トレンドマイクロが8月22日に発表した「DevOpsに関する実態調査 2019」によると、DevOps(開発部門と運用部門が連携するシステム開発)を実施または実施意向がある国内法人組織のIT部門責任者のうち、95.0%が開発部門と運用部門間のコミュニケーションに改善の必要があると考えているという。

  • 組織内の開発部門と運用部門間のコミュニケーションにおける改善の要否

同調査は同社が、DevOpsを実施または実施意向がある,従業員500人以上の法人組織におけるIT部門の責任者1310人(日本を含む16か国、うち日本の法人組織は100人)を対象として、2019年4月から5月にかけて実施したもの。

調査対象国は、イギリス、フランス、ドイツ、イタリア、スペイン、デンマーク、ノルウェイ、スウェーデン、スイス、アメリカ、ブラジル、メキシコ、カナダ、オーストラリア、ニュージーランド、日本。

開発部門と運用部門間のコミュニケーションに改善の必要があると考えているIT部門責任者は、16カ国全体では89.4%だった。

DevOpsではユーザーの評価内容をどのように製品やサービスに反映していくかを決めるために開発部門と運用部門間の意見交換や開発内容のすり合わせが必要だが、多くの法人組織で対応できていないと同社は分析する。

  • DevOps計画時にITセキュリティ部門が相談を受ける頻度

DevOps計画時にセキュリティ部門がどのくらいの頻度で相談を受けるかを訪ねると、常に相談を受けるのは全体では65.3%、日本は半数以下の45.0%にとどまった。

法人組織は、業種や取り扱う情報などを踏まえて定めたセキュリティポリシーに準じてDevOpsのセキュリティを考慮することが必要だと同社は提言し、そのためには、DevOpsの開発部門や運用部門に加えてセキュリティ部門と連携してシステムを設計することが求められると指摘する。

  • DevOpsへのセキュリティの関与の少なさで組織がリスクにさらされると思うか

DevOpsへのセキュリティの関与の少なさによる組織のリスクについて問うと、全体の72.4%、日本は75.0%のIT部門責任者が、DevOpsでセキュリティの関与が少ないことで組織がリスクに晒されると考えている。

DevOpsの実施時にはセキュリティ上のリスクを考慮し、セキュリティ設計を行うことが大切であり、開発時、運用時のそれぞれで発生するリスクを洗い出し、どのようなセキュリティ対策を講じるべきか定めることが重要だと同社は指摘する。

今回の調査により同社は、DevOpsを実施するにあたっては、開発部門、運用部門のコミュニケーションに加え、セキュリティ部門の関与が課題として挙げられることが分かったと分析する。

DevOpsを実施する中で、脅威が入り込むと開発環境から運用環境に至るまで長期間にわたり脅威が内包し続け、被害が拡大する可能性があるという。

そのため、DevOpsを実施する際には、計画段階から法人組織に応じたセキュリティポリシーを定め、そのセキュリティポリシーに準じたツールの選定や、権限設定などの対策を行っていくことが重要だと同社はいう。