セキュリティの課題の裏側にある「開発スピード」の問題
「デブサミはいつも楽しみ。インスパイアされ、インスパイアしたい」と語り、今年のデブサミカラーであるグラデーションカラーのTシャツ姿で登壇したSnyk株式会社の相澤 俊幸氏。自身がインスパイアされ、入社の決め手となった二人の創業者の共通項として、「デベロッパーファーストであること」をあげた。
そんな相澤氏が現在在籍するのは、デベロッパーセキュリティプラットフォームを提供するSnyk株式会社。相澤氏は長らくAkamaiに在籍し、ユーザーとしてもAkamaiに触れた経験を持つ。英語教員や講師などを経てFastly社、Akamai社とSDNに長らく関わってきた。そして、創業者であるガイ・ポジャーニー(Guy Podjarny:通称Guypo/ガイポ)氏もまた「デベロッパーファースト」を貫き、エンジニアがセキュアなコードを書くことを支援することで、組織にメリットをもたらすという考え方の持ち主だ。
では、エンジニアにとって重要な「アプリケーションセキュリティ」にまつわる悩みとはどのようなものがあるのか。そもそも「脆弱性やセキュリティについてよく知らない」というものから、チームで開発する場合に開発者によって温度差があったり、コードを書いた後に脆弱性が見つかったり、さらには機密データをどう取り扱うべきかが分からないという悩みもあるだろう。
また、セキュリティ担当についても、開発者でないために「自分でコードを修正できない」、「開発者によってセキュリティの知識や意識のレベルが異なる」、「サプライチェーンに由来する脆弱性の大量発生」、そして「部署・プロジェクトにまたがる脆弱性の把握」などに課題感を持っている人が多い。
相澤氏は、「こうしたさまざまな課題の背景には『スピード(ベロシティ)』の問題がある」と語る。たとえば、何か脆弱性が見つかれば早急に対応しなければならないが、DevOpsなどで開発スピードを上げることが求められ、セキュリティ対策にじっくりと時間を掛けにくくなっていることがある。相澤氏は「スピードの改善が図れれば、必然的にセキュリティに向き合う時間が増え、結果として解決に繋がる可能性は高い」と語った。