アプリケーション セキュリティ ツールが失敗する理由と DevSecOps がセキュリティの負債を解決する方法

2025年4月8日 // 1 min read

image

チームにさらなるアラートは不要です。必要なのは、ノイズを排除し、重要な問題を解決するためのアプリケーション セキュリティ ソリューションです。

GitHub エグゼクティブ インサイトで公開

従来のアプリケーション セキュリティ ツールでは不十分な理由

企業はサイバーセキュリティのツールやサービスに年間数十億ドルを費やしており、1 社あたり平均 70 以上のツールを使用しています。しかし、セキュリティチームと開発チームは、増加するセキュリティの負債 (時間とともに蓄積される未解決の脆弱性の量) に追いつくのに苦労しています。

その主な理由は? 従来のアプリケーションセキュリティツールは、開発者のニーズを満たせないことがよくあります。修復を求められるのは開発者であるにもかかわらず、これらのツールは開発者を念頭に置いて設計されていません。これらのソリューションは、開発者にコンテキストの切り替えを要求し、使い慣れたコーディング環境とワークフローを離れて手動でセキュリティテストを実行することを強制します。さらに、ほとんどの開発者はセキュリティの専門家ではないので、脆弱性の修復には必要以上に時間がかかります。

その結果、開発生産性は低下し、セキュリティ負債は増加し続けます。

セキュリティ負債に対処しないリスク

開発者ワークフローにセキュリティ負債が増える理由

さらに心配なのは、開発者が使用しているセキュリティツールによって問題が表面化した場合、そのアラートではコンテキストがほとんど提供されず、対処できないことが多いことです。例えば、多くのアラートは偽陽性です。また、リスクが低い、つまり、悪意のある攻撃者に悪用されたとしても、大きな被害はないというものもあります。アラートの有用性とコンテキストの欠如に圧倒されて、開発者はしばしばアラートを完全に無視してしまい、セキュリティツールに対する信頼を失ってしまいます。

チームが必要としているのは、単なるアラート、検出機能、追加のセキュリティツールではありません。必要なのは、発見で終わらないソリューションであり、重要なこと、すなわち、新しいコードのセキュリティ確保と (さらに重要なこととして) セキュリティ負債の返済のために、優先順位付けと修復作業の規模拡大を支援することです。

現行の GitHub のお客様: シークレット露出をすばやく評価する

GitHub のシークレットリスク評価は、漏洩した認証情報に対する組織のリスクについて、即時的な集約されたインサイトを提供します。このインサイトは、一般に公開されたシークレットの発生を特定し、内部露出を評価して、リスクにさらされている最も一般的な認証情報タイプを突き止めるために役立ちます。管理者は、この評価を組織の [Security] タブから直接実行できるため、組織を侵害から保護するためのアクションを迅速に実施できます。

組織の管理者とこのリンクを共有して、シークレットリスク評価を今すぐ実行してください。

スケーラブルなセキュリティツールに DevSecOps が不可欠な理由

長年にわたり、DevOps は、多くの組織がソフトウェアを構築して出荷する方法を変革してきました。しかし、ソフトウェア開発ライフサイクル (SDLC) のある側面は、DevOps モデルから取り残されていました。しかし、DevSecOps が登場しました。DevSecOps は、自動セキュリティテストを SDLC 全体と DevOps 文化、ツール、およびプロセスのあらゆる側面に組み込むことによって、従来の DevOps にセキュリティを注意深く追加します。簡単に言えば、DevSecOps は、DevOps の自然な進化であり、セキュリティがプロセスに組み込まれています。

開発者エクスペリエンスは、アプリケーションセキュリティを修正する鍵となります。

DevSecOps は、アプリケーションセキュリティを適切にするために不可欠です。ハリスの世論調査によると、開発者の 4 人に 3 人近くが、ソフトウェア サプライ チェーンのセキュリティツールは生産性を低下させると回答している一方で、CISO の半数弱は、開発者が自分たちのツールやワークフローに関連するセキュリティリスクを「非常によく知っている」と思うと回答しています。このようなチーム間の断絶は摩擦を生み、誰の役にも立ちません。開発者は、創造性や生産性を妨げることなく脆弱性を修正できるよう、ワークフローに組み込まれたセキュリティツールを必要としています。

GitHub がアプリケーションセキュリティをワークフローの一部にする方法

GitHub では、このことを身をもって体験しました。そのため、当社はすべてのパブリックリポジトリでネイティブのセキュリティ機能を無料で提供し、プライベートリポジトリではライセンス機能を提供し始めました。セキュリティを開発ワークフローに統合することで、GitHub はチームが脆弱性を早期に発見し、摩擦を減らし、セキュリティを開発プロセスにネイティブに組み込むことを支援します。

その結果、どうなったでしょうか? 開発者は偽陽性の検知を追う時間を減らし、安全で高品質なソフトウェアの構築に多くの時間を費やすことができています。

AI が支援するアプリケーションセキュリティが「発見」を「修正済み」に変えます

AI の進歩により、組織は取り組みを拡大し、より効果的にセキュリティ負債に取り組むことができます。新しいテクノロジーを使えば、AI は開発者がリアルタイムで問題を修正するのを助けてくれるので、開発者がセキュリティの専門家である必要はなくなります。GitHub では、世界で最も広く採用されている AI 開発者ツールである GitHub Copilot を通じ、AI を活用してチームを増強、加速、強化することを目標としています。まずは、開発者の面倒な作業の自動化から始めました。そして今、そのイノベーションをアプリケーションセキュリティにまで広げています。

当社のセキュリティに対するビジョンは「検出はすなわち修正されることを意味する」というシンプルなものです AI により、開発者は脆弱性が発見された瞬間に、ほぼ瞬時に、数回クリックするだけで脆弱性を修復することができます。Copilot の Autofix は、単に問題を表面化させるだけではなく、自動生成された脆弱性分析、詳細なアラート説明、また最も重要なこととして AI が支援する修正を提供します。これにより、セキュリティ上の欠陥が単に検出されるだけでなく、解決されるようになり、開発者が優れたソフトウェアの構築に集中できるようになります。

Copilot 自動修正と手動修正の比較

結論:セキュリティ上の負債を減らし、生産性を高める

従来のセキュリティツールは開発者に手間をかけさせ、生産性を低下させ、セキュリティ負債を増大させます。DevSecOps は、開発ワークフローにセキュリティを組み込むことでこれらの課題に対処し、チームが脆弱性をより迅速かつ効果的に修復できるようにします。GitHub Copilot や Copilot Autofix のような AIが支援するソリューションにより、開発者はワークフローを離れることなく、リアルタイムでセキュリティ問題を修正できます。セキュリティ対策を進め、修復を自動化することで、組織はセキュリティ負債を減らし、ソフトウェア品質を向上させ、開発者がイノベーションに集中できるようになります。

本コンテンツは電子書籍「*Secure your code: The essential guide to managing security debt *」(コードをセキュアにする: セキュリティ負債管理の必須ガイド) の「セキュリティ負債を削減するための 3 段階のアクションプランを提供する」から取られています。 今すぐ電子ブックをダウンロードしてアクションプランを開始する

Tags

Download PDF

コードをセキュアにする: セキュリティ負債管理の必須ガイド

e ブックを読む