アプリケーション開発者がASTツールに抱く不満–日本シノプシス調査

今回は「アプリケーション開発者がASTツールに抱く不満–日本シノプシス調査」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 日本シノプシスは11月14日、「ソフトウェア・セキュリティに影響を与える戦略、ツール、プラクティスを調査したレポート『世界のDevSecOpsの現状2023』」を発表した。

 同レポートは、開発者、アプリケーション・セキュリティ専門家、DevOpsエンジニア、最高情報セキュリティ責任者(CISO)、テクノロジー/サイバーセキュリティ/ソフトウェア開発の専門家など、世界中のITプロフェッショナル1000人以上を対象に実施されたもので、調査対象国は米国、英国、フランス、フィンランド、ドイツ、中国、シンガポール、日本となっている。

 同調査では、「回答者の80%以上が、デプロイ済みのソフトウェアに潜んでいた重大なセキュリティ問題のため、過去1年間にDevOpsの提供スケジュールに影響が出たと回答している」という結果が得られたという。

 また、「回答者の過半数(52%)が、組織のソフトウェア・セキュリティ対策を強化するためにAIを積極的に活用していると回答」「回答者の28%が、デプロイ済みのアプリケーションに見つかった重要なセキュリティリスクや脆弱(ぜいじゃく)性へのパッチ適用に2~3週間かかると回答している。また、セキュリティ攻撃のほとんどがアプリケーションの公開から数日以内に発生するにもかかわらず、回答者の20%は1カ月以上かかると答えた」「動的アプリケーションセキュリティテスト(DAST)、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)、静的アプリケーションセキュリティテスト(SAST)、ソフトウェアコンポジション解析(SCA)など、アプリケーションやセキュリティに関するツールやプラクティスの有用性を尋ねたところ、少なくとも回答者の3分の2がいずれも有用であると評価している」といった結果が公表されている。

 調査結果を解説したソフトウェア・インテグリティ・グループ シニア・テクニカル・マーケティングマネージャの松岡正人氏は、調査によって浮かび上がってきた知見として、「自動化されたテストツール(AST:Application Security Test)をなにがしか使っているものの、ツールそのものを使うことに対して幾つか不満がある」と指摘し、セキュリティの専門家ではないアプリケーション開発者にとっては、ツールが指摘するセキュリティ上の懸念事項などの内容がよく分からず、優先順位付けも的確に行われないため対応に時間を要し、開発期間の長期化やコスト増などにつながっているといった不満があるとした(図1)。

 アプリケーションのセキュリティレベルを向上させるために開発の早い段階からセキュリティを意識したコードを書くことが重要、というのがDevSecOpsの基本的な考え方ではあるが、実際にはセキュリティに詳しくない開発者の中には、セキュリティのことまで気にしてコードを書くことを負担に感じる例や、組織として採用したツールが個々の開発者のニーズにマッチしていない例などがあり、現場の開発者にとっては負担増として受け止められていることもあるという現実が浮かび上がった。

 さらに松岡氏は、日本の現状を「米国をベンチマークとして、さらに産業構造が似ている国の代表としてドイツを、IT産業において成長著しい国として中国を」それぞれ比較対象として分析した結果についても紹介した。同氏は「ドイツと日本の全体的な傾向は似通っており、米国や中国に対して成熟度に差がある」と指摘し、日本やドイツで見受けられる課題としてDevSecOpsを実施しようにも部門横断的な取り組みがやりにくく、組織間の壁が障害になる例が見られるとした上で、逆にサイロ化した縦割りの組織の間の壁を取り払い、部門間のコミュニケーションを活性化することで、アプリケーション開発やセキュリティ向上に関してより効率化を図る余地があるのではないかと語った。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
銀行のリスク対応はデジタル化競争が最優先課題–SAS調査
IT関連
2022-12-29 12:29
三人三様、中国のテック巨人CEOが国会の年次総会で提案すること
その他
2021-03-07 05:19
クラウドで事業用建物の建設や活用を自動試算–山下PMCが「BEAMap」を開始
IT関連
2021-04-12 20:04
第3回:人間中心の設計がデジタルワークプレース成功の鍵
IT関連
2022-07-29 13:29
富士通ラーニングメディアとLinkedInがパートナーシップを締結–eラーニングの定着に寄与
IT関連
2024-10-04 11:22
AIをDevSecOpsプラットフォームに“編み込む”–GitLabのCSOが語るビジネス戦略
IT関連
2024-02-17 17:14
WebAssemblyでクラウドネイティブを実現するクラウドサービス「Fermyon Cloud」がオープンベータで登場
WebAssembly
2022-10-28 21:14
米企業の財務報告書、5社に1社が生成AIのリスクに言及
IT関連
2024-08-28 10:02
苦闘するセキュリティ担当者のために企業がすべきこと
IT関連
2023-01-20 18:30
パナソニックとワサビ、監視カメラ映像を1年以上録画できるクラウドサービス
IT関連
2024-07-04 09:16
「ChatGPT」に見る今後の可能性–教育やビジネスへ影響と現時点での課題
IT関連
2023-02-04 21:13
IT、製造、金融11社が「量子技術による新産業創出協議会」を設立へ
IT関連
2021-06-01 09:26
カンセキ、Web-EDIシステム「ACMS WebFramer」を導入–NTT固定電話のIP網移行で
IT関連
2024-06-20 07:01
フューチャーアーキテクト、レガシーアプリのコード解析に生成AIを導入
IT関連
2024-06-27 06:30