DevSecOpsが浸透しない日本企業 実現を阻むセキュリティ課題とは

田中 一成（たなか かずなり）氏
Contrast Security Japan カントリーマネージャー
国内SI企業や外資系企業で営業を経験した後、ArcSight、41st Parameter、SundaySkyなど主に米国シリコンバレーのスタートアップ企業のカントリーマネージャーとして6社の日本オフィスを設立。IT業界で約30年経験があり、ハードウェア、ソフトウェア、クラウド、セキュリティ、データベース、デジタルマーケティングなど様々なソリューションに精通。

新しい開発手法へ移行できない日本企業

　アメリカに本社を置くContrast Securityは、OWASP（Open Web Application Security Project）^[※1]の創業メンバーの一人でもあるJeff Williams氏と、Aspect SecurityのArshan Dabirsiaghi氏が2014年に設立したサイバー・セキュリティベンダーだ。DAST（Dynamic Application Security Testing、動的解析）やSAST（Static Application Security Testing、静的解析）のメリットを組み合わせ、よりアジャイルな開発手法に対応するためのテスト手法として「IAST（Interactive Application Security Testing）」を掲げている。

　日本では2019年6月に本格的に展開しており、代理店を通じて大手SIerの開発プラットフォームに組み込んでもらうことを中心とした市場戦略を推し進めているという。一方で、多くのユーザー企業において、アジャイルやDevSecOpsをはじめとした開発手法はなかなか根付かないのが現状だ。

　多くの企業では長年にわたり協力会社へと開発を依頼するという方法がとられていることもあり、開発スピードを上げるためには越えなければならないハードルがいくつも存在する。Contrast Security Japanのカントリーマネージャーを務める田中一成氏は、「DevSecOpsなどに対応するためには、基本的に開発チームを社内に置く必要があります。しかしながら多くの日本企業では、ウォーターフォール型のような従来の開発手法をとっており、協力会社に開発を依頼し、開発後にセキュリティテストを実施して納品・運用というケースが見受けられます。一方で、アメリカは内製化が進んでおり、DevSecOpsのような手法をいち早く取り入れることに成功しています」と説明する。

　もちろん、日本でもDevSecOpsを取り入れようとする動きは見られており、特にコロナ禍を契機にDXを加速していくために必要だという声も聞かれるようになった。こうした内製化を重要視する動きが見られ始めている中で、前述した開発における企業体質以外に“セキュリティエンジニアの不足”も阻害要因として挙げられるという。

　協力会社へ開発を依頼している企業の中で、セキュリティについても外部へ委託しているケースは少なくないだろう。そのため、社内にセキュリティの専門部署が機能する状態で組織されることもなく、必然的にセキュリティエンジニアのような専門人材を育てるという環境が醸成されていないという現状につながる。こうした状況に危機感を抱いている企業が多い中で、大企業を中心にセキュリティエンジニアを採用する動きもでてきているという。

　田中氏は、「いきなり開発とセキュリティの両方を内製化するというのは難しいため、まずはセキュリティチームを社内に立ち上げることが多いでしょう。その中で、いかに協力会社を活用しながらもセキュリティを担保していくのかという新たな課題に悩まれている企業も少なくありません。実際に、他社がどのようにセキュリティチームを立ち上げ、運用しているのかをヒアリングしたいという要望もいただきます」と述べる。