米HP「Webアプリの品質、セキュリティの問題を“元から断つ”」：米HPに聞く、“フォーティファイ買収の背景”（2/2 ページ）

[内野宏信，ITmedia]

「HP Application Security Center」は開発を支える3本柱の1つ

　一方、サビュースキー氏は、「コストを抑えながら、アプリケーションの品質やパフォーマンス、セキュリティを担保する」というテーマについて、「アプリケーションのライフサイクルに沿った管理が重要だ」とも指摘する。ビジネスの要求に従って「何を開発するのか、何に投資するのか」を決めるアプリケーションの企画段階から、開発、運用まで、プロジェクトの各工程を確実に管理、実施していくことで、「ユーザーテストで不具合が見つかるような、大幅な手戻りや、無駄な投資を未然に防げるため」だ。

　これを受けて同氏は、BTO Softwareシリーズの中から、アプリケーションライフサイクルマネジメントを実現する一連の製品群をあらためて紹介する。まず、企画段階の核となるのが「HP Project and Portfolio Management Center」だ。同製品は業務部門から寄せられる全要件を集約して一元管理するほか、ビジネス要求の重要度、コスト、リソースといった任意のKPIに応じて、全ビジネス要求に対する投資の優先順位付けを支援する。これにより、ビジネス目標に対して真に意義のある開発案件への投資の集中を支援するという。

BTO Software製品群のポートフォリオ

　一方、開発段階ではアプリケーションの「品質」「パフォーマンス」「セキュリティ」を3本柱と考え、これらを担保する3製品を用意しているという。具体的には、「品質」を担保する「HP Quality Center」、負荷・性能検証テストにおける検証や分析、チューニング、キャパシティプランニングなど、パフォーマンス管理を支援する「HP Performance Center」、そして「セキュリティ」を担保する「HP Application Security Center」の3つだ。つまり、先のSPIダイナミクス、フォーティファイ・ソフトウェアの技術は、こうした開発フェーズを支える3本柱の1つに組み入れられる形となる。

アプリ開発は、ビジネスとの整合性を図る企画段階が真のスタート

　サビュースキー氏はこれらを指して、「開発に“スピードと品質の両立”が求められているいま、セキュリティをいかに担保するかという問題と並んで、品質を確実に担保する開発環境整備も大きなカギになる」と指摘。現在のビジネス環境における「HP Quality Center」の重要性をあらためて解説する。特に同氏が強調するのは、HP Quality Centerが「要件定義や各種テスト資産などを、単一のリポジトリで管理する仕組みを持ち、開発プロジェクトの全関係者の情報共有を実現する」という点だ。

　「例えば、開発の現場ではテスト管理にWordやExcelを使う例も多い。しかし仕様書を書く人や開発者、テスト技術者など、各関係者がそれぞれ異なるアプリケーションを使い、電子メールで互いにファイルをやり取りするような環境では、ファイルを紛失したり伝達が遅れたりする可能性もある。大規模開発などで開発チームの人数が多くなれば、確実な情報共有が難しくなり、もはやこのやり方ではプロセスとして成り立ちにくくなってしまう」

　特に開発拠点が物理的に分散しているケースも多い昨今、「IT部門に入ってくる要件と関連情報を一元管理して、すべてを見渡し、コントロールできる環境が必要だ」という。その点、HP Quality Centerは、開発段階の情報を一元管理できるほか、任意の時点における一連の要件やテスト計画を“基準（ベースライン）”としてキャプチャし、いつでも基準設定時の状態を復元できる『ベースライン機能』を持つ。また、個々の要件、テスト計画に加えられた変更を、履歴（バージョン）として管理し、任意のバージョンを比較・再利用できる『バージョン管理機能』もある。

　これによって、「ユーザーから要求変更があって、テスト工程に変更が生じても、関係者間で即座に情報共有したり、当初の要件やテスト計画を確認したり、既存の要件やテスト計画を再利用したりすることができる。従って、作業の変更を最小限にとどめ、あらゆる変更に対して迅速かつ確実に対応できる」

　すなわち、企画段階から流れを俯瞰すれば、まずHP Project and Portfolio Management Centerで、ビジネス目標に対して意義のある開発案件を絞り込み、優先順位を付けてからプロジェクトをスタートさせ、そのあとは、HP Quality Centerが統合されたフローで、必要な情報を共有しながら開発を進められる体制を整える。これと同時に、2社の買収で強化された「HP Application Security Center」がセキュリティ面の問題を、開発段階において“元から断つ”というわけだ。

　「言ってみれば、開発プロジェクトとはハイウェイに例えられる。常に需要とキャパシティのバランスを見据えて、ビジネスサイドの要求に応じて、全案件をスムーズに走らせるためのコントロールが必要だ。そのためには開発段階だけではなく、ビジネスに基づいた企画から開発、運用というアプリケーションのライフサイクル全体を視野に入れて、そもそも問題が生じないような計画立案を目指すことが肝要だ。それがコストを抑えながら優れた品質、セキュリティ、パフォーマンスを担保するポイントとなる」

　サビュースキー氏は最後にこのように述べ、アプリケーション開発における、“ビジネスとITとのギャップを解消する”という「BTO（Business Technology Optimization）コンセプトの重要性を、別の角度からあらためて強調した。