新たな脆弱性に、開発と運用が一体で対抗する真のDevSecOps
ピクシブがGitLab Ultimateに移行した背景には、セキュリティ対策強化も大きなテーマとして挙げられる。さまざまな脅威に対応する必要があるのはもちろんのことだが、開発ライフサイクルから見てもインシデントは「ペースを乱す要素」となる。
bash氏は「我々の開発体制は、開発と運用はバトンタッチではありません。プロダクトを作り、動かして、維持していくことをチーム全体で実施しています。そのため(インシデントの種は)早期発見して、計画的に改修バックログに加えていきたかったのです」と話す。
セキュリティを開発ライフサイクルに組み込む重要性は前からあるが、LLMの登場で違う局面が出てきた。IPA(独立行政法人 情報処理推進機構)が公表する「情報セキュリティ 10大脅威 2026」では、「AIの利用をめぐるサイバーリスク」が初選出で3位に登場した。ちなみにDevSecOpsと関係がある「システムの脆弱性を悪用した攻撃」は2026年には4位で、2016年以降たびたびリストに登場している常連項目だ。
LLMが生成するコードの脆弱性はたびたび指摘されている。例えば「45%のコードサンプルがセキュリティテストに失敗し、セキュリティ脆弱性を含んでいる」「5つの異なる主要AIモデルが生成したコードの少なくとも48%に脆弱性が含まれていた」などだ。こうした調査結果を受け、川口氏は「開発現場において生成AI活用とセキュリティ対策はセットで考えるべきです」と強調する。
ピクシブでは、会社が指定したLLMでコードを生成し、マージ時にGitLab DuoとGitLab機能により、テストからセキュリティスキャンとコードレビューまでをパイプラインのなかで自動実行している。加えて、リリース後に脆弱性が発見された場合も、既存コードへの定期的なセキュリティスキャンを実施しているため早期検知・是正が可能な状態となっている。bash氏は「早期発見・対応の体制整備には、他にもIaC、結合、インテグレーション、権限分離、コーディングルール、ライブラリ、ミドルウェアのアップデートなど、さまざまな取り組みを基本に忠実に実施しています。これは果てなき戦いなので、日々磨き上げられるように取り組んでいます」と話す。
川口氏は「ピクシブさんの取り組みは、リリース直前のセキュリティスキャンだけではなく、運用フェーズも含めた開発工程全体で常にセキュリティスキャンが回っているので、“DevOps+Sec”ではなく真の“DevSecOps”と言えます」と評価する。
まぐれ当たりではなく、再現可能なプロセスをきちんと積み重ねていく本質の追究
こうしてGitLab Ultimateという新しいテクノロジーを導入したピクシブ。しかし先述したように、ピクシブではテクノロジーだけではなく、プロセスとピープルとの相互作用を交えながら地道に変革していった。これは新しいテクノロジーをより使いこなすために必要なことでもある。軽くポイントだけ触れておこう。
まずプロセス。ここでは組織横断的な体制が欠かせない。トップダウンでガイドラインや新技術活用を鼓舞するメッセージを出しつつ、ボトムアップで現場に即した活用方法を広めるという両面で進めている。またGitLab Ultimateで得られるバリューストリームのデータは開発サイクル全体の健康診断として活用しつつも、生産性指標は「人間の評価に使わない」ことを徹底している。
それからピープル。もともとピクシブでは「Whole Team」と呼ばれるカルチャーがある。これはチーム全体で責任を共有し、役割を超えて助け合う文化だ。開発サイクル改善CoEはこれを尊重し、支援することに専念した。
最後にピクシブが目指すエンジニア像について、bash氏は社内文書から「エンジニアとは、突き詰めて言えば、エンジニアリングを行う職種であり、ではエンジニアリングとは何かと言えば、再現可能なプロセスを確立して継続することである」と引用してから、次のように述べてセッションを締めた。
「確かにコードを書ける能力や実績はすごく求めています。ただ、みんながコードを書くとは限りません。なぜそれをするのか、なぜ他のやり方ではなかったのか——そうした問いをこれまでも大事にしてきたように、今後もまぐれ当たりではない“再現可能なプロセスをきちんと積み重ねていく本質の追究“を続けることが、あるべきエンジニア像だと思っています」【6/4開催ウェビナー】KDDI社のAI駆動ソフトウェア開発事例を公開
記事で紹介したGitLab Duo Agent Platformを使って、最大60%の工数削減を実現した事例をお話いただきます。
AI駆動開発を実践中・検討中の方は是非ご参加ください。
