Apache Struts1からSpring MVCにマイグレーション

導入の背景

3つの部門からなる総務部

近年、ESG※1活動に注力し、特に企業統制に配慮した事業活動を推進しているシーイーシーの総務部は、大きく分けて3つの部門から成る。1つ目は契約書全般のリーガルチェックやコンプライアンス、セキュリティなどを手掛ける法務コンプライアンス部門、2つ目はファシリティ全般からネットワーク、通信回線などを企画・運用・管理するインフラ管理部門、3つ目は物品の調達やパートナー企業との契約から支払いまでを管理する購買部門で構成されている。

※1：環境（Environment）、社会（Social）、企業統制（Governance）の略

導入後10年以上が経過したEDI取引用システム

Strutsマイグレーションを行ったのは、総務部の購買部門が主幹となって導入したパートナー企業向けEDI取引用システム。それまで紙で行っていたパートナー企業とのやり取りを電子で行うシステムで、企画から要件策定までを総務部が行い、シーイーシーのグループ企業であるシーイーシーカスタマーサービスが開発に携わって2008年に導入された。

「このEDI取引用システムは基幹システムの一部で、安定稼働を最優先においていたため、導入から10年以上が経過しても、システムの改修に踏み切れない状況が続いていました。しかし、さすがに老朽化は否めません。そこでEDI取引用システムをリプレースするため、予算化していたところ、2020年4月に受けた脆弱性診断で大きな脆弱性が判明しました。」と語るのは管理本部 総務部 グループマネジャー 林 晃一。

導入に至る課題

EDI取引用システムの脆弱性

脆弱性診断で指摘されたのは、EDI取引用システムがApache Struts1（以下 Struts1）というフレームワークで開発されている根幹の部分。そもそもStruts1は2013年4月にサポートが終了しており、Struts2においても多くの脆弱性が見つかっている。

このEDI取引用システムの開発に携わったシーイーシーカスタマーサービス 業務支援事業部 事業部長 兼 コーポレートITサービス部 部長 田中 一生は「Struts1のサポート切れは認識していました。ただ、EDI取引用システムには3重のセキュリティ対策が施されていること、限られた人のみが利用するシステムということで、費用対効果の観点から様子を見ていたという側面もあります。しかし、脆弱性診断によって指摘された脆弱性は、万が一、外部から侵入されてしまった場合、情報漏えいやシステムの改ざんといった事態を招きかねません。やはり、早急に対応を講じる必要があると感じました。」と語る。

脆弱性対策の選択と決断

脆弱性対策の選択肢と評価内容

まず、早々に行ったのはパッチによるセキュリティの対策。しかし、このパッチも一時的なもので根本的な解決にはならない。社内の有識者などと検討を重ねて、脆弱性対策を行うことに決定した。
脆弱性対策の実施にあたり、いくつかの選択肢が挙がったが、どれも一長一短があり決定打に欠けていた。

Strutsマイグレーションを選定した理由

そのような状況のなか、社内経由で提案されたのがRe@nove※2のStrutsマイグレーションだった。「Strutsマイグレーションとは、Struts1もしくはStruts2のフレームワークを最新のSpring MVCに移行するマイグレーションサービスです。中身のロジックや使い勝手、画面の見た目を変えずに脆弱性だけを解消することができます。移行する際はRe@nove独自の変換ツールを使用して自動変換を行い、自動変換できないところだけを手動で変換します。最終的には移行前のシステムと移行後のシステムを比較・検証し、同じ動作を担保して提供するスタンスをとっています。」と語るのは、今回のStrutsマイグレーションでプロジェクトマネジャーを務めた志村 誠。

そして、以下の理由からEDI取引用システムのリプレースにStrutsマイグレーションを選定した。

※2：IT資産のさまざまな課題や問題をマイグレーションサービスで解決するシーイーシーのサービス

＜納得できるコストと納期＞

EDI取引用システムをStrutsマイグレーションするにあたり、志村からは納得できるコストと納期が提示された。「コストは予算の範囲内。変換から運用テスト、リリースまで約6カ月間（2020年9月～2021年2月の予定）の作業期間も納得できるものでした。」（林）

＜変わらない使い勝手＞

リプレースで使い勝手や画面が変わってしまうと、パートナー企業に新たな負担を強いることになる。「Strutsマイグレーションは使い勝手、画面の見た目は変わらないとのことで、我々もパートナー企業もこれまで通り利用することができます。非常に安心できると思いました。」（林）

＜マルチブラウザー対応＞

既存のEDI取引用システムが対応するブラウザーはInternet Explorerのみで、これが利用促進のボトルネックになっていた。「EDI取引用システムはパートナー企業の6割が利用しています。しかし、残りの4割は紙のまま。その理由は利用できるブラウザーがInternet Explorerのみだったからでした。総務部としては、業務の効率化を図るうえでEDI取引用システムはパートナー企業100％の利用率が望ましいと考えていたので、マルチブラウザーになれば残り4割に対する利用促進が期待できると思いました。マルチブラウザー対応も可能であるということも後押しとなり、EDI取引用システムをStrutsマイグレーションでフレームワークのみ移行することに決定しました。」（林）

マイグレーションとマルチブラウザー対応は、切り分けて作業を行った。「問題がマイグレーションのときに起きるのか、マルチブラウザー対応のときに起きるのか、問題点を明確に分けるために、マイグレーションのあとにマルチブラウザー対応を行いました。マルチブラウザー対応には、Microsoft Edge、Google ChromeおよびSafariをサポートするため多少時間を要しましたが、特に問題なく進めることができました。Re@noveのマイグレーションサービスは、マルチブラウザー対応のほか、クラウドやデータベース、Visual Basic、Windowsなどのマイグレーション、さらに保守もそのまま引き継ぐことができるなど、お客様のご要望に応じてさまざまな対応が可能です。」（志村）

今後の展開と期待

今後もマイグレーションを検討

Spring MVCに移行した新たなEDI取引用システムは、テスト段階ながら2021年1月に実施した脆弱性診断ではすでに脆弱性が解消されている。また今後の展開について、林は「Re@noveのマイグレーションサービスは、既存の資産を活かしつつ、課題を解決できる有力な手段です。社内にはスクラッチで開発した業務システムはまだあるので、今後ともマイグレーションでシステムを有効活用させていきたいと思っています。」と語る。