2023 年前半、シノプシス Cybersecurity Research Center(CyRC) と国際的な市場調査会社 Censuswide は、セキュリティを職務または職責に含む1,000 人のIT 専門家を対象にした調査を実施しました。調査対象のグループには、開発者、アプリケーション・セキュリティ専門家、DevOps エンジニア、CISO に加え、テクノロジー、サイバーセキュリティ、アプリケーション/ソフトウェア開発でさまざまな職務に携わるエキスパートが含まれました。また、 米国、イギリス、フランス、フィンランド、ドイツ、中国、シンガポール、日本から回答が得られました。

業種と規模を問わず、あらゆる企業に属する回答者が調査対象となりました。調査開発時に直面した課題の1 つは、「DevSecOps」という用語にはさまざまな領域が含まれ、その多くが独自のペルソナを含むことでした。この調査では、コードを作成する「実践的な」開発者やCISO レベルの個人などを含む幅広い専門家を含め、業務上何らかの観点でソフトウェア・セキュリティにかかわる個人を対象とすることを目指しました。

今回の調査データを分析してみると、IT先進国と言われて久しい米国をベンチマークに比較すると、日本はドイツと同様にDevSecOpsの導入が遅れていること、また組織の壁が見え隠れしており、部門横断的な取り組みが進みにくい状況もあるように思います。

一方で、急成長する中国は積極的にアプリケーション・セキュリティに取り組んでいることや、実際に効果を実感できている様子が明らかになっています。

みなさんの組織でアプリケーション・セキュリティにどのように取り組めているか、これらの調査結果と比較することで自己評価を行うことができるはずです。