「開発者ファースト」で組織の変革を支援するGitHub (後編)

前回に引き続き、今回もGitHub Japanリージョナルセールスディレクター 山銅 章太さんのインタビューを紹介していきます。今回の後編では、GitHubの日本における状況や今後について、いろいろ興味深いお話が聞けました。

●前編はコチラ↓
https://thinkit.co.jp/node/19438/

GitHub Japanリージョナルセールスディレクター 山銅 章太さん

日本ではユーザ層が変わってきて、製造業や電力、ガスなどが挙げられていましたが、一番増えてきた業種はどこでしょうか

• 山銅：一番増えたのは製造業です。特に部品会社も含めてオートモーティブ関連ですね。他には日立製作所のような総合電機メーカーです。事例で言うと自動車関連ではデンソーですが、それ以外ではTOPPAN、コニカミノルタというあたりです。製造業というと「くくり」は大きすぎますが、B2Bでシステムを提供している会社です。今までは、プリンタのようなハードウェアを主に納めていた会社がユーザの要望で、ハードウェアだけではなくソフトウェアを軸にした生産性をもっと上げるためとか、「ソフトウェアドリブン」でいろいろやりたいというニーズのもとに企業自体も変化を求めている業種ですね。

トヨタは「ソフトウェアファースト」と言っていますね。製造業が変わってきているので、GitHubのユーザが増えてきているような気がします

• 山銅：ツールを標準化して「どこか見本になる部署が必要だ」ということで始まっていると思います。しかし、ようやくそのスタート地点に立ったというのが正しい認識でしょう。「自分のところでやりましょう」という内製化ですが、丸投げするのではなく、自社の知的財産として管理して、それをさらに利活用するという土俵を作ったというところですね。

内製化する中でOSSのGitHubをどのように活用するか、ということが重要になってくると思います。例えば、DXにOSSが有効だというメッセージを出すときになかなか有効性をアピールできていない気がするのですが、いかがですか

• 山銅：OSSは再活用できるところが特徴だと思っています。これは日本の企業の得意なところのはずなので、OSSを活用するという考え方はユーザ企業に理解されてきていると思います。しかしOSSの利活用にはリスクがあり、そのリスクの解決案がわからないので活用を止めている、例えばセキュリティ対策のように、いろいろな問題が出てくることを怖がって進んでいないような気がします。
  
  その中で、まずOSSを活用した後に、どのプロジェクトがどのような種類の、どのようなOSSライブラリに依存しているかを可視化したいというリクエストが出てきます。また、OSSを活用して作ったソフトを元に、さらに社内で活用するとなると、そのOSSを内在することになります。そうすると、OSSも脆弱性を含んでいるのではということで、何に依存しているか、脆弱性対策をどうするかが課題になってきます。今まではそれを外部に委託したりセキュリティのスペシャリストを雇用したりが必要になるのではという話になり、それがなかなか手を付けられず、次の一歩につながらない原因になっていました。GitHubではそれに対して「GitHub Advanced Security」といったセキュリティ対策ツールによりOSSを取り扱うための障壁を下げることを提案しています。
  
  また、GitHubリポジトリのDependency Graph機能を使用すると、リポジトリ内で使用しているすべての依存関係を抽出でき、依存関係の名前やバージョン を一覧で表示できます。ユーザ企業ではこの機能が一番人気で、企業内には組織が数千を超えるケースもあり、依存している情報をさらにまとめて、包括的にポータルで出し、一番依存しているものが何かがわかるようになります。どのようなプロジェクトでも、どのような影響があるかがすべてのオーナーさんにアラートが飛ぶようになっていて、「Log4j」の時もとても便利だったという声がありました。やっと依存関係の可視化まで来られたというところです。
  
  「ソフトウェアにもサプライチェーンがある」という気づきがありますね。企業とOSSコミュニティが支えあってソフトウェアができていることを実感してもらえるようになってきた。そのような中で標準化したツールが必要なことに気づいてきたように思います。現状、どのようなOSSに依存しているかを把握している企業はまだまだ少ないですね。エンジニアに依存しているケースが非常に多く企業のセキュリティ担当が頭を悩ませているところなので、GitHubがそこの橋渡しをできていると思っています。

コントリビュートについてはどうですか

• 山銅：セミナーでは、特に企業には「使うだけではなくコントリビュータの発想をしてください」とお話をしています。「秘伝のソース以外はできるだけ外に出してください」と。ソースを外に出すとフィードバックが返ってきます。そこで初めて自分のものをオープンソース化して、そこにコントリビュートがあることで「良いことが起きた」ということを感じることができます。そこまでいかないと実感するのはなかなか難しいと思います。
  
  ということで、まず、コントリビュータへの発想の転換、次にGitHubのコミュニティを支援するということをお願いしています。
  
  
  

日本のコミュニティへの支援についてはどのように考えていますか

• 山銅：オープンソースのコミュニティは日本国内に閉じられているわけではありませんが、日本独自のものがあれば検討したいと考えています。
  
  また、GitHubではオープンソースを盛り上げる活動として、スタートアップの皆さんへの支援やEducationの領域、特に大学への支援を加速したいと思っています。また、デベロッパーへの支援のためのコミュニティ活動を計画しています。

最近、企業内からGitHubへのアクセスはどうですか。以前はNGの企業が多かったように思いますが

• 山銅：世界で利用されているソフトウェアの99%が、オープンソースを活用していると言われています。国内の企業ユーザのオープンソース利用も増加していることからも、企業内からのGitHubのパブリックリポジトリへのアクセスは増加しています。ソフトウェア開発のスピードとセキュリティを担保するためにも、企業内からのGitHubへのアクセスは今後さらに増加すると考えています。
  
  オープンソースとの向き合い方や社内のソフトウェア開発においても、セキュリティトレーニングを十分にできている企業はまだ少ないと思います。通常のメールのフィッシング対策等はできていても、エンジニア版は十分とは言えません。今年の取り組みとしては、GitHub Japanを中心に企業に対するサービス提供が増えてきています。「管理者へのトレーニング」などですが、最近多いのが「非エンジニア向けのGitHubトレーニング」です。エンジニアがやっていることを周囲に理解してもらわないといけません。プロジェクト管理やデザイナー、上位の役職の方など、最終的にレビューをOKするのがエンジニアではない場合があるからです。とは言え、エンジニアでない人が開発環境を立ち上げて中を見ることは不可能なので、いかにブラウザだけで開発を全部可視化して、何が行われているのかがわかるようにするための非エンジニア向けトレーニングのリクエストが非常に多いです。セキュリティ管理者向けのトレーニング、セキュリティ勉強会向けのコンテンツ作成支援など、これまでの「GitHubを使いましょう」というフェーズから進んで、導入してから定着するまでのアダプションサービスが一番多いかも知れません。特に製造業ではその傾向があります。どうすればGitHubを安全に使えるか、というのがこれからのポイントになるかもしれません。
  
  また、アプリケーションセキュリティ対策担当者がいないという問題もあります。CISOに相当する方です。メールやネットワークに関するセキュリティ担当はいても、開発コードに関する、いわゆるDevSecOpsを監視する担当がいません。次にOSSに関する知識を持った人がいないということです。特に大企業はそうなりがちですが、組織がサイロ化しているため壁がありすぎてまとまらないという組織系の問題です。ツールが組織ごとに分かれているようなケースもあって、エンジニアが部署を移ると新しいツールに慣れるところでつまずいて、生産性が落ちることになります。対策をしようとしたら逆に仇になってスピードが落ちているようなところもあります。
  
  あとは外的要因としてコードが肥大化していることです。それに伴って技術的負債も多くなり、何をするにしても諦めてしまい、今まで頼んでいた会社にお任せするしかないという状況です。それをすべて内製化するのはそもそも無理というところが多いですが、それが孕むリスクをユーザは認識しているようです。
  
  啓発活動もありますが、いかに開発者の体験を悪化させずにアプリケーションセキュリティのチェックを開発フローに組み込んでいくかが大切です。コミットすると自動的にチェックして、脆弱性をなくすようなものにするとか、ある組織のリーダーがどのOSSに依存しているかをすべて把握できるようにするといったことが今後の大きな課題です。
  
  GitHubとしては「開発者ファースト」というメッセージを出していますが、エンジニア向けに便利な機能を用意することで、大きな組織も変えていくことがGitHubのミッションだと考えています。

＊　＊　＊

今回、山銅さんに様々なお話しを伺う中で「いかにして開発者にとって心地良い環境を提供するか」ということで、今後の企業の成否が決まってくるように感じました。企業は、今後「開発者ファースト」でデジタルトランスフォーメーションに取り組んでいくことが、大きな成功を収めるカギになるのではと思います。