導入活用レポートPDFをダウンロード（590KB） システムの公開範囲や用途に合わせて、FORTIFYの機能を巧みに調整。事前にテンプレートをチェックしたことで、レポートのチェックもスムーズに。今後はより複雑な機能も使いこなし、さらなる運用の効率アップを目指す。 古澤：「ある化学品製造メーカー様が、自社製品の製造工程管理をするために使用するシステムの開発で、FORTIFYを使用しています。UI数60規模のシステムで、最多同時接続は、20程度です。」 赤澤：「毎朝私が手動でFORTIFYを実行しレポートをチェックする方法で運用しています。基本的にはFORTIFYがデフォルトで設定しているエラーのレベルで切り分けをして、レベルが一番高いもののみ伊東リーダーにチェックをしてもらっています。」 古澤：「2年目の赤澤には、ちょうどいい勉強にもなっているみたいです。（笑）」 伊東：「今回のシステムではFORTIFYの導入が必須というわけではありませんでした。明確な目的としては1点、他のチェックツールがあまり対応していない、C#などの言語に対応しているFORTIFYの機能を見てみたかったというのがあります。」 古澤：「予想以上によくエラーを検出してくれています。ただし、FORTIFYを他のプロジェクトで使っているメンバーから『検出されるエラーの件数が多過ぎる』というような話を聞いていたので、そこは少し工夫をしました。テンプレートとなるソースコードをつくり、事前にFORTIFYでチェックしたのです。このことにより、FORTIFYが設定しているエラーのどのレベルまでを人が再度チェックすべきかを決めることができ、チェックの手間をかなり減らすことができました。」 伊東：「ポイントは、チェックし過ぎないということです。セキュリティ要件を満たしてさえいれば、それ以上深追いすることはコストの肥大化につながるだけなので必要ありません。機能面では、短時間で大量のソースコードをチェックできるのはすごく助かりますね。単純な量の問題だけではなく、組み合わせでチェックをする必要があるもの、たとえば始めと終わりがセットになっていないとエラーとして検出されてしまうようなもののチェックには、とても重宝しています。」 赤澤：「確実に使えるようにはなってきて、最初のハードルは越えたところなので、今後はまだ使えていないフィルタリング機能や、前日との差分のみを表示する機能を覚えてもっと効率よく運用できるようにしていきたいです。」 伊東：「システム開発における大事な要素として、いかに効率よくやるかということがあると思っています。そのために自分でツールを作ったりすることがコーディングの勉強にもなるので、プロジェクト全体の工数を少なくするという目的だけではなく、自分の勉強のためにもしっかりやってほしいですね。もちろんやり過ぎてコストがかかり過ぎては本末転倒なので、今のシステムに合ったかたちで使いこなしてほしいと思います。」 Copyright© Software Research Associates, Inc. All Rights Reserved.