[レポート] 世界のDevSecOps の現状 2023

世界のDevSecOpsの現状2023 ソフトウェア・セキュリティに影響を及ぼす戦略、ツール、プラクティス 概要 2023年シノプシスDevSecOpsレポートについて DevOpsとDevSecOpsについて自動化によるメリット DevSecOpsにおけるASOC/ASPM使用の 増加 概要 シノプシスDevSecOpsレポートについて 2023年前半、シノプシスCybersecurityResearchCenter(CyRC)と国際的な市場調査会社Censuswideは、セキュリティを職務または職責に含む1,000人のIT専門家を対象にした調査を実施しました。調査対象のグループには、開発者、アプリ DevOpsとDevSecOpsについて DevOpsの主な原則(開発の加速、継続的デリバリー、パイプラインのレジリエンス、スケーラビリティ、エンドツーエンドの透明性)を達成するには、開発、セキュリティ、運用分野の専門家による協調的な取り組みが必要です。 DevOpsの拡張版であるDevSecOpsは、チーム全体にセキュリティ文化を浸透させて、DevOps環境内で早い段階から一貫して 回答者の大部分が、使用中のASTツールに関する一般的な不満として以下を回答 35% 34% 2023年シノプシスDevSecOps 調査の主な発見事項 2023年のDevSecOpsの現状調査結果からの学び 調査対象者の属性付録 ケーション・セキュリティ専門家、DevOpsエンジニア、CISOに 加え、テクノロジー、サイバーセキュリティ、アプリケーション/ソフトウェア開発でさまざまな職務に携わるエキスパートが含まれました。また、米国、イギリス、フランス、フィンランド、ドイツ、中国、シンガポール、日本から回答が得られました。 業種と規模を問わず、あらゆる企業に属する回答者が調査対象となりました。調査開発時に直面した課題の1つは、 「DevSecOps」という用語にはさまざまな領域が含まれ、その多くが独自のペルソナを含むことでした。この調査では、コードを作成する「実践的な」開発者やCISOレベルの個人などを含む幅広い専門家を含め、業務上何らかの観点でソフトウェア・セキュリティにかかわる個人を対象とすることを目指しました。 セキュリティに対処するためのメソドロジーです。DevSecOpsの目的は、ソフトウェア開発ライフサイクル(SDLC)とCIパイプラインにセキュリティ・プラクティスを組み込むことにより、セキュリティを、切り離され、独立したフェーズから開発ライフサイクルの不可欠な要素へとシフトすることです。 DevSecOpsはこれまでに、ソフトウェア開発関連のあらゆる組織で大きな支持を獲得しています。SANS2023DevSecOpssurveyによると、現在、DevSecOpsは間違いなくビジネスに不可欠なプラクティスであり、リスク管理上の考慮事項であると見なされています。しかし、開発プロセスへのセキュリティ導入を試みると、多くの場合、従来のアプリケーション・セキュリティ・テスト(AST)をSDLCに持ち込んだ結果ですが、歴史的に、多くの場合セキュリティ・チームと開発チームは意見が一致しませんでした。また、よく聞かれる不満には、ASTツールは複雑で習得すべき事項が多く、パフォーマンスも不十分だというものや、結果に「ノイズが多い」ためにDevOpsの「摩擦」(ソフトウェア作成プロセスで、開発者が素早く簡単にコードを作成するのを妨げるすべての要素)が引き起こされるというものがあります。 ツールは、解決策を曝露、悪用可能性、重要度に基づいて優先付けしない 33% コストがROIに見合わない パフォーマンスが低すぎて、高頻度のリリース・サイクル/継続的デプロイに対応できない 33% 不正確/信頼性が低い StateofDevSecOps2023 概要 2023年シノプシスDevSecOpsレポートについて DevOpsとDevSecOpsについて自動化によるメリット DevSecOpsにおけるASOC/ASPM使用の増加 2023年シノプシスDevSecOps 調査の主な発見事項 2023年のDevSecOpsの現状調査結果からの学び 調査対象者の属性付録 自動化によるメリット DevOpsの核となる原則は、SDLCの各段階で手動プロセスを自動化することです。自動化は、どのような組織にとっても、継続的インテグレーションまたは継続的デプロイを実装してコードの開発とデリバリーを迅速化するための基本要件となります。 DevOpsを成功させるには、統合と自動化の相互作用が必要であり、これらは標準とポリシーによって管理されなければなりません。こうすることで、セキュリティ・チームはセキュリティ面が考慮されていると信用でき、DevOpsチームは業務を継続し、開発パイプラインに想定外の中断が生じないと確信を持てます。 手動でのテストとは異なり、自動化されたセキュリティ・テストは一貫性をもって素早く実行できるため、開発者はデリバリー・スケジュールや生産性に影響を与えることなく、開発プロセスの早い段階で課題を特定できます。 一貫性 自動テストにより、すべてのビルドとデプロイにセキュリティ・チェックが常に適用されます。手動テストでは、テストの手順と範囲にばらつきが生じる可能性があります。 スケーラビリティ ソフトウェアが複雑になるにつれて、手動テストは現実的ではなくなりますが、自動テストは、さまざまなコンポーネントにわたる多数のテストを処理するために容易に拡張できます。 継続的インテグレーションと継続的デプロイ(CI/CD) 自動テストは、コードの変更が迅速かつ頻繁にデプロイされるCI/CDパイプラインにおいては非常に重要です。自動テストにより素早く変更を検証することで、不完全なコードが本番環境に移行されることを防止できます。 継続的改善 自動テストにより、チームが時間をかけてセキュリティ・プラクティスの改善に役立つデータと知見が得られ、脆弱性のパターンを体系的に分析して対処できます。 文書化 自動テストはテスト手順を文書化するため、セキュリティ対策とコンプライアンス要件の追跡および監査が容易になります。 人的ミスの削減 手動テストでは、疲れや見落としによってエラーが発生しやすくなります。自動テストは事前定義されたスクリプトに従って実行されるため、人的ミスのリスクが軽減されます。 時間とコストの節約 開発プロセスの終盤や本番環境に移行してからセキュリティの課題を特定して修正すると、大幅な時間とコストがかかる 場合があります。自動テストはこのようなコストを最小限に抑えます。 開発者のエクスペリエンスの改善 自動化されたアプリケーション・セキュリティ・テストでは、セキュリティの考慮事項に対処するための、積極的で統合された教育的なソリューションを提供することで、開発者のエクスペリエンスを向上させます。これは最終的に、よりセキュ アなソフトウェアと、より効率的な開発プロセスにつながります。 StateofDevSecOps2023 概要 2023年シノプシスDevSecOpsレポートについて DevOpsとDevSecOpsについて自動化によるメリット DevSecOpsにおけるASOC/ASPM使用の増加 2023年シノプシスDevSecOps 調査の主な発見事項 2023年のDevSecOpsの現状調査結果からの学び 調査対象者の属性付録 DevSecOpsにおけるASOC/ASPM 使用の増加 本レポートでは、DevSecOpsの成熟度のさまざまな段階にある組織特徴と、組織が使用するセキュリティ・ツール/プラクティスの特性を調査しています。調査結果に基づき、より高いセキュリティ成熟度を達成しようと取り組む組織に対して、規範的な推奨事項を提供します。 調査結果に見られた興味深いデータ・ポイントは、アプリケーション・セキュリティのオーケストレーションと相関付け(ASOC)の使用が増加していることです。これは現在、アプリケーション・セキュリティ態勢管理(ASPM)と呼ばれることが一般的で、ガートナーは、複数の開発ツールやセキュリティ・ツールを使用する組織にとって、ASPMは優先事項である必要があるとしています。 ASPMソリューションは、開発からデプロイまでにわたるセキュリティの課題を検出、相関付け、優先順位付けすることで、継続的にアプリケーション・リスクを管理します。ASPMツールは、さまざまなソースからデータを取り込んで互いに関連付け、結果を分析することで、解釈、トリアージ、修正を容易にします。 28% 組織でASOCツールを使用している回答者の割合 ASPMは、セキュリティ・ツールの管理およびオーケストレーション層としての役割も果たし、セキュリティ・ポリシーの制御と適用を可能にします。アプリケーション・セキュリティの検知結果を統合したビューが提供されるため、アプリケーションまたはシステム全体のセキュリティおよびリスク状態を包括的に把握できます。 1,000人の回答者の大半が、使用中のASTツールに関する全般的な不満を挙げています。これらのツールは、修正がビジネス・ニーズに基づいて優先付けされない(35%)、課題解決のための結果の統合/相関付けができない(29%)といった評価が含まれており、ASOC/ASPMの使用が急速に増えていることも頷けます。 StateofDevSecOps2023 概要 2023年シノプシスDevSecOps 調査の主な発見事項 2023年のDevSecOpsの現状調査結果からの学び 調査対象者の属性付録 2023年シノプシスDevSecOps 調査からの主な発見事項 DevOpsチームの大半が一定レベルのDevSecOpsを採用済み 合計で91%の回答者が、ある程度のDevSecOpsアクティビティをソフトウェア開発パイプラインに取り入れていると回答しました。DevSecOpsメソドロジーの採用は、ソフトウェア開発の一部として定着したと言って差し支えないでしょう。 成熟度の高いセキュリティ・プログラムの導入組織は、セキュリティに特化した要員を配置 29%の回答者が、セキュリティ•プログラムの成功にとって、部門横断的なDevSecOpsチーム(開発、セキュリティ、運用担当者による協調的なグループ)が重要な要因であると回答しました。成熟したセキュリティ•プログラムを持つ組織では、セキュリティに特化した要員が、開発者/ソフトウェア•エンジニアおよび/またはQAおよびテスト部門と協力しながら、セキュリティ•テストの最前線に立つと見られます。 DevSecOpsの効果的な実装に立ちはだかる多くの障壁 33%を超える回答者が、主な阻害要因としてセキュリティ•トレーニングが不十分であることを挙げました。続いて、セキュリティ要員の不足(31%)、開発/運用作業の透明性の欠如(31%)、絶えず変化する優先順位(30%)が挙げられました。 3分の1を超える回答者が、ビルド/デプロイ・ワークフローへの自動セキュリティ・テストの組み込みがセキュリティ・プログラム成功の鍵となると指摘 その他の重要な要因には、インフラストラクチャ•アズ•コードを介したセキュリティ/コンプライアンス•ポリシーの適用、開発および運用チームでのセキュリティ•チャンピオンの育成、開発、運用、セキュリティ•チーム間でのコミュニケーションの改善が含まれました。 SDLC終盤での重大な脆弱性への対処が収益に大幅な影響 80%を超える回答者が、2022年から2023年にかけて、デプロイ済みソフトウェアに含まれる重大な脆弱性/セキュリティの課題がデリバリー•スケジュールに何らかの影響