防衛ソフトウェア・ファクトリーのモダナイズ

米国防総省 (DoD) のソフトウェア・モダナイゼーション戦略は、全省規模の計画であり、プロセス、ポリシー、人材、テクノロジーの包括的な変革を通じて、ソフトウェアの提供にかかる時間を数年からわずか数分に短縮することを目的としています。この戦略は、2023 年 3 月 30 日に国防総省の最高情報責任者 (CIO) である John Sherman 氏によって承認されました。

国防総省ソフトウェア・モダナイゼーション実施計画概要に述べられているように、この戦略には 3 つの主な目標が含まれています。

1. 国防総省のエンタープライズ・クラウド環境を推進する。
2. 全省規模のソフトウェア・ファクトリー・エコシステムを確立する。
3. プロセスを変革し、回復力とスピードを高める。

以上の目標を達成するためには、ソフトウェア・ファクトリーの活用を拡大し、任務のニーズを満たすのに必要なソリューションを提供できるようにする必要があります。

ソフトウェア・ファクトリーとは、ツール、ポリシー、プロセス、および人材からなる組み立てラインであり、自動化された方法で機能し、ソフトウェアのビルド効率の向上と、特定のエンドユーザー・コミュニティへの迅速な提供を支援します。

データ分析、自動化、人工知能と機械学習 (AI/ML)、高度なソフトウェア技術など、さまざまなソフトウェアアセットをソフトウェア・ファクトリーに組み込むことができます。また、人的ミスによるエラーを最小限に抑え、ソフトウェアの統合およびデリバリープロセスへの悪意ある干渉を緩和することで、開発、セキュリティ、運用 (DevSecOps) プロセスを保護できます。ソフトウェア・ファクトリーは、チームが業界のベストプラクティスを再現し、開発時間を短縮し、一貫性を向上させ、リソースを統合するのに役立ちます。

国防総省によるソフトウェア・ファクトリーの活用状況

国防総省におけるソフトウェア・ファクトリーの活用はまだ成熟途上にあり、ソフトウェア・ファクトリー・エコシステムを全省規模に拡大することがモダナイゼーションの取り組みにおける主な目標の 1 つとなっています。現在、ソフトウェア・ファクトリーの活用において国防総省をリードしているのは空軍で、2017 年には先陣を切ってソフトウェア・ファクトリー「Kessel Run」を組織しました。一方で、陸軍ソフトウェア・ファクトリーや 2023 年 3 月に新たに設立された海兵隊ソフトウェア・ファクトリーなど、他の部門も独自のソフトウェア・ファクトリーを確立し始めています。

国防総省は、民間のクラウドプロバイダーとのパートナーシップを重視し、トレーニング、実務アプレンティスシップ制度、ローテーション制度などを通じて、職員の技術力向上に努めています。

ソフトウェア・モダナイゼーション・シニア・ステアリング・グループ (SSG) や DevSecOps 実践コミュニティ (CoP) などのフォーラムを通じたコミュニケーションとコラボレーションにより、既存のソフトウェア・ファクトリーの活用や新しいソフトウェア・ファクトリーの設立に対する認識と関心が高まっています。つまるところ、国防総省では、ソフトウェアを駆使した国防を実現するための包括的な戦略の一環として、ソフトウェア・ファクトリー・エコシステムの改善に向けた協調的な取り組みを継続し、兵士の任務遂行に欠かせないソフトウェアを制作、共有、提供して、今後の戦地における優位性を確保します。

ソフトウェア・ファクトリーをモダナイズする上で重要なのは、機能、ツール、プロセス、自動化を取り入れて複雑さを軽減することで、開発者が開発により多くの時間を割けるようにすることです。また、アプリケーション開発、運用、セキュリティなど複数の領域において、最新のポリシーとベストプラクティスを活用し、ガバナンスを通じて一貫性をもたらすことも重要です。効果的なメトリクスや洞察と組み合わせることで、チームは迅速に、段階的に、かつ人の介入を最小限に抑えてソフトウェア・アートファクトを提供できます。 

ソフトウェアおよび開発の共通のオブジェクトやプラットフォームを取り入れた統合型運用を活用することで、チームはソフトウェアの制作に向けた取り組みを 1 つに集約し、より効率的な開発を実現できます。

ソフトウェア・ファクトリーのモダナイゼーションには DevSecOps ツールも必要です。特に国防総省のユースケースでは、継続的インテグレーションおよび継続的開発 (CI/CD) ワークフローに、絶えずセキュリティを組み込むことが求められます。これに対しては、ソフトウェアのライフサイクル全体、そしてソフトウェア・ファクトリーのすべてのコンポーネントが共同で責任を負う必要があります。

先進的なソフトウェア・ファクトリーでは、可観測性、自動化を最大限に高め、継続的インテグレーションと継続的デリバリー (CI/CD) を確保するため、GitOps プラクティスも採用されています。GitOps の原則を取り入れることで、ソフトウェアのあらゆる変更を監視し、必要に応じてロールバックできるため、ソフトウェア・ファクトリー全体のセキュリティ、信頼性、一貫性が向上します。

国防総省のソフトウェア・ファクトリーにとって、堅牢なテスト基準は、運用認定 (ATO) の境界を越えて信頼性を高め、承認担当者がソフトウェアの使用を迅速に承認するための基準となる証拠体系を確立するために必要なステップです。 

セキュリティポリシーと境界を確立することでソフトウェア・ファクトリーを保護し、ATO が侵害されないようにすることが重要です。そうすることで、アプリケーションが設定済みのポリシーから逸脱した場合に、過去に安全が確認された状態に戻ることが保証されます。

また、先進的なソフトウェア・ファクトリーには、ソフトウェア提供プラクティスの導入を単純化し、チームがイノベーションに集中できるようにするプラットフォームも必要です。 

何より、国防総省がポリシーやプロセスを変革し、ソフトウェア・ファクトリーのモダナイゼーションの可能性を最大限に引き出すためには、関連コンテンツや専門知識のコミュニティにアクセスできる、熟練した人材が必要です。変化する状況に対応し、任務で確実に成果を上げるためには、職員の中から最先端のデジタル人材を育成するとともに、継続的な能力開発の文化を醸成する必要があります。

Red Hat には、ソフトウェア・モダナイゼーションにおける豊富な経験があります。国防総省のソフトウェア・ファクトリー分野では、すでに Red Hat® OpenShift® が空軍のソフトウェア・ファクトリー「Platform One」の認定ディストリビューションとして使用されています。

ソフトウェアの構築、テスト、リリース、および提供に使用される既存の環境と利用可能なツールの文書化における Red Hat のこれまでの経験は、国防総省のソフトウェア・ファクトリー・エコシステムのモダナイズおよび拡張と大いに関連性があります。

Red Hat は、Red Hat Trusted Software Supply Chain を通じて、幅広いゼロトラストおよびソフトウェア部品表 (SBOM) 機能を提供しています。信頼性の高いクラウドサービスと規範的なワークフローを組み合わせることで、お客様が自動化されたセキュリティガードレールを備えた、コンプライアンスに準拠し、高品質で可観測性の高いソフトウェアを構築できるよう支援します。

また、セキュリティポスチャを見直し、業界規格へのコンプライアンスとクラウド運用の指針となるポリシーのガバナンスを確実なものにできるよう支援します。

Red Hat® のツールやソリューションを使用することで、国防総省は一貫した開発プラットフォーム上で、自分たちのツールを使用してソフトウェア・ファクトリーを構築して最適化し、ソフトウェア・ソリューションを必要に応じて複数のチームや機能にスケーリングできます。

Red Hat は、お客様がインフラストラクチャ、アプリケーションスタック、およびライフサイクル全体でセキュリティを実装できるよう、ゼロトラスト・アーキテクチャ (ZTA) の原則を取り入れた階層型のサイバー防御アプローチを採用しています。この多層防御戦略により、単一のセキュリティレイヤーに依存する必要はなくなり、セキュリティが人、プロセス、テクノロジーのすべてに組み込まれます。

Red Hat と協力することで、お客様、ミッションパートナー、そして利益共同体は、複雑な課題の解決、民間企業との関係の拡大、ソフトウェア・デプロイメントの相互運用性の促進を支援する、広範なパートナーエコシステムにアクセスできます。

Red Hat は、テクノロジーとソフトウェアのモダナイゼーションにおけるグローバルリーダーであり、お客様がアプリケーションを構築、デプロイ、管理しつつ、プロセスの単純化、自動化、セキュリティ強化を実現できる、実績あるオープン・ハイブリッド・ソリューションの製品ポートフォリオを提供しています。Red Hat のソリューションは、オンプレミス、マルチクラウド、エッジデプロイメントなど、あらゆるハイブリッド環境でご利用いただけます。

国防総省向け Red Hat ソリューションの詳細を見る