CA Technologiesは1月29日、セキュアなソフトウェア開発に関する調査「Integrating Security into the DNA of Your Software Lifecycle」の結果を発表した。日本を含む世界15カ国1279人のIT上級管理職・経営者を対象に実施したものとなる。
これによると、ソフトウェア開発プロジェクトにセキュリティを統合する能力には、それぞれの企業文化が影響を与えていることが分かった。
調査結果には、ソフトウェア開発ライフサイクルにセキュリティを完全に統合することができる「ソフトウェア・セキュリティ・マスター」(回答者の上位34%)の特徴が紹介されている。これには、セキュリティの脆弱性に対する早期かつ継続的なアプリケーションテストの実施、DevSecOpsの採用といった項目が含まれている。
これによると、「ソフトウェア・セキュリティ・マスター」の回答者が、セキュリティを新たなビジネスチャンスの実現要因の一つと見ることに強く同意する割合は、「ソフトウェア・セキュリティ・マスター」ではないメインストリーム企業の2倍以上だった。また、「ソフトウェア・セキュリティ・マスター」である企業には次のような属性があることも明らかになったという。
- 利益成長が50%高い
- 売上高が40%高い
- 頻繁なアプリの更新でセキュリティテストを継続する割合が2.6倍高い
- 競合他社を上回る成長率の割合が2.5倍高い
回答者の大多数は、ソフトウェア開発がビジネスの成長と拡大を支援し、企業の競争力を高め、デジタルトランスフォーメーションを促進することを認識している。その一方で、デジタルエコノミーの中で企業が成功する上でソフトウェアの重要性が大きくなるにつれ、セキュリティに対する懸念が急激に高まっていることも判明した。実際に回答者の74%が、ソフトウェアとコードの問題に起因するセキュリティの脅威に対する懸念が増大していると回答した。
また、セキュアなソフトウェア開発の文化を育むことが大きな課題となっていることが分かった。58%もの回答者が、現在の企業文化とスキル不足が足かせとなりソフトウェア開発プロセスの中にセキュリティのテストと評価を組み込めない状況が生まれていると回答。自社の文化と慣行が開発、運用、セキュリティの連携をサポートしていると強く同意したのは、回答者のわずか24%だった。文化的な制約に加えて、回答者の4分の1弱が、ソフトウェアのセキュリティの脆弱性を評価・改善するのに十分な時間を確保するために、上級管理職が市場投入時間を削ってきたことに強く同意しているという。
