ソフトウェアの開発プロセスにセキュリティ上の対応を組み込むDevSecOpsの意義は、脆弱性がもたらすセキュリティリスクの顕在化を抑制し、ソフトウェアの品質やリリースサイクルを向上させ、脆弱性問題が発覚した場合の全体的な損失を低減させる点にある。メリットは多いが、まだ新しいスタイルでもあり、開発者や開発チームがDevSecOpsに慣れるかどうかが、その普及ペースを左右すると見られる。
脆弱性管理ツールを手掛ける米Snykは、2月に日本市場での事業展開を本格化させると発表、5月にはヴイエムウェア 執行役員などを歴任した秋山将人氏をカントリーマネージャに起用し、その取り組みを加速させている。同社のアジア太平洋・日本地域担当バイスプレジデントを務めるShaun McLagan氏は、「組織として新しいスタートアップやデジタルネイティブな企業がDevSecOpsに取り組みやすいのはもちろんだが、大規模な組織やレガシーなIT資産を抱える企業でも風向きが変わってきている」と述べる。
Snyk アジア太平洋・日本地域担当バイスプレジデントのShaun McLagan氏(中央)と日本法人カントリーマネージャの秋山将人氏(右)、シニアソリューションエンジニアの相澤俊幸氏
Snykは2015年に創業し、「当初から開発者にとって使いやすいセキュリティツールの提供を最優先にしている」とMcLagan氏。GoogleやSalesforceなどのITベンダーだけでなく、ソフトウェア開発を手掛ける企業の多くが同社のソリューションを導入しているとする。特にオープンソースソフトウェア(OSS)を中心とした膨大な脆弱性情報と対応時間の早さ、パッチ適用やバージョンアップ、回避策などの開発者への対応アドバイスに定評がある。
人の手で作られるソフトウェアには必ず脆弱性が存在するため、開発段階で脆弱性を解消しておくことが望ましい。その点でDevSecOpsは新しい考え方ではないが、McLagan氏はようやくDevSecOpsを実践すべき状況になったと指摘する。デジタルトランスフォーメーション(DX)などで世の中の変化が早くなり、当初の要件や設計に基づいてアプリケーション全体の具体化を優先するウォーターフォール開発から、変化に応じて柔軟に対応していくアジャイル開発が重視されるようになった。
また、脆弱性への対応を後回しにした場合の影響も大きくなった。脆弱性は、サイバー攻撃に悪用され、それによってシステムやアプリケーション、データが侵害され、組織や個人を含むユーザーに被害が及ぶ。直接的な影響だけでなく、セキュリティ問題の当事者に対する信用の低下といった間接的な影響もあり、やはりその根源とも言える脆弱性は、開発段階から解消しておくべき重要課題として認識が高まっているわけだ。
「シンガポールのCISO(最高情報セキュリティ責任者)が言っていたことだが、昔はセキュリティ問題とアプリケーションのリリースのどちらを優先するかが議題だったものの、今はどちらも等しくやらなければならない。DevSecOpsにすれば、開発全体の効率もセキュリティ対応の効率も高まり、全体としてのコストが大きく低減される。もはや、『DevSecOpsとは何か?』ではなく『いつDevSecOpsを始めるか?』が論点になっている」(McLagan氏)
カントリーマネージャーの秋山氏も、「ある調査によれば、日本でのコンテナーやマイクロサービスの採用率が50%台に到達した。当然ながら、これらを用いるアプリケーションの開発はアジャイル手法になる。アプリケーションの内製開発機運も高まっているため、DevSecOpsが当たり前の存在になるキャズムを迎えているのは確かだ」と話す。
特にDevSecOpsの重要性を日本企業に認識させた出来事が、2021年12月に発覚した「Apache Log4j」の脆弱性問題や、2022年3月に発覚した「Spring4Shell」の脆弱性問題だという。「どちらもさまざまなアプリケーションで広く利用されているが、多くの企業がExcelシートを使って自社アプリケーションでの利用状況を確認する作業に追われた。このような規模の脆弱性問題が再び起きたら今度は対応できないだろうという声を聞いており、今後はIoTのシステムにおける脆弱性リスクへの対応も課題になる」(秋山氏)
現在のDevSecOpsは、アプリケーション開発において本来必要とされてきたセキュリティの取り組みがDXなどによってようやく実践すべき段階に入ってきたことと、脆弱性が引き起こす深刻なセキュリティ被害への対応という現実的な課題の2つを背景に、その注目が高まっているようだ。
McLagan氏は、日本を含むアジア太平洋地域の市場でSnykのビジネスを拡大させることが責務となるが、市場の現状は同氏が1年半前に想定した以上の成長ペースを見せているといい、「1年半前なら顧客に当社を紹介するだけで30分を要したが、今は2分で済み、すぐにDevSecOpsをどうやって進めていくべきかの話になる」と述べる。また、アジアの主要なファンドからの資金調達も行い、アジア太平洋地域における中長期的な事業展開にもコミットしている。
「日本で長期的に事業を営む所存であり、そのために適切な事業体制を確立すべく人材採用を含めた投資を大幅に強化している。そして、日本でDevSecOpsが文化して根付いていくためのソートリーダーシップに注力している。この先の10年を見越した取り組みが始まったばかりだ」とMcLagan氏はアピールする。
