SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Column

DevSecOpsが浸透しない日本企業 実現を阻むセキュリティ課題とは

Contrast Security Japan カントリーマネージャーが要因を指摘

 短い期間により多くのソフトウェアを世に送り出すニーズが高まるにつれて、新たな開発手法の1つとして注目を集めているのがDevSecOpsだ。コロナ禍を機にセキュリティに対する関心が高まる状況下においては、DevOpsにセキュリティを融合させたDevSecOpsの実現を目指している企業も多いだろう。そこで今回は、Contrast Security Japan 田中一成氏にDevSecOps実現を阻む要因と解決方法について尋ねた。

田中一成氏

田中 一成(たなか かずなり)氏
Contrast Security Japan カントリーマネージャー
国内SI企業や外資系企業で営業を経験した後、ArcSight、41st Parameter、SundaySkyなど主に米国シリコンバレーのスタートアップ企業のカントリーマネージャーとして6社の日本オフィスを設立。IT業界で約30年経験があり、ハードウェア、ソフトウェア、クラウド、セキュリティ、データベース、デジタルマーケティングなど様々なソリューションに精通。

新しい開発手法へ移行できない日本企業

 アメリカに本社を置くContrast Securityは、OWASP(Open Web Application Security Project)[※1]の創業メンバーの一人でもあるJeff Williams氏と、Aspect SecurityのArshan Dabirsiaghi氏が2014年に設立したサイバー・セキュリティベンダーだ。DAST(Dynamic Application Security Testing、動的解析)やSAST(Static Application Security Testing、静的解析)のメリットを組み合わせ、よりアジャイルな開発手法に対応するためのテスト手法として「IAST(Interactive Application Security Testing)」を掲げている。

 日本では2019年6月に本格的に展開しており、代理店を通じて大手SIerの開発プラットフォームに組み込んでもらうことを中心とした市場戦略を推し進めているという。一方で、多くのユーザー企業において、アジャイルやDevSecOpsをはじめとした開発手法はなかなか根付かないのが現状だ。

Contrast Securityでは、「IAST」「RASP」「SCA」を軸とした解決を目指している
Contrast Securityでは、「IAST」「RASP」「SCA」を軸とした解決を目指している
[画像クリックで拡大]

 多くの企業では長年にわたり協力会社へと開発を依頼するという方法がとられていることもあり、開発スピードを上げるためには越えなければならないハードルがいくつも存在する。Contrast Security Japanのカントリーマネージャーを務める田中一成氏は、「DevSecOpsなどに対応するためには、基本的に開発チームを社内に置く必要があります。しかしながら多くの日本企業では、ウォーターフォール型のような従来の開発手法をとっており、協力会社に開発を依頼し、開発後にセキュリティテストを実施して納品・運用というケースが見受けられます。一方で、アメリカは内製化が進んでおり、DevSecOpsのような手法をいち早く取り入れることに成功しています」と説明する。

 もちろん、日本でもDevSecOpsを取り入れようとする動きは見られており、特にコロナ禍を契機にDXを加速していくために必要だという声も聞かれるようになった。こうした内製化を重要視する動きが見られ始めている中で、前述した開発における企業体質以外に“セキュリティエンジニアの不足”も阻害要因として挙げられるという。

 協力会社へ開発を依頼している企業の中で、セキュリティについても外部へ委託しているケースは少なくないだろう。そのため、社内にセキュリティの専門部署が機能する状態で組織されることもなく、必然的にセキュリティエンジニアのような専門人材を育てるという環境が醸成されていないという現状につながる。こうした状況に危機感を抱いている企業が多い中で、大企業を中心にセキュリティエンジニアを採用する動きもでてきているという。

 田中氏は、「いきなり開発とセキュリティの両方を内製化するというのは難しいため、まずはセキュリティチームを社内に立ち上げることが多いでしょう。その中で、いかに協力会社を活用しながらもセキュリティを担保していくのかという新たな課題に悩まれている企業も少なくありません。実際に、他社がどのようにセキュリティチームを立ち上げ、運用しているのかをヒアリングしたいという要望もいただきます」と述べる。

 [※1] Open Web Application Security Project:Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティ(出典:OWASP Japanホームページより

次のページ
DevSecOpsを“セキュリティ”が阻む

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Column連載記事一覧

もっと読む

この記事の著者

岡本 拓也(編集部)(オカモト タクヤ)

1993年福岡県生まれ。京都外国語大学イタリア語学科卒業。ニュースサイトの編集、システム開発、ライターなどを経験し、2020年株式会社翔泳社に入社。ITリーダー向け専門メディア『EnterpriseZine』の編集・企画・運営に携わる。2023年4月、EnterpriseZine編集長就任。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/14562 2021/06/28 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング