Datadogが語る、DevSecOps成功のための「3つの秘訣」
半年以上も放置される古いライブラリ、脆弱性の温床に ― DevSecOps最新レポート
2025年07月29日 10時30分更新
DevSecOpsを成功させる「3つのポイント」
Datadog Japanのプレジデント&カントリーゼネラルマネージャー日本法人社長である正井拓己氏は、「サイバー攻撃の進化と、企業のセキュリティ対策におけるギャップ」を指摘する。
サイバー攻撃を経験する日本企業は32%(帝国データバンクの2025年調査より)に上るなど、セキュリティの緊急性と優先度は年々高まっているのが現状だ。「AIの普及により新たなリスクも生じており、設定ミスや脆弱なAPI、改ざんされた学習データなどが悪用されれば、企業にとって深刻な脅威となりえる。残念ながら日本企業は、リスクの進化に現場の対策・対応が追いついていない」(正井氏)
こうした中で、求められるセキュリティ対策のひとつが「DevSecOps」となる。DevSecOpsとは、開発・運用・セキュリティを一体化して、セキュリティを開発プロセス全体に組み込み、継続的に改善していくアプローチを指す。正井氏は、「DevSecOpsは、単なる技術導入の話ではなく、企業文化そのものを変革する取り組み。この一歩を踏み出すかが、企業の未来を大きく左右する」と強調する。
DevSecOpsのイメージ
クルーグ氏は、DevSecOps成功のポイントを3つ挙げた。
ひとつ目は「社内文化の改革から始める」だ。クルーグ氏も、DevSecOpsを「単なる新しい技術を取り入れることではない」と強調。「組織のあり方や価値観を考え直すことにつながる」と説明する。
そのためには、エグゼクティブの参画や、開発・運用・セキュリティチームが密に連携して、共通の価値を定義することが重要だという。
2つ目は「KPIで“見える化”して、小さく始めること」だ。緊急の脆弱性をどれだけ早く解決できるか、解決率はどのくらいかといったメトリクスを収集・トラッキングする仕組みづくりが求められるという。
「例えば、重要なサービスにおいて、現在のベースラインをもとに定量化可能な目標を設定し、チーム全体が改善を実感できるようにすることが重要」(クルーグ氏)
そして最後が「継続的な改善と学びの文化を育てる」ことだ。DevSecOpsの考え方を、出来るだけ早く開発ライフサイクルに組み込むことで、組織自体に改善に取り組む文化が生まれる。
クルーグ氏は、「DevSecOpsの考え方は理想論ではなく、問題に対応するための実践的な手法。小さく始めたとしても、将来的には多くのリスクを削減することになり、成功に向けて歩み続けることができる」と締めくくった。
DevSecOps成功における3つのポイント
本記事はアフィリエイトプログラムによる収益を得ている場合があります
