GitLabの2023年予測 - DevSecOpsの今後を発表
[23/02/17]
提供元:PRTIMES
提供元:PRTIMES
サプライチェーンの保護、シフトレフト、AI/ML、バリューストリーム分析など、変化するDevSecOps環境に備えるためには
単一のアプリケーションでDevOpsプラットフォームを提供するGitLab(本社:米サンフランシスコ、読み方:ギットラボ、NASDAQ:GTLB、https://about.gitlab.com/ja-jp/)は、2023年のDevSecOpsテクノロジーに関する予測を発表しました。5つの予測は以下の通りです。
予測1:サプライチェーンの保護が最優先課題に
GitLabでCPO(プロダクト最高責任者)を務めるデイビッド・デサント(David DeSanto)によると、セキュリティは今後も組織全体の責任であり続け、シフトレフトがさらに進み、IDEから本番環境で稼働するアプリケーションにまで広がることが予想されます。
GitLabの「2022 Global DevSecOps Survey(https://about.gitlab.com/developer-survey/#security)」では、セキュリティチームメンバーの57%が自社のセキュリティのシフトレフトをすでに完了しているか、年内に行う予定であると答えています。その一方で、セキュリティ専門家の半数は、開発者が脆弱性の75%程度までセキュリティ問題を特定できていないとしています。
シフトレフト推進の一因として、ソフトウェアサプライチェーンのセキュリティ強化の必要性が挙げられます。「リモート開発がますます当たり前になる中、サプライチェーンセキュリティはソフトウェア開発ライフサイクル全体にわたって、これまで以上に大きな役割を果たすようになるはずです」とデサントは述べています。
GitLabでグローバルフィールドCISOを務めるフランシス・オフーングゥ(Francis Ofungwu)は、このサプライチェーンセキュリティの進化が主に次の3つの形で起こると予測します。
日常業務における脅威管理について、エンジニアリングの最前線がより多くの責任を引き受けるようになる。これを実現するために、開発者にはソフトウェア開発ライフサイクル(SDLC)の各段階で、脆弱性に関するリアルタイムコンテキストと修正戦略が必要になるでしょう。これは、結果として本番環境で手痛いインシデントが発生する可能性の低下につながるはずです。
セキュリティチームやコンプライアンスチームは、開発速度の低下を招く手間と時間のかかるセキュリティレビュープロセスを削減するために、ソフトウェア保証の期待を記述したPolicy-as-Codeの実現に投資するようになる。
現代のソフトウェア開発における企業リスクを浮き彫りにする重大インシデントの報道が相次いだ結果、企業はSDLCリスクをより的確に評価し、報告するために監査プログラムを策定するようになる。それには、企業の開発ツールチェーンのあらゆる側面にわたって展開される管理策の普遍性を証明するアーティファクトを確保する方法を設計する必要があるでしょう。
GitLabでセキュリティコンプライアンス(特定市場)マネージャーを務めるコーリー・オーエス(Corey Oas)は、「企業は、長年サプライチェーンセキュリティのベストプラクティスとされてきたことが今後規制要件になることも想定する必要がある」と指摘します。遠からず米国連邦政府または業界の要件となることが予想されるベストプラクティスの例として、アーティファクト証明書とソフトウェア部品表(SBOM)の生成を挙げ、「どちらも開発者のワークフローに不可欠なものです」と述べています。
GitLabでプロダクトデータ&ガバナンス担当グループマネージャーを務めるサム・ホワイト(Sam White)も、SBOMとアーティファクト証明書に関する予測を支持し、SBOMと証明書のどちらもDevSecOpsチームが継続的に注目していく必要があると述べています。「この先、1回限りのイベントという考え方は古くなり、継続的な評価プロセスの一部になることが予想されます」とした上で、企業はソフトウェア依存関係(オープンソースパッケージなど)の可視化とソフトウェアビルド情報の一元化を強化する必要があると指摘します。
ソフトウェアサプライチェーンセキュリティのもう1つの要素はゼロトラストです。「企業は、しばらく前からゼロトラスト戦略を検討しており、前進に向けて導入を本格化させるはずです」と予測するのは、GitLabフェデラルCTOを務めるジョエル・クルースワイク(Joel Krooswyk)です。「少なくとも連邦政府機関とそのサプライヤーの間にこうした動きが見られる理由の1つとして、国防総省ゼロトラストアーキテクチャ戦略およびロードマップが最近発表されたことと、NIST(米国国立標準技術研究所)のいくつかの出版物(800-207など)にゼロトラスト原則が組み込まれたことが挙げられます。」
公共部門関連のさらに詳しい予測については、ウェブキャスト「2022 Lookback & 2023 Predictions in Cybersecurity & Zero Trust with GitLab(https://page.gitlab.com/2022_devsecopsusecase_Lookback_Predictions_PubSec_RegistrationPage.html)」で確認できます。
予測2:セキュリティがDevOps教育に深く入り込む
ホワイトは、DevOpsからDevSecOpsへの移行を反映して、DevOps研修・教育カリキュラムの重要な部分としてセキュリティが組み込まれるようになる、と予測します。「企業は、ある特定の脆弱性が重要で、直ちに対処対策が必要である理由といった基本的なセキュリティ知識を得るために必要なトレーニングに開発者がアクセスできるようにする必要に迫られることが考えられます。」
GitLabで教育エバンジェリストを務めるピー・ジェイ・メッツ(PJ Metz)は、「2023年はシフトレフト原則が大学の講義に初めて登場する年になる」と考えています。
「すでにGitLab for Educationチームには、コンピューターサイエンスやプログラミングはもちろん、DevSecOpsに関する問い合わせもますます寄せられるようになっています。情報システムを学ぶ学生は、DevSecOpsの知識を深めることも目指しています。セキュリティ教育をDevOpsのカリキュラムに直接統合すれば、将来の専門家がDevSecOpsのあらゆる側面に対応できるように備えることが可能になるでしょう」と述べています。
また、メッツはDevOpsを学ぶ学生に対し、人材として適切に準備できるように教育内容へのセキュリティの追加を大学側に求めることを勧めています。
予測3:AI/MLがSDLC全体で活用されるようになる
GitLabでCMO(最高マーケティング責任者)およびCSO(最高戦略責任者)を務めるアシュリー・クレイマー(Ashley Kramer)は次のように予測します。「AIは生産性向上に不可欠になるでしょう。例えば、DevOpsチームがAI(人工知能)/ML(機械学習)を統合して、繰り返し作業や厄介な作業を自動化することが考えられます。うまくいけば、認知的負荷や必要なコンテキスト切り替えの量が減り、開発フローに集中できるようになることで、開発者の負担軽減につながるはずです。」
GitLabの「2022 Global DevSecOps Survey」によると、回答者の62%がModelOpsを実践し、51%がAI/MLを活用してコードをチェックしています。
GitLabでコミュニティプログラム担当シニアマネージャーを務めるクリスティーナ・フーピー(Christina Hupy)は、次のように述べています。「デジタルトランスフォーメーションをビジネスアナリティクスやAIと組み合わせれば、真の変革が可能になります。企業データの多くがインプットとなることから、企業は実際的な知見を引き出したり、システムの継続的改善にAIを活用したりすることができます。」
デサントもこれに同意し、アプリケーション開発の分野にAIを活用したワークフローが普及すると予測し、「AI/MLにより、ラピッド開発、セキュリティ修正、テスト自動化の改善、オブザーバビリティの強化がさらに可能になるでしょう」と述べています。
GitLabでデータサイエンスプロダクト担当グループマネージャーを務めるテイラー・マッカズリン(Taylor McCaslin)は、「確かにAI/MLは目新しいものではありませんが、オープンエンドAIなどのテクノロジーを消費者が利用できるようになれば、ソフトウェア開発においてAIをさらに有効活用する方法(コード補完などのようなタスクを考えてみてください)を解明できるという期待感が生まれます」と述べています。
その上で、企業はAI/MLをSDLC全体で活用するようになると同時に、プライバシーの問題、知的財産(AIが生成したコードの所有権)の保護、学習データセット/アルゴリズムのライセンス供与に取り組むようになると予測します。
加えて、「MLOpsやDataOpsの分野にラピッド開発が普及すれば、開発者にとってMLやAIを活用した本番ソフトウェアシステムの管理、保守、イテレーションの助けになる」との期待も示しています(注:GitLabは、GitLabプラットフォーム内でのデータサイエンス強化型ソフトウェアの開発支援を促進するために、ModelOpsの段階に投資しています)。
予測4:企業におけるバリューストリーム分析の役割が大きくなる
企業が今年進めるデジタルトランスフォーメーションでは、バリューストリーム検討への取り組み強化が求められることが考えられます。「バリューストリーム分析は、過去の開発ワークフローを拡張して、企業が(社内外の)ユーザーにもたらす価値の全体像を捉えることを可能にします」とデサントは述べています。
経営陣は、デジタルトランスフォーメーションや技術投資がもたらす価値やビジネス成果に対する知見が得られる指標を探し求めるでしょう。これは主に開発効率重視の姿勢からの転換です。「2022 Global DevSecOps Survey」では、回答者の75%がすでにDevOpsプラットフォームを使用しているか、1年以内に移行する計画があり、こうした変化の要因の1つが指標やオブザーバビリティであることがわかっています。
予測5:効率的なDevSecOpsのためにオブザーバビリティがシフトレフトする
GitLabでシニアデベロッパーエバンジェリストを務めるミハエル・フリードリッヒ(Michael Friedrich)は、オブザーバビリティもSDLCにおけるシフトレフトがさらに進むと予測し、「オブザーバビリティ駆動型開発では、すべての開発関係者が効率を高め、イノベーションを起こすことが可能になるでしょう」と述べています。
eBPFのような新しいオブザーバビリティ実現技術は、手動コードインスツルメンテーションで作業負荷を追加するのではなく、自動コードインスツルメンテーションによって開発者を支援します。eBPFは、クラウドネイティブ環境におけるオブザーバビリティやセキュリティワークフローの強化も支援します。
オブザーバビリティは、CI/CD、インフラストラクチャコスト分析、キャパシティプランニング改善のためのトレンド分析/予測をはじめとする、DevSecOpsワークフローの効率改善に重要な役割を果たすでしょう。
単一のアプリケーションでDevOpsプラットフォームを提供するGitLab(本社:米サンフランシスコ、読み方:ギットラボ、NASDAQ:GTLB、https://about.gitlab.com/ja-jp/)は、2023年のDevSecOpsテクノロジーに関する予測を発表しました。5つの予測は以下の通りです。
予測1:サプライチェーンの保護が最優先課題に
GitLabでCPO(プロダクト最高責任者)を務めるデイビッド・デサント(David DeSanto)によると、セキュリティは今後も組織全体の責任であり続け、シフトレフトがさらに進み、IDEから本番環境で稼働するアプリケーションにまで広がることが予想されます。
GitLabの「2022 Global DevSecOps Survey(https://about.gitlab.com/developer-survey/#security)」では、セキュリティチームメンバーの57%が自社のセキュリティのシフトレフトをすでに完了しているか、年内に行う予定であると答えています。その一方で、セキュリティ専門家の半数は、開発者が脆弱性の75%程度までセキュリティ問題を特定できていないとしています。
シフトレフト推進の一因として、ソフトウェアサプライチェーンのセキュリティ強化の必要性が挙げられます。「リモート開発がますます当たり前になる中、サプライチェーンセキュリティはソフトウェア開発ライフサイクル全体にわたって、これまで以上に大きな役割を果たすようになるはずです」とデサントは述べています。
GitLabでグローバルフィールドCISOを務めるフランシス・オフーングゥ(Francis Ofungwu)は、このサプライチェーンセキュリティの進化が主に次の3つの形で起こると予測します。
日常業務における脅威管理について、エンジニアリングの最前線がより多くの責任を引き受けるようになる。これを実現するために、開発者にはソフトウェア開発ライフサイクル(SDLC)の各段階で、脆弱性に関するリアルタイムコンテキストと修正戦略が必要になるでしょう。これは、結果として本番環境で手痛いインシデントが発生する可能性の低下につながるはずです。
セキュリティチームやコンプライアンスチームは、開発速度の低下を招く手間と時間のかかるセキュリティレビュープロセスを削減するために、ソフトウェア保証の期待を記述したPolicy-as-Codeの実現に投資するようになる。
現代のソフトウェア開発における企業リスクを浮き彫りにする重大インシデントの報道が相次いだ結果、企業はSDLCリスクをより的確に評価し、報告するために監査プログラムを策定するようになる。それには、企業の開発ツールチェーンのあらゆる側面にわたって展開される管理策の普遍性を証明するアーティファクトを確保する方法を設計する必要があるでしょう。
GitLabでセキュリティコンプライアンス(特定市場)マネージャーを務めるコーリー・オーエス(Corey Oas)は、「企業は、長年サプライチェーンセキュリティのベストプラクティスとされてきたことが今後規制要件になることも想定する必要がある」と指摘します。遠からず米国連邦政府または業界の要件となることが予想されるベストプラクティスの例として、アーティファクト証明書とソフトウェア部品表(SBOM)の生成を挙げ、「どちらも開発者のワークフローに不可欠なものです」と述べています。
GitLabでプロダクトデータ&ガバナンス担当グループマネージャーを務めるサム・ホワイト(Sam White)も、SBOMとアーティファクト証明書に関する予測を支持し、SBOMと証明書のどちらもDevSecOpsチームが継続的に注目していく必要があると述べています。「この先、1回限りのイベントという考え方は古くなり、継続的な評価プロセスの一部になることが予想されます」とした上で、企業はソフトウェア依存関係(オープンソースパッケージなど)の可視化とソフトウェアビルド情報の一元化を強化する必要があると指摘します。
ソフトウェアサプライチェーンセキュリティのもう1つの要素はゼロトラストです。「企業は、しばらく前からゼロトラスト戦略を検討しており、前進に向けて導入を本格化させるはずです」と予測するのは、GitLabフェデラルCTOを務めるジョエル・クルースワイク(Joel Krooswyk)です。「少なくとも連邦政府機関とそのサプライヤーの間にこうした動きが見られる理由の1つとして、国防総省ゼロトラストアーキテクチャ戦略およびロードマップが最近発表されたことと、NIST(米国国立標準技術研究所)のいくつかの出版物(800-207など)にゼロトラスト原則が組み込まれたことが挙げられます。」
公共部門関連のさらに詳しい予測については、ウェブキャスト「2022 Lookback & 2023 Predictions in Cybersecurity & Zero Trust with GitLab(https://page.gitlab.com/2022_devsecopsusecase_Lookback_Predictions_PubSec_RegistrationPage.html)」で確認できます。
予測2:セキュリティがDevOps教育に深く入り込む
ホワイトは、DevOpsからDevSecOpsへの移行を反映して、DevOps研修・教育カリキュラムの重要な部分としてセキュリティが組み込まれるようになる、と予測します。「企業は、ある特定の脆弱性が重要で、直ちに対処対策が必要である理由といった基本的なセキュリティ知識を得るために必要なトレーニングに開発者がアクセスできるようにする必要に迫られることが考えられます。」
GitLabで教育エバンジェリストを務めるピー・ジェイ・メッツ(PJ Metz)は、「2023年はシフトレフト原則が大学の講義に初めて登場する年になる」と考えています。
「すでにGitLab for Educationチームには、コンピューターサイエンスやプログラミングはもちろん、DevSecOpsに関する問い合わせもますます寄せられるようになっています。情報システムを学ぶ学生は、DevSecOpsの知識を深めることも目指しています。セキュリティ教育をDevOpsのカリキュラムに直接統合すれば、将来の専門家がDevSecOpsのあらゆる側面に対応できるように備えることが可能になるでしょう」と述べています。
また、メッツはDevOpsを学ぶ学生に対し、人材として適切に準備できるように教育内容へのセキュリティの追加を大学側に求めることを勧めています。
予測3:AI/MLがSDLC全体で活用されるようになる
GitLabでCMO(最高マーケティング責任者)およびCSO(最高戦略責任者)を務めるアシュリー・クレイマー(Ashley Kramer)は次のように予測します。「AIは生産性向上に不可欠になるでしょう。例えば、DevOpsチームがAI(人工知能)/ML(機械学習)を統合して、繰り返し作業や厄介な作業を自動化することが考えられます。うまくいけば、認知的負荷や必要なコンテキスト切り替えの量が減り、開発フローに集中できるようになることで、開発者の負担軽減につながるはずです。」
GitLabの「2022 Global DevSecOps Survey」によると、回答者の62%がModelOpsを実践し、51%がAI/MLを活用してコードをチェックしています。
GitLabでコミュニティプログラム担当シニアマネージャーを務めるクリスティーナ・フーピー(Christina Hupy)は、次のように述べています。「デジタルトランスフォーメーションをビジネスアナリティクスやAIと組み合わせれば、真の変革が可能になります。企業データの多くがインプットとなることから、企業は実際的な知見を引き出したり、システムの継続的改善にAIを活用したりすることができます。」
デサントもこれに同意し、アプリケーション開発の分野にAIを活用したワークフローが普及すると予測し、「AI/MLにより、ラピッド開発、セキュリティ修正、テスト自動化の改善、オブザーバビリティの強化がさらに可能になるでしょう」と述べています。
GitLabでデータサイエンスプロダクト担当グループマネージャーを務めるテイラー・マッカズリン(Taylor McCaslin)は、「確かにAI/MLは目新しいものではありませんが、オープンエンドAIなどのテクノロジーを消費者が利用できるようになれば、ソフトウェア開発においてAIをさらに有効活用する方法(コード補完などのようなタスクを考えてみてください)を解明できるという期待感が生まれます」と述べています。
その上で、企業はAI/MLをSDLC全体で活用するようになると同時に、プライバシーの問題、知的財産(AIが生成したコードの所有権)の保護、学習データセット/アルゴリズムのライセンス供与に取り組むようになると予測します。
加えて、「MLOpsやDataOpsの分野にラピッド開発が普及すれば、開発者にとってMLやAIを活用した本番ソフトウェアシステムの管理、保守、イテレーションの助けになる」との期待も示しています(注:GitLabは、GitLabプラットフォーム内でのデータサイエンス強化型ソフトウェアの開発支援を促進するために、ModelOpsの段階に投資しています)。
予測4:企業におけるバリューストリーム分析の役割が大きくなる
企業が今年進めるデジタルトランスフォーメーションでは、バリューストリーム検討への取り組み強化が求められることが考えられます。「バリューストリーム分析は、過去の開発ワークフローを拡張して、企業が(社内外の)ユーザーにもたらす価値の全体像を捉えることを可能にします」とデサントは述べています。
経営陣は、デジタルトランスフォーメーションや技術投資がもたらす価値やビジネス成果に対する知見が得られる指標を探し求めるでしょう。これは主に開発効率重視の姿勢からの転換です。「2022 Global DevSecOps Survey」では、回答者の75%がすでにDevOpsプラットフォームを使用しているか、1年以内に移行する計画があり、こうした変化の要因の1つが指標やオブザーバビリティであることがわかっています。
予測5:効率的なDevSecOpsのためにオブザーバビリティがシフトレフトする
GitLabでシニアデベロッパーエバンジェリストを務めるミハエル・フリードリッヒ(Michael Friedrich)は、オブザーバビリティもSDLCにおけるシフトレフトがさらに進むと予測し、「オブザーバビリティ駆動型開発では、すべての開発関係者が効率を高め、イノベーションを起こすことが可能になるでしょう」と述べています。
eBPFのような新しいオブザーバビリティ実現技術は、手動コードインスツルメンテーションで作業負荷を追加するのではなく、自動コードインスツルメンテーションによって開発者を支援します。eBPFは、クラウドネイティブ環境におけるオブザーバビリティやセキュリティワークフローの強化も支援します。
オブザーバビリティは、CI/CD、インフラストラクチャコスト分析、キャパシティプランニング改善のためのトレンド分析/予測をはじめとする、DevSecOpsワークフローの効率改善に重要な役割を果たすでしょう。