ニュースリリース - 2020年8月6日

DevSecOps実態調査の結果、企業/団体の約半数が納期制約により、 アプリケーション・ソフトウェアに脆弱性が残っていると判っていながらリリースしていると判明

今日のアプリケーション開発現場で問題となりつつあるセキュリティ対策の傾向と課題が調査会社ESGの実施した調査で明確に

2020年8月6日  カリフォルニア州マウンテンビュー発 - シノプシス（Synopsys, Inc.、Nasdaq上場コード:SNPS）は本日、“Modern Application Development Security” eBookを刊行した。Enterprise Strategy Group（ESG）がサイバーセキュリティやアプリケーション・ソフトウェア開発のプロフェッショナルに対して実施した調査結果をまとめたこのeBookでは、セキュリティ・チームが理解している今日的な開発/適用の実行レベルや、リスク低減のために必要なセキュリティ対策が明らかになっている。それによると、調査回答者の約半数（48%）が開発期間のプレッシャーから、アプリケーション・ソフトウェアに脆弱性が残っていると判っていながら製品化に踏み切っている。また43%を占める回答からは、アプリケーション・セキュリティ対策の改善には、アプリケーション短期開発を支える統合ソリューションが最も重要であると考えていることも判明した。

“Modern Application Development Security” eBookは、下記より無償でダウンロードできる。

https://www.synopsys.com/software-integrity/resources/analyst-reports/modern-application-development.html?cmp=pr-sig

ESGのシニア・アナリスト　Dave Gruber氏は、次のように語っている。「先進的な開発プロセスでは、DevSecOps（開発とセキュリティ確保と運用の連携）により、セキュリティを開発プロセスの最前線そして中心に据えています。その一方で、セキュリティ対策チームとアプリケーション開発チームの取り組み基準が異なっているため、目標達成に向けた連携が困難になっているという実態もあります。殆どのセキュリティ対策チームに今日のアプリケーション開発の実態に対する理解が欠如しているという事実が、事態を更に深刻にしています。互いに独立した最小コンポーネントに分割したアプリケーションを組み合わせて一つのサービスを提供するソフトウェア開発手法であるマイクロサービス・アーキテクチャや、コンテナ化したアプリケーションを継続的デリバリで使用する方式とクラウド・ベンダ経由で適正な量と時間だけコンピューティング・リソースを活用するサーバーレス方式を組み合わせるアーキテクチャへの移行により、開発者がソフトウェア・コードを如何にして作成しテストし使用していくかという視点での原動力が生まれています」

シノプシスは、先進のITアナリスト/リサーチャー集団であるESGに委託して、調査結果から得られた洞察を、アプリケーション・セキュリティ・ソリューションの採用と管理に向けた開発チームとセキュリティ対策チームの動きとしてまとめた。ESGは、資格要件を満たしたサイバー・セキュリティ・プロフェッショナル 378名に対して、セキュリティ・アプリケーション開発テクノロジに関する洞察、それについての責任について調査した。また、セキュアな開発ツールや開発手法の構築に関わっているアプリケーション開発プロフェッショナルに対しても調査を行った。調査対象者が従事している企業/団体は、米国およびカナダの製造業/金融業/建設業/エンジニアリング業/ビジネスサービス業/その他など多岐に渡る業界を網羅している。

シノプシス　ソフトウェア・インテグリティ・グループ　プロダクト・マーケティング・ディレクター　Patrick Careyは、次のように述べている。「今回の調査結果から、企業/団体は開発ライフサイクルを通してアプリケーション・セキュリティの問題に対処していく必要があることが浮き彫りになりました。脆弱性が残っていると判っていながら製品化に踏み切っている企業/団体のうち45%は、その理由として、それらの脆弱性が開発期間のかなり後期段階で発見されたため修正作業を行うと納期に間に合わなくなる、といった点を挙げています。このことから再確認できることは、セキュリティ対策プロセスを開発工程の早期段階に前倒しすることの重要性です。すなわち、現状の開発工程を補完できるセキュリティ対策ツールの活用や継続的なトレーニングを開発部門に徹底することです。それによって開発スピードを遅らせることなくセキュアなコードを開発することが可能になるのです」

今回の調査で注目されるポイントは以下のような項目である。

• 大半の企業/団体は、多くのアプリケーションを脆弱性が残ったまま製品化しているにもかかわらず、自社のアプリケーション・セキュリティ・プログラムは機能していると考えている。

回答者の69%は、現在のセキュリティ・プログラムの有効性を0から10（10が最高レベル）の中の8と評価している。現実には、約半数の企業/団体で脆弱性の残ったコードのリリースが日常的に行われており、多くの企業/団体で過去12か月の間にOWASP Top 10にリストアップされている脆弱性を含むセキュリティ上の弱点を抱えたアプリケーションの製品化が行われている。

• 状況を改善するためにはDevOpsの統合が重要な課題である。

回答者の1/4以上が、現在使用しているアプリケーション・セキュリティ対策ツールが開発ライフサイクルをスローダウンさせるなどの軋轢をもたらしていると考えている。その一方で23%は、開発環境へのDevOpsツールの統合が不十分であることが問題点であると認めている。さらに回答者の26%からは、共通するセキュリティ対策の課題として、異なるアプリケーション・セキュリティ・ソリューション・ベンダのツール群を統合することの困難さが挙げられている。

• アプリケーション開発者はセキュリティ対策に重要な役割を担っているが、スキルやトレーニングが不足している。

約1/3（29%）は、使用中のアプリケーション・セキュリティ対策ツールで問題点が検出されるケースを最小化するための知識を自社の開発者が持っていないと回答している。しかも回答者の17％は、自社の開発者が、セキュリティ対策ツールが提供しているトレーニングを間に合わせ的にしか活用しておらず、少なくとも4半期に1回のトレーニングに参加するよう義務付けられている開発者は29%に過ぎないとしている。

• 企業/団体は、アプリケーション・セキュリティ対策への投資を強化する計画である。

回答者の半数以上（51%）は、今後12か月間でアプリケーション・セキュリティ対策のための予算を大幅に増やす計画であると述べている、また44%の回答者は、クラウドを活用したアプリケーション・セキュリティ投資を予定している。

• アプリケーション・セキュリティ対策ツールの種類が増えたため、多くの企業/団体では、投資対象ツールの統合/整理に向けた動きを開始している。

多くの企業/団体では、多岐にわたるツールの適切な集約や管理に苦戦しており、それらを管理するためのリソースが機能せず、セキュリティ対策プログラムの有効性が失われる結果に陥っている。10種類以上のツールを採用している企業/団体の70%では、こうした複雑化が重大な問題点となっており、その結果、1/3以上の企業/団体では、セキュリティ対策予算の投資対象を集約化する方向に向かっている。

詳細に関しては、下記よりダウンロード可能。

https://www.synopsys.com/software-integrity/resources/analyst-reports/modern-application-development.html?cmp=pr-sig

関連ウェビナーへは下記より参加可能。

https://www.brighttalk.com/webcast/13983/431006?cmp=pr-sig-link&utm_medium=referral&utm_source=PRWEB

調査結果の要点をまとめたものは下記ブログにて確認可能。

https://www.synopsys.com/blogs/software-security/new-devsecops-study-highlights-need-address-appsec-throughout-sdlc/?cmp=pr-sig

シノプシス・ソフトウェア・インテグリティ・プラットフォームについて

シノプシスのソフトウェア・インテグリティ・グループは、セキュアで高品質なソフトウェア開発を可能にし、リスクの最小化と開発効率/スピードの最大化を実現するソリューションで企業/団体を支援している。シノプシスはアプリケーション・セキュリティ・テストのリーディング・カンパニーとして高い評価を受けており、静的解析、ソフトウェア・コンポジション解析、動的解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース・ソフトウェア、アプリケーション動作の中に潜む脆弱性や欠陥を短時間で特定/修正することが可能となる。業界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOps（開発とセキュリティ確保と運用の連携）プロセスやソフトウェア開発ライフサイクルを通じて最適なセキュリティとクオリティを達成できるよう支援している企業はシノプシスのみである。

詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。

シノプシスについて

Synopsys, Inc.（Nasdaq上場コード:SNPS）は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域（Silicon to Software）をカバーするソリューションを提供している。電子設計自動化（EDA）ソリューションならびに半導体設計資産（IP）のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC（system-on-chip）設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。

詳細な情報は、https://www.synopsys.com/ja-jpより入手可能。