今日のアプリケーション开発现场で问题となりつつあるセキュリティ対策の倾向と课题が调査会社贰厂骋の実施した调査で明确に
2020年8月6日 &苍产蝉辫;カリフォルニア州マウンテンビュー発 - シノプシス(草榴社区.、狈补蝉诲补辩上场コード:SNPS)は本日、“Modern Application Development Security” eBookを刊行した。Enterprise Strategy Group(ESG)がサイバーセキュリティやアプリケーション?ソフトウェア開発のプロフェッショナルに対して実施した調査結果をまとめたこのeBookでは、セキュリティ?チームが理解している今日的な開発/適用の実行レベルや、リスク低減のために必要なセキュリティ対策が明らかになっている。それによると、調査回答者の約半数(48%)が開発期間のプレッシャーから、アプリケーション?ソフトウェアに脆弱性が残っていると判っていながら製品化に踏み切っている。また43%を占める回答からは、アプリケーション?セキュリティ対策の改善には、アプリケーション短期開発を支える統合ソリューションが最も重要であると考えていることも判明した。
“Modern Application Development Security” eBookは、下記より無償でダウンロードできる。
/software-integrity/resources/analyst-reports/modern-application-development.html?cmp=pr-sig
ESGのシニア?アナリスト Dave Gruber氏は、次のように語っている。「先進的な開発プロセスでは、DevSecOps(開発とセキュリティ確保と運用の連携)により、セキュリティを開発プロセスの最前線そして中心に据えています。その一方で、セキュリティ対策チームとアプリケーション開発チームの取り組み基準が異なっているため、目標達成に向けた連携が困難になっているという実態もあります。殆どのセキュリティ対策チームに今日のアプリケーション開発の実態に対する理解が欠如しているという事実が、事態を更に深刻にしています。互いに独立した最小コンポーネントに分割したアプリケーションを組み合わせて一つのサービスを提供するソフトウェア開発手法であるマイクロサービス?アーキテクチャや、コンテナ化したアプリケーションを継続的デリバリで使用する方式とクラウド?ベンダ経由で適正な量と時間だけコンピューティング?リソースを活用するサーバーレス方式を組み合わせるアーキテクチャへの移行により、開発者がソフトウェア?コードを如何にして作成しテストし使用していくかという視点での原動力が生まれています」
シノプシスは、先進のITアナリスト/リサーチャー集団であるESGに委託して、調査結果から得られた洞察を、アプリケーション?セキュリティ?ソリューションの採用と管理に向けた開発チームとセキュリティ対策チームの動きとしてまとめた。ESGは、資格要件を満たしたサイバー?セキュリティ?プロフェッショナル 378名に対して、セキュリティ?アプリケーション開発テクノロジに関する洞察、それについての責任について調査した。また、セキュアな開発ツールや開発手法の構築に関わっているアプリケーション開発プロフェッショナルに対しても調査を行った。調査対象者が従事している企業/団体は、米国およびカナダの製造業/金融業/建設業/エンジニアリング業/ビジネスサービス業/その他など多岐に渡る业界を網羅している。
シノプシス ソフトウェア?インテグリティ?グループ プロダクト?マーケティング?ディレクター Patrick Careyは、次のように述べている。「今回の調査結果から、企業/団体は開発ライフサイクルを通してアプリケーション?セキュリティの問題に対処していく必要があることが浮き彫りになりました。脆弱性が残っていると判っていながら製品化に踏み切っている企業/団体のうち45%は、その理由として、それらの脆弱性が開発期間のかなり後期段階で発見されたため修正作業を行うと納期に間に合わなくなる、といった点を挙げています。このことから再確認できることは、セキュリティ対策プロセスを開発工程の早期段階に前倒しすることの重要性です。すなわち、現状の開発工程を補完できるセキュリティ対策ツールの活用や継続的なトレーニングを開発部門に徹底することです。それによって開発スピードを遅らせることなくセキュアなコードを開発することが可能になるのです」
今回の调査で注目されるポイントは以下のような项目である。
回答者の69%は、現在のセキュリティ?プログラムの有効性を0から10(10が最高レベル)の中の8と評価している。現実には、約半数の企業/団体で脆弱性の残ったコードのリリースが日常的に行われており、多くの企業/団体で過去12か月の間にOWASP Top 10にリストアップされている脆弱性を含むセキュリティ上の弱点を抱えたアプリケーションの製品化が行われている。
回答者の1/4以上が、现在使用しているアプリケーション?セキュリティ対策ツールが开発ライフサイクルをスローダウンさせるなどの轧轢をもたらしていると考えている。その一方で23%は、开発环境への顿别惫翱辫蝉ツールの统合が不十分であることが问题点であると认めている。さらに回答者の26%からは、共通するセキュリティ対策の课题として、异なるアプリケーション?セキュリティ?ソリューション?ベンダのツール群を统合することの困难さが挙げられている。
约1/3(29%)は、使用中のアプリケーション?セキュリティ対策ツールで问题点が検出されるケースを最小化するための知识を自社の开発者が持っていないと回答している。しかも回答者の17%は、自社の开発者が、セキュリティ対策ツールが提供しているトレーニングを间に合わせ的にしか活用しておらず、少なくとも4半期に1回のトレーニングに参加するよう义务付けられている开発者は29%に过ぎないとしている。
回答者の半数以上(51%)は、今后12か月间でアプリケーション?セキュリティ対策のための予算を大幅に増やす计画であると述べている、また44%の回答者は、クラウドを活用したアプリケーション?セキュリティ投资を予定している。
多くの公司/団体では、多岐にわたるツールの适切な集约や管理に苦戦しており、それらを管理するためのリソースが机能せず、セキュリティ対策プログラムの有効性が失われる结果に陥っている。10种类以上のツールを採用している公司/団体の70%では、こうした复雑化が重大な问题点となっており、その结果、1/3以上の公司/団体では、セキュリティ対策予算の投资対象を集约化する方向に向かっている。
详细に関しては、下记よりダウンロード可能。
/software-integrity/resources/analyst-reports/modern-application-development.html?cmp=pr-sig
関连ウェビナーへは下记より参加可能。
调査结果の要点をまとめたものは下记ブログにて确认可能。
シノプシス?ソフトウェア?インテグリティ?プラットフォームについて
シノプシスのソフトウェア?インテグリティ?グループは、セキュアで高品質なソフトウェア開発を可能にし、リスクの最小化と開発効率/スピードの最大化を実現するソリューションで企業/団体を支援している。シノプシスはアプリケーション?セキュリティ?テストのリーディング?カンパニーとして高い評価を受けており、静的解析、ソフトウェア?コンポジション解析、動的解析のソリューションを提供している。これにより、ソフトウェア開発企業/団体が独自開発しているコード、用いているオープンソース?ソフトウェア、アプリケーション動作の中に潜む脆弱性や欠陥を短時間で特定/修正することが可能となる。业界をリードするツールならびにサービス、専門技術の組み合わせにより、ソフトウェア開発企業/団体がDevSecOps(開発とセキュリティ確保と運用の連携)プロセスやソフトウェア開発ライフサイクルを通じて最適なセキュリティとクオリティを達成できるよう支援している企業はシノプシスのみである。
详细な情报は、/ja-jp/software-integrity.htmlより入手可能。
シノプシスについて
草榴社区.(Nasdaq上場コード:SNPS)は、我々が日々使用しているエレクトロニクス機器やソフトウェア製品を開発する先進企業のパートナーとして、半導体设计からソフトウェア開発に至る領域(Silicon to Software)をカバーするソリューションを提供している。電子设计自動化(EDA)ソリューションならびに半導体设计資産(IP)のグローバル?リーディング?カンパニーとして長年にわたる実績を持ち、ソフトウェア品質/セキュリティ?ソリューションの分野でも业界をリードしており、世界第15位のソフトウェア?カンパニーとなっている。シノプシスは、最先端の半導体を開発しているSoC(system-on-chip)设计者、最高レベルの品質とセキュリティが要求されるアプリケーション?ソフトウェアの開発者に、高品質で信頼性の高い革新的製品の開発に欠かせないソリューションを提供している。
详细な情报は、/ja-jpより入手可能。
# # #
草榴社区は、草榴社区.の登録商標または商標です。
その他の商标や登録商标は、それぞれの所有者の知的财产です。
<お问い合わせ先>
日本シノプシス合同会社 フィールド?マーケティング?グループ 藤井 浩充
TEL: 03-6746-3940 FAX: 03-6746-3941