野村総合研究所(NRI)が新しいプロジェクト管理システムの本格利用を始めた。総勢1万3000人の技術者が、どのファイルにいつアクセスし、どんな操作をしたか、といったログ情報をすべて記録。高速検索データベースを利用し、異常なファイルアクセスを発見できる。
NRIは、新しいプロジェクト管理システム「Developer's Net」を、基本的にNRIが請け負う、すべてのシステム開発案件に利用する。現在、Developer's Netは400ものプロジェクトを管理し、NRI社員、パートナー企業の技術者、NRIの顧客企業の担当者など、総計1万3000人が利用している。
Developer's Netを利用することで、各プロジェクト単位にフォルダを作成し、フォルダにプロジェクトに関するあらゆる情報を集め、プロジェクトメンバー同士が参照できるようになる。フォルダに入れて管理するのは、システム設計ドキュメントやソースコードといった開発プロジェクトの成果物に加え、プロジェクトのスケジュール、開発時に生じた問題と対応策、顧客企業とやり取りした文書など。
Developer's Netの特徴は、開発者がフォルダ内のファイルをアクセスしたログ情報を高速検索し、不審な行動を検知する機能を持っていることだ。本来、その必要がない技術者が、ファイルにアクセスし、文書などをダウンロードした場合、不審な操作が実行されたとみなし、即座に検知できる。例えばアクセス権や利用時間帯に基づいてアラートを出すように設定。Developer's Netの管理者は、そのつど、ログ情報を調べる。さらに、定期的にDeveloper's Netの管理者は、不正行為がないかどうかという観点でログ情報を調べている。
 |
| 図●Developer's Netの概要 |
こうした機能を実現するため、NRIは、ログを格納するデータベース(現在4テラ・バイト)の応答速度を引き上げる工夫をした。米ルシーダが開発するデータ活用の支援ツール「Lucida JetQuest」(販売は日本ルシーダ)を採用。JetQuestは、米サイベースの検索用データベース「Sybase IQ」を中核に、データ連携機能や画面開発ツールを組み合わせたミドルウエアである。NRIは、Sybase IQの列単位でデータを検索できる機能を利用することで、全文検索をする必要がなくなり、「一つのファイルだけで数千万件~1億件もある膨大なアクセス・ログを数秒で検索できるようになった」(安田守NRI生産性向上推進部長)。
NRIがDeveloper's Netを構築した狙いは、開発部門における内部統制をしっかり確立することだ。「顧客のビジネスを担うシステムを開発している以上、少しでも不審な動作がないような状態にし、万一不正な行為があったとしても、即座に把握できるようにしておかなければならない」(安田氏)。大手インテグレータも、ソフト開発状況の把握に取り組んでいるが、NRIのように、すべてのプロジェクトのアクセスログを分析できる仕組みを用意した例はあまりない。
NRIがDeveloper's Netの構築を終えたのは2006年12月。開発費は5億円前後(本誌推定)。2003年から利用していた管理システムを抜本的に作り直した。
