451 Researchおよびシノプシスが行った最新の調査によると、十分なメリットや導入する機会があるにも関わらず、DevOpsプロセスにおけるセキュリティ対策は進んでいません。
多くの組織はいまだ初期段階にありますが、サイロ型のやり方を継続的インテグレーションおよび継続的デリバリー(CI/CD)ワークフローを導入したDevOpsチーム型に変えていくことによる合理化された共同開発アプローチの利点は明らかです。より多くの機能や改善をより速く市場に投入できるようになるのですから。
アンドレアス・クーヘルマン(Andreas Kuehlmann)
−シノプシス、ソフトウェア・インテグリティ・グループ ジェネラルマネージャ
「DevSecOpsはアプリケーションセキュリティを、現代の高速な開発およびデプロイメントモデルの文化的かつ技術的ファブリックの一部にするチャンスをもたらします。この調査では、DevOpsチームがアプリケーションセキュリティツールおよびベストプラクティスを採用し適用するにあたって直面する、たくさんのチャンスと課題をあぶりだしています。
また、DevSecOpsを成功させるためには、自動化やスピード、正確性、CI/CDインテグレーション(シノプシスがこれらをアプリケーションセキュリティソリューションに組み込んだことにより)が重要であることも立証しています」
こうしたダイナミックでペースの速い環境にアプリケーションセキュリティがどのように組み込まれているか、後れを取ることなく関係を維持していくためにセキュリティテストツールおよびベストプラクティスがどれほど拡大されるべきかということが、あまりに理解されていません。
DevSecOpsとしても知られるこの新しいパラダイムをより深く理解するため、多種多様な業界の大手企業350社の意思決定者を対象に調査を行いました。
その結果明らかになったことは、DevOpsチームの半数は自社のCI/CDワークフローにアプリケーションセキュリティを組み込むことに失敗している一方で、そのようにすることは優先順位が高く、多くの機会を与えるという結果となっています。
ジェイ・ライマン(Jay Lyman)
−451 Research、プリンシパルDevOpsアナリスト
「DevOpsチームはソフトウェア品質の向上やコンプライアンス、リスク回避などの要因に背中を押されてCI/CDワークフローにアプリケーションセキュリティを取り入れ始めていますが、まだまだ改善の余地があります。
多くの場合、プロセス中へのセキュリティテストの統合は頻度も時期も十分ではなく、そのせいで組織がリスクを削減したり頭痛の種を修正したりすることによるメリットを存分に生かしていません」
セキュリティを強化するとソフトウェアのリリースが遅くなるという見方が一般的ではありますが、プロセスの早い段階で(言いかえれば、コードのコミット時やプレ実装の段階で)セキュリティ手段を検討し導入することで、リスクを削減したり悩みの元の修正やその時間を節約したりできるはずです。しかし、多くの組織がそうしていないことがこの調査で明らかになりました。
こうした発見から見えてくるのは、動きの速いリリースプロセスにおいて早い段階でセキュリティの統合を認識することが重要だということです。
しかし、認識が向上しているだけでなく、ソフトウェア品質やコンプライアンス、リスク回避といった要因が増加しているにもかかわらず、アプリケーションセキュリティ試験が早期に効果的に統合されればより安全かつ迅速にリリースでき、修正も少なくて済む、ということは理解されていません。
主な調査結果
- 回答者の63%は、DevOpsモデルで少なくとも4倍速くソフトウェアをデプロイしたいと回答している
- ソフトウェア・コンポジション解析(SCA)、または既知の脆弱性が見つかっているオープンソース・ソフトウェア・コンポーネントの特定は、CI/CDワークフローに組み込まれるべき最も重要なアプリケーションセキュリティ要素である
- 組織のうち40%近くがSCAを実施しない、あるいはいかなるオープンソース・コンポーネントを使用していないと明言しているが、これは認識の欠如のあらわれかもしれない。Black Duck Softwareが実施した前回の「オープンソースセキュリティ&リスク分析レポート」によると、アプリケーションの95%にオープンソースが含まれている