CI/CDのセキュリティ実践に関する新たな調査結果発表

近年、ソフトウェア開発の効率化が進められ、CI/CD（継続的インテグレーション／継続的デリバリー）環境が多くの企業において活用されています。しかし、その一方で、セキュリティ対策の実施状況には大きな課題が残っています。このたび、NTT株式会社とNTTドコモビジネス株式会社が早稲田大学と共同で行った調査により、CI/CD環境におけるセキュリティ対策の実施状況と、なぜそれが実践されないのかという要因が明らかになりました。

調査の背景

CI/CDは、ソフトウェア開発ライフサイクルにおける各プロセスを自動化し、開発の迅速化やエラーの削減を図る仕組みです。しかし、CI/CD環境では、認証情報の管理ミスや設定変更時のレビュー不足が重大なセキュリティインシデントを引き起こす可能性があります。過去には、大規模なサプライチェーン攻撃が発生し、多くの組織が被害を受けました。このようなリスクを軽減するためのセキュリティ対策が求められています。

調査の概要

本研究では、CI/CD基盤として広く利用されている「GitHub Actions」を対象に約34万件の公開リポジトリについて、そのセキュリティ対策の実施率を調査しました。また、100名以上の開発者に対するアンケート調査を通じて、セキュリティ対策が実施されない背景にある人的要因を分析しました。結果、主要なセキュリティ対策の実施率は平均でわずか17.5％という低水準にとどまり、多くの開発者が対策の存在を認識していないことが分かりました。

セキュリティ対策の現状

調査において、五つの主要なセキュリティ対策の実施率が低かったことが判明しました。特に、専用ツールや機能を活用した対策に関しては、想像以上に活用されていないことが明らかになりました。また、対策の存在自体が知られていないために実施していないという意見や、運用の負担感が問題視される結果となりました。

このような実態は、CI/CD環境でのセキュリティ対策の導入にあたって、周知と教育による啓発活動が必要であることを示しています。技術的な支援やシステムの改善が求められる背景には、開発者が安心して利用できる環境づくりが求められるからです。

調査結果の意義

得られた研究成果は、CI/CD環境のセキュリティを向上させるための具体的な施策検討に寄与します。特に、開発者への适切な通知や支援の強化が重要であり、その結果、サービス全体の安全性が高まることが期待されています。実際、自社のCI/CDプラットフォームである「Qmonus Value Stream」の改善にも本研究の知見を活用する予定です。

NTTとNTTドコモビジネスは、これらの成果をもとに脆弱性を防ぎ、安全なソフトウェア開発を促進するためのさらなる取り組みを進めていく考えです。今後もセキュリティ対策を実践するために必要な情報を提供し、業界全体でのセキュリティ意識向上を図ることが求められています。これにより、顧客が安心して利用できるサービス提供につながることが期待されています。

まとめ

今回の調査結果は、CI/CD環境におけるセキュリティの重要性を再確認するものであり、業界全体の認識を深めるきっかけとなることでしょう。今後、さらに多くの企業がこの研究成果を参考にし、セキュリティ対策の強化に取り組むことが期待されます。私たちが目指すのは、安全で信頼性の高いソフトウェア開発の実現です。

会社情報

会社名

NTT株式会社　NTTドコモビジネス株式会社

住所

電話番号