近年、市場環境や顧客ニーズが急速に変化する中で、多くの企業がDXを推進しています。
DXを実現するための中核的な要素にシステム開発が位置付けられていますが、さまざまな課題からスムーズにシステム開発を進められない、という課題が顕在化しています。
ここでは、国内におけるDX推進の主な課題として以下の2点を解説します。

DXを推進するための重要な要素の一つが「システム開発」です。
近年では、技術革新やビジネスモデルの変化などに伴い、市場環境や顧客ニーズが目まぐるしく変わるようになりました。
そのため、従来の開発手法では、以下のような課題が発生するリスクがあります。

DX推進の必要性が高まる一方で、大半の日本企業がDX推進に向けた新規投資ができていないことも大きな課題です。経済産業省が発表した「DXレポート」^※１では、短期的な視点でシステムを開発したことにより、結果的にシステムの保守・運用費が高騰し、技術的負債となっていることが挙げられています。これにより戦略的なIT投資がしづらく、多くの企業でDXを妨げる要因となっているのです。

このような背景から、DXを実現するには、現状を分析・評価し、システムを仕分けて、戦略的にシステム刷新する必要があります。そのうえで、頻繁に変更が発生するシステムでは、スピーディーで安全性の高いソフトウェア開発手法や、レガシーなシステムの刷新が求められます。そこで、DX推進のカギとして注目されているのが「DevSecOps」です。
なぜDevSecOpsが課題解決につながるのか、次章から詳しく解説していきます。

ここでは、DevSecOpsの基礎知識を解説します。

DevSecOpsとは、「開発（Development）」と「運用（Operations）」を組み合わせた 「DevOps」に、「セキュリティ（Security）」を融合した考え方です。

DevOpsとは、開発チームと運用チームが協力してシステムを開発・運用することで、システム開発の信頼性や生産性を向上させる方法・考え方を指します。DevOpsによって得られる主なメリットは以下の3点です。

DX推進のためには、顧客ニーズに素早く対応し、開発をスピーディーに進める体制・基盤を構築する必要があります。「DevSecOps」の考え方を取り入れることで、市場変化や顧客ニーズに応じた柔軟かつセキュリティ面でも安心なシステム開発の土台を構築することが可能です。

また、スピーディーかつ堅牢な開発体制を構築できれば、レガシーな頻繁に変更が発生するシステムに注力でき、DXをスムーズに進められます。

DecSecOpsとDevOpsの違いは、セキュリティの観点をDevOpsの開発ライフサイクルに組み込んでいるかどうかです。なぜ、セキュリティの観点を組み込む必要があるかというと、以下の課題に関係があります。

前述した課題を解決するため、あらかじめセキュリティ対策を考慮した開発と運用のサイクルが求められるようになりました。このような背景から、開発プロセスの早い段階でセキュリティに関する問題に対応可能なDecSecOpsの考え方が登場し、注目を集めています。

DevSecOpsを導入することで、DevOpsの利点に加えて以下3つのメリットを得られます。

DevSecOpsを実現すれば、開発段階で使用しているJavaやPythonなどのOSS（Open Source Software）の部品をきちんと把握し、リリース後の脆弱性発見にすばやく対応できるように備えることができます。

近年のサイバー攻撃は高度化・複雑化しており、すべての企業において、安全な運用を継続するためのセキュリティの確保が必須となっています。サービスリリース後にデータ漏洩などのセキュリティ事故が起これば、企業に多大な影響を及ぼします。サービスを一時的に停止せざるを得なくなったり、顧客や取引先に支障がでたり、社会的な信頼が低下したりするなど、さまざまな被害が生じるでしょう。

こうしたトラブルを回避するためにも、開発段階でリリース後のセキュリティリスクに備えるDevSecOpsの考え方は非常に重要です。近年では、ソフトウェアの部品をSBOM（ソフトウェア部品管理表）で管理することが求められています。

関連情報：ソフトウェア部品管理ソリューション

DevSecOpsの土台となっているのは「シフトレフト（Shift Left）」です。シフトレフトとは、システム開発の早い段階で、テストやセキュリティ対策を実施するという考え方を指します。従来、システム開発でセキュリティ対策を実施するタイミングは、最終段階で行うのが一般的でした。シフトレフトでは、早期にセキュリティテストを実施し、いち早く脆弱性を発見・修正できます。

セキュリティチームも開発・運用チームに加わり、3チームが相互に協力し合うことになります。3チームのコミュニケーションを円滑に進めることで、顧客からの要望・フィードバックを迅速に取り入れられるほか、変化する市場にも柔軟に対応できるでしょう。

日本は、米国などの諸外国と比較すると、DevSecOpsの活用が進んでいないのが現状です。IPAの「DX白書2023」^※2では、「ITシステムの開発手法・技術の活用状況（開発手法）」において、DevSecOpsを「全社的に活用している」と回答した企業は1.7%、「事業部で活用している」と回答した企業は7.4%しかありません。また「この手法・技術を知らない」と回答した企業は38.9%となっています。

一方、米国ではDevSecOpsを「全社的に活用している」と回答した企業が25.4%、「事業部で活用している」と回答した企業が27.5％です。この調査結果から、日本ではDevSecOpsの考え方や手法がまだまだ浸透していないことがわかります。日本はマイクロサービスやコンテナなどの技術を活用する企業も1割から2割程度しかなく、新しい開発技術の活用に遅れをとっています。

DevSecOpsを実現するためには、組織、プロセス、技術、ガバナンスの4つの分野すべてに取り組んでいくことが重要です。米国の国防総省が発表した「DoD Enterprise DevSecOps Reference Design」^※3を参考にまとめました。

DevSecOpsを実現させるためには、チームで共同開発を行い、継続的にシステムを改善しなければなりません。システム開発の各工程でテスト・改善を繰り返すことで生産性が向上し、高品質な成果物を作れます。たとえば、ツールやテクノロジーを導入し、各工程をより効率的に進められるか、自動化できないかなどを多角的に検討しましょう。自動化を進められれば、それまで人手で行ってきた作業が不要となり、別の作業に専念できるようになります。

加えて、開発途中やリリース直前にセキュリティの脆弱性を発見した場合には、なぜ脆弱性があったのか、どのような対策を実施すれば再発しないのかを考えることが重要です。

DevSecOpsは、ソフトウェアやツールなどの活用が不可欠です。顧客やビジネスのニーズに柔軟かつ迅速に対応するためには、最新のソフトウェアやツールのトレンドを押さえておく必要があります。また、どのような技術を取り入れれば効率的に開発を進められるのかも検討するとよいでしょう。

DevSecOpsを進める際によく活用されている技術は、以下のとおりです。

これらの技術を導入すれば、インフラ環境やセキュリティ環境の構築を自動化でき、作業の効率化やコスト削減につながります。人の手による作業が少なくなることで、人的なミスも減らせるでしょう。

ガバナンスの構築も、DevSecOpsの実現に欠かせない要素の一つです。統一されたポリシーを適用することで、組織全体に一貫した理念を共有でき、ガバナンス強化につながります。また、ガバナンスの視認性を高めることで、より安全なシステムの開発・運用を実現できるでしょう。

DevSecOpsを実現させるためには、以下のポイントも押さえておくことが重要です。

各チームのメンバーを編成する際には、ベテランと経験が浅いメンバーを一緒にするなど、メンバー一人ひとりのスキル・経験年数を加味し、バランス良く配置する必要があります。まずは、既存メンバーがどのようなスキルを持っているのか、今後どのようなスキルを身につけるべきか、リーダシップがあるのかなどを、客観的な視点で評価しましょう。

メンバー編成が完了したら、開発部門・運用部門・セキュリティチームの連携を深めていきましょう。DevSecOpsの体制ではチームごとに役割があり、行うべき業務も異なりますが、お互いのチームの仕事内容を把握して助け合う姿勢が大切です。たとえば、開発担当者が運用チームの仕事に部分的に関わったり、運用担当者が開発を進めるうえでのセキュリティポリシーの策定に関わったりなど、状況に応じてお互いの業務をサポートできるような体制づくりが求められます。

また、他チームのメンバーとコミュニケーションを取るなかで、各チームの仕事の大変さなども理解できるでしょう。3チームが一体となり、協力し合う体制を構築できれば、迅速かつ効率的なシステム開発を実現できます。

DevSecOpsを実践する際は、「KPI」を設定するのがおすすめです。DevSecOpsを組織に定着させるには長い期間を要します。そのため、運用ルールとしてKPIの測定と振り返りを行うことが大切です。たとえば、以下のような項目を指標にするとよいでしょう。

これらの指標を定期的に観測すれば、日頃から数字を意識して業務に取り組めるようになります。チーム単位で目標を設定し、チームのパフォーマンスを可視化する方法もおすすめです。

KPIによって評価できる仕組みを整えておくことで、メンバー一人ひとりが失敗を恐れず、主体性をもって改善案を提案したり、生産性向上につながる施策を考えたりできるでしょう。

DevSecOpsでは、セキュリティの脆弱性への迅速な対応が必要ですが、開発・運用の生産性を落とさないように注意しなければなりません。開発作業の中心はあくまで開発・運用であるため、開発・運用のサイクルが停滞してしまうと品質が下がったり、リリースが遅れたりするなど、さまざまなトラブルにつながります。

対策方法としては、開発・運用の一部の工程を自動化したり、ツールを活用して負担を軽減したりする方法がおすすめです。また、開発を進める際のルールや組織体制を整備しておくことで、セキュリティ対策に追われている状況でも慌てることなく、開発・運用のサイクルを進められるでしょう。

DevSecOpsを実現させるためには、継続的な改善と迅速なリリースを実現できるソフトウェア・ツールが重要です。たとえば、以下のようなソフトウェア・ツールが役立ちます。

DevSecOpsの土台となるソフトウェア・ツールを導入することで、DXを推進しやすくなるでしょう。

関連情報：開発支援サービス／開発支援ツールのご紹介
関連情報：HashiCorp（ハシコープ）社製品 　　　　　　
関連情報：DevOps｜アジャイル開発支援ツール アトラシアン（Atlassian）社製品」 　　　　　　
関連情報：DevOps推進ソリューション 　　　　　　
関連情報：デジタルソリューション創出プラットフォーム

開発・運用・セキュリティチームの全員が共通のセキュリティ意識を持つことも、DevSecOps実現のための重要なポイントです。セキュリティに関する責任者を任命し、必要な意思決定を行います。責任者を立てることで、企業全体におけるセキュリティへの取り組みが進み、セキュリティ意識のさらなる向上につながるでしょう。

また、各メンバーでセキュリティ意識にバラつきがあると、チーム全体での開発スピードや品質を両立させることが難しくなります。そのため、セキュリティに対する共通の意識を浸透させる取り組みも欠かせません。たとえば、セキュリティに関する情報や成功事例・失敗事例を、メンバー間で共有できる場を提供することが効果的です。チーム全体で同じセキュリティポリシーやガイドラインなどの基準にしたがって開発を進めることで、開発段階からセキュリティを確保できます。さらに、定期的にKPIを評価し、問題点や改善の余地を見つけて、チーム全体のセキュリティ意識を適切な方向へと導くことも重要です。

DevSecOpsには、セキュリティ品質に関する絶対的な基準は存在しません。そのため、前述したように、チームメンバーが自由に意見交換できる環境を整えるなど、さまざまなアプローチを通じて共通認識を形成していきましょう。

DXを推進するためには、顧客ニーズや市場変化に、迅速かつ柔軟に対応することが重要です。そのためには、ソフトウェア開発環境・プラットフォームの導入・活用が欠かせません。
DevSecOpsは、顧客ニーズや市場変化に素早く対応するために重要な考え方です。アプリケーションの品質を向上させられるほか、セキュリティリスクや脆弱性に対して開発段階で対処できるメリットもあります。

日本において、DevSecOpsはまだまだ浸透していないのが現状です。しかし、今後DXを推進するためには、スピーディーにシステムを構築でき、セキュリティ対策も意識したDevSecOpsの考え方が重要となります。DXを推進し、ビジネスのさらなる発展を実現させるためにも、DevSecOpsの考え方を自社に取り入れてみてください。