2021/5月/10 - 読み終える時間: 5 分

What is Value Stream Management for Software Delivery (and why it matters) の翻訳版です。

ソフトウェア・デリバリーにおけるバリュー・ストリーム・マネジメントとは何か (そしてなぜ重要なのか)

2021年5月8日

著者: Steven Wong / Solutions Lead for HCL Software

バリューストリームマネジメント (VSM) は、最近、特にITの世界で注目を集めています。私が話をした多くの人は、これがITにおける「新たな流行」に過ぎないのではないかと問いかけています。今回のブログでは、VSMに対する私の個人的な見解と、なぜそれがソフトウェア・デリバリーにとって重要なのかを紹介したいと思います。

バリューストリームマネジメント (VSM) とは？

VSMは、組織変革のためのアプローチです。

他の多くの組織変革のアプローチとは対照的に、VSM は、お客様と、お客様が最初に組織に近づいたときに期待したものである価値を提供するための組織全体の仕事の流れに、絶え間なく焦点を当てています。

ビジネスや組織を、一方で顧客からの要求を受け、他方でサービスや製品を提供するブラックボックスと想像すると、VSM はそのブラックボックス内のハイレベルな構成要素を評価し、要求がそれらの構成要素を経由して、結果として他方でサービスや製品を顧客に提供する流れを評価することである。

バリューストリームマッピングと呼ばれる手法を用いて、組織はバリューストリーム全体の仕事の流れをマッピングする。バリューストリームマップでは、さまざまなタイプの活動、システム、情報の流れを表す表記を使用します。さらに、ある活動にどれだけの時間が費やされているか、活動の外でどれだけの時間が待たされているか、その活動の成果物の品質、可用性などを明らかにするために、具体的な測定を行います。

ここで重要なのは、VSM は可視性を重視しているということです。可視性を示すのに、フローを図式化すること以上の方法があるでしょうか。

下の図は、バリューストリームマップの一例です。

バリューストリームマップがあれば、企業や組織は、潜在的な問題がどこにあるのかを確認し、パフォーマンス低下の根本原因を明らかにし、さらに重要なことに、どこで、どのように変革し、改善すべきかを明らかにできます。

VSM は新しい手法ではありません。長い間、VSM は主に、バリューストリームが工場の製造現場にある製造業の領域で使用されていました。

2010年初頭、カレン・マーティンやマイク・オスターリングのような組織変革の第一人者が、大成功を収めた著書『バリュー・ストリーム・マッピング』で、VSM とバリュー・ストリーム・マッピングの実践をオフィスやサービス業界に広めた。How to Visualize Work and Align Leadership for Organizational Transformation を出版しました。

なぜなら、顧客が組織に求めるものは「価値」であり、すべての組織はその価値を提供するシステムを持っているからである。

組織のパフォーマンスは、そのシステム (またはバリューストリーム) がいかにうまく機能して製品やサービスを提供できるかにかかっている。

VSM はソフトウェアデリバリーにどのように利用できるか？

「ソフトウェアが世界を食っている (“software is eating the world”)」という言葉を聞いたことがある人は多いと思いますが、これは今日のビジネス環境の文脈で語られることがほとんどで、テクノロジーが私たちの生活のほぼすべての局面に浸透しているため、すべてのビジネスにソフトウェアが必要であるということを意味しています。

それは、テクノロジーが私たちの生活のほとんどすべての側面に浸透しているからです。これを受けて、企業はデジタル面でのイノベーションにますます注力するようになっています。顧客エンゲージメントを高めるオンラインサービスの展開、サプライチェーンを最適化するバックエンドサービス、迅速な意思決定のためにビジネスにリアルタイムの情報を提供するアナリティクスなどです。

多くの場合、勝者と敗者の違いは、いかに早く変化に対応できるか、ソフトウェアの変更を競合他社よりも早く、高品質に展開できるか、ということに尽きるでしょう。

この適応能力を支えているのが、2000年代初頭から導入が進んでいるアジャイルや DevOps の手法です。

このアプローチにより、IT 部門では、IT が顧客 (ほとんどの場合、企業) に提供する製品に焦点を当てたクロスファンクショナルチームが形成されました。これらの「製品」チームは、リクエストから納品までの作業と、生産現場での製品の運用を管理します。

これを VSM と関連付けると、各製品チームとバリューストリームを直接比較できます。

もちろん、これは非常に単純化された見方です。というのも、ご存知の通り、複数の製品チームの間には相互依存関係が存在するからです。IT業界では、単独で存在する製品を見つけることは非常に稀です。

むしろ、ある製品／サービス (製品／サービス A とします) が、製品／サービス B の機能や特徴を必要とし、その製品／サービス B が製品／サービス C に相互依存している場合の方が多いでしょう。

ビジネス (または顧客) からのリクエストの種類に応じて、作業の流れは、単一のチームまたは複数のチームのいずれかによって実行されます。

ここで重要なのは、ソフトウェアデリバリーにおいて VSM を効果的に行うためには、異なる粒度のバリューストリームを見ることができ、ITに寄せられるリクエストの種類が異なることが非常に重要であるということです。

VSMでソフトウェア・デリバリーを最適化するには？

先に述べたように、VSMが有効なのは、あるアクティビティから次のアクティビティへのハンドオフの間の時間、労力、リワークなどの指標を可視化するからです。

製造業におけるオリジナルのVSMでは、これらの指標は、"Gemba Walk" と呼ばれる工場の現場に実際に行って、バリューストリームを構成するアクティビティの各ステップを観察し、測定することで得られます。

ソフトウェア・デリバリーの世界では、"Gemba Walk" をする意味はないかもしれません。むしろ、もっと単純なことかもしれません。

今日のソフトウェア・デリバリー・チームは、仕事を提供するために無数のツールを使用しています。

例えば、プロジェクトの計画と追跡には、Atlassian JIRAやBroadcom Rallyなどのプロジェクト計画・追跡ツールを使用します。並行開発の管理には、Gitやエンタープライズ版のGitHub、Bitbucketなどのソース構成管理 (SCM) ツールを使用しています。テストについては、テスト管理ツールや自動テストツールを使用して、テストの実行や欠陥の管理を行います。

これらのツールは基本的に、ソフトウェアデリバリーのバリューストリームを流れる作業を記録するシステムです。つまり、物理的な "Gemba Walk" を行う代わりに、ツールからデータを取得することで同じ目的を達成することができるのです。

唯一の問題は、各ツールは、そのツールが使用されたアクティビティの記録しか持っていないということです。

つまり、バリューストリーム全体のさまざまなリポジトリに、バラバラのデータが置かれているのです。

エンド・ツー・エンドの可視化のために必要なのは、これらのツールからのすべての異種の情報を、最終的に顧客からの最初の要求に関連する単一のエンド・ツー・エンドのビューにまとめる機能です。

例えば、ソフトウェア・デリバリーのためのVSMソリューションである HCL Accelerate のスクリーンショットをご覧ください。

このビューでは、各ドットが顧客からのリクエストを表しています。ドットの色は異なる優先順位を表しており、また異なるタイプのリクエストを表していることもあります。

ドットは、ServiceNOW、JIRA、TFS、HCL Compassなどのさまざまなツールから「引き込まれ」、バリューストリームのさまざまなプロセスステップやアクティビティを表すさまざまなバブルやカラムを左から右へと流れていきます。

ドットがバリューストリームを横切って進むと、HCL Accelerate のようなVSMツールは、Github、Bitbucket、HCL VersionVault のようなコードリポジトリのような他のツールからのデータを「蓄積」し、これらは顧客からの実際のリクエストにリンクされます。

ここでは、あるリクエスト (技術的な問題) がバックログから本番まで進んだ様子を紹介します。

上の画像で明らかなように、VSMソリューションは、異種ツールからの異なるデータの断片を、リクエストの単一のエンド・ツー・エンドのフローに自動的につなぎ合わせ、各段階でプロセスステップやアクティビティに費やした時間などの詳細を記録します。

HCL Accelerate は、セキュリティスキャンやテストツールとも連携できるため、コード品質やセキュリティに関する関連データを取り込むこともできます。

上記のような単一のワークアイテムでエンド・ツー・エンドの可視性を得ることは良いことですが、より価値があるのは、継続的な改善のためのフローやトレンドに関する洞察を生み出すために、バリューストリームを流れる何百、何千ものリクエストを観察し、分析する能力です。

以下に、これらのメトリクスとインサイトの例を示します。

特定のリクエストが1日遅れることで失われる機会コストをビジネスが特定できる場合、HCL Accelerate のような VSM ツールが提供するリードタイム (アイデア出しから生産までの時間) とサイクルタイム (コードコミットから生産までの時間) を比較する機能は、優先度の高いアイテムをキューに残しておくことのコストを簡単に浮き彫りにします。

バリューストリーム内のアクティビティで計画された作業と計画されていない作業の数を観察し、計画されていない作業がどのように遅延の原因となっているか (例えば、過剰な仕掛品を作成している) を観察することで、IT は作業を計画する必要がある理由をビジネスに伝えられます。

ここでの考え方は、VSM が提供する可視性は、事実に基づいた改善の手段となり、責任のなすり合いをなくすことができるということです。また、フローの最適化に焦点を当て、フローのステップではなく、フローの最適化に焦点を当てます。

まとめ

この記事では、組織変革のための実証済みのアプローチである VSM の方法論やテクニックを紹介しました。VSM は製造業の世界で生まれたものですが、ソフトウェアが普及した今日の世界でも同じように強力で効果的な手法です。VSM の手法は似ていますが、ソフトウェア・デリバリーに VSM を適用すると、いくつかの活動を異なる方法で行うことになります。例えば、ソフトウェア・デリバリーにおける VSM は、"Gemba Walk" でメトリクスを収集する代わりに、ソフトウェア・デリバリー・チームが使用するツールからメトリクスを収集しなければなりません。

HCL Accelerate は、まさにそのような要件のためにゼロから構築された HCL Software の VSM ソリューションです。

2021/5月/7 - 読み終える時間: 2 分

Three lessons from the 2021 Upskilling: Enterprise DevOps Skills Report の翻訳版です。

2021 Upskilling から得られた3つの教訓: エンタープライズ DevOps スキルレポート

2021年5月6日

著者: Elise Yahner / Marketing Strategy and Campaigns for HCL Software DevOps.

DevOps Institute は3年前から、世界中の何百人もの IT プロフェッショナルを対象に、どのようなスキルが "must-have"、"nice-to-have"、"optional"なのかを調査してきました。最近発表された 2021 Upskilling: Enterprise DevOps Skills Report では、パンデミックによって仕事のやり方を変えざるを得なくなったときに、DevOps がどのように変化したかを明らかにしています（ネタバレになりますが、デジタルトランスフォーメーションの必要性が高まったということです）。DevOps Institute チームによる統計データと洞察を得るために、ここでレポートの全文を読むことをお勧めします。しかしその前に、本レポートが提供する数多くの教訓のうち、3つだけを紹介します。

1つのフレームワークやベスト・プラクティス・モデルは存在しない

組織がDevOpsを実践していると言っても、通常はアジャイル、リーン、ITILなどのプラクティスが混ざっています。DevOpsは組織ごとに異なるものであり、技術的なものであると同時に文化的なものでもあります。IT業界でキャリアを積みたいと考えている人は、自分のプロセスに柔軟性を持ち、新しいツールを学ぶことを厭わない必要があります。また、DevOpsを重視する組織のマネージャーは、チームメンバーが自分の好きな働き方に合ったツールやプロセスを使うことを受け入れる必要があります。HCL Accelerateのようなエンタープライズレベルのバリューストリーム管理ツールは、組織がこれを達成するのに役立ちます。組織のバラバラなDevOpsツールのすべてからデータを集約し、レポートやインサイトに正規化することで、HCL Accelerateはパイプライン全体の方法論に柔軟性を持たせることができます。

重要性を増し続けるバリューストリーム管理

Upskillingの調査回答者の39%が、VSMのスキルはプロセスとフレームワークのスキル領域で必須であると回答しています。その理由は？それは、セキュリティと同様に、お客様に価値を証明することが、ソフトウェア開発のパイプラインの中で左遷されているからです。ソフトウェア・デリバリー・ライフサイクルのエンド・ツー・エンドのインタラクティブなモデルを提供するバリュー・ストリーム・マネージメント・プラットフォームがあれば、さらなる価値の向上に向けてどこにピボットすべきか、より多くの情報に基づいた決断を下すことができます。

DevOpsは進化であり、導入すればいいというものではない

DevOpsはヨガのようなもので、完璧ではなく練習です。"DevOpsを実行する」とは、単に開発チームと運用チームが一緒に作業することではありません。異なる規律を同じ目標に向けて調整するために、文化を持続的に調整することです。DevOpsへの変革を成功させるには、組織内のあらゆるレベルのすべてのステークホルダーの関与が必要です。Upskilling社の調査では、回答者の68%がIT環境における主要なフレームワークとしてDevOpsを採用していると答えていますが、多くの回答者がDesign Thinking、SRE、Agile at Scaleも適用していると答えています。他のオペレーティング・モデルは、適切な文化が存在する限り、実際にはDevOpsを補完し、組織がDevOpsの道を歩むのに役立ちます。

2021 Upskilling.DevOps Enterprise Skills Reportには、非常に多くの素晴らしい洞察と興味深い統計があります。2021 Upskilling: DevOps Enterprise Skills Report」には、就職活動中の方、新入社員を探している方、現在の職務をスキルアップしたい方などに役立つ素晴らしい洞察や興味深い統計がたくさんあります。ダウンロードはこちらから。

2021/5月/6 - 読み終える時間: 3 分

Traditional MRM vs Collaborative Work Management の翻訳版です。

HCL Unica: 従来の MRM とコラボレーション・ワーク・マネジメントの比較

2021年5月5日

著者: Avery Nash / Unica Plan Manager

今はマーケターの世界です。マーケティング担当者が思いつく限りのあらゆるメディア (メール、SMS、ソーシャルメディア) を使って顧客にアプローチすることができます。しかし、これだけ多くのチャネルがある中で、顧客の期待に応え、ニーズを理解し、優れた顧客体験を提供するための戦略を策定するとなると、マーケティングの「やるべきこと」のリストは以前よりはるかに長くなってしまいます。それゆえ、マーケティング・リソース・マネジメントは、新しいマーケティング・アプローチに不可欠な要素となっている。

MRMとは？

Forrester (*1) は、マーケティングリソースマネジメントを、財務計画、パフォーマンス測定、コラボレーションとカレンダー、プロジェクト管理、コンテンツ制作、アセットマネジメント、ブランドコンプライアンス、マーケティングフルフィルメントなど、マーケティング担当者を支援するエンタープライズマーケティングテクノロジーと定義しています。MRMは新しい分野ではありませんが、マーケティング担当者は、利用可能なソリューションを見直す必要があります。

過去10年間にマーテックの世界が爆発的に広がったことで、マーケティングオペレーションは、組織の目標を達成するためにすべてのツールとプロセスを連携させるためのバックボーンとなりました。MRMには、社内チームが利用できるリソースや、社外のステークホルダーとの関係、承認プロセスなどが含まれます。MRMは、マーケティングタスクを整理し、自動化し、最適化することができます。

MRMが果たす目的

MRMは、時間とマーケティングリソースを節約するために存在します。例えば、メールマーケティングキャンペーンの準備など、1つのマーケティングタスクを考えてみましょう。マーケティング担当者、グラフィックデザイナー、コピーライター、その他の関係者との調整など、活動内容は多岐にわたり、時間もコストもかかります。これはたった1回のメールキャンペーンですが、これを何百回も実施した場合のコストを考えてみてください。この作業に1時間を費やすと、他のマーケティング施策や企業の成長に注力できなくなります。MRMがあれば、資産、ツール、オペレーションの管理が容易になり、コスト削減にもつながります。

• クリエイティブの承認 - クリエイティブをブランドチーム、法務チーム、その他のチームに簡単に送り、サインオフや承認を得ることができます。
• Single Source of Truth - Webサイト、メールマーケティング、ソーシャルメディア、その他のアプリケーションにシームレスに統合できる、承認済みの同じアセットでチームが作業できるようにします。
• クリエイティブレビューの自動化 - タレントの使用要件を常に遵守し、古くなったクレームや法的なコピーを含むクリエイティブの失効を即座に自動化します。
• 記録の追跡 - 目標に対する経費を追跡し、チームが予算内に収まるようにします。
• Bring Your Brand To Life - ブランドガイドラインに簡単にアクセスでき、ステークホルダーやエージェンシーパートナーに利用してもらうことができます。
• タスクとプロジェクトの管理 - プロジェクトとタスクの管理とダッシュボードのレポートにより、期限やタスクを逃すことはありません。

CWMとは？

マーケティングマネージャーは、チームが効果的にコラボレーションすることを望んでいます。しかし、チームメンバー間や部門間のコラボレーションプロセスを促進することは、言うは易く行うは難しです。プロジェクトに参加する人数が増えれば増えるほど、生産性が低下する可能性が出てきます。

Gartner社 (*2) は、Collaborative Work Management (CWM) のマーケットガイドを発表しました。その中でCWMは、"コラボレーション活動の要素をまとめ、管理監督と作業実行を融合させることで、自己組織化したチームが効果的に作業できるようにする "新興市場であると定義しています。

複雑さが増すと、コミュニケーションミスやリソースの調整ミス、あるいは一般的な無秩序さが原因で、プロジェクトが失敗する確率が高まることに正比例します。しかし、マネージャー、セールスチーム、デザイナー、ストラテジスト、アナリストの全員が共通の目標に向かって仕事をすれば、チームは単独では不可能なほどの成果を上げることができます。しかし、現代のマーケティングの複雑なニーズは、部門や分野を超えたコラボレーションを促進するものでした。

なぜCWMなのか？

• CWMは、アジャイルに働くことが企業のデジタルトランスフォーメーションの鍵であるという事実を改めて示しています。CWMは、企業のデジタルトランスフォーメーションの鍵を握るのはアジャイルワークであるという事実を繰り返し強調しています。これにより、ハードな締め切りを危険にさらすことなく、計画を適宜調整できる柔軟性が高まります。
• コラボレーションワーク管理ツールは、コミュニケーションのための集中的な場所を提供します。
• CWMを使用すると、可視性と透明性が高まり、関係者に最新情報を提供することができます。
• すべてが1つのツールに文書化されているため、招集されていない会議やスプレッドシートの管理がなくなり、時間を節約できます。重要な意思決定や問題解決に、より多くの時間を割くことができます。

あなたの会社には何が必要ですか？

さて、MRMかCWMか？どちらを組織に提案すべきでしょうか？それは両方です。ユースケースの助けを借りて、理解を深めましょう。

7月4日の特別イベントプログラムは、承認、作成、実行される必要があります。プロジェクト・マネージャーとマーケティング・ディレクターは、すべてが順調に進み、時間内に納品されることを確認しなければなりません。彼らは、作業内容をメモし、活動を記録し、進捗状況を報告し、活動を測定し、ROIを測定する必要があります。プロジェクトマネージャーは、開発チームと連携して、メール送信者用のHTMLを確実に書き、テストし、実行する必要があります。そこでCT (クリエイティブチーム) リーダーは、7月のメーラー用のチェックリストを作成し、HTMLの各部分にTo-Doを追加して、適切なチームメンバーに割り当てます。さらにチームリーダーは、そのタスクを専任の開発者に割り当てます。チェックリストは、必要に応じてTLがPMやMDと共有し、進捗状況を確認します。すべてのToDoが完了したら、TLはプロジェクトワークフローのタスクを完了とすることができます。

このように、プロジェクト全体を管理し、他のチームと協力しながら、なぜ、何が問題なのかをPMやMDに明確に伝えることができました。マーケティングのワークプロセスとプラットフォームを管理するには、プロジェクト、時間、アセット管理ソリューションの強化に加えて、部門間のコラボレーションが必要です。時には仕事をうまくこなすためには2人が必要なのです

HCLのUnicaがどのようにお客様のマーケティング作業管理のニーズを満たすことができるかについての詳細は、Unica Live での私の関連ウェビナーをご覧いただけます。

*1 - https://go.forrester.com/blogs/forresters-inaugural-mrm-evaluation/

*2 - https://www.gartner.com/en/documents/3970107/market-guide-for-collaborative-work-management

2021/4/29 - 読み終える時間: 11 分

Unica is available on the HCL Software Solution Factory! の翻訳版です。

HCL Unica は HCL SoFy (Software Solution Factory) で利用できます

2021年4月29日

著者: David Williams / Solution Architect - Unica 共著: Bryce Connors / Practice Leader - Unica Professional Services

SoFy とは、HCL Software の Solution Factory のことです。これは、Unica のクラウドネイティブ・ジャーニーにおけるもう一つの大きなステップです。何を、どのように、なぜ？」と思われるかもしれません。と思っているかもしれませんが、聞いていただければ幸いです。

WHAT: SoFy は、HCL Software の数多くの製品やサービスにアクセスできます。

• 以下のような製品があります。アプリケーション・セキュリティ、データベース、インテグレーション、テスト、ワークロード・オートメーション、構成管理、そして今回の Unica です。
• サービスは以下の通りです。データストア、スケジューラー、コードセキュリティスキャン、データマッパー、テストエンジン、データ合成など。

HOW: SoFy は、エンタープライズグレードの技術を提供しています。

• ダイナミックに展開可能なマイクロサービス。
• 設計されたREST APIを介したアクセス。
• 最新のコンテナおよびオーケストレーション技術の活用。
• スマートな共通サービスとの統合

WHY: SoFy は、以下のようなオーダーメイドのソリューションを提供します。

• どのようなクラウド環境にも迅速に展開できます。
• 安全性の確保、監視、管理が容易である。
• シンプルで消費ベースのライセンスを提供する。

SoFy にログインすると、楽しいことが始まります。SoFy では以下のことができます。

• 探索

Docker イメージや Helm チャートとして Kubernetes に対応している製品や REST API のカタログ

• 作成

  • API と製品のリスト、ソリューションの Helm チャートの生成、テストクラスタへのデプロイ
  • REST API ドキュメント用の Swagger UI を含む、これらのサービス上のシンプルなGUI

• リリース

SoFy ソリューションの中で実行されるSoFy の共通サービスのセットで、ソリューションの一貫したセットアップと管理を提供します。

SoFy へのアクセス

SoFy を使い始めるのは簡単です。SoFy は、Webブラウザで利用できるWebアプリケーションとして提供されます。他の Web アプリケーションと同様に、顧客、パートナー、HCLスタッフなどのユーザーは、SoFy に「サインアップ」する必要があります。次のリンクから SoFy の登録ページに直接行くことができます： https://www.hcltechsw.com/SoFy/request-access. 下のスクリーンショットは、サインアップページを表示しています。

また、SoFy のサイトにアクセスすると、SoFy についての詳細な情報や、SoFy の機能についての素晴らしいビデオへのリンクが掲載されています（このビデオはチェックする価値があります-ぜひお勧めします！）。SoFy のサイトへのリンクはこちら： https://www.hcltechsw.com/SoFy

なお、SoFy の公開サイトにある Schedule a Demo ボタンは、SoFy 自体のデモを依頼するためのもので、SoFy ソリューションが提供する製品のデモを依頼するためのものではありません。

SoFy の内部

SoFy に登録してログインすると、SoFy の機能を使用して独自のソリューションを定義するために必要なすべてのものにアクセスできます。以下にアクセスできます。

• カタログ
• 以前に定義したソリューションで、再訪したいもの。
• SoFy の製品や API 構造に関する豊富なガイドやドキュメントにアクセスできます。

あなた専用の SoFy カタログ

カタログタブを選択すると、ソリューションのカタログが表示されます。各ソリューションは製品を中心としています。そのため、表示されるカタログの実際の内容は、お客様の組織の権限によって異なります。より複雑な製品（例えば、Unica）については、利用可能なソリューションの数が多くなります。

SoFy 公開カタログ

お客様やパートナーが SoFy にサインアップしていて、権利のない製品のソリューションを必要としている場合、お客様やパートナーは、公開されているSoFy カタログを使って、その製品に SoFy ソリューションが利用できるかどうかを確認することができます。

再利用可能な SoFy ソリューション

SoFy カタログからアイテムを選択すると、そのアイテムに基づいてソリューションを作成します。作成したソリューションはSoFy に保存され、この「ソリューション」タブでアクセスします。

ソリューションは、このタブから開いて設定し、その後サンドボックスに展開して、そのソリューションを検討することができます。サンドボックスに配置されたソリューションは、一定時間しか有効ではありません。さらに、サンドボックスで実行できるソリューションの数にも制限があります。このタブから、別の時点でソリューションを再検討し、再展開することができます。

SoFy ガイド

SoFy も迷子になって欲しくないので、SoFy ガイドが助けてくれます。SoFy ガイドタブでは、SoFy がどのようにあなたの SoFy ソリューションを管理するのに役立つかについての詳細な情報ページを提供します。Pop-Out Contentsウィンドウでは、ソリューションを最大限に活用し、サンドボックスを超えてソリューションを活用するために使用できる主要なトピックに直接アクセスできます。

image

利用可能な Unica ソリューションの概要

Unica は私たちにとって身近な存在なので、SoFy 上の Unica について具体的に説明します。現在利用可能な Unica のソリューションは以下をご覧ください。これらのソリューションは、Unica のモジュールの代表的な組み合わせを提供しています。例えば、Campaign + Interact、Campaign + Plan、Campaign + Journey、さらには Uncia Suite 全体などです。私たちの春のリリースである Unica 12.1.0.4 は、この記事を書いている時点でSoFy 向けに準備中であり、まもなく利用可能になる予定です。

SoFy による Unica ソリューションの作成

さて、SoFy に出会ったところで、SoFy を使って Unica をいかに素早く (信じてください！)、簡単に展開できるかを説明しましょう。ここでは、5つの簡単なステップと、Unica がデプロイされたときに表示される A、B、C、D を紹介します。

1. 作成したいソリューションを選択します。

2. ソリューションにユニークな小文字の名前を付けます。

3. ソリューションが作成され、ソリューションリストに保存されます。

4. ソリューションを SoFy サンドボックスにデプロイします。

5. サンドボックスの作成が続きます。サンドボックスのログイン認証をメモしておいてください。はい、これで完了です...

OK、では次は WHATの話です。

A - サンドボックスの準備ができたら、それにアクセスできます。

B - サンドボックスにログオンしてください（メモした認証情報を使用してください)。

C - サンドボックス自体が作成されている間、ソリューション自体も作成され、デプロイされる過程にあります。

D - すべてのポッドがデプロイされて実行されると、ソリューションの準備が整います。

SoFy 上の Unica ソリューションの構造

さて、ここからは少し技術的な話になりますが、SoFy の「舞台裏」で何が起こっているのかをより詳しく説明するには十分です。

主な Kubernetes のリソースは以下の通りです。

• Pods
• Services
• Config Maps

Pods

• ポッドは、Unica ソリューションの一部を格納する「ミニ仮想マシン」です。一般的には、マーケティングプラットフォーム、キャンペーン、インターアクトなどの Unica モジュールごとに1つあります。

• SoFy では、SoFy が監視やサンドボックスへのアクセスに使用する追加のポッドがいくつかあります。

• あるポッド上のアプリケーションが、別のポッド上のアプリケーションと通信するためのゲートウェイです。

• ポッドは削除して、その後再作成することができます。各ポッドは固有の ID を持ちます。サービスは、そのポッドに対するフロントエンドのアンカーです。

Config Maps

• これらは、ポッドをセットアップするために使用される環境を定義します。

上のダッシュボードからのリンクを使って、ソリューションを構成するポッド、サービス、コンフィグマップの詳細(下記参照)に飛び込んでみましょう。

SoFy で Unica を使う

Unica on SoFy の醍醐味は、導入したUnciaモジュールにログインして起動できることです。

IT チームのためのボーナス機能

SoFy 上のローカルサンドボックスにソリューションをデプロイするだけでなく、お好みのクラウドネイティブ環境にソリューションをデプロイすることもできます!

クラウドネイティブ環境は、一般的なクラウドサービスベンダー（Google Cloud、AWS、Azure）から提供されているKubernetes環境でも、自社のクラウドネイティブ環境でも OK です。また、SoFy から Unica イメージをエクスポートしたり、HCL のセキュアな Docker イメージリポジトリ（近日公開予定）から Unica イメージにアクセスすることもできます。ヘルムチャートとイメージを入手し、ヘルムチャートを調整したら、ソリューションをデプロイし、データを追加してさらに検討することができます。とてもわかりやすいですね。

SoFy に関するブログ記事をお読みいただき、ありがとうございました。SoFy とは何か、どのように使用できるのか、ご理解いただけましたでしょうか。最も重要なことは、SoFy ID をリクエストして、ご自身の Unica ソリューションを展開していただくことです。私たちのように、わずか20分から30分で、Unica をKubernetes クラスタにデプロイしたと言えるでしょう。

さて、何を待っているのでしょうか？リンクをたどって自分のSoFy ユーザー ID を取得し、今すぐ始めましょう。簡単ですね。リンクをクリックすると、あなた専用のSoFy ログイン ID がメールで送られてきますので、あなたも Unica をクラウドネイティブアプリケーションとしてデプロイすることができます。

2021/4/28 - 読み終える時間: ~1 分

2020年8月18日、2021年8月17日でMicrosoft 365でのInternet Explorer 11のサポートが終了することが発表されました。これに伴い、業務アプリの再検証作業が発生することが予想されます。また、移行先となるブラウザーの配布も課題になります。 HCL OneTest と HCL BigFix を使うと、これらの問題にスムーズに対処できます。詳しくは以下の記事をご覧ください。

• Microsoft 365のInternet Explorer 11サポート終了による影響とHCLが提唱する対策のポイント (DevOpsHub)

2021/4/21 - 読み終える時間: ~1 分

HCL BigFix を知っていただくためのショートムービー「BigFix 1分エピソード」を掲載しました。シリーズもので、今回は「その1: 企業の合併・統合」です。不定期に追加していきます。

• HCL BigFix メディア

2021/4/20 - 読み終える時間: 2 分

Intelligent Code Analytics: Increasing Application Security Testing Coverage With Cognitive Computing の翻訳版です。

HCL AppScan インテリジェント・コード・アナリティクス: コグニティブ・コンピューティングによるアプリケーション・セキュリティ・テストのカバレッジの向上

2021年4月20日

著者: HCL Software / A division of HCL Technologies (HCL)

前回の記事 では、コグニティブ・コンピューティングによって、静的アプリケーション・セキュリティ・テスト (SAST) につきものの誤検出やノイズを大幅に削減できることを紹介しました。また、ほとんどのアプリケーション・セキュリティ製品のアプローチである、言語カバレッジに影響を与えることなく (すなわち、ルール・セットを減らすことなく) 、誤検出を減らすことができることを示しました。

IFA (Intelligent findings analytics) は、アプリケーション・セキュリティ・テストにおける重要なブレークスルーとなりますが、静的解析言語プロセッサが生成したカバレッジの幅を維持するに過ぎません。

ICA：アプリケーション・セキュリティ・テストを一歩前進させる

インテリジェント・コード・アナリティクス (ICA) は、コグニティブ・コンピューティングを使用して言語のカバレッジを拡張することにより、IFA を大きく前進させます。コーディング言語は、毎日のように新しいフレームワークが登場し、急速に進化しているため、これは非常に重要です。Java 8 のような新しい言語のバージョンでは、何万もの新しいアプリケーション・プログラム・インターフェース ( API ) が導入されます。

従来、訓練を受けたセキュリティ専門家は、これらの API の一つ一つを検証し、それが入力 (ソース) か出力 (シンク) かを確認し、コードに脆弱性 (テイント) が含まれているかどうかを判断していました。新しいフレームワークは、このプロセスをさらに複雑にしています。開発者にとってはコーディングが簡単になることで、テストシステムにとってはレビューが不透明になります。これらの API を特定し、マークアップと呼ばれるルールを作成するには、数週間以上かかることもあり、テストシステムのカバレッジにギャップが生じてしまいます。

ICA は、機械学習を API の識別とマークアップに適用することで、この問題に対処し、事実上排除します。驚くべきことに、ICA はこの作業をオンザフライで行います。ICA は新しい API やフレームワークに出会うたびに、それが汚染可能かどうかを瞬時に判断し、ルールを作成します。このルールは解析エンジンで使用され、アプリケーションのデータフローに実際の脆弱性が含まれているかどうかを判断します。

ICA は「Just Works」

これらの結果がどのようにして得られたかを説明する言葉があります。"It just works!" この言葉の裏には確かに詳細がありますが、コグニティブ技術をアプリケーション・セキュリティ・テストに適用することの素晴らしさは、詳細をすべて知る必要がなく、結果を見るだけでよいということです。

IFAでは、訓練を受けた専門家が同じ分析を行った結果と同等以上の精度を機械が実現しました。同様に、ICA の結果も同様に、人間が行った分析結果と同等かそれ以上の素晴らしいものでした。これは、IFAと同様に、複雑な問題に何時間も取り組んでいると、人間は自然と疲れてミスをしがちになりますが、機械は同じ作業を数秒で完了し、疲れないということに起因していると考えられます。

IFA と ICA でスピードとカバレッジを高める

IFA と ICA は、コグニティブ・コンピューティングを活用して、アプリケーション・セキュリティの主要分野であるスピードとカバレッジに対応します。この2つは、DevOps アプリケーション・セキュリティ・プログラムを成功させるために不可欠です。しかし、これは始まりに過ぎません。アプリケーション・セキュリティ・プログラムをより効果的にするために、コグニティブ・コンピューティングは次に何をもたらしてくれるのでしょうか？その答えは、このページをご覧ください。

AppScan のコグニティブ・アプリケーション・セキュリティ・テスト機能の詳細については、この短いアニメーション・ビデオをご覧ください。

2021/4/20 - 読み終える時間: 2 分

Intelligent Finding Analytics: Your Cognitive Computing Application Security Expert の翻訳版です。

AppScan Intelligent Finding Analytics: コグニティブコンピューティングによるアプリケーションセキュリティのエキスパート

2021年4月19日

著者: HCL Software / A division of HCL Technologies (HCL)

数年前、AppScan チームは、アプリケーション・セキュリティ・リスクを理解し低減しようとする企業が直面する困難な問題に対処するために、コグニティブ・コンピューティングがどのようにインテリジェントな発見分析を生み出すことができるかについて調査を開始しました。つまり、開発者に脆弱性を報告するスピードを重視すべきか、それとも結果を分析して問題を特定し、優先順位をつけて対処する精度を重視すべきか、という難問に直面しています。一般的に、後者の目標である「正確さ」には、専門家を活用してリスクの高い脆弱性を検証し、前者の目標である「速さ」の達成を妨げる可能性のある偽陽性を排除することが含まれます。簡単に言えば、両方を手に入れることはできないということです。これまでは、そうでした。

干し草の山から針を探す

干し草の山を例にとってみましょう。SAST への最適なアプローチは、アプリケーション内の実際のデータフローを調べることなので、SAST スキャナは多数の結果を出す傾向があります。これらをすべての可能な結果と考えてください。これが「干し草の山」という喩えです。

この干し草の山の中から針を見つけるために、セキュリティチームは2つの可能なアプローチのうちの1つを取ることができます。

干し草の山の大きさを小さくする

これは一般的に、アプリケーションをスキャンする際に、より少ない数の結果（できれば最も重要なもの）を見つけるという、軽いアプローチによって達成されます。このアプローチの主な利点は、スピードです。例えが悪いかもしれませんが、結果の数が少ないと、小麦と籾殻を素早く分けることができます。これにより、セキュリティ・チームは開発者に迅速に結果を提供することができます。しかし、デメリットにも注意する必要がある。セキュリティ・チームは、探している針を見つけられないかもしれない。言い換えれば、このプロセスは、組織の全体的なアプリケーション・セキュリティ・リスクを確実に低減するものではない。

人員を増やす

2つ目のアプローチは、結果を確認して針を見つけるために、従業員を増員することです。この方法の利点は、包括的であることです。テストの過程で針が失われることはなく、専門家はどの結果に対策が必要かを判断することができます。一方、デメリットとしては、スキル、コスト、そして特に時間の面で非効率であることが挙げられます。干し草の山が大きければ大きいほど、プロジェクトにはより多くの専門家が必要になります。これらの専門家は、希少で高価なリソースです。結果のレビューには数時間、数日、あるいは数週間かかることもあり、開発者にタイムリーに結果を提供したり、継続的なエンジニアリングを確保することは事実上不可能です。スキル不足のため、一部の企業はプロセス全体をアウトソースすることにしました。これは、短期的なスキルギャップを解決することはできますが、コストとプロセス時間が大幅に増加します。アウトソーシングすることで、企業は採用やトレーニングの負担から解放されますが、時間の優先順位を決める際のコントロールを失うことになります。

インテリジェント・ファインディング・アナリティクス

この選択肢と、他の認知的な取り組みの成功を踏まえ、AppScan のエキスパートは、第3の選択肢があるはずだと考えました。こうして生まれたのが、AppScanのIFA (Intelligent Finding Analytics) です。IFA は当初、第1の SAST アプローチの主な利点であるスピードと、第2のアプローチの利点である精度を、それぞれに関連する欠点なしに達成できるかどうかを調べる研究プロジェクトでした。認知機能を利用して、専門家集団が干し草の山をかき分けるような役割を果たすことが目的だった。

驚異的な数字

1年目の結果は、当初の予想を上回るものでした。実際にお客様に使っていただいたところ、誤検出やノイズを取り除くことで、結果の干し草の山は常に90％以上減少しました。IFA の学習機能を使えば、誤検出の除去精度は98％以上になります。実際に、2016年10月時点で、クラウド上のアプリケーションセキュリティにおけるお客様の全スキャンでの誤検知とノイズの削減率は、なんと98.91％でした。

先に述べたように、この削減は精度を犠牲にするものではなく、IFA の98パーセントの精度は、有能で経験豊富なアプリケーションセキュリティの専門家の精度とほぼ同じである。多くの場合、IFA の結果は実際に人間の専門家よりも優れている。これは、人間が何時間も針の穴を探しているうちに疲労してくるからだと思われる。人間の専門家が大規模なアプリケーションを分析するのに数時間から数日かかるのに比べ、IFA は数秒どころか数分で結果を出す。このスピードにより、サイバーセキュリティチームは、持続的な脅威に対応し、継続的なエンジニアリングモードを維持するのに十分な速さで開発者に調査結果を提供することができる。これにより、開発者は、頻繁に、かつ早期にスキャンを行うことができ、脆弱性が出てくるのを待つのではなく、出てきた時点でそれを修正することができます。

修正グループと現実世界の結果

しかし、IFA は「干し草」と「針」の問題を解決するだけではありません。IFAは、開発者が発見した問題を、自分が書いているコードの中で直接修正することをより効率的に行えるようにします。認知技術を応用したIFA は、修正グループを使って発見物のセットを減らします。修正グループは、コード内のどこにセキュリティ上の問題があるかを正確に示し、開発者が複数の問題を同時に修正できるようにします。現在、開発者は数百のセキュリティ問題に対し、5?10の修正グループを確認しています。IFA は、開発者が1つの統合開発環境 (IDE) ですべての問題を修正できるようにします。

このような機能を持つ IFA は、企業が日々のアプリケーション・セキュリティの課題に対処するためにどのように役立つのでしょうか？実際のお客様の結果を3つ見てみましょう。

アプリケーション No.1 では、ディープスキャンの結果、12,000以上の潜在的な脆弱性が特定されました。IFA は、この数を約1,000個に減らし、1,000個すべてに対処するためにコード内の35箇所（修正グループ）を特定しました。アプリケーション No.2 では、ディープスキャンの結果、約250,000件の潜在的な脆弱性が特定されました。ここでもIFAは、約1,000個の脆弱性に削減し、それらに対処するためにコード内の103個の修正グループを特定した。アプリケーション No.3 では、ディープスキャンの結果、750,000件近くの潜在的な脆弱性が特定されました。驚くべきことに、IFA はこれらをわずか483の実際の結果にまで減らし、42の修正グループを特定した。

長年の経験から、IFA はあらゆる規模のアプリケーションの開発チームを支援できることを示している。これにより、それらのセキュリティ・チームがアプリケーション・セキュリティ問題の発見と修正に何時間も費やす必要がなくなりました。あるいは、場合によっては、両手を挙げて巨大な挑戦をあきらめてしまうこともありました。その代わりに、これらの企業では、アプリケーション・セキュリティ・リスクに対処するための効率が98％以上向上しました。

IFA の活用

学術的な研究、継続的な機械学習、実際の顧客経験を経て、IFA は何をしてくれるのでしょうか？非常に簡単に言えば、IFA は以下のような方法を提供します。

• 継続的な開発プロセスと統合するために、セキュリティテストを高速化する。
• 限られたセキュリティスタッフの負担を軽減します。
• 開発者がより効果的に安全なコードを提供できるようにする。

そして、これはほんの始まりに過ぎません。IFA の機能は、HCL AppScan の一連のソリューションで利用できます。AppScan on Cloud の IFA および ICA (Intelligent Code Analytics) 機能の概要については、以下の簡単なビデオをご覧ください。また、今すぐ ASoC の無料トライアルにお申し込みいただき、コグニティブ機能をお試しください。