日本の企業文化がセキュアなソフトウェア開発を阻害、CA Technologiesの調査:DevSecOpsは重要だが
日本CAはセキュアなソフトウェア開発に関する調査結果を2018年7月9日に発表した。日本では企業文化が、セキュアなソフトウェア開発ライフサイクルの採用を妨げている場合が多いと分かった。
日本CAは2018年7月9日、CA Technologiesが各国で行ったセキュアなソフトウェア開発に関する調査結果を発表した。DevOpsにセキュリティ(Sec)を統合することがなぜ新たな原則となったのか、これを示す考察を提示することが調査の目的だ。
同社は、セキュリティをソフトウェア開発の不可欠な要素にしようとする組織の努力を妨げている原因が、企業の組織文化の格差であることが調査結果から分かったとしている。日本の多くの企業で見られる企業文化が、セキュアなソフトウェア開発ライフサイクル(DevSecOps)の採用を妨げているという。現在の企業文化と慣行が、開発や運用、セキュリティの連携にとって必要だと答えた日本の回答者は14%にとどまった。
ビジネスの成功においてソフトウェアの重要度が増すにつれて、セキュリティへの懸念が急激に高まっていると日本CAはまとめている。実際、今回の調査でも、日本の回答者のうち62%が、ソフトウェアの問題によるセキュリティ上の脅威をますます懸念していると答えたという。
日本CAのセキュリティ・ソリューション事業部で事業部長を務める四宮康典氏は、「日本では、調査対象となったITリーダーの58%が、セキュリティをソフトウェア開発ライフサイクルに統合することが重要だと認識している。DevSecOpsを採用することで、セキュリティの脆弱(ぜいじゃく)性や脆弱性に関連する生産停止時間、データ漏えい、消費者からの信頼の喪失、ブランドイメージの悪化といったことで生じる高いコストを、企業が回避できる」と述べている。
調査では日本の回答者の大多数が、ソフトウェア開発が企業の成長と拡大を支え(97%)、企業の競争力を強化し(87%)、デジタルトランスフォーメーションを促進する(80%)と答えた。さらに日本の回答者の67%以上が、セキュリティは新たなビジネス機会をもたらすイネーブラーであると回答した。加えて67%の回答者は、セキュリティチームが業務部門からはリーダーと見なされており、イノベーションを妨げる存在ではないとも答えている。
調査対象地域全体を通じて、78%がセキュリティは新たなビジネス機会をもたらすイネーブラーであると回答、同じく78%がセキュリティチームは業務部門からはリーダーと見なされており、イノベーションを妨げる存在ではないと回答(出典:Integrating Security into the DNA of Your Software Lifecycle)
「既存の企業文化が障害になっている」、58%の回答者が同意
ところが日本の回答者の58%は、セキュリティに関するテストと評価をソフトウェア開発プロセスに組み込む上で、既存の企業文化が障害になっていると回答した。さらに、日本企業の上級管理職の多くは、セキュリティの重要性を理解していないようだ。製品の市場投入を急ぐあまりセキュリティ対策をおろそかにしてはいけないことを自社の上級管理職が理解している、と回答したのは全体の17%にすぎなかった。
CA Technologiesは、ソフトウェア開発ライフサイクルにセキュリティを統合できている企業を「ソフトウェアセキュリティマスター」と定義している。今回の調査では、日本を含む全回答者の上位34%がそれに当たる。
ソフトウェアセキュリティマスターでは、早期から継続的にアプリケーションの脆弱性についてテストを実施しており、DevSecOpsを採用している。これらの企業は他の多くの企業と比べると、セキュリティを新しいビジネスチャンスの可能性と見なすことに強く同意する可能性が2倍以上あったと、CA Technologiesはまとめた。
調査対象地域全体を通じて、ソフトウェアセキュリティマスターのうち45%がセキュリティを新しいビジネスチャンスの可能性と見なしており、これはそれ以外の企業の2.4倍に上る(出典:Integrating Security into the DNA of Your Software Lifecycle)
今回の調査では、セキュリティを強化するために企業が先進技術を社内で広く採用していることも分かった。例えば行動分析や機械学習については、70%以上の回答者が次のように答えている。
- ユーザーデータを保護しながらユーザーエクスペリエンスを向上させる(79%)
- 活動のパターンに基づいてデータ侵害の脅威を評価する(70%)
- データ侵害から回避したり、その影響を緩和したりするための予防的措置を実施する(78%)
今回の調査は「Integrating Security into the DNA of Your Software Lifecycle(ソフトウェアライフサイクルのDNAにセキュリティを統合する)」と題し、2017年7月に、CA Technologiesの後援によって市場調査会社Freeform DynamicsのIntelligence Unit部門が、世界15の国と地域(米国、ブラジル、英国、フランス、ドイツ、スペイン、イタリア、スイス、オーストラリア、日本、中国、インド、香港、シンガポール、韓国)で実施した。対象はIT部門と業務部門の管理職以上の1279人。そのうち日本の回答者は78人だった。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 本当のFinTechは泥臭い――三菱東京UFJ銀行に見るセキュアで価値あるAPI開発
今やエンジニアは、ビジネス要件に応じた製品やサービスを「迅速」に、しかも「高い品質」で、できれば「低コスト」で開発し、リリースするという、相反する要求を同時に満たす必要に迫られている。そのヒントを三菱UFJフィナンシャル・グループの講演などから探る。 - 「セキュア開発」はなぜ浸透しないのか?――DevSecOpsを妨げる“4つの敵”
本稿では、@IT編集部が2017年2月7日に東京で開催した「@ITセキュリティセミナー」レポート第2弾(東京Bトラック編)をお届けする。 - DevOpsとSecは同じ夢を見るか?
米国で開催されたRSA Conference 2016では、開発・運用とセキュリティ担当者の距離を縮め、「セキュアでビジネスニーズに合ったサービスを素早く提供する」という共通の目的を達成するためのキーワード「DevSecOps」に関連するセッションが多数行われた。