Datadogが語る、DevSecOps成功のための「3つの秘訣」
半年以上も放置される古いライブラリ、脆弱性の温床に ― DevSecOps最新レポート
2025年07月29日 10時30分更新
DevSecOpsを成功させる「3つのポイント」
Datadog Japanのプレジデント&カントリーゼネラルマネージャー日本法人社長である正井拓己氏は、「サイバー攻撃の進化と、企業のセキュリティ対策におけるギャップ」を指摘する。
サイバー攻撃を経験する日本企業は32%(帝国データバンクの2025年調査より)に上るなど、セキュリティの緊急性と優先度は年々高まっているのが現状だ。「AIの普及により新たなリスクも生じており、設定ミスや脆弱なAPI、改ざんされた学習データなどが悪用されれば、企業にとって深刻な脅威となりえる。残念ながら日本企業は、リスクの進化に現場の対策・対応が追いついていない」(正井氏)
こうした中で、求められるセキュリティ対策のひとつが「DevSecOps」となる。DevSecOpsとは、開発・運用・セキュリティを一体化して、セキュリティを開発プロセス全体に組み込み、継続的に改善していくアプローチを指す。正井氏は、「DevSecOpsは、単なる技術導入の話ではなく、企業文化そのものを変革する取り組み。この一歩を踏み出すかが、企業の未来を大きく左右する」と強調する。
DevSecOpsのイメージ
クルーグ氏は、DevSecOps成功のポイントを3つ挙げた。
ひとつ目は「社内文化の改革から始める」だ。クルーグ氏も、DevSecOpsを「単なる新しい技術を取り入れることではない」と強調。「組織のあり方や価値観を考え直すことにつながる」と説明する。
そのためには、エグゼクティブの参画や、開発・運用・セキュリティチームが密に連携して、共通の価値を定義することが重要だという。
2つ目は「KPIで“見える化”して、小さく始めること」だ。緊急の脆弱性をどれだけ早く解決できるか、解決率はどのくらいかといったメトリクスを収集・トラッキングする仕組みづくりが求められるという。
「例えば、重要なサービスにおいて、現在のベースラインをもとに定量化可能な目標を設定し、チーム全体が改善を実感できるようにすることが重要」(クルーグ氏)
そして最後が「継続的な改善と学びの文化を育てる」ことだ。DevSecOpsの考え方を、出来るだけ早く開発ライフサイクルに組み込むことで、組織自体に改善に取り組む文化が生まれる。
クルーグ氏は、「DevSecOpsの考え方は理想論ではなく、問題に対応するための実践的な手法。小さく始めたとしても、将来的には多くのリスクを削減することになり、成功に向けて歩み続けることができる」と締めくくった。
DevSecOps成功における3つのポイント
