ニュースリリース - 2023年11月14日

シノプシス、世界のDevSecOpsの現状を調査した最新レポートを発表

企業/団体の80%以上が、デプロイ済みソフトウェアに潜んでいた重大なセキュリティ問題のため、過去1年間にDevOpsの実施スケジュールに影響が出たと回答

2023年11月14日東京発 - シノプシス（Synopsys, Inc.、Nasdaq上場コード:SNPS）は本日、ソフトウェア・セキュリティに影響を与える戦略、ツール、プラクティスを調査したレポート「世界のDevSecOps の現状 2023」を発表した。この最新レポートは、開発者、アプリケーション・セキュリティ専門家、DevOpsエンジニア、CISO、テクノロジー/サイバーセキュリティ/ソフトウェア開発の専門家など、世界中のITプロフェッショナル1,000人以上を対象に市場調査会社Censuswide社が実施した調査に基づいてシノプシス・サイバーセキュリティ・リサーチ・センター（CyRC）が発行している。米国、イギリス、フランス、フィンランド、ドイツ、中国、シンガポール、日本から回答を得た。

レポートでは回答者の 80％以上が、デプロイ済みのソフトウェアに潜んでいた重大なセキュリティ問題のため過去1年間にDevOpsの提供スケジュールに影響が出たと回答している。ソフトウェア開発ライフサイクル（SDLC）の各フェーズを通じてセキュリティ・テストを組み込むことに重点を置いたフレームワークである DevSecOps を実施することは、本番のアプリケーションにおける重大な脆弱性や悪用可能なセキュリティ問題の量を削減するための確実な方法である。

シノプシス　ソフトウェア・インテグリティ・グループ　ジェネラル・マネージャー　Jason Schmittは、次のように述べている。「企業/団体の大半（91%）はDevSecOpsの手法をある程度導入してはいるものの、特に大きな組織の場合は、その手法を効果的に実行する際にいくつかの壁に直面しています。具体的には、世界中の組織が、チームが使用する複数のアプリケーション・セキュリティ・テスト・ツールの結果を統合し、優先順位を付けるプロセスで苦労していることが分かっています。また、インフラストラクチャ・アズ・コード（Infrastructure-as-Code）を通じてセキュリティとコンプライアンス・ポリシーを自動的に実施するプラクティスについては、課題を感じているものの、回答者の最も多くがセキュリティ・プログラム全体の成功に寄与した重要な要因として挙げていました」

調査から得られた主な事項は以下の通り。

• ほとんどのセキュリティ専門家が既にAIを利用している一方、多くのセキュリティ専門家がそのリスクを警戒

調査回答者の過半数（52%）が、組織のソフトウェア・セキュリティ対策を強化するためにAIを積極的に活用していると回答している。しかし、AIベースのサイバーセキュリティ・ソリューションの潜在的な欠陥や問題について“非常に懸念している”または“やや懸念している”と回答した人は76%に上った。

• ほとんどの組織で、重大なセキュリティ問題の解決に数週間以上かかっている

回答者の28%が、デプロイ済みのアプリケーションに見つかった重要なセキュリティ・リスクや脆弱性へのパッチ適用に2、3週間かかると回答している。また、セキュリティ攻撃のほとんどがアプリケーションの公開から数日以内に発生するにもかかわらず、回答者の20%は1ヶ月以上かかると答えた。

• アプリケーション・セキュリティ・テスト・ツールは、回答者の少なくとも3分の2にとって有用

動的アプリケーション・セキュリティ・テスト（DAST）、インタラクティブ・アプリケーション・セキュリティ・テスト（IAST）、静的アプリケーション・セキュリティ・テスト（SAST）、ソフトウェア・コンポジション解析（SCA）など、アプリケーション・セキュリティに関するツールやプラクティスの有用性を尋ねたところ、少なくとも回答者の3分の2がいずれも有用であると評価している。最も評価の高いアプリケーション・セキュリティ・ツールはSASTで、72%が有用であると回答している。次いで、IAST（69%）、SCA（68%）、DAST（67%）となっている。

• セキュリティ・テストの責任は、社内のセキュリティ・チームと開発/エンジニアリング・チームが等しく分担

ビジネス・クリティカルなアプリケーションや継続的インテグレーション（CI）パイプラインのセキュリティ・テストの実施について、ソフトウェア開発者やエンジニア（45%）は、社内のセキュリティ部門メンバー（46%）と同様に担当する傾向がある。また、3分の1（33%）の組織は、内部チームの作業を補完するために社外のコンサルタントを活用している。

世界のDevSecOps の現状 2023の詳細は下記より入手可能

https://www.synopsys.com/ja-jp/software-integrity/resources/analyst-reports/state-of-devsecops.html?cmp=pr-sig&utm_medium=referral

関連ブログは下記より閲覧可能

https://www.synopsys.com/ja-jp/blogs/software-security/devsecops-research-2023-japan.html?cmp=pr-sig&utm_medium=referral

シノプシス　ソフトウェア・インテグリティ・グループについて

シノプシスのソフトウェア・インテグリティ・グループは、ソフトウェアを開発/提供するための手法の転換を実現する統合ソリューションを提供している。これにより開発チームは、リスクを最小限に抑えながらイノベーションを加速することが可能となる。シノプシスが業界をリードするソフトウェア・セキュリティ対策ツール・ポートフォリオならびにサービスは、世界で最も包括的なソリューションであるだけでなく、サードパーティー並びにオープンソースのツールとの相互運用も実現している。そのため、企業/団体は、現在使用している開発ソリューションを活用しつつ、自社に最適なセキュリティ対策手法を構築することができる。ソフトウェアの信頼性確保に必要となるあらゆる開発ソリューションを提供している企業はシノプシスのみである。

詳細な情報は、https://www.synopsys.com/ja-jp/software-integrity.htmlより入手可能。

シノプシスについて

Synopsys, Inc.（Nasdaq上場コード:SNPS）は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体設計からソフトウェア開発に至る領域（Silicon to Software）をカバーするソリューションを提供している。電子設計自動化（EDA）ソリューションならびに半導体設計資産（IP）のグローバル・リーディング・カンパニーとして長年にわたる実績を持ち、業界で最も広範囲をカバーしたアプリケーション・セキュリティ・テスト・ソリューションならびにサービスを提供しているS&P 500カンパニーである。シノプシスは、最先端の半導体を開発しているSoC（system-on-chip）設計者、よりセキュアでハイ・クオリティなコードを開発しているソフトウェア開発者に、革新的製品の開発に欠かせないソリューションを提供している。

詳細情報は、https://www.synopsys.com/ja-jpより入手可能。