SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Column

DevSecOpsが浸透しない日本企業 実現を阻むセキュリティ課題とは

Contrast Security Japan カントリーマネージャーが要因を指摘

 短い期間により多くのソフトウェアを世に送り出すニーズが高まるにつれて、新たな開発手法の1つとして注目を集めているのがDevSecOpsだ。コロナ禍を機にセキュリティに対する関心が高まる状況下においては、DevOpsにセキュリティを融合させたDevSecOpsの実現を目指している企業も多いだろう。そこで今回は、Contrast Security Japan 田中一成氏にDevSecOps実現を阻む要因と解決方法について尋ねた。

田中一成氏

田中 一成(たなか かずなり)氏
Contrast Security Japan カントリーマネージャー
国内SI企業や外資系企業で営業を経験した後、ArcSight、41st Parameter、SundaySkyなど主に米国シリコンバレーのスタートアップ企業のカントリーマネージャーとして6社の日本オフィスを設立。IT業界で約30年経験があり、ハードウェア、ソフトウェア、クラウド、セキュリティ、データベース、デジタルマーケティングなど様々なソリューションに精通。

新しい開発手法へ移行できない日本企業

 アメリカに本社を置くContrast Securityは、OWASP(Open Web Application Security Project)[※1]の創業メンバーの一人でもあるJeff Williams氏と、Aspect SecurityのArshan Dabirsiaghi氏が2014年に設立したサイバー・セキュリティベンダーだ。DAST(Dynamic Application Security Testing、動的解析)やSAST(Static Application Security Testing、静的解析)のメリットを組み合わせ、よりアジャイルな開発手法に対応するためのテスト手法として「IAST(Interactive Application Security Testing)」を掲げている。

 日本では2019年6月に本格的に展開しており、代理店を通じて大手SIerの開発プラットフォームに組み込んでもらうことを中心とした市場戦略を推し進めているという。一方で、多くのユーザー企業において、アジャイルやDevSecOpsをはじめとした開発手法はなかなか根付かないのが現状だ。

Contrast Securityでは、「IAST」「RASP」「SCA」を軸とした解決を目指している
Contrast Securityでは、「IAST」「RASP」「SCA」を軸とした解決を目指している
[画像クリックで拡大]

 多くの企業では長年にわたり協力会社へと開発を依頼するという方法がとられていることもあり、開発スピードを上げるためには越えなければならないハードルがいくつも存在する。Contrast Security Japanのカントリーマネージャーを務める田中一成氏は、「DevSecOpsなどに対応するためには、基本的に開発チームを社内に置く必要があります。しかしながら多くの日本企業では、ウォーターフォール型のような従来の開発手法をとっており、協力会社に開発を依頼し、開発後にセキュリティテストを実施して納品・運用というケースが見受けられます。一方で、アメリカは内製化が進んでおり、DevSecOpsのような手法をいち早く取り入れることに成功しています」と説明する。

 もちろん、日本でもDevSecOpsを取り入れようとする動きは見られており、特にコロナ禍を契機にDXを加速していくために必要だという声も聞かれるようになった。こうした内製化を重要視する動きが見られ始めている中で、前述した開発における企業体質以外に“セキュリティエンジニアの不足”も阻害要因として挙げられるという。

 協力会社へ開発を依頼している企業の中で、セキュリティについても外部へ委託しているケースは少なくないだろう。そのため、社内にセキュリティの専門部署が機能する状態で組織されることもなく、必然的にセキュリティエンジニアのような専門人材を育てるという環境が醸成されていないという現状につながる。こうした状況に危機感を抱いている企業が多い中で、大企業を中心にセキュリティエンジニアを採用する動きもでてきているという。

 田中氏は、「いきなり開発とセキュリティの両方を内製化するというのは難しいため、まずはセキュリティチームを社内に立ち上げることが多いでしょう。その中で、いかに協力会社を活用しながらもセキュリティを担保していくのかという新たな課題に悩まれている企業も少なくありません。実際に、他社がどのようにセキュリティチームを立ち上げ、運用しているのかをヒアリングしたいという要望もいただきます」と述べる。

 [※1] Open Web Application Security Project:Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティ(出典:OWASP Japanホームページより

次のページ
DevSecOpsを“セキュリティ”が阻む

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
Security Online Column連載記事一覧

もっと読む

この記事の著者

岡本 拓也(編集部)(オカモト タクヤ)

メディア部門 メディア編集部 EnterpriseZine編集を担当

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/14562 2021/06/28 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング