実例を通じてアジャイル開発や継続的なインテグレーション/デプロイメント(CI/CD)など、モダンな開発環境と運用をどのように実現していくのかを紹介する本連載。シリーズの初回はシフトレフトの現状について、GitLabが2023年に実施したグローバルDevSecOps調査からひもといていきます。なお調査はITの開発、運用、セキュリティに携わるプロフェッショナルを対象に、幅広い業界や企業規模に渡って実施されました。
ソフトウェア開発において「シフトレフト」という言葉はずいぶん浸透してきました。セキュリティ対策はソフトウェア開発のライフサイクルの時間軸で見ると、全ての段階でセキュリティを組み込んでいるため、左側にシフトしています。調査の結果によるとDevOpsやDecSecOpsの手法を活用している回答者は、2022年では47%だったのに対し、2023年では56%へと堅調に伸びています。他の手法(アジャイル、スクラムやリーン)ではいくらかの減少があります。
また調査結果を見ると、すでにシフトレフトしている、あるいは今後3年以内にシフトレフトを予定していると回答した企業は74%でした。セキュリティ専門家の71%が「全てのセキュリティ脆弱性の少なくとも4分の1は開発者によって発見されている」と答えています。2022年の同じ設問では53%でしたので、大きく伸びています。これは、シフトレフトの価値がより広く認知されてきていることを示しています。
アプリケーションのセキュリティを確保することは組織にとって重要です。ただし、どのチームも自分たち単独では成し得ないという意識も高まっています。(自分や自分のチームが)組織のアプリケーションセキュリティにどのくらい責任を感じているか質問したところ、「完全に責任がある」との回答は2022年の48%から2023年には30%に下がり、「責任はあるが、全体の一部として」との回答は2022年の44%から2023年には53%と過半数を超えました。アプリケーションセキュリティの責任は全体に渡るという考えが強まってきています。
「組織のアプリケーションセキュリティにどのくらい責任を感じているか?」という設問への回答
とはいえ、主として責任を負うべきは誰かという点については、役割ごとにばらつきがあるものの「開発者」と回答する割合が最も高くなっています。開発者は主に「開発者(44%)」と「セキュリティ(44%)」と両方にあると考える傾向にありました。運用は「開発者(44%)」が最も高く、次いで「セキュリティ(29%)」「運用(23%)」でした。セキュリティは「開発(49%)」が約半数、次いで「セキュリティ(30%)」「運用(20%)」でした。なお2022年では、セキュリティは「セキュリティ(70%)」と回答していたので、主たる責任を追うのは開発者(次に自分たち)であると考えを変えています。
アプリケーションセキュリティの実践で使われるDecSecOpsプラットフォームのメリットについて質問すると、「より効率的なDevOpsの実践(38%)」「セキュリティ向上(37%)」「自動化を容易に(36%)」「コストと時間の削減(33%)」などが並びました。前年と多少の変動はあるものの、大きくは変化していません。
AIや機械学習、セキュリティ専門家はどう捉える
2023年はソフトウェア開発でのAI活用が飛躍的に伸びた年でした。とはいえ、多くのITのプロフェッショナルたちは既にコード生成などの作業にAIを活用しています。
