close search bar

Sorry, not available in this language yet

close language selection
«
»
 

新しいDevSecOpsの研究、SDLCを通してAppSecへの対応の必要性を強調

投稿者 on 火曜日, 10月 6, 2020

この調査結果により、開発プロセスでのセキュリティのシフトレフト(前倒し)、継続的なトレーニングによる開発チームの強化、および速度に悪影響を与えずに安全にコーディングできるように現在のプロセスを補完するソリューションのツール提供などの重要性が再確認されました。

解析会社ESGによる最新のe-book、SDLCを通してのアプリケーション・セキュリティによるシフトレフトの必要性を強調

セキュリティ・チームや開発チームの善意にもかかわらず、共通点を見つけることは大きな課題となることがあります。どちらの側も、しばしば競合する異なる指標に基づいて行動するため、意見を合わせることはさらに困難です。ほとんどのセキュリティ・チームがマイクロサービス駆動型アーキテクチャやコンテナの使用など、最新のアプリケーション開発プラクティスについての理解に欠けているという事実を踏まえると、チーム間のギャップはさらに大きくなります。

このギャップの規模、およびセキュリティ・チームによる最新の開発プラクティスおよびデプロイ・プラクティスの理解度を特定するために、Synopsysは、AppSecソリューションのデプロイメントと管理に関して、開発チームとサイバーセキュリティ・チーム間のダイナミクスへの洞察の文書化を主要なIT解析・リサーチ組織であるEnterprise Strategy Group(ESG)に委託しました。

サイバーセキュリティおよびアプリケーション開発において、製造、金融サービス、建設/エンジニアリング、およびビジネス・サービスなどの複数の業界を代表し、米国およびカナダ各地の378名の対象回答者の調査に基づき、この研究は開発のライフサイクルを通じてAppSecに総体的に対応する必要性を強調しています。

スピードが第一

たとえば、脆弱なコードを認識しながらもそれを本番環境へとプッシュしている組織の45%は、サイクルでその脆弱性が発見された段階が遅すぎて、時間内に解決できなかったためにやむなくそうしています。さらに回答者の43%は、スピーディーなアプリケーション開発を補完する統合がセキュリティ・プログラムの改善に最も重要であると述べています。

ただし、ツールの数を増やすことが答えではありません。回答者の72%は既に10個以上のツールを使用しており、そのツールから実用的なインテリジェンスを得るために、複雑性、時間、リソース、労力も増大しています。ツールの拡散により、多くの組織は既に使用している数多くのツールの統合と管理に苦労する中で、統合への投資を迫られています。

これらの調査結果により、開発プロセスでのセキュリティのシフトレフト(前倒し)、継続的なトレーニングによる開発チームの強化、および速度に悪影響を与えずに安全にコーディングできるようにするために現在のプロセスを補完するソリューションのツール提供などの重要性が再確認されました。

ESGの調査による主要な洞察

  • ほとんどの組織は、採用しているアプリケーション・セキュリティ・プログラムの有効性を信じていますが、組織の多くは依然として脆弱なアプリケーションを本番環境へとプッシュしています。調査の回答者の69%が、現在採用しているプログラムの有効性を1~10段階評価(10が最も有効)で8以上と評価しています。ただし、半分近くの組織が脆弱なコードを認識しながらも定期的にプッシュしており、大半(60%)が過去12か月にOWASP Top 10の脆弱性が関係する本番環境アプリケーションの悪用を経験しています。
  • DevOps統合は改善のための重要な要素です。回答者の4分の1以上(26%)は、異なるアプリケーション・セキュリティ・ベンダー・ツール同士の統合の難しさ、または統合の欠如を最も一般的な課題として挙げています。また、26%は現在使用しているアプリケーション・セキュリティ・ツールによって摩擦が生まれ、開発サイクルに遅れが生じていると答えています。回答者の4分の1近く(23%)は、一般的な課題として開発/DevOpsツールとの不適切な統合を挙げています。
  • 開発者はアプリケーション・セキュリティにおいて重要な役割を果たしますが、スキルとトレーニングに欠けています。回答者の3分の1近く(29%)は、現在のアプリケーション・セキュリティ・ツールによって特定された問題を軽減するための知識が、組織内の開発者に不足していると述べています。一方、開発者がセキュリティ・ツール内で使用可能なジャストインタイムのトレーニングを利用していないと答えた回答者はわずか17%でした。また、四半期ごとに少なくとも1回トレーニングに参加することが求められている開発者は29%のみです。
  • 組織はアプリケーション・セキュリティへの支出を増やすことを計画しています回答者の半数以上(51%)は、来年度のアプリケーション・セキュリティへの支出を増やすことを計画しています。44%は、クラウドへ向けたアプリケーション・セキュリティ投資をターゲットとする予定です。
  • AppSecツールの拡散により、多くの組織は統合への投資を迫られています。多くの組織は配備されている数多くのツールの統合と管理に苦労しています。管理のために膨大な数のリソースに指示を出す一方で、セキュリティ・プログラムの有効性は低下しています。72%が10個以上のツールを使用している中で、複雑性は主要な問題になります。そのため、3分の1以上は統合への投資に重点を置いています。

詳細については、e-book「モダンアプリケーション開発のセキュリティ」をダウンロードしてください。

今すぐダウンロード

この投稿に関連するタグ セキュリティ・リスクの管理.
 
Patrick Carey
投稿者

Patrick Carey

Patrick Carey

SEE AUTHOR ARCHIVE

More from セキュリティ・リスクの管理

Related Tags