アプリケーション・セキュリティ・テスト工程が組み込まれているCI/CDワークフローは全体の半分に過ぎないことが判明
2018年4月25日 カリフォルニア州マウンテンビュー発 - シノプシス(Synopsys, Inc.、Nasdaq上場コード:SNPS)は本日、DevSecOps手法(開発担当者、セキュリティ担当者、運用担当者が連携して協力する開発手法)の進展と課題に関する最新の調査結果を公表した。CI/CD開発(継続的インテグレーション/継続的デプロイ)のワークフローにセキュリティ対策を組み込むことは、DevOpsチームにとって新たに差し迫ったパラダイムとなっている。シノプシスが451 Research社に委託した調査は、様々な業種にまたがる大企業の意思決定者350人を対象に行われ、調査結果の詳細はDevSecOps Realities and Opportunitiesにまとめられている。回答者の大半は、アプリケーション・セキュリティ・テストの重要性、それを実行することの意義も認識しているにもかかわらず、セキュリティ・テストが組み込まれたCI/CDワークフローは全体の半分に過ぎないことが明らかとなっている。
451 Research社 主席アナリスト Jay Lyman氏は、次のように語っている。「ソフトウェアの品質向上、コンプライアンス準拠、リスク回避などの要請から、DevOpsチームはCI/CDワークフローへのセキュリティ・テストの組み込みを開始していますが、まだまだその途上にあるというのが現状です。システム開発プロセスの早期段階にセキュリティ・テストを組み込むことによって、様々なリスクや開発やり直しといった問題から開放されることは明らかですが、多くの企業/団体では、まだセキュリティ・テストの統合が進んでいない状況です」
今日のDevOpsチームは、非常に大規模な開発体制の中で開発を行っており、より短納期でソフトウェアをリリースしなければならず、しかも新バージョンのリリースのたびに膨大なコード変更が待ち受けている。今回の調査回答者の63%は、DevOpsの導入によって、開発スピードを少なくとも従来の4倍は速めることができるはずだと考えているが、開発戦略が明確に定義され十分に周知されていない限り、セキュリティ・テストをこうした開発プロセスに統合して展開していくのは、混乱と困難を招く結果となるものと思われる。
企業/団体の多くは、(セキュリティ・テストをDevOps に組み込んで)DevSecOpsを導入することによって直面する課題として、自動化や一貫性の不足、開発期間の長期化、(脆弱性に関する)誤判定がもたらす混乱などを懸念しているが、今回の調査結果からは、セキュリティ・テスト自動化ツールをソフトウェア開発ライフサイクルの早期段階に組み込んで使用すれば、開発スピードのみならずソフトウェアのセキュリティとクオリティのレベルも向上できることが明らかとなっている。
既知の脆弱性にさらされているオープンソース・ソフトウェア・コンポーネントを洗い出すソフトウェア・コンポジション解析(SCA)のプロセスは、CI/CDワークフローに組み込まれなければならない最も重要なセキュリティ・テスト工程であることも今回の調査で浮き彫りとなった。注目すべきは、企業/団体の約40%が、SCAを実行していないと認めているか、オープンソース・ソフトウェア・コンポーネントは使用していないと主張している点である。Black Duck Software社(SCAのリーディング・カンパニー、2017年12月シノプシスが買収)の調査結果であるOpen Source Security and Risk Analysis reportでは、アプリケーション・ソフトウェアの95%以上で何らかのオープンソース・コンポーネントが使用されていることが判明しており、現状認識の欠如と言えるかも知れない。
シノプシス ソフトウェア・インテグリティ・グループ ジェネラル・マネージャー Andreas Kuehlmannは、次のように述べている。「DevSecOps体制の構築は、近代的で迅速な開発/デプロイ・モデルに不可欠な技術的な枠組みの一部としてセキュリティの概念を組み込むための絶好の機会と言えます。今回の調査は、DevOpsチームがセキュリティ・テスト自動化ツールとその最良の適用手法を採用することの重要性、またその際に直面するであろう課題を浮き彫りにしています。この調査で実証されたのは、DevSecOpsを成功に導くための不可欠な要素は、自動化/スピード/高い精度そしてCI/CDワークフローへの統合だということです。そしてこれは、当社がご提供しているアプリケーション・セキュリティ・ソリューションに組み込まれている要素にほかなりません」
調査結果の詳細は下記より入手可能。
https://www.synopsys.com/software-integrity/resources/analyst-reports/examining-devops.html
今回の調査結果を説明するWebセミナーが、451 Research社/シノプシスの共催で5月15日に予定されている。参加登録はこちら。
https://www.brighttalk.com/webcast/11447/309171?utm_source=pr
シノプシス・ソフトウェア・インテグリティ・プラットフォームについて
シノプシスは、ソフトウェア・インテグリティ・プラットフォームを通じて、ソフトウェアのクオリティとセキュリティを向上させ、それらに関するリスクを開発期間の長期化や開発効率の低下を引き起こすことなく最小化するための最先端のソリューションを提供している。シノプシスはアプリケーション・セキュリティ・テストのリーディング・カンパニーとして高い評価を受けており、スタティック解析、ソフトウェア・コンポジション解析、ダイナミック解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース・ソフトウェア、アプリケーション動作の中に潜む脆弱性や欠陥を短時間で特定/修正することが可能となる。業界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体が、DevSecOpsプロセスやソフトウェア開発ライフサイクルを通じて最大限のセキュリティとクオリティを達成できるよう支援している。
詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
Synopsys, Inc.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子設計自動化(EDA)ソリューションならびに半導体設計資産(IP)のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ・ソリューションの分野でも業界をリードしており、世界第15位のソフトウェア・カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)設計者、最高レベルの品質とセキュリティが要求されるアプリケーション・ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
詳細な情報は、http://www.synopsys.com/ja-jp より入手可能。
# # #
Synopsysは、Synopsys, Inc.の登録商標または商標です。
その他の商標や登録商標は、それぞれの所有者の知的財産です。
<お問い合わせ先>
日本シノプシス合同会社 フィールド・マーケティング・グループ 藤井 浩充
TEL: 03-6746-3940 FAX: 03-6746-3941