「セキュリティを確保してのソフトウェア開発の足かせは企業文化」、米CAが調査

　米CA Technologiesが実施した調査は、世界15カ国（米、ブラジル、英、仏、独、スペイン、イタリア、スイス、豪、日本、中国、印、香港、シンガポール、韓国）のIT部門と業務部門の管理職以上の1279人。全員を対象にしたオンライン調査に加え、業界幹部への電話インタビューを実施した。

　調査結果によれば、回答者の58％が「自社の企業文化やスキル不足が足かせとなって、ソフトウェア開発工程にセキュリティテストとその評価の工程を組み込めていない」とした。一方で、「自社の文化や慣行が開発担当者、運用担当者、セキュリティ担当者の連携を促進している」の回答は24％にとどまった。回答者のおよそ4分の1が、「ソフトウェアのセキュリティ脆弱性の評価、改善に必要な時間を確保するために上級管理職がソフトウェアを市場に投入する時期を遅らせ、適切なタイミングを逃している」としている。

　ソフトウェア開発プロジェクトにおいては、機能の実現に加え、セキュリティ強度の確保が不可欠になっている。開発から運用までの各段階に携わるすべてのエンジニアがセキュリティに取り組む必要がある。こうした体制の確立をCAは「DevSecOps」と呼び、そのための製品群の強化に取り組んでいる。しかし利用企業の現場では、技術とは関係ない”文化”が障害になり、DevSecOpsが浸透しづらいのが現状のようだ。

　とはいえ、回答者の34％は、DevSecOpsのような体制を「確立できている」とする。そうした回答者の多くは、「セキュリティが新たなビジネスチャンスになり得る」と考えている。DevSecOpsの体制を確立できていない回答者と比べ、この問に同意する回答者は2倍以上いる。

　DevSecOpsの体制を確立できている企業は、そうでない企業に比べて「利益成長率が50％高く、売上高は40％高い」という結果も出た。さらに、DevSecOpsを確立している企業は、アプリケーションを頻繁に更新しながらセキュリテストを継続できる企業数が2.6倍、競合他社を上回る成長率を記録している企業が2.5倍多いという結果も出ているという。