近年、業種業界問わずソフトウェア開発は活性化している。四半期ごとにリリースされる時代は終わり、新機能やソフトウェアは秒単位でリリースされることもある。以前ではあり得ないスピードだが、現に実践している企業がトップランナー企業として確固たるポジションを築いている。

 

開発力は内容の高度さ緻密さばかりではなく、迅速なデリバリーをも意味する。ビジネスが要求する開発スピードは増し、それに合致したデリバリーを提供できるソフトウェアエンジニアリングチームが、さらにビジネスを加速させる好循環を企業にもたらす。好循環にはDevOps、CI/CD(継続的インテグレーション/継続的デリバリー)などのプロセスが貢献するが、秒単位というスピードの裏には人海戦術では成し得ない自動化が介在することは明白だ。企業の信頼にも関わるセキュリティテストに時間と労力を費やしてきた。今日では多くの企業で自動化が広く採用されるが、それほどのスピードは発揮されていない。トップランナー企業群がセキュリティ要件ををないがしろにするはずもなく、最も厳格なコンプライアンスが適応される金融業界でもリリースは頻繁に実践されている。一般企業との差はどこにあるのか。裏を返せばDevOpsを推進する多くの企業が、スピードを高められる余地を有しているのではないだろうか?

 

本書「ASOCを活用したソフトウェア・リスクの管理方法」は、開発力が企業競争力とも評される現代のビジネス動向を鑑み、迅速な開発とデプロイメントがもたらすセキュリティ上の課題を詳らかにする。自動化は一般的になり、開発のライフサイクルの早い段階で脆弱性を緩和させる「レフトシフト」への取り組みも実践されるが、利用されるセキュリティ・ツールの数は増え続けている。ツールごとに得られる結果や対象方法も異なり、精査する「トリアージ」には時間だけでなく高い判断能力をも要し、ツール数が多いほどDevOpsを減速させる要因と本書は指摘する。DevOpsのスピードを担保し、コンプライアンスの確保とセキュアなソフトウェアを構築を実現する方策として、本書はASOC(Application Security Orchestration and Correlation)を提言し、有効性について具体的に解説を展開する。開発チームメンバーのみならず、ソフトウェア開発に競争力を見出す今日のビジネスパーソンにもぜひご一読いただきたい内容となっている。