忙しい開発者に降りかかるセキュリティ対応
HCLSoftwareは、グローバルに展開するソフトウェア企業。全世界に約7400人の従業員を抱え、年間売上は約2000億円に上る。広告宣伝にはあまり力を入れず、製品の開発や自動化技術の向上に注力する方針をとっており、年間の研究開発費は売上の10%にあたる200億円を投じている。東京にもオフィスを構え、グローバルなネットワークを活かしてさまざまな業界の企業を支援しており、今回は実際の開発を担っているデベロッパーやプロジェクトリーダーへの認知度向上を目的に「Developers Summit」へ参加した。
村石氏はソフトウェア開発業界で20年の経験を持ち、現在はHCLSoftwareでエンタープライズセキュリティ担当のセールスダイレクターを務めている。営業職として開発者との対話を重視し、開発現場を支援する提案や話題提供を模索している。そのなかで、企業の開発者が直面する負担の大きさを実感している。開発言語、統合開発環境、バージョン管理、ビルド・パッケージ管理、プロジェクト管理、CI/CD、コードレビュー、テスト、コミュニケーションなど、多岐にわたる業務をこなしながら、さらにセキュリティ対策まで求められる現状を課題として指摘した。
企業がアプリケーションの脆弱性をなくそうとするなかで、セキュリティとは何かを考えると、さまざまな関連用語が浮かぶ。村石氏は、CWE、OWASP、CRA、SQLインジェクション、DAST、CVE、診断、NVD、安全なWebサイトといったキーワードを挙げた。開発の段階で配慮すべきことがすでに多いなか、さらにセキュリティ対策が加わると、覚えるべきことが増え、負担の増加は避けられない。その結果、「これ以上仕事を増やしたくない」と感じる開発者も少なくないだろう。
「どうすれば少しでも負担を減らせるのかを伝えたい」と村石氏は語る。仕事が増えるのは避けられないが、すべてを自分でやる必要はない。目的が達成できるのであれば、最適な手段を選べばよい。村石氏は「セキュリティについても、学ぶよりも効果的な方法があるなら、それを使うのが合理的です」と指摘する。日常業務と同じように、セキュリティ対策も効率化や自動化ができるはずだ。
