はじめに
「セキュリティはチーム全員の共有責任であり、全員が共同で作業をし、同一ツールを使用する場合でも、パフォーマンス、効率、セキュリティを犠牲にする必要はない。」これは、世界中のソフトウェア開発者、IT運用者、セキュリティ担当者を対象としてGitLabが最近行った調査からのキーテーマです。ソフトウェアサプライチェーンのセキュア化という共通目標の下に、開発チーム、セキュリティチーム、運用チームが連携するとき、成果はおのずともたらされるのです。
GitLabが2023年に実施したDevSecOps調査「Security Without Sacrifices(犠牲を伴わないセキュリティ)」では、上記のようなテーマに焦点を当てながら、開発者、セキュリティ担当者、運用担当者がソフトウェア開発ライフサイクルのセキュア化の取り組みにおいて確信を持てる成果と、今後さらに対処すべき課題を明らかにしています。結果は驚くようなものではなく、私がユーザーの皆さんから日々うかがっていることと一致しています。つまり、DevSecOpsの原則とDevSecOpsプラットフォームとを組み合わせることで、よりセキュアなソフトウェアをより早く展開できることにつながるということが再確認されたのです。
たとえば、2022年のレポートでは、開発者、セキュリティ担当者、運用担当者の大半が、セキュリティについて個人として責任意識を持っていると回答していました。それが2023年は、回答者の53%が、「大きなチームの一員として」アプリケーションセキュリティに責任を負っていると答えています。また、セキュリティ担当者の71%が、セキュリティ脆弱性の少なくとも4分の1は開発者が発見していると回答しており、2022年の53%から上昇しています。
ここからわかるのは、セキュリティがソフトウェア開発ライフサイクルの深部にまで確実に浸透しつつあるということ、そしてAI支援の機能といったさらなるイノベーションが日々のワークフローに導入されるにつれて、メリットはより目に見えるものになっているということです。
以下に紹介するのは、DevSecOpsを最大限に活かす上で組織が留意すべきポイントです。
セキュリティツールチェーンの拡大は持続不可能
2023年のレポートでは、ツールチェーンの広がりが、非セキュリティ担当者よりもセキュリティ担当者にとって大きな懸念となっている可能性が示されました。回答者の57%が6種以上のツールを使用していると回答したのに対し、開発者では48%、運用担当者では50%でした。また、セキュリティ担当者の使用ツール数が過去数年よりもさらに増加しています。これは、私たちがセキュリティ担当者たちから耳にしていることとも一致しています。セキュリティ担当者たちは、構成分析、ファジング、DAST、依存関係スキャンといったセキュリティ機能ごとに、異なるツールを使用していると話しています。
DevSecOpsが登場したことで、ソフトウェア開発チームはツールを集約しやすくなっていますが、この傾向はセキュリティチームまでは及んでいません。これには、ソフトウェアサプライチェーンのセキュリティに関わるプレッシャーが高まっていることが関係しています。セキュリティ担当者は、仕事を遂行するのに必要なツールや、自分が慣れ親しんでいるツールを選択していますが、セキュリティ予算が削減されていくにつれて、それはもはや持続可能な戦略ではなくなります。今後数年間は、セキュリティツールチェーンの統合に向けた圧力が高まることが予想されます。
