アプリケーション開発者がASTツールに抱く不満–日本シノプシス調査

今回は「アプリケーション開発者がASTツールに抱く不満–日本シノプシス調査」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 日本シノプシスは11月14日、「ソフトウェア・セキュリティに影響を与える戦略、ツール、プラクティスを調査したレポート『世界のDevSecOpsの現状2023』」を発表した。

 同レポートは、開発者、アプリケーション・セキュリティ専門家、DevOpsエンジニア、最高情報セキュリティ責任者(CISO)、テクノロジー/サイバーセキュリティ/ソフトウェア開発の専門家など、世界中のITプロフェッショナル1000人以上を対象に実施されたもので、調査対象国は米国、英国、フランス、フィンランド、ドイツ、中国、シンガポール、日本となっている。

 同調査では、「回答者の80%以上が、デプロイ済みのソフトウェアに潜んでいた重大なセキュリティ問題のため、過去1年間にDevOpsの提供スケジュールに影響が出たと回答している」という結果が得られたという。

 また、「回答者の過半数(52%)が、組織のソフトウェア・セキュリティ対策を強化するためにAIを積極的に活用していると回答」「回答者の28%が、デプロイ済みのアプリケーションに見つかった重要なセキュリティリスクや脆弱(ぜいじゃく)性へのパッチ適用に2~3週間かかると回答している。また、セキュリティ攻撃のほとんどがアプリケーションの公開から数日以内に発生するにもかかわらず、回答者の20%は1カ月以上かかると答えた」「動的アプリケーションセキュリティテスト(DAST)、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)、静的アプリケーションセキュリティテスト(SAST)、ソフトウェアコンポジション解析(SCA)など、アプリケーションやセキュリティに関するツールやプラクティスの有用性を尋ねたところ、少なくとも回答者の3分の2がいずれも有用であると評価している」といった結果が公表されている。

 調査結果を解説したソフトウェア・インテグリティ・グループ シニア・テクニカル・マーケティングマネージャの松岡正人氏は、調査によって浮かび上がってきた知見として、「自動化されたテストツール(AST:Application Security Test)をなにがしか使っているものの、ツールそのものを使うことに対して幾つか不満がある」と指摘し、セキュリティの専門家ではないアプリケーション開発者にとっては、ツールが指摘するセキュリティ上の懸念事項などの内容がよく分からず、優先順位付けも的確に行われないため対応に時間を要し、開発期間の長期化やコスト増などにつながっているといった不満があるとした(図1)。

 アプリケーションのセキュリティレベルを向上させるために開発の早い段階からセキュリティを意識したコードを書くことが重要、というのがDevSecOpsの基本的な考え方ではあるが、実際にはセキュリティに詳しくない開発者の中には、セキュリティのことまで気にしてコードを書くことを負担に感じる例や、組織として採用したツールが個々の開発者のニーズにマッチしていない例などがあり、現場の開発者にとっては負担増として受け止められていることもあるという現実が浮かび上がった。

 さらに松岡氏は、日本の現状を「米国をベンチマークとして、さらに産業構造が似ている国の代表としてドイツを、IT産業において成長著しい国として中国を」それぞれ比較対象として分析した結果についても紹介した。同氏は「ドイツと日本の全体的な傾向は似通っており、米国や中国に対して成熟度に差がある」と指摘し、日本やドイツで見受けられる課題としてDevSecOpsを実施しようにも部門横断的な取り組みがやりにくく、組織間の壁が障害になる例が見られるとした上で、逆にサイロ化した縦割りの組織の間の壁を取り払い、部門間のコミュニケーションを活性化することで、アプリケーション開発やセキュリティ向上に関してより効率化を図る余地があるのではないかと語った。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
GVA TECH、「GVA manage」で「Slack」チャンネルへの通知機能をリリース
IT関連
2023-11-29 16:46
IT部門は開発標準の刷新を急ぐべき–ガートナー
IT関連
2025-02-13 23:53
創業30年を迎えたIIJの社長が発した感慨深い「普通のコメント」
IT関連
2022-02-19 11:55
GitHubで最も使われている言語はJavaScript、最も利用者が増加したのはRust。AIプロジェクト数はこの1年で3倍増GitHubが年次調査「Octoverse 2023」発表
GitHub
2023-11-21 13:45
ペンテラ、Linux向けにランサムウェア感染時の影響評価ツールを強化
IT関連
2024-07-26 20:27
Arm、「Neoverse」プラットフォームのエコシステム拡大をアピール
IT関連
2021-04-28 09:55
任天堂・宮本茂フェロー、「ポケモンGO」に夫婦でハマる 「夢が叶った」
くらテク
2021-07-08 09:17
日立製作所、「現場拡張メタバース」を開発–原子力プラントを実寸で再現
IT関連
2023-12-19 17:31
富士通CTと日本リーテック、伐採作業を効率化するAIアプリを実証
IT関連
2021-07-14 13:20
Gaudiyと大日本印刷、ブロックチェーンを活用したコンテンツビジネス・次世代のファンサービス構築を目指し業務提携
IT関連
2022-01-19 11:07
全高75cm、口からミストを噴射する「マジンガーZ」を作る本 アシェットが創刊
くらテク
2021-02-05 20:28
日本マイクロソフト、「Dynamics 365」「Power Platform」向けにCopilot機能を提供
IT関連
2024-01-25 12:43
生成AIでケースワーカー支援–岩手県–関市、業務負担の軽減に挑む
IT関連
2024-11-10 17:10
ランサムウェア攻撃受けたColonialは「通常」運用に–攻撃関与のDarkSideは運用停止か
IT関連
2021-05-17 08:16