セキュリティはチームスポーツである:なぜ今、誰もがセキュリティを所有しているのか
セキュリティに関する6つのポイント Docker の 2025 State of Application Development Report。
進化するソフトウェア開発の世界では、1 つ明らかなことは、 セキュリティはもはや孤立した専門分野ではないということです。これはチームスポーツであり、特に脆弱性が発生した場合はなおさらです。これは、 2025 Docker State of Application Development Survey(アプリケーション開発の現状調査)で明らかになったいくつかの重要なセキュリティ調査結果の1つです。
ここでは、 4人以上、500 業界の専門家を対象としたオンライン調査に基づく第2回年次報告書から、セキュリティについて他に学んだことをご紹介します。
1。セキュリティは他人事ではありません
「セキュリティ担当者」だけがセキュリティを処理するという神話は忘れてください。大小の組織間で、役割が混ざり合っています。コードを書いているなら、セキュリティゲームに参加しています。ある回答者が言ったように、「私たちには専任のチームはありません。私たち全員がやっています」。調査によると、セキュリティをアウトソーシングしている組織は51に過ぎません。また、他のほとんどの回答者が最優先事項としているのは、回答者のわずか1% が、自分の組織でセキュリティが懸念事項ではないと答えています。
この傾向の 1 つの例外は、大規模な組織 (従業員50 人以上) では、ソフトウェア セキュリティはセキュリティ エンジニアの独占的な領域である可能性が高く、他のタイプのエンジニアが果たす役割は少なくなります。
2。誰もが自分がセキュリティを担当していると思っています
複数のコーナーから集まったチーム リーダーは、 自分たちがセキュリティに重点を置いていると報告しています。経験豊富な開発者は、中堅のセキュリティエンジニアと同様に、それに照準を合わせる傾向があります。そして、彼らは両方とも正しいです。セキュリティは、開発者、リーダー、運用など、あらゆる機能に組み込まれています。
3。脆弱性が襲ったとき、それはすべてデッキに手を差し伸べます
ここには縄張り争いはありません。スキャンアラートが鳴ると、経験豊富な開発者のスキャン結果のデコードを支援するセキュリティエンジニア、インシデントを監督するエンジニアリングマネージャー、必要に応じて埋めるDevOpsエンジニアなど、 全員が協力します 。
脆弱性の修正も大きな時間の浪費です。回答者が日常的に取り組んでいるセキュリティ関連のタスクの中で、すべての役割で最も選択された選択肢でした。注目に値するのは、昨年のアプリケーション開発状況調査では、開発プロセスでより優れたツールが必要な主要な領域として、セキュリティ/脆弱性修復ツールが特定されたことです。
4。セキュリティはボトルネックではなく、計画と実行がボトルネックです
驚くべきことに、セキュリティはチームを阻む上位 10 つの問題を解決していません。計画と実行タイプの活動は、より大きな障害となります。翻訳。セキュリティは、多くの人が評価しているよりもワークフローにうまく統合されています。
5。シフトレフトは昨日のニュース
かつて広まっていた「セキュリティをシフトレフト」というスローガンは、今では最も重要なトレンドの9番目にすぎません。シフトレフトはすでに起こっていますか?AIとクラウドの複雑さがそれをかき消しているのでしょうか?それとも、これは、安全保障が必然的にあらゆる場所に移動していることのさらなる証拠なのでしょうか?
繰り返しになりますが、セキュリティツールが改善され、シフトレフトが容易になったのかもしれません。( 2024 年の調査では、シフトレフトのアプローチが開発者のフラストレーションの原因となり、より効果的なツールが違いを生む可能性のある領域として特定されました。あるいは、シフトレフトのトレンドが広く受け入れられているだけかもしれません。
6。セキュリティのシフトレフトは、最も話題になるトレンドではないかもしれませんが、それでも影響力があります
セキュリティの左シフトの影響は、ジェネレーティブAIやInfrastructure as Codeなどのより支配的なトレンドに比べると見劣りします。しかし、リーダーシップを発揮する開発者にとっては、依然として強い影響力を持っています。
要するに: セキュリティはもはや障害ではありません。それは反射です。チームは「セキュリティは誰のものか」と問いかけているわけではありません。彼らは「どうすれば私たち全員がもっとうまくやれるのか」と問いかけています。