Invicti 氏によると、セキュリティ スタッフは、アプリケーション開発サイクル中に発生したセキュリティ上の欠陥に対処するために 5 時間以上を費やすことがあるそうです。
セキュリティ上の脆弱性は、ソフトウェア開発プロセス中に突然現れ、アプリケーションの導入後に表面化するという悪癖があります。厄介なのは、これらのセキュリティ上の欠陥の多くは、適切な方法とツールを使用して発見していれば、事前に解決できた可能性があるということです。
ウェブアプリケーションセキュリティ企業Invictiが火曜日に発表したレポートでは、開発されたアプリケーションのセキュリティホールを追跡するために費やされた時間とリソースについて分析している。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
Invictiは、報告書「DevSecOpsプロフェッショナルの現状:勤務中と勤務外」を作成するにあたり、Wakefield Researchと提携し、ディレクターレベル以上の役職を持つサイバーセキュリティ専門家とソフトウェア開発者500名を対象に調査を実施しました。回答者は全員、従業員2,000人以上の米国企業に勤務しています。
調査対象となったセキュリティ専門家の約41%と開発者の32%は、本来発生するはずのなかったセキュリティ問題への対応に、1日5時間以上を費やしていると回答しました。特にいわゆる「大辞任」や差し迫ったサイバー攻撃への懸念が広がる中で、こうしたセキュリティ問題に取り組まなければならないことは、専門家の過労やストレスにつながりやすいものです。
回答者の約81%が、サポートチケットには一日の終わりに届く「魔法の力」があると回答しました。回答者の3分の1は、職場のセキュリティ問題のために友人とのデートや外出をキャンセルせざるを得なかったと回答しています。さらに、半数は問題を解決するために週末や自分の時間にログインしなければならなかったと回答しています。
ストレスがあるにもかかわらず、回答者の多くは仕事の良い面を指摘した。
セキュリティ専門家と開発者の約65%が、過去1年間に侵害を予防することで、自社のコストを少なくとも100万ドル削減できたと考えていると回答しました。また、95%がデジタルトランスフォーメーションとリモートワークへの移行により、仕事の価値とやりがいが増したと回答しました。さらに、回答者の49%が、セキュリティまたは開発部門の同僚と良好な関係にあると回答しており、これは昨年の調査結果から改善しています。
それでも、セキュリティ上の脆弱性や問題が頻繁に表面化していることは、アプリケーション開発サイクルの改善が必要であることを示しています。
「セキュリティは今や全員の仕事であり、セキュリティと開発の間の断絶は不必要な遅延や手作業を引き起こすことが多い」とインヴィクティの最高製品責任者ソナリ・シャー氏は述べた。
「セキュリティを後付けではなくソフトウェア開発ライフサイクル(SDLC)に組み込むことで、組織はセキュリティチームやDevOpsチームのストレスの多い過重労働やそれに関連する問題を軽減できます」とシャー氏は付け加えた。「アプリケーションセキュリティスキャンは、ソフトウェアの開発中だけでなく、本番環境でも自動化する必要があります。スキャン時間が短く、リスクのコンテキストに基づいて優先順位が付けられた正確な検出結果を提供し、開発ワークフローに統合できるツールを活用することで、組織はセキュリティを柔軟に調整しながら、安全なコードを効率的に提供することができます。」
シャー氏によると、ソフトウェア開発において、イノベーションとセキュリティは必ずしも競合するものではなく、むしろ本質的に結びついているという。
「適切なセキュリティ戦略が整備されていれば、DevOpsチームはアプリケーション設計のアーキテクチャそのものにセキュリティを組み込むことができます」とシャー氏は述べています。「SDLCにセキュリティを組み込み、あらゆる作業を正確に自動化して手作業を削減するツールに投資することで、組織はイノベーションの余地を広げ、セキュリティと開発の間の摩擦を解消することができます。」
こちらもご覧ください
- サイバーセキュリティのプロになる方法:チートシート
- 2022年の最高の暗号化ソフトウェア
- モバイルデバイスのセキュリティポリシー
- サイバーセキュリティとサイバー戦争:さらに必読の記事
ランス・ホイットニー
ランス・ホイットニーは、テクノロジーライター兼トレーナーであり、元ITプロフェッショナルです。Time、CNET、PCMag、その他複数の出版物に寄稿しています。WindowsとLinkedInに関する2冊のテクノロジー関連書籍を執筆しています。
