• UseCase
  • 製造

東レ、モダナイゼーションを機にDevSecOpsやAIによるコード生成も推進

「GitLab Epic Tour Japan 2025」より

中村 仁美(ITジャーナリスト)
2026年1月5日

モダナイズの中核にDevSecOps基盤「GitLab」を採用

 そこでアプリケーションモダナイズの中核に、DevSecOps(開発とセキュリティ対応と運用の融合)プラットフォームの「GitLab」を置くことを決めた(図3)。「CI/CDのほか、AI(人工知能)駆動開発、セキュリティの全要素がオールインワンで備わっているためだ。特に『GitLab Duo』のセキュリティチェック機能に期待している」と美里氏は説明する。

図3:東レにおける「GitLab」の利用状況

 2025年上期、アプリケーションのモダナイズ活動を始動。第1弾のアプリケーションは約3カ月で開発させ、現在は試行フェーズから本番開発フェーズに移行させている。2026年度からは「量産化と内製化を目指す。“ワクワク”を体感しながらモダナイズを進めている」(美里氏)という。

 GitLabによるDevSecOpsの実行により、CI/CDパイプラインでテストを自動化している。「コードのプッシュやマージのたびにセキュリティテストが実行されるほか、スケジュール実行により定期的にスキャニングを実施している」と東レシステムセンター アプリケーション基盤サービス部の塙 賢哉 氏は話す(写真3)。

写真3:東レシステムセンター アプリケーション基盤サービス部の塙 賢哉 氏

 デプロイも自動化した。CI/CDパイプラインで、アプリケーションのコードをビルドからテスト、コンテナ化までを実行し、その後にデプロイ定義ファイルのパイプラインにおいてコンテナのイメージを実行環境にデプロイする。

 従来は「単体テストは手動。セキュリティ対応は年1回、脆弱性対応としてのバージョンアップを実施していた」(塙氏)。デプロイについては「Linuxサーバーから手動でシェルスクリプトを実行していた」(同)という。

AI支援エディター「Cursor」を使いコードを自動生成

 さらにAI技術によりプログラミングを支援するエディター「Cursor(カーソル)」(米Anysphere製)を導入し、GitLab Duoと組み合わせた利用も始めている。開発エンジニアはCursorを使ってコードを自動生成し、そのコードをCI/CDパイプラインに流してレビューする。レビューは「人とGitLab Duoの2種類の方法で実施している」(塙氏)。レビューで問題がなければ承認し、マージからリリース、デプロイへと進む。

 ただ塙氏は「Cursorを使えば誰でも品質の高いコードを作成できるわけではない」と指摘する。東レの場合「導入当初は統制が取れておらず、開発者がプロンプトを独自で作成し、実装方法や品質にバラツキが発生した」(同)と明かす。

 その原因を塙氏は「2つある。1つはCursor利用者において、あいまいな指示やプロンプトの記載内容に差異があったことだ。もう1つはCursorの実装漏れや、指示内容が無視され指定した構成にならないことなどだ」と説明する。

 現在は、Cursor利用時のルールを整備すると共に、実装後にチェックするためのプロンプトを作成している。「約10人の開発エンジニアが同じ品質、同じ実装になるようトライアンドエラーを繰り返しながら、ルールやプロンプトの内容を整備した」と塙氏は説明する。「簡単なバックエンドAPI(Application Programming Interface)であれば、全体の約8~9割は同じ実装ができるようになった」(同)とする。

 加えて、開発環境そのものも整備した。中でも権限管理を考慮し「システム開発単位と、共通テンプレート開発用の2つのグループに分けて権限を制御している」(塙氏)。具体的には、各グループの開発リーダーにはメンテナー権限を、開発担当にはデベロッパー権限をそれぞれ付与している(図4)。

図4:「Cursor」によるコードの自動生成に向け管理権限を整備した

 そのうえで開発担当の役割を(1)プラットフォームテンプレート、(2)共通モジュール、(3)システムの3つの担当に分けている。

プラットフォームテンプレート担当 :CI/CDのテンプレートや運用監視、IACを管理する
共通モジュール担当 :各システムで共通的に利用するユーザー管理やマスタ管理をメンテナンスする
システム担当 :プラットフォーム側のテンプレートでシステム用にカスタマイズした運用監視やIACのコード、バッチ、アプリケーションのソースコードなどを管理する

脆弱性への対応工数増にも自動化の仕組みで対応

 今後も「生成AIやGitLab Duoのさらなる活用と、開発・運用工数の削減を目指していきたい」と塙氏は力を込める。ただ懸念点もある。「DevSecOpsの導入により開発のライフサイクルを早く回せるようになった結果、セキュリティチェックの頻度が増え、脆弱性対応への工数が増加することが予測される」(同)ことだ。

 懸念点については「事前対応できるよう、脆弱性対応を自動化したいと考えている」と塙氏は話す。そのために、GitLabとワークフロー構築ツール「n8n」(独n8n製)を組み合わせた仕組みを構築している。「全ての脆弱性対応の自動化は難しいだろうが、まずはライブラリのバージョンアップなどから適用し、レビュアーの負担を軽減したい」(同)という。

 なお東レではアプリケーションモダナイズに取り組むエンジニアを募集している。