＠IT編集部は2022年8月22日、デジタルイベント「＠IT ソフトウェア品質向上セミナー」を開催した。基調講演では、「SBOMによるサプライチェーン攻撃対策～自社ソフトウェアのリスク、把握していますか？～」と題して、JFrog Japanの横田紋奈氏（デベロッパーアドボケイト兼Java女子部・JJUG運営）が、企業におけるオープンソースソフトウェア（OSS）の使用に潜むリスクにはどのようなものがあり、それにどう対処していけばよいかについて解説した。 ソフトウェアのセキュリティで注目されるソフトウェアサプライチェーン攻撃 SBOMとソフトウェアサプライチェーンの話題の前に、横田氏はDevSecOpsとは何かから話を始めた。DevOpsは、開発者と運用者が協力してサービスを改善していくもの。ユーザーからのフィードバックなどを受けて取り組みを繰り返し、改善を継続する。そのための考え方であり、組

あなたの能力も態度も信用できません：「訴えてやる！」の前に読む IT訴訟 徹底解説（75）（1/4 ページ） 連載目次 システム開発をベンダーに委託したものの、その進捗（しんちょく）や品質の悪さに不安を覚えたユーザーが契約を途中解除してしまうことがある。出来上がりそうもないシステムにこれ以上時間と労力と費用を無駄に費やすよりは全てを仕切り直したい、と考えるのは、自然なことである。 しかしベンダーからすれば、突然契約を解除されたら、かかった費用が回収できないどころか、場合によってはユーザーに損害の賠償をしなければならなくなる。一方的な解除など到底受け入れられたものではない。 そもそも「ベンダーの作業に不安を覚えた契約解除」なるものが正当か否か、判断は難しい。 システム開発の世界では、遅延や不具合の多発は必ずしも珍しいものではなく、数々の困難を克服して本稼働までこぎ着けたプロジェクトはたくさん

はてなのMackerelチームはKubernetesクラスタを自前で構築して運用していたが、撤退を選択したという。なぜ、Kubernetesの運用を諦めて撤退を選んだのか。はてなのMackerelチームでSREを務める今井隼人氏が語った。 コンテナ型仮想化技術を活用したアプリケーションの管理（オーケストレーション）ツール「Kubernetes」が注目を集めている。その背景の一端にあるのが、アプリケーションをコンテナ化し、マネージドKubernetesサービスで実行することによるメリットの享受と、運用負荷の軽減だ。 参考記事：「Kubernetes」とは何か――コンテナ型仮想化の本番利用に向けた課題 参考記事：「Kubernetesで運用する」その前に　Kubernetesを本番環境で利用する際のポイント そんな中、「Kubernetesクラスタを自前で構築して運用していたが、撤退を選択した

日本国内で、「クラウドネイティブ」に取り組む企業が増えている。テクノロジー企業の間では、事実上共通のテーマとなっている他、一般企業でも、デジタル活動の推進に伴い、クラウドネイティブを目指す動きが見られるようになってきた。 だが、「クラウドネイティブ」とは、具体的には何なのだろうか。クラウドネイティブを目指す場合、何をすることになるのだろうか。2019年7月の「Cloud Native Days Tokyo 2019」でCo-chairを務めた草間一人氏と青山真也氏は、この言葉の意味を誤解していると思われるケースに遭遇することもよくあると話す。 そこで両氏に、クラウドネイティブに関してじっくり語ってもらった。＠ITではこれを4回に分けてお届けする（聞き手は＠IT編集部 三木泉）。 各回のテーマは次の通り。 第1回　「クラウドネイティブ」はどう誤解されているか（今回） 第2回　CNCFのTra

オープンソースソフトウェア（OSS）の統括・推進団体であるLinux Foundationの日本支部、Linux Foundation Japanが、約1年がかりで翻訳を進めてきた「Open Source Guide for Enterprises」の日本語版、「企業のためのオープンソースガイド」をWebで公開した。 これは、一般企業におけるOSSの活用・推進に関する指針やベストプラクティスを、多角的に提示したもの。Linux Foundation日本担当バイスプレジデントの福安徳晃氏は、次のように話す。 「テクノロジー企業、一般企業を問わず、多くの企業の現場でOSSが利用されている。現場任せではなく、組織全体としての利用管理を進めるべき段階に来ている企業は、日本でも増えている。また、例えば自動車メーカーに見られるように、事業戦略の一環として、社内で開発したソフトウェアをOSS化して推進し

Microsoftが「Rust」言語を導入、安全性以外の理由あり（続報）：性能や安全性以外にも評価あり Microsoft Security Response Center（MSRC）は、C／C++に代わるシステムプログラミング言語の最有力の選択肢として「Rust」を挙げ、その理由を解説した。合わせてMicrosoftのような大規模なコードベースを持つ企業にとっての課題も示した。 なぜメモリ安全性と性能の両方が必要なのか MSRCによると、メモリ安全性を備え、Microsoft社内外で広く使われている言語は数多い。「C#」や「F#」のような.NETに対応した言語の他、「Swift」「Go」「Python」、Rustなどがある。 だが、システムプログラミング言語はOSカーネルなど、他のソフトウェアの動作基盤となるシステムの作成に使うものだ。CやC++が提供するような速度と予測可能なパフォーマ

NRIセキュアテクノロジーズ（以下、NRIセキュア）は2019年7月18日、日本、米国、シンガポールの3カ国で実施した「企業における情報セキュリティ実態調査2019」の分析結果を発表した。それによると、日本でDX（デジタルトランスフォーメーション）に取り組んでいる企業の割合は3割で、約半数がCISO（最高情報セキュリティ責任者）を設置していることなどが分かった。 DXへの取り組みを阻害するものとは DXへの取り組み状況について尋ねたところ、「取り組んでいる」と回答した日本企業の割合は30.7％で、米国の85.3％やシンガポールの85.6％に比べて大幅に低かった。取り組みを阻害する要因としては、「技術を実装する人員やリソースの確保やスキル」が最も多く、39.2％が回答した。次いで、「予算配分や投資判断」（33.3％）や「新技術に対する理解」（28.0％）、「組織的な対応、トップの理解」（26

「インフラ怖い」が生んだSREの業務負担――freeeはどう改善したか：運用コストを減らす3つのポイントとは（1/2 ページ） 本番環境にKubernetesを活用するfreeeでは、SREに運用管理業務が集中して疲弊してしまった。そこで、開発チームにサービスの運用管理業務を任せることで改善していったという。その方法とは？ 個人事業主や法人向けにSaaSを開発、提供するfreeeは、本番環境にAmazon Web Services（AWS）の「Amazon Elastic Compute Cloud」（以下、EC2）と「Amazon EC2 Auto Scaling」（以下、EC2 Auto Scaling）を活用していた。だが、提供するサービスの増加やマイクロサービス化などに伴い、SRE（Site Reliability Engineer）に運用管理業務が集中して疲弊。そこで、開発チーム

Microsoft、安全で高効率のプログラミング言語として「Rust」を高く評価：メモリ破壊バグを避けるには Microsoft Security Response Center（MSRC）は、ソフトウェアのセキュリティ確保と効率性の両方の要件を満たす最も有望なシステムプログラミング言語の一つとして、「Rust」を高く評価した。メモリ破壊バグをそもそも作り込まないことでセキュリティを確保できるという。

コンテナベースの継続的インテグレーションの利点／課題と、CIパイプライン、Docker Build高速化のコツ：コンテナベースのCI/CD本番事例大解剖（2）（1/2 ページ） Kubernetes、コンテナ技術を活用したCI/CD基盤におけるサービス開発について、リクルートの事例を基に解説する連載。今回は、アプリ開発者の視点から、コンテナ技術を用いたシステム開発について、コンテナベースのCIのメリットを中心に解説。 本連載「コンテナベースのCI/CD本番事例大解剖」では、リクルートテクノロジーズが取り組んだ事例を基に、Kubernetes、コンテナ技術を活用したCI（継続的インテグレーション）/CD（継続的デリバリー）基盤におけるサービス開発について解説します。第1～3回では、「Kubernetes、Dockerをコア技術に据えて、サービスを構築した際に、開発、保守運用においてどのような

Envoy、Istioによるサービスメッシュのスタートアップ、Tetrateが正式デビュー：「エンタープライズサービスメッシュ」を提供へ サービスメッシュのスタートアップ、Tetrateは2019年3月13日（米国時間）、ステルスから脱出して正式デビューした。同社は「TetrateはEnvoyとIstioを活用し、数十億ドル規模のネットワーキング市場をディスラプト（創造的破壊）する」と述べている。 サービスメッシュのスタートアップ、Tetrateは2019年3月13日（米国時間）、1250万ドルの資金調達を行い、ステルスモードから脱して正式デビューした。同社はプレスリリースで、「TetrateはEnvoyとIstioを活用し、数十億ドル規模のネットワーキング市場をディスラプト（創造的破壊）する」と述べている。 Dell Technologies Capitalがリードしたこのシード資金調達

Kubernetes、コンテナ技術を活用した開発アジリティー向上にインフラアーキテクトはどう貢献したのか：コンテナベースのCI/CD本番事例大解剖（1）（1/3 ページ） Kubernetes、コンテナ技術を活用したCI/CD基盤におけるサービス開発について、リクルートの事例を基に解説する連載。初回は、インフラアーキテクトの視点から技術選定の考え方について解説。 インフラアーキテクト、アプリ開発者、運用／インフラ技術者の視点で 本連載「コンテナベースのCI/CD本番事例大解剖」では、リクルートテクノロジーズが取り組んだ事例を基に、Kubernetes、コンテナ技術を活用したCI（継続的インテグレーション）/CD（継続的デリバリー）基盤におけるサービス開発について解説します。事例は、リクルートジョブズが運営する「ジョブオプLite」という、「採用ホームページ」の作成、採用応募の管理を行うため

「Azure DevOps」をMicrosoftが提供開始、包括的なDevOpsサービス：Visual Studio Team Servicesの拡張版 Microsoftは、開発ライフサイクル全体をカバーし、共同作業による高品質なソフトウェアの迅速な出荷を支援する「Azure DevOps」サービスを提供開始した。Visual Studio Team Servicesの拡張版と位置付けられるサービスだ。 Microsoftは2018年9月10日（米国時間）、ソフトウェア開発ライフサイクル全体をカバーし、開発チームの全作業を支援する「Azure DevOps」サービスの提供開始を発表した。 コード共有や作業の追跡など、ソフトウェア開発チームを支援するツールの開発、提供に15年以上投資し、学習した蓄積が同サービスに結実したという。 Azure DevOpsは、「Visual Studio T

どのようにデータ基盤を作ったのか？「俺の考えた最強のデータ基盤」は使われない：開発現場に“データ文化”を浸透させる「データ基盤」大解剖（3）（1/2 ページ） 「ゼクシィ縁結び・恋結び」の開発現場において、筆者が実際に行ったことを題材として、「データ基盤」の構築事例を紹介する連載。今回は、「データ基盤」の開発プロセスについてお伝えします。 「使われるデータ基盤」を構築するために筆者が取り組んだ試行錯誤を紹介する本連載『開発現場に“データ文化”を浸透させる「データ基盤」大解剖』。前回はデータパイプラインを支える基盤システム設計について解説しました。第3回となる今回は開発プロセスについてお伝えします。 なお、技術要素としてはPythonやBigQuery、ツールとしてGitHubやJIRAを扱いますが、他の手段でも代替可能な内容です。細部にとらわれずにご自身の担当する業務や組織に当てはめながら

ノンプログラミングで大規模システムを開発可能、ラクラスがフレームワーク「SQN」を発表：SQNで開発した「ラクラス人事クラウドサービス」の販売も開始 ラクラスは、プログラミングを必要とせずに大規模情報システムを開発できるフレームワーク「SQN」を開発した。クラス図やフローチャート、各タスクに対するデータ操作をそれぞれ定義することで、所望の処理を実行させる。 ラクラスは2018年5月10日、プログラミングを必要とせずに大規模情報システムを開発できるフレームワーク「SQN」を開発したと発表した。同時に、同フレームワークを用いて開発した「ラクラス人事クラウドサービス」の販売も開始した。SQNは、ラテン語の「Sine Qua Non」（シン・クア・ノン）の頭文字をとったもので、「必要不可欠なもの」を意味する。 SQNでは、データ構造を定義したクラス図や、業務プロセスを定義したアクティビティー図（フ

サーバ事業者さん。契約は結んでいませんが、あなたを訴えます：「訴えてやる！」の前に読む IT訴訟 徹底解説（55）（1/3 ページ） クラウドサービスベンダーに預けたプログラムが、HDDの故障で消失した。「さあ、訴えてやる！」。でも、誰を？――IT訴訟事例を例にとり、システム開発にまつわるトラブルの予防と対策法を解説する人気連載。今回は「クラウド上のデータの責任の所在」を考える。 連載目次 IT訴訟事例を例にとり、システム開発にまつわるトラブルの予防と対策法を解説する本連載、今回は「ホスティング業者が預かったデータの消失」にまつわる紛争を解説する。 データの消失による紛争は珍しくない 近年、クラウドコンピューティングが企業ITの主役の座を奪った感がある。自社内に置いていた各種のシステムをセールスフォースやAWSなどのサービスに置き換える企業が多くなっている。 クラウドサービスを使うコストメ

システム、プロセス、カルチャーをいかにエンジニアリングするか 本連載『開発現場に“データ文化”を浸透させる「データ基盤」大解剖』では「データ基盤」の構築事例を紹介します。具体的には、オンライン婚活サービス「ゼクシィ縁結び」ならびにその姉妹サービス「ゼクシィ恋結び」の開発現場において、筆者が実際に行ったことを題材としています。 データ基盤を実際に構築するのは容易ではありません。構築したデータ基盤を実際に利用し続けてもらうのはさらに難しいことです。 多くの関係者がデータを加工すると、似ている意味を持っていても微妙に異なるデータが生成されてしまい、どのデータが正しいのか誰も分からなくなってしまいます。きちんと全員に使われるためにはデータの持つ意味や加工ロジックを誰かが整理しなければいけません。 また、モダンなツールを使って派手なダッシュボードを構築しても、それだけでは1週間後には誰も見なくなって

連載目次 2018年がスタートして1カ月。今年、転職や独立をして新しい人生を歩もうと考えている方もいるかもしれない。IT業界は以前から労働力の流動性が高く、私がまだ駆け出しだった20年以上も前から、エンジニアの転職は珍しくなかった。最近は、IT企業間の転職に加え、ユーザー企業でもIT人材の需要が高まり、ベンチャー企業の設立も増えてきたことなどから、その傾向は一層強くなっていると思われる。 IT訴訟事例を例にとり、トラブルの予防策と対処法を解説する本連載。今回は、IT企業の人材流出を巡る訴訟を考える。簡単にいうと、「システム開発プロジェクトの途中で退職したエンジニアに、仕事を完成させる義務はあるのか」という裁判だ。 他の業種であれば、どれほど中途半端な状態で仕事を放り出したとしても、会社を辞めればその責任を問われることはまずない。しかしIT業界では、エンジニアの退職時に知識やスキルを移管でき

連載目次 IT訴訟事例を例にとり、システム開発にまつわるトラブルの予防と対策法を解説する本連載、今回は「著作権」を考察する。 著作権については、過去にも本連載で「プログラムや設計書、画面デザインなどが著作権法で定める著作物として認められるためには、作成者独自の工夫や創意が必須である」と解説した。 今回はこの著作物の定義について、より分かりやすい判例を紹介する。あるユーザー企業（以降、ユーザー）がベンダーに依頼して作成したHTMLが著作物に当たるかどうかを争った裁判だ。 HTMLファイルに著作権は認められるのか HTMLファイルは、作成者が一生懸命に頭を悩ませて作り上げるものであり、全く同じものは他には存在しない。 その一方、他のプログラミング言語に比べると使用する単語や文法が限定的であり、誰が作っても同じようなものになりやすい。これを「著作物」としてしまうと、HTMLの作成者は、何を書いて

Pivotalは2017年12月、Pivotal Cloud Foundry 2.0（以下、PCF 2.0）を発表、これを日本法人のPivotal Japanが2018年3月に国内発表した。最大の目玉は、新製品としてKubernetes環境を提供することにある。 これについて、2018年1月に来日したPivotalの製品担当シニアバイスプレジデントであるスコット・ヤラ氏は、筆者に次のように話した。 「これは、『Cloud Foundryが勝つか、Kubernetesが勝つか』という問題ではない。Cloud Foundryが適している用途では、Cloud Foundryが開発者および運用者の生産性を最も高められる存在だ。だが、Cloud Foundryで全ての用途をカバーできるわけではない。だから選択肢としてKubernetesを提供する。PCFには今後、サーバレスコンピューティング（Fun