はじめに
ユーザ会JIMUCの先進IT運用管理分科会では、IBMのミドルウェアや先進的な運用管理製品を中心に調査・研究を行っています。
今回は2024年度(2024/09-2025/07)の成果のうち、IBM Concertについてのものをまとめました。
大きく分けて、IBM Concertの簡単な紹介と、ハンズオンを受講してみて得られた知見の紹介になります。
目次
1. IBM Concertの紹介
2. ハンズオンの知見①(データのアップロード)
3. ハンズオンの知見②(開発時の脆弱性スキャン)
4. ハンズオンの知見③(通知の自動化)
5. ハンズオンの知見④(AIの役割)
6. おわりに
1. IBM Concertの紹介
IBM Concertは、IBMが開発したアプリケーション管理のためのソリューションです。
まず、分析できる観点を箇条書き(もっと増えてるかも)。
- ソフトウェア構成(ライセンス、バージョン)管理
- 脆弱性管理
- 証明書管理
- コンプライアンス管理
- インフラ管理
- レジリエンス分析
上記の観点別にデータをアップロードして、アプリケーション名や環境を定義してやることで、以下の工程が自動化できます。またAI(watsonx.ai)による支援が得られます。
- データ整理、分析、評価
- リスクと、対応が必要な箇所の特定
- リスクへの一般的な対応案の策定
- 対応者へのアサインと通知(Git、Salesforce、Slackなど)
- 対応状況の整理
ここで適切に定義してやることで、複数のアプリケーションを一括管理することはもちろん、1つのアプリケーションについて、以下のようなライフサイクルの各ステージ別に横断的に管理もできます。
- 新規開発中
- 検証中
- 運用中
- 運用しながらの追加開発中
- 更改中
またアカウントをグルーピングや参照範囲設定ができるので、製品ごとや、以下のような役割ごとにすばやく情報へアクセスできるようにしたり、逆に全アプリケーション・全環境にわたって俯瞰的に閲覧することも可能です。
- 開発者
- 運用担当者
- セキュリティ担当者
- コンプライアンス担当者
- オーナー
更に付け足すと、複数のプラットフォームやサービスに対応しているので、いま利用しているもの(開発プラットフォームや、インフラ基盤、連絡ツールなど)の多くは踏襲できます。置き換えるものではなく、ハブになってくれる存在なわけです。
2. ハンズオンの知見①(データのアップロード)
Q.なぜ外部からのデータアップロードが必要なのか?
Push型でなく、Pull型の定期的なデータ取り込みではダメなのか?
A.逐次的な分析のためにはPush型の方が逆に便利
一般的には年1度や四半期、定期的に運用中の状態に対して診断することが多いかと思いますが、こうした定期的な手法は検知が遅れがちとなります。
IBM Concertでは定期的な診断に加え、設計・構築・テスト・本番リリースといった開発プロセスの一環に診断を組み込むことで、早期かつ適切な検知が可能になります。
外部からデータを受け取れるAPIやそのためのデータ形式が整備されているので、アップロードの自動化もある程度まで可能です。
3. ハンズオンの知見②(開発時の脆弱性スキャン)
Q.定期的な実施以外の脆弱性スキャンとはどんなイメージか?
実施するメリットはどのようなものがあるか?
A.脆弱性の修正が比較的小さな労力で済む
連携する外部サービスとして、開発プラットフォームGitHubを例に説明します。
IBM Concertで検出された脆弱性などの情報から、GitHubへIssueを発行することができます。
これによりコードを管理・開発しているリポジトリ(GitHub)と脆弱性の情報をリンクさせることができ、CI/CDパイプラインの中に(たとえば単体テストと結合テストの間などに)脆弱性スキャンの工程を組み込むことが可能になります。
ただし、自動同期されるのはIBM Concert --> GitHubの一方通行であり、GitHub --> IBM Concertの同期は手動です。この点は今後の自動化に期待大です。
4. ハンズオンの知見③(通知の自動化)
Q.通知の自動化はどこまでできるのか?
対応者へのアサインと通知が自動化できるとして、検知と同時に処理できるのか?
A.データのアップロード以降はほぼすべてできる
スキャンデータをアップロードすることで、分析と、「証明書期限」「脆弱性」「コンプライアンス違反」「ライセンスやパッケージ等の推奨事項」「IBM Zの情報」などの検知をトリガーにした、アサインと通知まで自動化ができます。
アサイン先の設定は、証明書で言えば、対象環境(開発/本番など)・条件(期限切れn日前など)・連携先(GitHubなど)・アサイン先メンバーなどを指定することが可能でした。
5. ハンズオンの知見④(AIの役割)
Q.AIは何をしてくれるのか?
AIがリスクを分析してくれたりするのか?
A.AIはアドバイザー
IBM Concertはアップロードされたデータを整頓し、検知したリスクなどを添えてユーザーに分かりやすい形で提示してくれます。ユーザーはそれを見て、更に生まれた疑問を質問し、AIがそれに答えて、ユーザーの判断を助けるという流れです。
たとえば検知された脆弱性について質問すると、AIは内容や関連情報、一般的な対策を説明してくれます。脆弱性に対する判断にはセキュリティ的な専門性が必要になりますが、その品質を底上げしてくれる存在となります。
6. おわりに
以上のように、IBM Concertはアプリケーションのライフサイクル全体にわたって、複数観点での分析とリスク特定・課題解決が可能です。大枠のフローを揃えることで効率化が期待できますし、逆にこれから新しくアプリケーションを開発・運用していく場合も効率的で必要十分な機能が揃っています。
と、だいぶ持ち上げてきたので、最後に留意点など。
留意点
IBM Concertは久しぶりに出たIBMの自社開発のツールです。
IBMで培われたアプリケーション管理のノウハウが詰め込まれている一方で、IBMの外からの意見を反映しつつ、ほかのIBM製品や他社サービスとの連携を増やして、急速に多機能になっています。2024年6月にv1.0.0がリリースされて、1-2ヵ月ごとにバージョンアップを重ねて2025年4月でv.1.1.0、 2025年7月にはVM限定ですがv2.0.0 2025年8月14日にはv2.0.0.1(VM版/SaaS版)が出ました。
つまり、枯れているのに、枯れていません。
一定の実績があると同時に、今も絶えず進化しているのです。
本稿に書かれている情報も1年と言わずに半年でだいぶ古くなるでしょう。
最新の情報はIBMのサイトをご確認ください。
真の意味での、IBM Concertの生きたノウハウはこれから蓄積されていくのだと思います。
コメントなどで指摘いただけますと幸いです。