　同レポートは、開発者、アプリケーション／セキュリティ専門家、DevOpsエンジニア、CISO、テクノロジー／サイバーセキュリティ／ソフトウェア開発の専門家などのITプロフェッショナル1019人を対象に、シノプシスのCyRC（Cybersecurity Research Center）と市場調査会社のCensuswideが共同で実施しているものだ。調査対象国は米国、イギリス、フランス、フィンランド、ドイツ、中国、シンガポール、日本となっている。

「世界のDevSecOpsの現状2023」の概要［クリックで拡大］出所：日本シノプシス

　ITシステムやWebアプリケーションの開発では、開発（Development）担当と運用（Operation）担当が緊密に連携する「DevOps」が一般的な手法として採用されている。同レポートがテーマとする「DevSecOps」では、DevOpsなソフトウェア開発サイクルの全てのフェーズにセキュリティ（Security）を統合することを指す。

　あらかじめ定めた仕様に合わせて作り込みを行う組み込み機器のソフトウェア開発でDevOpsは適用されていなかったが、通信が可能になるIoT（モノのインターネット）の浸透とプロセッサの性能向上によって、IoT化した組み込み機器に対してDevOpsやDevSecOpsも求められるようになっている。コンテナなどを活用したクラウドネイティブな組み込み機器の開発では必須の開発手法になるとみられている。

工業製品による成功体験の文化に捉われているかどうか

　今回のレポートでは、ソフトウェアのセキュリティテストを自動化で行うAST（アプリケーションセキュリティテスト）ツールや、DevSecOpsにおけるASTツールの活用で必要になるASPM（アプリケーションセキュリティ態勢管理）に対して高いニーズがあることが示された。回答者の約3分の2がASTツールは有用であると回答しており、ASTツールの不満を解消すべくASPMの利用が急速に増加しているという。

DevSecOpsにおけるASPM使用の増加［クリックで拡大］出所：日本シノプシス

　これ以上に興味深い結果となったのが、DevSecOpsに基づく開発体制についての米国、ドイツ、中国、日本の比較である。日本と比較するためにこれら3カ国を選んだ理由としては、米国はIT産業におけるベンチマーク、ドイツは産業構造が似ている国の代表、中国はIT産業において成長著しい国という位置付けになっている。なお、回答のあった組織は、米国128、ドイツ126、中国135、日本126である。

「世界のDevSecOpsの現状2023」に回答した米国、ドイツ、中国、日本の組織の業種構成［クリックで拡大］出所：日本シノプシス

　米国と日本の比較でみると、日本はセキュリティ成熟度モデル（CMMC）で最高となるレベル5の組織が少ない、セキュリティ管理実施組織が少ない、ASTツールをはじめとする自動化が遅れているという結果が得られた。また、ASTツールの利用が少ない一方で、異なるツールによるテスト結果を相関させたいという要求は高かった。そして、開発者によるセキュリティテストの実施率が低く、部門横断によるDevSecOpsチームの採用が少ないことも分かった。

4カ国におけるセキュリティ成熟度モデル（左）とセキュリティ自動化の導入状況（右）［クリックで拡大］出所：日本シノプシス

4カ国におけるASTツールの利用状況と課題感（左）とセキュリティ実施責任担当者（右）［クリックで拡大］出所：日本シノプシス

　これらは米国との比較結果だが、産業構造が似ている日本とドイツはDevSecOpsに対して保守的な傾向が似通っており、製造業の割合が日本やドイツよりも高い中国は、IT産業が成長していることもあってか米国と同様にDevSecOpsを積極的に取り入れている結果となった。日本シノプシスソフトウェア・インテグリティ・グループシニア・テクニカル・マーケティング・マネージャの松岡正人氏は「これらの結果課から見れば、DevSecOpsの導入と製造業の割合に直接関係があるとはいえない。それ以上に、工業製品で産業成長を成し遂げてきた歴史の長さと、その成功体験によって既存の文化に捉われているかどうかではないかと考えられる。日本とドイツと比べて工業製品で成長を謳歌（おうか）した時間の短い中国はそういった壁をもともと持っていないのではないか」と述べている。

⇒その他の「IoTセキュリティ」の記事はこちら

米国のSBOM整備は2023年以降に進むか、ライセンス競合の主因はもはやGPLではない
日本シノプシスは、商用ソフトウェアにおけるOSS（オープンソースソフトウェア）の利用状況を調査した「2023 オープンソース・セキュリティ＆リスク分析レポート」の結果について説明した。
日本におけるソフトウェアサプライチェーンセキュリティとSBOMの目的
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。第2回は、日本でのソフトウェアサプライチェーンセキュリティに関する取り組みの状況について紹介する。
「シフトレフト」でソフトウェア開発にセキュリティを組み込むべし
製造業でもより迅速なソフトウェア開発が求められるようになっているが、それと同時にセキュリティも満足させる必要がある。IT業界で広くうたわれてきたDevOpsやアジャイルといった開発手法にセキュリティを組み込んだ「DevSecOps」が求められているのだ。日本シノプシスの松岡正人氏は、DevSecOpsに向けて「シフトレフト」が必要になると説く。
ソフトウェアサプライチェーンセキュリティを「品質」で読み解く
米国と欧州を中心に法整備が進みつつある「ソフトウェアサプライチェーン」のセキュリティについて解説する本連載。最終回となる第3回は、SBOMの流通によってどんな「良いこと」と「悪いこと」が起こるかを整理しつつ、品質保証の枠組みへの取り込みについても考察する。
シフトレフトからシフトエブリウェアへ、全プロセスでソフトウェアテストが必須に
日本シノプシスは、BSIMM（Building Security In Maturity Model：セキュア開発成熟度モデル）の調査レポートの最新版「BSIMM13」について説明した。
米国大統領令の影響か？商用ソフトウェアのOSS由来脆弱性が減少傾向に
日本シノプシスは、商用ソフトウェアにおけるOSS（オープンソースソフトウェア）の利用状況を調査した「2022年オープンソース・セキュリティ＆リスク分析（Open Source Security and Risk Analysis：OSSRA）レポート」の結果について説明した。