モダンアプリケーション開発のセキュリティ

このレポートは、Enterprise Strategy Group(ESG)が実施したサイバーセキュリティとアプリケーション開発の専門家を対象とした調査に基づいて、アプリケーションセキュリティソリューションの導入と管理に関して、開発チームとサイバーセキュリティチームの間のダイナミクスを検証しています。製造業、金融サービス、建設/エンジニアリング、ビジネスサービスなど、多くの業種が含まれています

レポートをダウンロード


本調査の主な目的

  • 開発時のアプリケーションのセキュリティ管理策に関するアプリケーション・セキュリティ・チームの購入意向を調査し、各ベンダーのさまざまなアプリケーション・セキュリティ・ソリューションに対する購買担当者の意向を評価する。
  • 最新の開発手法とデプロイ手法をセキュリティチームがどのレベルまで理解し、リスクを軽減するためにどのポイントでセキュリティ管理策が必要かを特定する。
  • アプリケーションセキュリティへの投資に影響する急所、および意思決定者がどのように購入決定の優先度と時期を決めているかを理解する。

調査結果の概要

セキュリティ vs. スピード
時間的なプレッシャーから、多くのチームが脆弱性のあるコードを本番環境にリリースしています。アプリケーションのセキュリティが開発領域にシフトしていく中で、チームはセキュリティとスピードという相反する目標のバランスを取るのに苦労しています。

DevOpsが重要
チームが DevOps を完全に取り入れているか、あるいは単に開発プロセスの自動化を進めているかにかかわらず、ほとんどのチームは、すでに使用しているツールで動作するソリューションを探しています。

開発者にはセキュリティトレーニングが必要
コンピュータサイエンスの大学では、カリキュラムの一部としてアプリケーションセキュリティの課程を必須とするものはほとんどありません。その結果、安全なコーディング方法に関する開発者のトレーニングの負担は、ギャップを埋めようと奮闘している雇用主にかかっています。

ツールの統合は最優先事項
今日の組織で使用されている無数の AppSec ツールや手法(静的分析、ソフトウェア・コンポジション解析、動的解析など)の結果を管理し、関連付けることは困難です。チームは、統一されたスイートで複数の形式の分析を提供するソリューションを探しています。