忙しい開発者に降りかかるセキュリティ対応
HCLSoftwareは、グローバルに展開するソフトウェア企業。全世界に約7400人の従業員を抱え、年間売上は約2000億円に上る。広告宣伝にはあまり力を入れず、製品の開発や自動化技術の向上に注力する方針をとっており、年間の研究開発費は売上の10%にあたる200億円を投じている。東京にもオフィスを構え、グローバルなネットワークを活かしてさまざまな業界の企業を支援しており、今回は実際の開発を担っているデベロッパーやプロジェクトリーダーへの認知度向上を目的に「Developers Summit」へ参加した。
村石氏はソフトウェア開発業界で20年の経験を持ち、現在はHCLSoftwareでエンタープライズセキュリティ担当のセールスダイレクターを務めている。営業職として開発者との対話を重視し、開発現場を支援する提案や話題提供を模索している。そのなかで、企業の開発者が直面する負担の大きさを実感している。開発言語、統合開発環境、バージョン管理、ビルド・パッケージ管理、プロジェクト管理、CI/CD、コードレビュー、テスト、コミュニケーションなど、多岐にわたる業務をこなしながら、さらにセキュリティ対策まで求められる現状を課題として指摘した。
企業がアプリケーションの脆弱性をなくそうとするなかで、セキュリティとは何かを考えると、さまざまな関連用語が浮かぶ。村石氏は、CWE、OWASP、CRA、SQLインジェクション、DAST、CVE、診断、NVD、安全なWebサイトといったキーワードを挙げた。開発の段階で配慮すべきことがすでに多いなか、さらにセキュリティ対策が加わると、覚えるべきことが増え、負担の増加は避けられない。その結果、「これ以上仕事を増やしたくない」と感じる開発者も少なくないだろう。
「どうすれば少しでも負担を減らせるのかを伝えたい」と村石氏は語る。仕事が増えるのは避けられないが、すべてを自分でやる必要はない。目的が達成できるのであれば、最適な手段を選べばよい。村石氏は「セキュリティについても、学ぶよりも効果的な方法があるなら、それを使うのが合理的です」と指摘する。日常業務と同じように、セキュリティ対策も効率化や自動化ができるはずだ。
セキュリティ対応の自動化を支援するHCL AppScan
では、具体的にどうすればよいのか。村石氏は、「セキュリティ対応を自動化するのは一つの方法」と述べる。開発業務が本来の仕事であり、セキュリティ対応に時間を割く余裕はない。だからこそ、普段使っている開発環境にセキュリティ機能を組み込むことで、負担を軽減できる可能性がある。
仮にセキュリティ対応の自動化が進んだとしても、業務の中で「これはどういう仕組みなのか?」と聞かれる場面が出てくるかもしれない。その際、基本的な知識がなければ適切に対応できないだろう。最低限のセキュリティ知識を持ったうえで、対策の自動化を進めることでスムーズに対応できるようになるはずだ。
セキュリティ対応のアプローチとして注目されているのが「DevSecOps」。開発プロセスの中にセキュリティを組み込むことで、自動化を進めつつリスクを最小限に抑えられる可能性がある。また、セキュリティテストの自動化も有効だ。村石氏は「単体テスト、機能テスト、統合テストなど、さまざまなテストを実施するのは、それぞれにメリットとデメリットがあるからです。セキュリティテストも同様で、自動化できれば負担を減らせるはずです」と話す。
村石氏は、セキュリティ対策の自動化ソリューションとしてHCL AppScanを紹介した。これは「作るものを守る」というコンセプトのもと、SAST(静的解析)、SCA(構成解析)、DAST(動的解析)、IAST(インタラクティブ解析)といった多様なセキュリティテスト手法をサポートし、開発から運用までの各段階で適切なセキュリティテストを実施できる。
SASTはアプリケーションのソースコードを解析し、開発の各段階で適用可能だ。SCAはオープンソースやサードパーティパッケージに含まれる脆弱性を検出し、近年増加しているサプライチェーン攻撃への対策にも活用できる。DASTはWebアプリケーションを実行状態で解析し、IASTはアプリケーションをモニターしながら脆弱性を検出する。
HCL AppScanの提供形態について村石氏は「オンプレミスとクラウドの両方に対応し、さまざまな開発環境をサポートしています。用途や環境に応じたライセンスタイプを用意しており、必要な機能を最適な形で利用できるようになっています」と説明した。
ステークホルダー別のHCL AppScanの導入メリット
村石氏は、HCL AppScanの機能についてさらに説明した。AIを活用した自動修正機能を備えており、開発者の負担を大幅に軽減できる。従来のセキュリティテストでは、誤検出された要素や、検出された問題同士の相関関係が不明確な場合、修正作業の効率が大きく低下していた。こうした課題に対し、HCL AppScanはAIを活用することで、検出結果の整理と修正作業の最適化を実現している。
たとえば、HCL AppScan on Cloudの自動修正機能では、生成AIが問題を要約し、修正箇所を一目で確認できる。従来は、発見された問題の詳細を把握し、適切な修正を見極めるまでに時間がかかっていたが、この機能によりプロセスが大幅に簡素化された。
さらに、HCL AppScanは開発環境との連携も強化されている。JIRA Cloudとの統合により、セキュリティチームと開発チームが双方向で修正結果を確認できるようになった。また、GitHubとの統合にも対応し、AppScan on Cloud(ASoC)との連携を通じて、開発現場におけるセキュリティ対策の自動化と効率化を実現している。
HCL AppScanの導入を検討する際、開発現場やマネジメント層にそのメリットを説明する必要がある。開発者にとっての利点はもちろんのこと、プロジェクトマネージャー(PM)や経営層にとっても有益なポイントが多いと村石氏は語る。
開発者にとってのメリットは、さまざまなセキュリティテストを1つのツールで実施できるため、負担が軽減されることだ。村石氏は「開発環境やCI/CDとの連携によって自動化が可能になり、作業の効率化につながります。これにより、日々の開発業務に影響を与えずにセキュリティ対策を進められます」と説明する。プロジェクトリーダーやPMには、自動化された脆弱性検査や多様なレポート機能が用意されており、開発の進捗管理や品質向上に役立つ。村石氏は「メンバーに対して『セキュリティテストが自動的に実施できる』と説明すれば、導入への抵抗感も少なくなるのではないでしょうか」と述べた。
さらに、プロダクト部門長、IT部門長、セキュリティ部門長といった上層部にとっての利点も大きい。HCL AppScanにはダッシュボード機能があり、組織で管理するアプリケーション全体のセキュリティ状況を俯瞰できる。レポート機能を活用すれば、必要に応じてステークホルダーへの説明資料としても活用できる。「たとえば、経営陣や外部の関係者に対し『当社はこのようなセキュリティ対策を実施しています』と明確に伝えられる点も、導入のメリットといえるでしょう」と村石氏は話す。
村石氏は講演を振り返り、HCL AppScanが静的解析や構成解析、動的解析などの多様なセキュリティテスト技術をサポートしていることを改めて示し、「これらをCI/CDパイプラインやDevOps環境に統合することで、セキュリティ対策の負担を軽減し、より簡単に実施できるようになります」と呼びかけた。
