日本シノプシスが11月14日、「DevSecOps調査レポート2023年版」を公表した。セキュリティに携わる米国とイギリス、フランス、日本など7カ国のIT 専門家1019人に聞いたもの。DevSecOps とは、開発と運用を一体化したチームにセキュリティ文化を浸透させること。

　調査から、AST（自動化セキュリティ・ツール）に対する不満が高まっていることが分かったという。「解決の優先順位が分からない」、「パフォーマンスが低い」、「コストがROIに見合わない」、「信頼性が低い」などが理由だ。もちろん、ばらつきのないテストができるなど自動化のメリットを挙げるものの、不満が募る一方なのだろう。

　現在使用しているソフトウエア・セキュリティ・プログラム/イニシアティブに最も当てはまる成熟度もやや低い。5段階の中で、理想はレベル4（管理、監視している）あるいはレベル5（継続的に分析、改善している）になるが、最も多いのはレベル３（プロセスが標準化している）になる。問題は、PDCAを回せているかだ。

　海外との比較でみると、レベル5の成熟度の割合が米国（14％）と中国（18％）に対して、日本は5％弱と極めて少ない。1つは、セキュリティリスク管理を実施する企業が少ないこと。２つめは、ASTの活用が少ないこと。３つめは、セキュリティテストの実施の少なさにある。さらに、DevSecOpsチームを支える組織が部門横断になっていることにもあるという。

　同社は「サイロ化された組織」を、日本企業の課題と指摘し、「壁を取り払って、コミュニケーションを活性化させること」を説く。もちろん、開発の段階からテストし、品質セキュリティを評価することが重要になる。もう１つは、プログラマがセキュリティを気にしながらコードを書きたくないこと。ここは、効率化の悪化を訴えるしかない。もちろん最適なツールを用意することだという。（田中克己）