GitLab による新しい DevSecOps 調査によると、開発者の 65% がコード テストの取り組みに人工知能と機械学習を使用しているか、今後 3 年以内に使用することを計画しており、ソフトウェア開発プロセスの自動化に向けた大きな変化の可能性を示唆しています。
GitLabの第7回年次グローバルDevSecOpsレポートでは、金融サービス、自動車、ヘルスケア、通信、テクノロジー業界の5,000人以上のITリーダー、CISO、開発者を対象に調査を実施しました。市場調査会社Savantaが2023年3月に実施したこの調査の目的は、DevSecOps導入における成功、課題、優先事項を理解することでした。
ジャンプ先:
- AIとMLへの依存度の高まり
- 開発者とセキュリティ専門家の課題
- 「左シフト」のトレンド
- セキュリティプロフェッショナルにとって最も重要なスキル
- AI/MLが雇用にどのような影響を与えるかという懸念
- リーダーがDevSecOpsを強化する方法
AIとMLへの依存度の高まり
GitLabのレポートの主要な調査結果には、ソフトウェア開発とセキュリティワークフローにおけるAI/MLの導入が加速し続けており、ソフトウェア開発者の62%がコードチェックにAI/MLを使用しており(2022年の51%から増加)、テストプロセスでボットを使用しているソフトウェア開発者は53%で、昨年の39%から増加しているという事実が含まれていました。
GitLabのレポートによると、組織はソフトウェア開発ライフサイクルにセキュリティを早期に組み込み始めており、AI/MLはコードの脆弱性特定において重要な役割を果たしていることが明らかになりました。DevSecOpsプラットフォームを使用している開発者は、使用していない開発者よりも、テストに自動化とAI/MLを導入している可能性が高いことが調査で明らかになりました。
開発者とセキュリティ専門家の課題
ツールチェーンの複雑さ
開発者やセキュリティ専門家は、業務の一環として使用することが求められる様々なツールやアプリケーションをうまく使いこなすという課題に直面し続けています。特にセキュリティ専門家にとって、ツールチェーンの管理は大きな課題です。
GitLab の調査によると、セキュリティ担当者の 57% が 6 つ以上のツールを使用していると報告しているのに対し、開発者では 48%、運用担当者では 50% でした。
それだけでなく、セキュリティ専門家のツールチェーンも拡大しているようです。GitLabの2022年版グローバルDevSecOpsレポートによると、セキュリティ担当者の54%がワークフローで2~5種類のツールを使用していると回答し、35%が6~10種類のツールを使用していると回答しました。2023年には、これらの数字はそれぞれ42%と43%に増加しました。
一貫したセキュリティ監視
予想通り、セキュリティ専門家が使用するツールの多様化により、一貫した監視の維持が困難になっており、セキュリティ専門家の26%がこれを課題として挙げています。同様に、セキュリティ回答者の26%は、統合されたすべてのツールから一貫した洞察を引き出すことが難しいと回答し、3分の2(66%)がその結果、ツールチェーンを統合したいと考えていると回答しています。
調査では、DevSecOps チーム間でセキュリティが共通の責任であるという認識が高まっていることが示され、調査対象となったセキュリティ専門家の 71% が、開発者がすべてのセキュリティ脆弱性の 4 分の 1 以上を把握していると報告しており、これは 2022 年の 53% から増加しています。
「左シフト」のトレンド
このレポートでは、部門横断的なコラボレーションへの移行が強調されており、セキュリティ専門家の 38% がセキュリティに重点を置いたチームの一員であると報告しており、2022 年には 29% でした。
GitLabによると、この傾向は、ソフトウェア開発ライフサイクルのより早い段階でセキュリティを組み込むという業界の動向、いわゆる「シフトレフト」を反映しています。このアプローチにより、開発、セキュリティ、運用の各チームがサイロ化された状態で作業するのではなく、より効率的に連携できるようになります。
セキュリティに関する回答者の 85% が 2022 年と同等かそれ以下の予算を報告しており、技術チームはこれまで以上に予算を有効に活用する必要があります。
参照: DevSecOps にとってシフトレフトが最優先事項である理由
このレポートに関するプレスリリースで、GitLabの最高製品責任者であるDavid DeSanto氏は、DevSecOpsのツールと方法論により、ツールチェーンを統合してコストを削減することで組織はセキュリティと効率性を向上させ、最終的には開発チームがミッションクリティカルな責任と斬新なソリューションに集中できるようになると述べています。
「世界中の組織は、より少ないリソースでより多くの成果を上げる方法を模索しています。つまり、競争力を維持するための機会を見出す上で、効率性とセキュリティは両立しないということです」とデサント氏は述べています。
「GitLabの調査によると、DevSecOpsツールと方法論により、経営陣は分散したツールチェーンをより安全に統合し、支出を削減できると同時に、開発チームがミッションクリティカルな責任と革新的なソリューションに時間を費やせるようになることが示されています。」
参照:少ないリソースでより多くの成果を上げようと奮闘しているのは、セキュリティ チームだけではありません。
セキュリティプロフェッショナルにとって最も重要なスキル
AIとMLがソフトウェア開発ライフサイクルの不可欠な要素となるにつれ、組織はセキュリティチームが新しいテクノロジーを最大限に活用するための適切なスキルとツールを備えていることを確認する必要があります。しかし、GitLabは、セキュリティ専門家がキャリア目標を変更する中で、AIとMLが他の影響力の大きい分野と競合していることを発見しました。
参照:さまざまな DevOps のキャリアとキャリアパスについて学ぶ
2022 年、セキュリティ専門家は、開発者や運用専門家よりも、キャリアアップのために AI/ML が最も重要なスキルであると認識しました。
今年、セキュリティ専門家の約4分の1(23%)がAI / MLを主要スキルとして選択しましたが、ソフトスキル(31%)、主題の専門知識(30%)、指標と定量的洞察(27%)をより重視しました。これは、専門家が現代のセキュリティの課題を乗り越えるためには多角的なスキルセットが必要であることを認識していることを示しています。
AI/MLが雇用にどのような影響を与えるかという懸念
ソフトウェア開発サイクルにおける AI と ML の導入を加速させることにはある程度の抵抗があり、リーダーはこれに慎重に対処する必要があります。
他の業界と同様に、GitLab の調査では、技術専門家が AI/ML が自分の仕事にどのような影響を与えるかについて懸念していることがわかりました。セキュリティ回答者の 3 分の 2 (67%) は、AI/ML 機能が自分の仕事に及ぼす影響について懸念しており、28% は「非常に」または「極めて」懸念していると回答しています。
懸念を表明した回答者のうち、25%はAI/MLによってエラーが発生し、業務が困難になるのではないかと懸念していると回答しました。一方、29%はAI/MLによって求人数が減少することを懸念し、23%はAI/MLによって自分のスキルが陳腐化することを懸念しました。
リーダーがDevSecOpsを強化する方法
AI/MLのトレーニングとツールに投資する
組織は、ソフトウェア開発とセキュリティ ワークフローで AI と ML を効果的に活用し、自動化のメリットを最大限に引き出して効率を向上させるために必要なスキルとツールをセキュリティ チームに提供することを優先する必要があります。
部門横断的なコラボレーションを促進する
開発、セキュリティ、運用チーム間の連携を促進することでシフトレフトのアプローチを奨励し、根本からセキュリティを組み込んだ、より合理化され効率的なソフトウェア開発ライフサイクルを実現します。
ツールチェーンを統合し合理化する
セキュリティ専門家は複数のツールを使い分けており、それが複雑さを増しています。ツールチェーンの統合と簡素化に注力することで、効率性を向上させ、摩擦とコストを削減し、セキュリティチームが重要な責務に集中できるようになります。
