日本でも徐々に広がり出したDevSecOps–GitLabに聞く、現状とこれから

今回は「日本でも徐々に広がり出したDevSecOps–GitLabに聞く、現状とこれから」についてご紹介します。

関連ワード （CIO／経営、トップインタビュー等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　ソフトウェア開発プラットフォームを展開するGitLabで日本のカントリーマネージャーを務める小澤正治氏は、日本市場において、同社がグローバルで強みとする開発生産性の高さだけでなく、セキュリティの担保も訴求し続けている。ソフトウェア開発段階からセキュリティを担保するDevSecOpsの日本での現状や今後などについて同氏に見解を聞いた。

　近年のソフトウェア開発は、世界的には、ユーザーニーズなどの変化へ迅速かつ効率的に対応しやすいDevOpsのスタイルが浸透してきている。一方で、小澤氏は2023年の就任から日本では、まだ組織的な文化も含めて海外ほどには浸透していないと見ており、むしろ日本の組織が重視するセキュリティの観点を打ち出し、GitLabがソフトウェア開発における生産性と安全性の両面を担保できる存在であることを訴求している（関連記事）。

　まず現状について小澤氏は、「DXなどを背景に、ニーズの多様化や変化へ迅速に対応すべくDevOpsを取り入れ、ソフトウェア開発サイクルを高速化させていく取り組みが徐々に浸透している。それに加えて、デジタル庁が『セキュリティ・バイ・デザインガイドライン』を公開したことで、安心、安全なソフトウェア開発の重要性がビジネス課題としても認識されるようになり、われわれに相談をされるケースが増えてきている」と話す。

　DevSecOpsは、サイバーセキュリティ全体において、サイバー攻撃者に悪用される危険があるソフトウェアの脆弱（ぜいじゃく）性の発生リスクを低減する重要な取り組みだ。

　「2024年もセキュリティソフトウェア製品の不具合によって開発元だけでなくそれを利用する組織でも大きな影響が生じたが、ソフトウェア製品の問題は経営課題と認識されるようになった。また、ソフトウェアの権利侵害などの問題から違約金の支払いといった対応で組織の収益が5％減少するというデータもある。ソフトウェアを適切かつ安全に開発するという課題は、開発者だけでなく経営層にも拡大している」（小澤氏）

　小澤氏によれば、GitLabの開発プラットフォームの特徴は、オープンソースやプロプライエタリー含む多種多様な開発ツールや環境、ライブラリー、ランタイムなどの網羅性と、それらを利用した開発～ビルド／リリースのパイプライン全体における情報の一元化や共有、可視性の高さにある。

　同氏をその特徴を日本の顧客に訴求してきたが、直近では特に、グローバルでデジタル化が加速する自動車産業、厳しい法規制などに対応しながらデジタルサービス化を進める金融、ハイテクなどの業界で引き合いが強いという。またユニークな動きとして、世界各地の拠点で比較的自由なソフトウェア開発環境を許容していた日系企業がガバナンスの強化と開発生産性を両立するためにGitLabを導入する事例も出ているそうだ。

　しかし小澤氏は、日本のソフトウェア開発の実態としては、まだまだウォーターフォールが強く、何十年にもわたり“文化”として浸透してきたこのスタイルを組織レベルで変えるのは容易ではないと述べる。

　少なくともここ最近のセキュリティサービス市場では、ソフトウェアのテストサービスが人気だ。背景には、サイバーセキュリティ要件の厳格化とソフトウェアの高度化や複雑化がある。ウォーターフォール中心で開発されたソフトウェアのリリース前のテストで脆弱性などの問題が見つかれば、修正や追加の開発などでコストが増し、リリースの遅れがビジネス機会の損失にもなる。

　DevSecOpsに近い意味合いの言葉には、ソフトウェア開発の前工程からセキュリティを担保する要件定義や設計などを行っていく「シフトレフト」や「セキュリティバイデザイン」がある。小澤氏は、「アジャイルやDevOpsを実行している組織ほどシフトレフトの理解は早く、そうでなければ、重要性を理解してもなかなか実践できない。デジタル庁のガイドラインなどでセキュアな開発の意義は広まり始めているので、これを実践する組織の拡大が次の課題ではないか」と話す。