法

VTSはGitHubをメインのソースコードプラットフォームとして使用していましたが、それだけでは不十分でした。ソース管理、コード品質、脆弱性スキャン、CI/CD、ライセンス管理 — それぞれに別のサードパーティツールが必要で、気づけば6つのツールを組み合わせて運用する構成になっていました。コード品質にはSonarQube、脆弱性スキャンには専用ツール、CI/CDパイプラインにはまた別の外部サービス。こうした断片化した環境はオーバーヘッドを増やし、リポジトリ間での構成ドリフトのリスクも招いていました。

「煩わしく、面倒で、隠れたギャップが生じやすい状況でした」とテクノロジー責任者のJacques Buitendag氏は説明します。「GitHubはリポジトリに焦点を当てたツールであり、ワンストップソリューションを目指していません。コード品質が必要になればSonarQubeのような別のツールを、脆弱性スキャンにはOWASP Dependency-Checkなどを追加しなければなりませんでした。パイプライン間でドリフトが発生する余地が常にありました。」

ガバナンス要件は明確な回答を求めていました — 適切なプロセスがあるか？一貫して実行されているか？それを証明できるか？ツールがベンダー間に分散している状況では、監査レポートの作成だけで数日を要しました。

ライセンスコンプライアンス監査は、この問題を如実に示す例でした。毎年、VTSは各プロジェクトを手動でチェックし、依存関係を抽出して重複を統合し、前年と比較する作業を繰り返していました。その工数は、エンジニアリング時間で丸2日に上っていました。

セキュリティの可視性も同様の課題を抱えていました。スキャンはリポジトリ単位にとどまり、組織全体を横断するレビューは行われていませんでした。その結果、脆弱性が発見されるのは、チームがすでに顧客のマイルストーンにコミットした後——リスク評価も、受け入れるか修正するかの判断も、後手に回らざるを得ませんでした。

VTSがGitLab Ultimateのセルフホスト型デプロイを選んだ理由は3つ——統合されたガバナンス機能、インフラストラクチャの制御、そしてシームレスなデベロッパーエクスペリエンスです。

GitLabの導入により、VTSはすべてのプロジェクトにわたる統合ビューを手に入れ、脆弱性管理、ライセンスコンプライアンス、セキュリティスキャンを一元化できるようになりました。別々のツールを統合したり監査データを手動で収集したりする手間はなくなり、明確な監査証跡を継続的に確保できる環境が整いました。

セルフホスト型モデルの採用も、意図的な選択でした。万が一のセキュリティインシデントに備え、VTSは自社インフラストラクチャ上でGitLabを運用することで、システムの分離、ネットワーク通信の遮断、顧客への明確な境界の提示を可能にしました。

「規制対象の業界では、常に最悪のシナリオに備えた計画が必要です。GitLabのセルフホスティングなら、それが可能です。ネットワークアクセスを厳格に制御できます」とBuitendag氏は説明します。

VTSは、インフラストラクチャの構築、バックアップの設定、すべてのリポジトリとパイプラインの移行を含む一連の作業を、わずか3か月で完了させました。

エンジニアリングの観点から見ると、この移行は意図的に目立たない形で設計されていました。GitLabはGitHubと同等の機能を提供しており、ブランチ、マージリクエスト、レビュープロセスといったコアワークフローはそのまま継続。チームが再トレーニングを必要とする場面はありませんでした。

「移行は本当にスムーズでした」とエンジニアリング責任者のKaren Ip氏は述べています。「GitLabチームから強力なサポートを受けたおかげで、技術スタッフが自信を持ってインフラストラクチャのセットアップに取り組むことができました。」

ガバナンスへの効果は、導入直後から現れました。以前は各ツールに分散していたSAST、DAST、コンテナスキャン、依存関係スキャン、シークレット検出が、GitLabのネイティブ機能として一元化されたのです。

その効果が最もわかりやすく表れたのが、ライセンスコンプライアンス監査です。以前は丸2日を要していた作業が、今では半日で完了します。Buitendag氏はGitLabの依存関係ビューにアクセスし、統合リストをダウンロードして前年からの変更を特定するだけで済むようになりました。

「文字通り、数日かかっていたプロセスが半日で完結するようになりました」とBuitendag氏は言います。「速くなっただけでなく、精度と可視性も格段に上がりました。」 セキュリティ面でも、変化は大きなものでした。脆弱性がマージリクエストに直接表示されるようになったことで、チームはコードがマージされる前に影響を評価できます。顧客への納品にコミットした後で問題を発見するのではなく、開発の段階でリスクを把握し、修正するかどうかを根拠を持って判断できるようになりました。

「シフトレフトして早期に可視性を得ることは、大きな助けになります」とIp氏は述べています。「脆弱性が報告された際、推移的な依存関係チェーンを確認し、実際に使用している部分に影響があるかどうかをすぐに判断できます。影響がなければ、脆弱性の性質に応じて対応方針を検討できます。リスクレベルが低く影響が起こりにくいと判断できれば、削除するか、パッチが出た時点で修正するかを選べます。」

こうした変化は、デリバリーの信頼性という形でビジネスにも波及しました。セキュリティ上の問題が納品後ではなく開発中に表面化することがわかっているため、エンジニアは自信を持って顧客のタイムラインにコミットできるようになりました。ライセンス監査の工数は半日に短縮され、チーム全体のガバナンスオーバーヘッドも大幅に削減されています。

リーダーシップ層にとっても、変化は明確です。複数のツールからデータをかき集める必要はなくなり、プロジェクト、ライセンス、脆弱性、アクセス制御を網羅した包括的なレポートをGitLabから直接生成できるようになりました。

ガバナンス機能とセルフホスト型デプロイモデルの組み合わせが、VTSに米国市場への扉を開きました。セキュリティ、インシデント対応、データガバナンス管理に関する堅牢なドキュメントを求める米国電力会社のサイバーセキュリティ要件に、正面から応えられる体制が整ったからです。

見込み顧客から最悪のシナリオへの対応やデータ分離機能について問われた際も、チームはGitLabの機能を根拠に、システムの物理的な分離、ネットワーク通信の遮断、明確なセキュリティ境界の維持について具体的に説明できます。統合されたガバナンスとインフラストラクチャ制御が、規制市場で求められるセキュリティ対策の説明責任を支えています。

重要なインフラストラクチャを手がけるエンジニアリングチームにとって、ツールの統合はコスト削減が目的ではありませんでした。オーバーヘッドを減らし、ガバナンスの可視性を高め、ツールの乱立への対応に追われる時間を、革新的なエネルギー管理機能の開発に充てる——それが本質的な狙いでした。

ニュージーランドとオーストラリアを超え、米国電力セクターへの展開を進めるVTSにとって、この市場への準備態勢はますます重要な意味を持ちます。

VTSは今回の移行をフェーズ1と位置付け、すでに次のステップを見据えています。フェーズ2では、GitLabを活用して一時的な環境を自動的に起動し、完全なテストスイートを実行してマージ前に変更を検証する仕組みを構築する計画です。問題があれば自動的に検知・通知され、パイプラインアーキテクチャ全体での設定の柔軟性により、ビルド時間を最大50%削減できると見込んでいます。

「GitLabがソフトウェア開発ライフサイクルプロセスをさらに改善・最適化するのにどう役立つか、検討を続けています」とIp氏は言います。「プロセスの自動化、一時的な環境でのテスト、メインブランチへのマージ前の検証 — これらを実現できることは、私たちにとって本当に重要です。」