何事もチャレンジにはリスクはつきものだ。事柄によってはトレードオフの関係であるが、ビジネスにおいてはリスクは最小限に留めて利益を得ることが望ましく、世界で展開されるトップランナー企業はその施策に長けているといえる。
近年は、あらゆる分野においてサービスや製品に占めるソフトウェアの役割が大きくなってきており、業種業界問わずアプリケーション開発は活性化している。企業のアプリケーション開発能力が競争力として表面化することもあって、開発のクオリティと速度の向上は多くの企業が注力する部分でもある。主流であったウォーターフォール型のソフトウェア開発ライフサイクル(SDLC)は、工程分割に起因するために時間的な短縮が難しく、時代が求める競争力の維持向上に応えることが難しくなってきている。今日ではオープンソースの充実とあいまって、DevOpsに代表される反復型のアプローチが主流となり、多くの企業の開発プロセスを加速させている。一方で企業のWebアプリケーション等を標的にするサイバー攻撃数は増大し狡猾さも進化し、アプリケーション活用の範囲がビジネスの中枢に広がるほどインシデント発生時の被害は莫大なものになる。アプリケーションデリバリのスピードと脆弱性リスクの軽減はトレードオフの関係が許されるはずもないが、実際に両立を開発環境に落とし込むのは難しいのではないだろうか?
本書は、451Researchによってセキュリティプロフェッショナルに対して実施された調査結果に基づき、世界中のアプリケーション開発現場が抱えるセキュリティの課題抽出と分析をすると共に、開発時におけるアプリケーションセキュリティテスト(AST)の実態を明らかにする。エンタープライズにおける実施されるASTの導入状況に端を発し、購入しているASTの種類から利用のタイミングなどからセキィリティプロフェッショナルの人材確保に至るまで広く展開し、トレンドと課題内容を浮き彫りにする。また、セキュリティに関する問題をSDLCの早い段階で対処する「シフトレフト」の重要性と自動化の有用性を提言し、実現化をサポートする具体的なツール群についても解説する。デリバリを重視する開発者の邪魔をすることなく情報セキュリティチームが脆弱性の軽減を図る分業的なかたちから、DevOpsの拡大によってチームを越えてアプリケーションセキュリティを担うケースも多くなってきている。ビジネスの行方をも左右するアプリケーション開発だけに、社内事情なども考慮した上で、生産性、経済性、安全に貢献するテスト方法の確立は急務といえるだろう。トレンドを的確に捉え、企業変革の一翼にも繋がる重要な内容となっている。セキュリティプロフェッショナルのみならず、アプリケーション開発に企業競争力を見出すすべてのビジネスパーソンにも広くご一読をおすすめする。