アプリケーションセキュリティやDevSecOpsの領域では、AIはソフトウェア開発ワークフローで十分に定着してきています。2023年には65%もの開発者が「AI/機械学習をテスト業務で使用している、あるいは今後3年以内に使用する」と回答しています。テスト業務でAI/機械学習はますます不可欠となっていくでしょう。
より具体的に見ると「(テストとは別に)コードのチェック」が2022年の51%から2023年には62%に増加し、なかでも「テストプロセスにボットを活用」が39%から53%へと大きく伸び、また「AI/機械学習ツールが(人間が見るよりも前に)コードをレビュー」が31%から36%へと伸びています。
ソフトウェア開発者に共通する懸念事項
普及が進む一方で、懸念も生まれています。セキュリティ担当者の67%が「AIが自分の仕事に影響を与える」と考えています。そのためか「自分のキャリアを向上させるための最も重要なスキルは何か」という設問に対して、「AI/機械学習」と回答するセキュリティ担当者の割合が他の職種と比べると圧倒的に高く出ました。
なお、回答者をセキュリティ担当者に限定した時に「自分のキャリアを向上させるために最も重要なスキルは何か」という設問全体で見ると、「ソフトスキル(コミュニケーションやコラボレーション)(31%)」「専門知識(30%)」「メトリクスと定量的洞察(27%)」「プログラミング(25%)」が高い回答率で、その次に「AI/機械学習(23%)」が並んでいました。いまのところ最優先となるスキルではないものの、AI/機械学習は目立つ位置を占めるようになってきています。
DevSecOpsチームにとって大きな懸念となるのがツールチェーン管理です。IT業界では常に多種多様なツールが登場しているため、どの職種でも複数のツールを使い分けなくてはなりません。調査によると、どの職種でも使用するツールの数は「2~5個」と「6~10個」が大多数を占めていました。平均でITプロフェッショナルは5つほどのソフトウェアツールを使用および管理しており、ツール数は年々増えていく傾向にあります。しかし、これは「図らずも」であり、回答者の約7割が「ツールチェーンを統合したい」と切望しています。
ツールが多すぎることの弊害をセキュリティ担当者に問うと、最も高い回答は「ツールチェーンの保守に時間を費やしているため、最適なコンプライアンスを維持することが困難になる(28%)」でした。実に3分の1近くがコンプライアンスを懸念しています。また、回答率ではほぼ同率ですが、続く回答は「多数のツールを横断したモニタリングでは一貫性を保つことが難しい(27%)」「洞察を導き出すのが難しい(26%)」でした。
最後に、この調査では将来に対する備えについても質問しました。近年では不確実性がますます高まり、それぞれの仕事や業界そのものがどのように変化していくのか誰にも分かりません。そのためDevSecOpsに携わるメンバーが将来を楽観視できないとしても不思議はありません。将来への備えについて「非常に」と「ある程度」と回答したのは全回答者の64%でした。過半数なので多いといえますが、前年は69%でしたので微減しています。
ただし、職種で分けると、セキュリティ担当者だけ増減の傾向が異なります。将来への備えについて「非常に」と「ある程度」と回答したセキュリティ担当者は62%で、前年の56%から増加しています。経済的な不確実性、サイバー攻撃の増加、組織的な課題などを通じてセキュリティ担当者やチームは新しい予測不可能な困難に直面しているものの、これから起こることについて楽観的になれる理由も多くあります。セキュリティ担当者をめぐる考え方の進化、AI/機械学習のような新しいテクノロジー、そして複雑なセキュリティツールチェーンを統合するツールは全て、安全なソフトウェアをより迅速かつ効率的に構築するための新しい道を切り開いてくれます。
- 小澤 正治(おざわ・しょうじ)
- GitLab 日本カントリーマネージャー
- 優れた業績を生みだすセールスチームを構築し、顧客価値を高め市場拡大を実現させるなど、20年以上にわたってテクノロジー企業で経験や知識を生かす。GitLab入社以前は、グーグル、日本オラクル、セールスフォース・ジャパン、アドビなどのグローバルテクノロジー企業で、セールスのオペレーション業務に携わった。
