G-gen の高宮です。当記事は、Google Cloud Next '25 Tokyo の1日目に行われた スポンサーセッション「Google Cloud + GitLab で作る最高のソフトウェア開発環境の作り方」 のレポートです。

他の Google Cloud Next Tokyo '25 の関連記事は Google Cloud Next Tokyo '25 カテゴリの記事一覧からご覧いただけます。

• セッションの概要
• GitLab合同会社の概要
• なぜ開発環境は整備すべきか
  • 迅速に開発環境を展開
  • 人とAIによるレビューで品質の向上
  • セキュリティスキャンの必須化と脆弱性への対応
• 快適な開発環境の構築例
  • 開発環境の構成
  • チームワークを健康に保てるレビュー環境
  • DevSecOpsのアーキテクチャ
• 関連記事

セッションの概要

本セッションでは、 GitLab合同会社の小松原つかさ氏から GitLab と Cloud WorkStations を使用した快適なソフトウェア開発環境が紹介されました。

GitLab合同会社の概要

GitLab合同会社は、開発ライフサイクル全体を単一のアプリケーションで提供するDevOpsプラットフォーム GitLab の日本法人です。 GitLab は2年連続で『2024 Gartner® Magic Quadrant™ for DevOps Platforms』においてリーダーの1社として評価され、さらに「実行能力」と「ビジョンの完全性」で最上位の評価を獲得しています。 また、Google Cloud パートナー アワードの「2025 テクノロジー パートナー オブ ザ イヤー - アプリケーション開発 - DevOps」を受賞しています。

• 参考：GitLab named a Leader in the Gartner® Magic Quadrant™
• 参考：GitLabのパートナープロフィール

なぜ開発環境は整備すべきか

以下の3つの観点で開発環境を整備する必要があり、これらを満たすことで、品質とアジリティの向上が期待できると発表されました。

迅速に開発環境を展開

ソフトウェア開発において各開発者がローカルPCに開発環境を構築して開発をすることが多いです。その際、手順書に沿って環境を構築するケースでは、開発者のスキルによっては、独力では環境構築が完結しない場合があります。

また、複数の開発を同一の端末で行っている場合、ツールのバージョンを誤ってアップ・ダウングレードする場合があります。

環境構築がうまくいかない場合や、ツールのバージョン差異が発生した場合、開発者本人だけではなく、他の開発者の時間も奪われてしまうので、迅速に展開可能な開発環境の整備は重要です。

人とAIによるレビューで品質の向上

ソフトウェア開発において生成AIの利用に伴い、成果物が完成する速度は飛躍的に向上しています。そうした状況の中では、レビュワーには日々大量のレビュー依頼があり、パンクしている状況で、レビューが形骸化することがあります。また、レビューの指摘内容によっては、チームワークが悪化する可能性もあります。

このような課題に対処するために、人だけでなく、AIも活用することで高速に必ずレビューを実施できる環境を構築することが重要です。また、コードだけでなく実際に動作する環境でのレビューを実施できる環境の構築も品質向上のためには必要です。

セキュリティスキャンの必須化と脆弱性への対応

セキュリティスキャンとは、アプリケーションのソースコードや実行環境を自動的に分析し、潜在的な脆弱性を検出するプロセスです。脆弱性は、攻撃者にとって格好の侵入経路となり、脆弱性を放置することは、不正アクセス、データ漏洩、サービス停止などのサイバー攻撃を招く大きなリスクとなります。セキュリティインシデントが発生すると、企業のブランドイメージや顧客からの信頼は大きく損なわれる可能性があります。また、訴訟や多額の賠償金など、法的なリスクや経済的な損失を伴う可能性があります。

このようなリスクを未然に防ぐためにも、セキュリティスキャンジョブをスキップできない環境と、進化する生成AIでのコーディング支援を使用して、脆弱性に適切に対応し修正することが重要です。

快適な開発環境の構築例

開発環境の構成

本セッションでは、快適な開発環境として、 Cloud WorkStations と GitLab を使用した構成が紹介されました。

Cloud WorkStations クラウド上で動作するフルマネージドの仮想開発環境を提供するサービスです。開発者は、ローカルPCに複雑な開発環境を構築することなく、ブラウザやローカルのIDE（統合開発環境）から、セキュアで一貫性のある開発環境にアクセスできます。

• 参考：Cloud Workstations の概要

Cloud WorkStations を使用し、環境をイメージ化し展開することで、全開発者で迅速に同一のセキュアな環境で開発を行うことが可能です。

また Cloud WorkStations については、以下の当社記事で詳しく解説しています。

blog.g-gen.co.jp

GitLabは、Gitリポジトリ管理、CI/CD、セキュリティ、プロジェクト管理など、ソフトウェア開発のライフサイクル全体をカバーする統合DevSecOpsプラットフォームです。

GitLab を使用することでソースコード管理だけでなく、ビルド、テストとセキュリティスキャンの実施、実際に動作する環境へのデプロイも行うことが可能です。また、開発における工程管理もソースコードと連動させて行うことができます。

• 参考：GitLab

チームワークを健康に保てるレビュー環境

チームワークを健康に保てるレビューのために、 GitLab Duo のコードレビュー機能を使用します。マージリクエストで Duo をアサインし、レビューを実施します。AI がレビューすることで、以下のメリットがあります。

• 必ずレビューが実施される
• 開発者が指摘の内容を受け入れやすい

また、事前に Duo にコードレビューの観点を指示することで、人がレビューする時と近いレベルでレビューが可能になります。そうすることで、人は要件が網羅されているかなど、本質的な部分の確認に注力することが可能です。

• 参考：GitLab Duo
• 参考：Have GitLab Duo review your code

DevSecOpsのアーキテクチャ

下図に示すアーキテクチャで、DevSecOps を実現します。

ソースコードのビルド時にSAST（Static Application Security Testing）、Google Cloud へのアプリデプロイ後にDAST （Dynamic Application Security Testing）を行うことで、開発の早期の段階で脆弱性を検出し、対処することが可能です。 GitLab では、公式 CI/CD テンプレートが提供されており、特別な設定をすることなくセキュリティスキャンを有効にできます。

• 参考：Static Application Security Testing (SAST)
• 参考：Dynamic Application Security Testing (DAST)

このようにして検出した脆弱性に対して、 GitLab Duo などの AI を活用し修正を行うことで、形骸化を回避し、確実に脆弱性に対処する環境を構築することができます。

関連記事

blog.g-gen.co.jp