アプリケーション開発者がASTツールに抱く不満–日本シノプシス調査

今回は「アプリケーション開発者がASTツールに抱く不満–日本シノプシス調査」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 日本シノプシスは11月14日、「ソフトウェア・セキュリティに影響を与える戦略、ツール、プラクティスを調査したレポート『世界のDevSecOpsの現状2023』」を発表した。

 同レポートは、開発者、アプリケーション・セキュリティ専門家、DevOpsエンジニア、最高情報セキュリティ責任者(CISO)、テクノロジー/サイバーセキュリティ/ソフトウェア開発の専門家など、世界中のITプロフェッショナル1000人以上を対象に実施されたもので、調査対象国は米国、英国、フランス、フィンランド、ドイツ、中国、シンガポール、日本となっている。

 同調査では、「回答者の80%以上が、デプロイ済みのソフトウェアに潜んでいた重大なセキュリティ問題のため、過去1年間にDevOpsの提供スケジュールに影響が出たと回答している」という結果が得られたという。

 また、「回答者の過半数(52%)が、組織のソフトウェア・セキュリティ対策を強化するためにAIを積極的に活用していると回答」「回答者の28%が、デプロイ済みのアプリケーションに見つかった重要なセキュリティリスクや脆弱(ぜいじゃく)性へのパッチ適用に2~3週間かかると回答している。また、セキュリティ攻撃のほとんどがアプリケーションの公開から数日以内に発生するにもかかわらず、回答者の20%は1カ月以上かかると答えた」「動的アプリケーションセキュリティテスト(DAST)、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)、静的アプリケーションセキュリティテスト(SAST)、ソフトウェアコンポジション解析(SCA)など、アプリケーションやセキュリティに関するツールやプラクティスの有用性を尋ねたところ、少なくとも回答者の3分の2がいずれも有用であると評価している」といった結果が公表されている。

 調査結果を解説したソフトウェア・インテグリティ・グループ シニア・テクニカル・マーケティングマネージャの松岡正人氏は、調査によって浮かび上がってきた知見として、「自動化されたテストツール(AST:Application Security Test)をなにがしか使っているものの、ツールそのものを使うことに対して幾つか不満がある」と指摘し、セキュリティの専門家ではないアプリケーション開発者にとっては、ツールが指摘するセキュリティ上の懸念事項などの内容がよく分からず、優先順位付けも的確に行われないため対応に時間を要し、開発期間の長期化やコスト増などにつながっているといった不満があるとした(図1)。

 アプリケーションのセキュリティレベルを向上させるために開発の早い段階からセキュリティを意識したコードを書くことが重要、というのがDevSecOpsの基本的な考え方ではあるが、実際にはセキュリティに詳しくない開発者の中には、セキュリティのことまで気にしてコードを書くことを負担に感じる例や、組織として採用したツールが個々の開発者のニーズにマッチしていない例などがあり、現場の開発者にとっては負担増として受け止められていることもあるという現実が浮かび上がった。

 さらに松岡氏は、日本の現状を「米国をベンチマークとして、さらに産業構造が似ている国の代表としてドイツを、IT産業において成長著しい国として中国を」それぞれ比較対象として分析した結果についても紹介した。同氏は「ドイツと日本の全体的な傾向は似通っており、米国や中国に対して成熟度に差がある」と指摘し、日本やドイツで見受けられる課題としてDevSecOpsを実施しようにも部門横断的な取り組みがやりにくく、組織間の壁が障害になる例が見られるとした上で、逆にサイロ化した縦割りの組織の間の壁を取り払い、部門間のコミュニケーションを活性化することで、アプリケーション開発やセキュリティ向上に関してより効率化を図る余地があるのではないかと語った。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
生成AI、G7サミットでも議論に–「広島AIプロセス」立ち上げへ
IT関連
2023-05-23 06:03
人前で話すことから声帯麻痺まで、Expressableは5億円を投じて遠隔での言語聴覚療法を提供
EdTech
2021-06-23 10:10
GIGAスクール特需に対応–ITリテラシーの底上げ策としての期待
IT関連
2021-07-13 06:18
インターネット広告のOLXが運営するベルリン拠点の中古車マーケットプレイスを閉鎖、中南米・アジアに重点
ネットサービス
2021-03-31 00:44
ロシアや北朝鮮などの脅威アクターによるLLM悪用、マイクロソフトとOpenAIが報告
IT関連
2024-02-16 14:14
ガーミン、最新モデル「fenix 7 Pro」と「epix Pro」を発売
IT関連
2023-06-08 10:13
「Chrome 117」、拡張機能の安全確認が可能に
IT関連
2023-08-23 00:25
Facebook、カメラと心拍モニター搭載スマートウォッチを来年夏に発売か
企業・業界動向
2021-06-11 15:12
PCの世界出荷台数、第3四半期は前年比15%減
IT関連
2022-10-12 08:50
LeapMind、エッジデバイス上でのリアルタイム動作と高画質を両立させた高精細AI画像処理モデル発表
IT関連
2022-02-02 04:55
Robinhoodが連邦議会に召喚される
フィンテック
2021-02-20 20:39
AI専門組織を設置する日本企業は米英独の半分–ガートナーが分析
IT関連
2024-05-10 23:00
小田急電鉄、「Claris FileMaker」を導入–運転士や整備士など現場担当者がローコードでアプリ開発
IT関連
2024-11-14 21:06
Raspberry Pi財団が550円の「Raspberry Pi Pico」発表、日本でもスイッチサイエンスが発売
ハードウェア
2021-01-22 04:03