製造業大国の日本とドイツと中国の違い、DevSecOpsの現状比較から見えるものIoTセキュリティ

日本シノプシスは、ソフトウェアセキュリティに影響を与える戦略/ツール/プラクティスについて調査したレポート「世界のDevSecOpsの現状2023」について説明した。

» 2023年11月15日 07時00分 公開
[朴尚洙MONOist]

 日本シノプシスは2023年11月14日、オンラインで会見を開き、ソフトウェアセキュリティに影響を与える戦略/ツール/プラクティスについて調査したレポート「世界のDevSecOpsの現状2023」について説明した。

 同レポートは、開発者、アプリケーション/セキュリティ専門家、DevOpsエンジニア、CISO、テクノロジー/サイバーセキュリティ/ソフトウェア開発の専門家などのITプロフェッショナル1019人を対象に、シノプシスのCyRC(Cybersecurity Research Center)と市場調査会社のCensuswideが共同で実施しているものだ。調査対象国は米国、イギリス、フランス、フィンランド、ドイツ、中国、シンガポール、日本となっている。

「世界のDevSecOpsの現状2023」の概要 「世界のDevSecOpsの現状2023」の概要[クリックで拡大] 出所:日本シノプシス

 ITシステムやWebアプリケーションの開発では、開発(Development)担当と運用(Operation)担当が緊密に連携する「DevOps」が一般的な手法として採用されている。同レポートがテーマとする「DevSecOps」では、DevOpsなソフトウェア開発サイクルの全てのフェーズにセキュリティ(Security)を統合することを指す。

 あらかじめ定めた仕様に合わせて作り込みを行う組み込み機器のソフトウェア開発でDevOpsは適用されていなかったが、通信が可能になるIoT(モノのインターネット)の浸透とプロセッサの性能向上によって、IoT化した組み込み機器に対してDevOpsやDevSecOpsも求められるようになっている。コンテナなどを活用したクラウドネイティブな組み込み機器の開発では必須の開発手法になるとみられている。

工業製品による成功体験の文化に捉われているかどうか

 今回のレポートでは、ソフトウェアのセキュリティテストを自動化で行うAST(アプリケーションセキュリティテスト)ツールや、DevSecOpsにおけるASTツールの活用で必要になるASPM(アプリケーションセキュリティ態勢管理)に対して高いニーズがあることが示された。回答者の約3分の2がASTツールは有用であると回答しており、ASTツールの不満を解消すべくASPMの利用が急速に増加しているという。

DevSecOpsにおけるASPM使用の増加 DevSecOpsにおけるASPM使用の増加[クリックで拡大] 出所:日本シノプシス

 これ以上に興味深い結果となったのが、DevSecOpsに基づく開発体制についての米国、ドイツ、中国、日本の比較である。日本と比較するためにこれら3カ国を選んだ理由としては、米国はIT産業におけるベンチマーク、ドイツは産業構造が似ている国の代表、中国はIT産業において成長著しい国という位置付けになっている。なお、回答のあった組織は、米国128、ドイツ126、中国135、日本126である。

「世界のDevSecOpsの現状2023」に回答した米国、ドイツ、中国、日本の組織の業種構成 「世界のDevSecOpsの現状2023」に回答した米国、ドイツ、中国、日本の組織の業種構成[クリックで拡大] 出所:日本シノプシス

 米国と日本の比較でみると、日本はセキュリティ成熟度モデル(CMMC)で最高となるレベル5の組織が少ない、セキュリティ管理実施組織が少ない、ASTツールをはじめとする自動化が遅れているという結果が得られた。また、ASTツールの利用が少ない一方で、異なるツールによるテスト結果を相関させたいという要求は高かった。そして、開発者によるセキュリティテストの実施率が低く、部門横断によるDevSecOpsチームの採用が少ないことも分かった。

4カ国におけるセキュリティ成熟度モデル4カ国におけるセキュリティ自動化の導入状況 4カ国におけるセキュリティ成熟度モデル(左)とセキュリティ自動化の導入状況(右)[クリックで拡大] 出所:日本シノプシス
4カ国におけるASTツールの利用状況と課題感4カ国におけるセキュリティ実施責任担当者 4カ国におけるASTツールの利用状況と課題感(左)とセキュリティ実施責任担当者(右)[クリックで拡大] 出所:日本シノプシス

 これらは米国との比較結果だが、産業構造が似ている日本とドイツはDevSecOpsに対して保守的な傾向が似通っており、製造業の割合が日本やドイツよりも高い中国は、IT産業が成長していることもあってか米国と同様にDevSecOpsを積極的に取り入れている結果となった。日本シノプシス ソフトウェア・インテグリティ・グループ シニア・テクニカル・マーケティング・マネージャの松岡正人氏は「これらの結果課から見れば、DevSecOpsの導入と製造業の割合に直接関係があるとはいえない。それ以上に、工業製品で産業成長を成し遂げてきた歴史の長さと、その成功体験によって既存の文化に捉われているかどうかではないかと考えられる。日本とドイツと比べて工業製品で成長を謳歌(おうか)した時間の短い中国はそういった壁をもともと持っていないのではないか」と述べている。

⇒その他の「IoTセキュリティ」の記事はこちら

Copyright © ITmedia, Inc. All Rights Reserved.