セキュリティ投資とツールチェーンの統合が最優先事項に - TechRepublic

GitLab の新しい調査によると、2 年間の導入率の高さを経て、回答者のほぼ 4 分の 3 が、セキュリティ、コンプライアンス、ツールチェーンの統合、ソフトウェア配信の高速化に対する業界の期待の高まりに対応するために DevOps プラットフォームを導入済み、または 1 年以内に導入する予定です。

当然のことながら、2022年の調査結果では、セキュリティが組織にとって最も優先度の高い投資分野として強調されており、セキュリティチームのメンバーの半数以上が、組織がセキュリティをシフトレフトしたか、今年中にシフトレフトする予定であると述べています。

ツールチェーンの統合も優先度の高い焦点であり、調査回答者の 69% が、監視の課題、開発の遅延、開発者エクスペリエンスへの悪影響を理由にツールチェーンの統合を希望しています。

セキュリティは最大の課題であると同時に最大の投資分野でもある

セキュリティは、グローバル企業のDevOpsチームにおいて、クラウドコンピューティングさえも凌駕する最大の投資分野となっています。しかし、セキュリティのシフトレフト化への意欲があるにもかかわらず、多くの企業のアプローチと成果は未だ初期段階にあります。GitLabの調査によると、セキュリティのために追加資金を受けていると回答した企業はわずか10%でした。

参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)

データは、セキュリティチームと開発チーム間の不一致が依然として続いている傾向を裏付けています。調査回答者の半数以上が、セキュリティは組織内の開発者にとってパフォーマンス指標であると述べていますが、セキュリティ専門家の50%は、開発者が脆弱性の75%を特定できていないと報告しています。

パフォーマンス メトリックを現実に合わせるには、開発者にセキュリティ プロトコルを実践するようインセンティブを与え、ツールチェーンと潜在的なリスクを完全に可視化する必要があります。

セキュリティ面での連携が実現すれば、組織は大きな成果を上げることができます。開発、セキュリティ、運用の各チームは、DevOpsプラットフォームの重要なメリットとして、セキュリティ強化を広く認識しています。調査データによると、多くの意思決定者がDevOpsプラットフォームやその他のツールを選択する際に、セキュリティへの取り組みを重視していることが示されています。さらに、単一のプラットフォームに投資することで、担当者はより少ないツールと費用で、より多くの機能を活用できるようになります。

技術スタック統合計画が急増

調査対象となった開発者の60%は以前よりも迅速にコードをリリースしているものの、ツールチェーンの無秩序な拡大はスピードと生産性に影響を与え、開発者の貴重な時間を奪っています。開発者の約40%が、複雑なツールチェーンの保守または統合に作業時間の4分の1から半分を費やしており、これは2021年の2倍以上に相当します。

その結果、調査対象者の69%がツールチェーンの統合を希望していると回答しました。ツールチェーン管理に関する主な懸念事項としては、多数のツールを継続的に監視することの難しさやコンテキスト切り替えの難しさ、開発速度の低下、コストと維持率の上昇などが挙げられます。

「昨年はDevOpsツール、プラットフォーム、そしてプロセスの導入において大きな転換点となりました」と、GitLabのプロダクト担当バイスプレジデントであるDavid DeSanto氏は声明で述べています。「2022年には、これらの取り組みの成果が実を結びつつあります。現在も続くパンデミックによって、文化的な変化、完全リモートおよびハイブリッドなチームコラボレーション、採用と定着をめぐる課題など、様々な課題が生じていますが、チームはかつてない速さで新しいアプリケーションをリリースしています。」

DeSanto 氏は、組織が DevOps ツールチェーンとプロセスを統合し続けるにつれて、スピード、セキュリティ、コンプライアンスに重点が置かれるようになると予測しました。

公共部門におけるDevSecOpsの遅れ

しかし、ソフトウェアのリリースを迅速化する傾向は主に民間部門に限られており、調査では、公共部門におけるソフトウェアの提供速度が前年から停滞し、政府回答者の59%が2021年と同じかそれよりも遅い提供速度であると報告していることが明らかになりました。

米国政府機関の回答者の半数がDevSecOpsプラットフォームを導入していることは喜ばしいことですが、「ソフトウェアのリリース速度とイノベーションの面で、公共部門が民間部門に追いつくにはまだ道のりが長い」と、GitLabの公共部門担当副社長、ボブ・スティーブンス氏は声明で述べています。「政府機関は、軍人や国民のニーズを満たすために迅速なソフトウェア配信を可能にするツールに投資する必要があります。さもなければ、停滞や攻撃を受けるリスクがあります。」

全体的に、データはリリースがこれまで以上に速く行われていることを示しており、開発者はその理由として DevOps プラットフォームへの投資を指摘しています。

2021年のDevOpsの急速な導入は、ソフトウェアの迅速なデリバリー、コード品質の向上、そして開発者の生産性向上をもたらしました。今後1年間の主な課題と機会としては、ツールの統合、セキュリティとコンプライアンスへの重点的な取り組み、そして開発チームとセキュリティチームの連携に向けた継続的な取り組みなどが挙げられます。

業界関係者は、開発者とセキュリティチームは協力する必要があると述べている

シノプシス・サイバーセキュリティ・リサーチセンターの主席セキュリティストラテジスト、ティム・マッキー氏は、DevOpsプラットフォームはビジネスを支えるソフトウェアに関係するため、「DevOpsプラットフォームを選択する際には、プラットフォーム自体のセキュリティと、それが実現するセキュリティ能力は常に『必須』であるべきです」と述べています。つまり、新しいソフトウェアに関するあらゆる決定は、それがビジネスの既存のセキュリティ能力をどのように向上させるかという点に基づくべきです。

APIセキュリティプロバイダーのSalt Securityのバイスプレジデント、ミシェル・マクリーン氏は、「組織がセキュリティを開発チームだけに依存するのは危険だ」と述べています。セキュリティチームと開発チームは、アプリケーションライフサイクルのあらゆる段階でセキュリティを確保するため、連携して取り組む必要があります。

「セキュリティ機能が組み込まれているか、セキュリティプラットフォームと容易に統合でき、セキュリティチームとDevOpsチームの連携を促進できるDevOpsプラットフォームを選択することが根本的に重要です」とマクリーン氏は述べた。「そうでなければ、組織はセキュリティ保護されていないソフトウェアをリリースしたり、ソフトウェアサプライチェーンにその他のリスクを持ち込んだりするリスクを負うことになります。」

開発プロセスの早い段階でチームがセキュリティをシームレスかつ効率的に管理および実装できれば、コードが出荷された後に対処するよりも問題への対処が簡単でコストも抑えられます。しかも、違反や賠償責任のコストは発生しません、とセキュリティおよび運用分析のSaaS企業であるNetenrichの主席脅威ハンター、ジョン・バンベネック氏は述べています。

「開発段階で修正することも、本番環境で修正することもできますが、遅かれ早かれ修正しなければならなくなります。」

GitLabは2022年5月に世界中のソフトウェア専門家5,001人を対象に調査を実施しました。

TechRepublic Academy の以下のリソースを活用して、セキュリティ エキスパートになるための一歩を踏み出しましょう。