日本シノプシスは11月14日、「ソフトウェア・セキュリティに影響を与える戦略、ツール、プラクティスを調査したレポート『世界のDevSecOpsの現状2023』」を発表した。
同レポートは、開発者、アプリケーション・セキュリティ専門家、DevOpsエンジニア、最高情報セキュリティ責任者(CISO)、テクノロジー/サイバーセキュリティ/ソフトウェア開発の専門家など、世界中のITプロフェッショナル1000人以上を対象に実施されたもので、調査対象国は米国、英国、フランス、フィンランド、ドイツ、中国、シンガポール、日本となっている。
同調査では、「回答者の80%以上が、デプロイ済みのソフトウェアに潜んでいた重大なセキュリティ問題のため、過去1年間にDevOpsの提供スケジュールに影響が出たと回答している」という結果が得られたという。
また、「回答者の過半数(52%)が、組織のソフトウェア・セキュリティ対策を強化するためにAIを積極的に活用していると回答」「回答者の28%が、デプロイ済みのアプリケーションに見つかった重要なセキュリティリスクや脆弱(ぜいじゃく)性へのパッチ適用に2~3週間かかると回答している。また、セキュリティ攻撃のほとんどがアプリケーションの公開から数日以内に発生するにもかかわらず、回答者の20%は1カ月以上かかると答えた」「動的アプリケーションセキュリティテスト(DAST)、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)、静的アプリケーションセキュリティテスト(SAST)、ソフトウェアコンポジション解析(SCA)など、アプリケーションやセキュリティに関するツールやプラクティスの有用性を尋ねたところ、少なくとも回答者の3分の2がいずれも有用であると評価している」といった結果が公表されている。
日本シノプシス ソフトウェア・インテグリティ・グループ シニア・テクニカル・マーケティング・マネージャの松岡正人氏
調査結果を解説したソフトウェア・インテグリティ・グループ シニア・テクニカル・マーケティングマネージャの松岡正人氏は、調査によって浮かび上がってきた知見として、「自動化されたテストツール(AST:Application Security Test)をなにがしか使っているものの、ツールそのものを使うことに対して幾つか不満がある」と指摘し、セキュリティの専門家ではないアプリケーション開発者にとっては、ツールが指摘するセキュリティ上の懸念事項などの内容がよく分からず、優先順位付けも的確に行われないため対応に時間を要し、開発期間の長期化やコスト増などにつながっているといった不満があるとした(図1)。
図1:ASTツールに対する不満
※クリックすると拡大画像が見られます
アプリケーションのセキュリティレベルを向上させるために開発の早い段階からセキュリティを意識したコードを書くことが重要、というのがDevSecOpsの基本的な考え方ではあるが、実際にはセキュリティに詳しくない開発者の中には、セキュリティのことまで気にしてコードを書くことを負担に感じる例や、組織として採用したツールが個々の開発者のニーズにマッチしていない例などがあり、現場の開発者にとっては負担増として受け止められていることもあるという現実が浮かび上がった。
さらに松岡氏は、日本の現状を「米国をベンチマークとして、さらに産業構造が似ている国の代表としてドイツを、IT産業において成長著しい国として中国を」それぞれ比較対象として分析した結果についても紹介した。同氏は「ドイツと日本の全体的な傾向は似通っており、米国や中国に対して成熟度に差がある」と指摘し、日本やドイツで見受けられる課題としてDevSecOpsを実施しようにも部門横断的な取り組みがやりにくく、組織間の壁が障害になる例が見られるとした上で、逆にサイロ化した縦割りの組織の間の壁を取り払い、部門間のコミュニケーションを活性化することで、アプリケーション開発やセキュリティ向上に関してより効率化を図る余地があるのではないかと語った。
