DevOpsプロセスのセキュリティ対策が進んでいないことが最新の調査で明らかに

451 Researchおよびシノプシスが行った最新の調査によると、十分なメリットや導入する機会があるにも関わらず、DevOpsプロセスにおけるセキュリティ対策は進んでいません。

多くの組織はいまだ初期段階にありますが、サイロ型のやり方を継続的インテグレーションおよび継続的デリバリー(CI/CD)ワークフローを導入したDevOpsチーム型に変えていくことによる合理化された共同開発アプローチの利点は明らかです。より多くの機能や改善をより速く市場に投入できるようになるのですから。

 

アンドレアス・クーヘルマン(Andreas Kuehlmann)
−シノプシス、ソフトウェア・インテグリティ・グループ ジェネラルマネージャ

「DevSecOpsはアプリケーションセキュリティを、現代の高速な開発およびデプロイメントモデルの文化的かつ技術的ファブリックの一部にするチャンスをもたらします。この調査では、DevOpsチームがアプリケーションセキュリティツールおよびベストプラクティスを採用し適用するにあたって直面する、たくさんのチャンスと課題をあぶりだしています。

また、DevSecOpsを成功させるためには、自動化やスピード、正確性、CI/CDインテグレーション(シノプシスがこれらをアプリケーションセキュリティソリューションに組み込んだことにより)が重要であることも立証しています」

 

こうしたダイナミックでペースの速い環境にアプリケーションセキュリティがどのように組み込まれているか、後れを取ることなく関係を維持していくためにセキュリティテストツールおよびベストプラクティスがどれほど拡大されるべきかということが、あまりに理解されていません。

DevSecOpsとしても知られるこの新しいパラダイムをより深く理解するため、多種多様な業界の大手企業350社の意思決定者を対象に調査を行いました。

その結果明らかになったことは、DevOpsチームの半数は自社のCI/CDワークフローにアプリケーションセキュリティを組み込むことに失敗している一方で、そのようにすることは優先順位が高く、多くの機会を与えるという結果となっています。

 

ジェイ・ライマン(Jay Lyman)
−451 Research、プリンシパルDevOpsアナリスト

「DevOpsチームはソフトウェア品質の向上やコンプライアンス、リスク回避などの要因に背中を押されてCI/CDワークフローにアプリケーションセキュリティを取り入れ始めていますが、まだまだ改善の余地があります。

多くの場合、プロセス中へのセキュリティテストの統合は頻度も時期も十分ではなく、そのせいで組織がリスクを削減したり頭痛の種を修正したりすることによるメリットを存分に生かしていません」

 

セキュリティを強化するとソフトウェアのリリースが遅くなるという見方が一般的ではありますが、プロセスの早い段階で(言いかえれば、コードのコミット時やプレ実装の段階で)セキュリティ手段を検討し導入することで、リスクを削減したり悩みの元の修正やその時間を節約したりできるはずです。しかし、多くの組織がそうしていないことがこの調査で明らかになりました。

こうした発見から見えてくるのは、動きの速いリリースプロセスにおいて早い段階でセキュリティの統合を認識することが重要だということです。

しかし、認識が向上しているだけでなく、ソフトウェア品質やコンプライアンス、リスク回避といった要因が増加しているにもかかわらず、アプリケーションセキュリティ試験が早期に効果的に統合されればより安全かつ迅速にリリースでき、修正も少なくて済む、ということは理解されていません。

 

主な調査結果

  • 回答者の63%は、DevOpsモデルで少なくとも4倍速くソフトウェアをデプロイしたいと回答している
  • ソフトウェア・コンポジション解析(SCA)、または既知の脆弱性が見つかっているオープンソース・ソフトウェア・コンポーネントの特定は、CI/CDワークフローに組み込まれるべき最も重要なアプリケーションセキュリティ要素である
  • 組織のうち40%近くがSCAを実施しない、あるいはいかなるオープンソース・コンポーネントを使用していないと明言しているが、これは認識の欠如のあらわれかもしれない。Black Duck Softwareが実施した前回の「オープンソースセキュリティ&リスク分析レポート」によると、アプリケーションの95%にオープンソースが含まれている

★レポートのダウンロードはこちら

オートメーション新聞は、1976年の発行開始以来、45年超にわたって製造業界で働く人々を応援してきたものづくり業界専門メディアです。工場や製造現場、生産設備におけるFAや自動化、ロボットや制御技術・製品のトピックスを中心に、IoTやスマートファクトリー、製造業DX等に関する情報を発信しています。新聞とPDF電子版は月3回の発行、WEBとTwitterは随時更新しています。

購読料は、法人企業向けは年間3万円(税抜)、個人向けは年間6000円(税抜)。個人プランの場合、月額500円で定期的に業界の情報を手に入れることができます。ぜひご検討ください。

オートメーション新聞/ものづくり.jp Twitterでは、最新ニュースのほか、展示会レポートや日々の取材こぼれ話などをお届けしています
>FA・自動化、デジタル化、製造業の今をお届けする ものづくり業界専門メディア「オートメーション新聞」

FA・自動化、デジタル化、製造業の今をお届けする ものづくり業界専門メディア「オートメーション新聞」

オートメーション新聞は、45年以上の歴史を持つ製造業・ものづくり業界の専門メディアです。製造業DXやデジタル化、FA・自動化、スマートファクトリーに向けた動きなど、製造業各社と市場の動きをお伝えします。年間購読は、個人向けプラン6600円、法人向けプラン3万3000円

CTR IMG