AI時代のDevOpsと品質・脆弱性課題に挑むツール「SonarQube」とは

DevOpsのボトルネックを解消するための
品質管理ツール

「日本のソフトウェア開発には、主に3つの課題がある」と指摘するのは、Sonar社の末廣 満氏だ。第1の課題は「人材不足」。デジタル人材のニーズが高まり続ける一方で、供給が追いついていない実情がある。第2の課題は「セキュリティインシデントの多発」。近年、日本企業への悪質なサイバー攻撃が多発する中で、サイバーセキュリティ対策だけでなく、ソフトウェア品質の重要性にも目を向け始めている。第3の課題は「内製化の遅れ」。日本では今も多くの企業がウォーターフォール開発を採用しており、リリースサイクルが数ヶ月に1回ということも珍しくない。一方、1日に何度もリリースする海外企業とは、開発スピードに圧倒的な差がある。そのためにはDevOpsの導入は欠かせない。

Sonar Partner Manager Japan 末廣 満氏

「内製化を進め、顧客の声を即座に反映して、ソフトウェアの満足度を高めていく仕組みを作れなければ、海外企業にビジネスで勝つことはできない」(末廣氏)

しかし、DevOpsに取り組む上で、コードの品質や脆弱性のチェックは大きな工数が必要な要素であり、ボトルネックになりかねない。DevOpsサイクルを高速に回すためには、品質保証プロセスの自動化は必要不可欠だ。そこで活躍するのが、ソフトウェア品質管理の統合ソリューションSonarQubeだ。

SonarQubeは品質管理の総合ソリューション

SonarQubeの機能は、大きく4つの柱で構成される。

1. コードスキャンによる品質検査
   バグの有無やコードの重複などの保守性の問題を検知する
2. セキュリティ検査
   コード内にハードコードされたAPIキーやパスワードの検知、SQLインジェクションの恐れがあるコードの検出、脆弱性が見つかっているOSSの利用検知などが可能
3. オーケストレーション
   スキャンした結果を企業全体で統合管理する機能。これによりプロジェクトや組織単位、言語別など、様々な切り口でどれほどのバグや脆弱性を抱えているかを俯瞰して把握できる
4. コードの修復(AI CodeFix)
   AIを使って、コード分析により検出された問題を解決するための、コードの修正案を提案してくれる

このように、SonarQubeは堅牢なルールベースによるコードの静的解析と、柔軟なLLMベースの技術を組み合わせることで開発者の負担を軽減し、開発者がより創造的な業務に集中することを支援するツールだ。

AI駆動開発とSonarQube

様々な課題を抱えた日本の開発の現場に、今「AI駆動開発」という新たな波が押し寄せている。人間であれば1人月で1,000～2,000行程のコードを記述できると言われているところ、LLMは一瞬で数十万行ものコードを生成する能力を持つ。この生産性の飛躍は新規開発だけでなく、例えばCOBOLなどで構築されたレガシーシステムのモダン化においても威力を発揮するだろう。

しかし、AIによる大量のコード生成にはデメリットもある。LLMが生成するコードはバグや脆弱性、保守性の問題を内包していることが多い。具体的には、AI生成コードが孕むリスクには単なるバグだけでなく、SQLインジェクションのような脆弱性、あるいはOSSのライセンス規約違反や既知の脆弱性を含む古いバージョンのOSSの使用といった問題も含まれる。Sonar社の菅野 真一氏は「海外の開発者の関心は既に、開発生産性の向上から、AI生成コードの品質管理に移行している。LLMが生成したコードが、インシデントに繋がるリスクが増しつつある」と警告する。

Sonar Japan Country Manager 菅野 真一氏

加えて、開発者は自分が作ったものではなく「AIが作ったもの」に対して責任を負わなければならない状況に陥っている。自分の思考が反映されていないコードの間違い探しを続けることは、モチベーションの低下にも繋がりかねないと、菅野氏は指摘する。

もちろん、大量の生成コードを人力でチェックするのは現実的ではない。DevOpsパイプラインの中で、効果的にAI生成コードをチェックする仕組みを設けることが重要だ。そこで、SonarQubeに代表されるコード解析ツールをDevOpsパイプラインに効果的に組み込むことが必要になる。

「コード生成だけでなく品質チェックやバグ検出、セキュリティ監査といった分野でのAI活用が活発になりつつある。効率的な品質管理を実現するには、開発の初期段階から脆弱性を自動検出するツールが欠かせない」と話すのは、Sonar社の国内パートナーである、株式会社ジールのノ・ソンタク氏だ。

株式会社ジール クラウドマネージドサービスユニット 上席チーフスペシャリスト ノ・ソンタク氏

ジールとの提携で
開発ライフサイクル全体の変革を支援

Sonar社は2025年1月に日本法人を設立し、本格的な活動を開始した。その戦略的パートナーとして協業するのが株式会社ジールだ。同社は、大手顧客向けにDevOpsやSREの技術支援事業を展開している。同社の黒沼 和光氏は協業の背景をこう語る。

「私たちが顧客のDevOps支援を深化させるうちに、コードの品質や脆弱性のチェックが工数・コスト両面で非常に大きな負担となっている実態が見えてきた。ここにSonarQubeを導入することで、顧客の負担を一気に解消できるという手応えを感じている」(黒沼氏)

株式会社ジール クラウドマネージドサービスユニット ユニット長 兼 アライアンス本部 本部長 黒沼和光氏

一方、Sonar社がジールに期待するのは、単なる製品販売に留まらない。SonarQubeはソフトウェア開発のライフサイクルの一要素に位置づけられる製品だ。しかし、SonarQubeを活用するためには、開発プロセスや場合によっては組織の開発文化そのものを変えなければならないケースもある。その点ジールは、DevOps支援を通して顧客の開発ライフサイクル全体に伴走している。そこに、Sonar社とジールとのシナジーが生じると菅野氏は言う。

「ジールはコンサルティングを含め、私たちが単独ではできない顧客の開発ライフサイクル全体の変革を推進してくれる。両社の協業の意義はそこにある」(菅野氏)

末廣氏も「ジールはDevOpsプラットフォームを導入するだけでなく、顧客に伴走してトレーニングも含め最終的に自走できるように支援するモデルを持っている。私たちもまさにそういった形で製品を届けたいと考えており、理想的な戦略的パートナーだ」と、ジールの伴走型支援を高く評価する。

両社は、今後共同で顧客の開発プロセスにおけるコード品質・コードセキュリティの可視化と改善を支援し、DevOpsの領域ではSonarQubeのライセンス販売、コンサルティング、環境構築、および定着化支援を提供するという。

コアバリューは
「Supercharge Developers to build better, faster.」

最後に、菅野氏と末廣氏は、Sonar社の日本市場におけるミッションについて語った。

「私たちのグローバルでのミッションは『Supercharge Developers to build better, faster.』(開発者に力を与える)ことだ。つまり開発者を管理したり、仕事を奪うのではなく、開発者をサポートするためのツールだ」と菅野氏は強調する。

さらに菅野氏は、SonarQubeが問題点を指摘する際、その理由や修正方法を提示するのは開発者のサポートであると同時にトレーニングの意味合いも持つと付け加える。例えば、AI駆動開発では新人エンジニアがAI生成コードに依存してしまい、内容を理解しないままキャリアを重ねてしまうという問題も生じている。そこで、SonarQubeを通してコードの問題点を開発者自身が学び、スキルアップに繋げられるという。

一方、末廣氏は、日本の開発者がなかなか新規開発に取り組めない現状をSonarQubeで変えたいと意気込む。ある調査によれば、開発者の工数の約50%が保守運用に占められ、新規開発に工数を割けていないことが明らかになっている。イノベーションや新サービスの創出が求められる中での現状は、日本企業全体にとっての大きな課題だと、末廣氏は指摘する。

「日本はグローバルに比べ、ソフトウェア開発の面ではまだまだ遅れていると言われている。日本の開発の現場を先進的な水準へ引き上げるために、Sonarはジールと共同で、顧客の開発効率の向上に取り組んでいきたい」(菅野氏)