ブラック・ダック・ソフトウェアは11月27日、ソフトウェア・セキュリティ・テストの状況を調査した「世界のDevSecOpsの現状2024」の調査結果を発表した。
調査対象は、日本を含む世界8カ国の1000人以上のソフトウェア開発者、アプリケーション・セキュリティ (AppSec) の専門家、CISO、DevOpsエンジニア。ただし、回答総数などは公表されていない(末尾に回答者の概要を記した)。
調査は、全15問中14問がアプリケーション・セキュリティ・テストに関するものだが、15問目の「貴社にAI 生成コードを管理および保護するためのプロセスが導入されていることについて、どの程度の自信をお持ちですか」に関して、調査結果の分析が多く割かれている。
「調査結果の概要」では、次のように述べている。
「本レポートで最も際立った発見の1つは、AI革命がすでに終わっており、少なくともソフトウェア開発プロセスへのAI の組み込みに関しては、AIが勝利を収めたということです。ソフトウェア開発でのAI採用は転換点を通り越しており、何らかの形でAIアシスタンスを使用している調査回答者は90%を上回りました」
ただし、「このAI の採用は、新たな機能と新たなセキュリティ上の考慮事項の両方をもたらします」として、「AI の採用率は高いものの、AI生成コードに関する自社のポリシー、管理、テストに強い自信がある回答者はわずか24%であり(67%がAI生成コードのセキュリティ確保に懸念)、この領域での自動化プロセスに対する差し迫った必要性が示されています。実際のところ、AI支援コーディングによって開発は加速する可能性がありますが、それでなくでもペースを合わせることが難しいセキュリティ・プロセスは、自動化しない限り、さらに遅れることになります」と指摘する。
対応策として、
・自社のツール・スタックを吟味する
・自社の自動化レベルを評価する
・AIガバナンスを今すぐ確立する
を挙げ、以下のように具体的な提言を行っている。
自社のツール・スタックを吟味する
・自社のツールとプロセスを評価する。ツールの集約とテスト結果の統合を目指す。
・実績と知識を持つプライマリ・ベンダーを選定し、異なるツールを包括的な一体型ツールに統一する。それにより、できる限りツールの急増と複雑化を抑える。
・ツールの統合、ワークフローの自動化、結果の正規化/優先順位付けを目的として、アプリケーション・セキュリティ態勢管理 (ASPM) ソリューションの実装を調査する。
自社の自動化レベルを評価する
・自動化されたセキュリティ・チェックのCI/CDパイプラインへの統合について調査する。
・ビルトイン・セキュリティ・ポリシーを備えたInfrastructure-as-Code (IaC)の実装を検討する。
・リアルタイム・セキュリティ・フィードバックと優先順位付けされた修正ガイダンスに対応するIDEプラグインを開発者に提供し、修正を迅速化し、開発者のセキュリティ・スキルを育成する。
AIガバナンスを今すぐ確立する
・静的アプリケーション・セキュリティ・テスト (SAST) は、開発プロセスの早い段階でコードの欠陥を効果的に特定する。AI生成コードは、トレーニング・データに含まれるコードの欠陥を引き継ぐおそれがあるため、その検査にSASTが欠かせない。
・成功を収めるのは、本レポートに示された課題を、障害としてではなく、変革と改善のためのチャンスと見なす組織。このような組織は、変化するDevSecOps環境に対して意欲的に適応するだけでなく、これを自ら新しく形づくっていける。開発チームは、プロンプト・エンジニアリングという形で、このコンテキストをAIツールに提供できるが、やはり制限はある。アプリケーションで期待どおりの機能を安全に実行するには、アプリケーション・セキュリティ・テストを利用する必要がある。
• 理想的には、3つのセキュリティ・テスト・ツール (SAST、SCA、DAST) のすべてを一元化プラットフォーム上で実行するか、ASPMソリューションを介して管理する。
・ブラック・ダック・ソフトウェア「世界のDevSecOpsの現状2024」
https://www.blackduck.com/ja-jp/company/newsroom/2024-11-27.html
[i Magazine・IS magazine]
