デジタル活用でセキュリティの「シフトレフト」が重要になる理由：ウオーターフォール開発では実現不可能

コロナ禍で企業の顧客接点業務が危機的状況になる中、デジタル活用の機運が高まっている。業務システムのWebアプリケーション化などにおいて、スピーディーかつ安定的に開発を進めるためのポイントはどこにあるのか。

[PR／ITmedia]

PR

　コロナ禍は、IT活用やデジタル活用をいや応なく加速させた。この大きな変化に適応できなければ、生き残れないという危機感を抱く企業も少なくない。この危機を乗り越えるためには何が必要なのか。ローコード開発プラットフォーム「SPIRAL」を提供してきたパイプドビッツのCEO林 哲也氏とCRO（最高リスク管理責任者）の志賀正規氏、CISO（最高情報セキュリティ責任者）の引地千秋氏が、同社をセキュリティ面で支援するアスタリスク・リサーチのCEO岡田 良太郎氏と意見を交わした。

コロナ禍が急加速させた「デジタル化」と「DXの圧力」とは

――ビジネスにおいて、これまで以上にスピーディーな開発が求められる背景についてお聞かせください。

パイプドビッツ CEOの林 哲也氏

林 哲也氏（パイプドビッツ CEO）：　新型コロナウイルス感染症（COVID-19）によって、多くの企業が業務の進め方を変える必要性に迫られました。テレワークや非対面コミュニケーションの実現が喫緊の課題となり、パイプドビッツでは2020年5月から8月にかけて、SPIRALに関する問い合わせが例年の2倍になりました。

アスタリスク・リサーチ CEOの岡田 良太郎氏

岡田 良太郎氏（アスタリスク・リサーチ CEO）：　コロナ禍以前にデジタルトランスフォーメーション（DX）を「お金とゆとりのある人たちのIT投資分野だ」と認識していた企業が、現在は「今すぐに非対面での顧客接点を作らないと来月には会社が行き詰まるかもしれない」と切迫感を持っています。「柔軟なソフトウェアを迅速に調達したい」というニーズは以前からありましたが、現在はそれがビジネスの生命線に関わるような状況です。

――ソフトウェアの迅速な開発が求められる中で、そのニーズに対応するに当たってどのような点を重視するべきでしょうか。

岡田氏：　開発そのものの加速や急な変更への対応として重視するべきなのは「シフトレフト」です。従来は出荷直前に実施していたセキュリティ対策を、より「工程の左側」（初期段階）から施す考え方で、デジタル活用には不可欠の視点です。

　例えばモータースポーツのドライバーがタフなレースに挑戦できるのは、信頼できる安全なマシンがあるためです。それと同様に、変化の速度やサイバー攻撃のリスクが増大する中でデジタル活用をするには、信頼できる安全な環境が必要なのです。設計や実装段階から計画的にセキュリティを検討できればそれが実現するのはもちろん、内部人材のスキルアップや成果物の品質向上、ダウンタイムの抑制によるシステム利用者の生産性向上なども可能になります。

――シフトレフトは、ウオーターフォール開発では難しいのでしょうか。

岡田氏：　不可能ではありませんが、ウオーターフォール開発は将来が予測できることを前提にした手法で、同時多発的に発生する外的環境の変動にすばやく対応することは原理的に困難です。しかし現代は、コロナ禍の発生やディスラプターの登場など、「予測できない事態」が起きる時代です。

　そこで、短い時間でユーザーが求めるものを効果的に調達するために有効なのが「DevOps」です。ユーザーの利用環境をモニタリングして分析し、問題を見つけたらすぐに対処して運用に戻すループで、モータースポーツに例えればDevは「ピット作業」、Opsは「サーキット」に当たります。DevOpsでは、関係者全員がそれぞれの立場でセキュリティ施策を組み込みます。それを強調して「DevSecOps」と呼ぶこともありますが、本質は同じです。

セキュアなソフトウェアサイクルは「Ops」から始まる（出典：アスタリスク・リサーチ）

　また、セキュリティ実践の重要な視点に「チームの学習への貢献」があります。従来の出荷直前のセキュリティ対策では、セキュリティリストを通すための場当たり的な対応による、つぎはぎだらけのシステムになりがちです。一方、シフトレフトで実現する健全でメンテナンスしやすい高品質なシステムは、チームへの愛着や成果物に対するオーナーシップにつながります。それに気付いた経営者は、シフトレフトを始めています。

パイプドビッツ CISOの引地千秋氏

引地千秋氏（パイプドビッツ CISO）：　以前はパイプドビッツも出荷直前に重点をおいたセキュリティ対策をしており、問題が発生するたびに応急処置的な対応を取っていました。そこで2015年からシフトレフトを取り入れ、開発担当者とセキュリティ部門、システム運用部門、サービスを運営する部門が一緒に、社外の第三者の技術顧問のアドバイスも取り入れながら、セキュリティの定期レビューをしています。これによって、予測しづらい問題が発生することを見越した組織体制の構築やセキュリティの設計、実装ができています。

　レビュー会は即効性のある施策ではありません。パイプドビッツでも開始当初は効果の実感が難しかったのですが、状況把握と分析、最善の選択を繰り返すことで内部知識が蓄積し、問題収束の速度が上がっていきました。現在は自社視点のテストだけでなく、第三者機関によるソースコード診断やアプリケーション診断を実施し、さらなるセキュリティの強化に取り組んでいます。

さまざまなサービスと連携し、信頼の鎖を作る

――現在の、Webアプリケーション開発の現場における課題は何でしょうか？

岡田氏：　変化の激しい現代では、単体のWebアプリケーションのみでビジネスは完結しません。他のサービスや保有しているデータとの連携が不可欠です。例えば有用なデータを保有していても、それを営業支援製品などの外部システムや位置データ、ユーザーが入力するデータなどと連携させなければ活用はできません。

　これらを実現するには、サービスを連携／横断して使えることが必要です。認証基盤のもと、信頼できる環境で、どのサービスにどんなデータがあり、どのようなデバイスからアクセスするのかといった情報を、鎖をつなぐように連携させて「信頼の鎖」を作ります。

　ローコード／ノーコード開発はコーディングの知識がなくてもスピーディーにシステムを作れるため、現場部門がデータやシステムを連携させてビジネスのボトルネックを解消でき、結果的に、早く業務の生産性を上げられます。業務の実装が現場でできてしまうからこそ、開発プラットフォームはセキュアな環境でなければいけません。

パイプドビッツ CROの志賀正規氏

志賀正規氏（パイプドビッツ CRO）：　実際の案件のセキュリティレビューでも、外部サービスを組み込んだ提案をする機会はどんどん増えています。連携先の仕様やセキュリティに対する取り組みなども含めた「信頼の鎖」となるよう意識することが、今後ますます大切になると感じています。

林氏：　今後も、複数のサービスを横断的に利用してそれぞれの得意なものを組み合わせてシステムを作る傾向は続くでしょう。SPIRALには安全で高速な開発環境があります。特に、顧客接点業務のシステム化において、データベースや認証の仕組みを利用して個人情報の管理を当社に任せていただくことで、リスクの移転が可能になります。

――外部連携をすれば、それだけリスクは増えるのではないでしょうか。リスクの管理について、もう少し詳しくお聞かせください。

林氏：　実証済みのサービス連携であれば、必要以上にリスクを恐れる必要はありません。しかし設計やビジネスの理解の部分で誤りがあれば、ローコード開発でも問題は起きるでしょう。そこでパイプドビッツは各業界の専門知識を持つチームを置き、その業界に適した使い方についてアドバイスをし、リスク低減をお手伝いしています。

志賀氏：　各チームのナレッジを社内で共有して、業界横断的に活用できる体制を整えています。社会の変化に伴う法規制やセキュリティ監査に関する要求も増えており、現在は毎月およそ4000社のお客さまへの対応を通して「この業界で求められるコンプライアンスは何か」「この先どのような技術トレンドが来るか」などを把握し、それを基にサービスをアップデートしています。

　また、ローコード開発で得た人や時間の余裕をビジネス領域の支援や「信頼の鎖」のためのシフトレフト・セキュリティに投入できていることも、リスク管理に役立っていると感じます。

一体となった「学習する組織」で、信頼できるサービスを目指す

岡田氏：　パイプドビッツの取り組みで素晴らしいと感じるのは、システムのセキュリティを「動的なもの」と捉えていることです。例えばそれは、頻度の高いテスト計画に見られます。「半年前はこうだった、3カ月前はこうだった、そして現在はこうなっている」と、セキュリティリスクを俯瞰（ふかん）的に可視化して改善や問題点の発生と解決の状況を動的にモニタリングしているわけです。

志賀氏：　この改善の取り組みは、当初、あまり現場の理解を得られませんでした。「サービスが稼働しているのに、何を言っているのだろう」という印象だったのだと思います。そこでわれわれは2つのスローガンを掲げ、繰り返し呼びかけてきました。

　一つは、「100−1＝0」という心構えです。コツコツ築いた100の信頼も1つの大きなインシデントが起こればリセットされ、0から積み上げ直しになりかねません。だから、不注意による事故の影響を認識し、事故を起こさないためにあらゆる手を打っていこう、と呼びかけてきました。

　もう一つは行動実践のスローガンで、そのまま「シフトレフト」です。これを繰り返し発信していくことで、現場の意識も少しずつ変わってきました。最近ではセキュリティ以外の面でも「お客さまの課題は早い段階でヒアリングした方が、より迅速に良いものができるよね」といった、シフトレフトの意識が出ています。

岡田氏：　それは素晴らしいことですね。開発と運用、セキュリティ、ビジネスの各チームがそれぞれ学習する組織でなければ、意識の変革は困難です。プロダクトの改良や問題の解決に取り組み続けるには、全員が自社製品に愛着を持ってさまざまな業界のユーザーに納得して使ってもらうための学習が不可欠です。

林氏：　パイプドビッツは、創業当時から「情報資産の銀行」という事業コンセプトを掲げ、セキュリティを重視する社内体制を整えてきました。2016年頃からアスタリスク・リサーチさんと連携して「OWASP SAMM」などのツールを使い、社内の体制やセキュリティ実践の状況を可視化して客観的に評価するフローを構築してきました。

OWASP SAMMによるシフトレフトの評価（出典：アスタリスク・リサーチ）

林氏：　今後は、安全性に加えて信頼性を高めていきたいと考えています。より安心してパイプドビッツのサービスを利用できるようあらゆる面で組織を進化させ、お客さまや社会からの信頼を獲得していきたいと思っています。

SPIRALで日本のデジタル活用、DXを支援

――直近の活動や、今後の見通しについてお聞かせください。

岡田氏：　2020年7月、SPIRAL開発チームの主要メンバーで、オンラインでのワークショップを行いました。「堅固な設計とは何か」を多角的に議論する中で、コロナ禍でも技術力のアップデートが続いているのを心強く感じました。現実として「完璧にセキュアで問題が起こらないコード」というものは世の中に存在しません。パイプドビッツはその現実を受け入れて、学習する組織として成長することに決めたからこそ、結果として信頼できるソフトウェアが出荷されているし、これからもそうだと思います。

オンラインワークショップの様子（出典：アスタリスク・リサーチ）

志賀氏：　われわれは2000年の創業から現在まで、SPIRALの開発と提供を続けてきました。今後も機能や生産性の向上、セキュリティの強化、時代の変化などに柔軟に対応し続けるベンダーとして、お客さまの価値向上や成功を手伝いたいと思っています。

林氏：　お客さまの声や要望をしっかり取り入れながら、安心安全、かつ柔軟にシステムを提供できるプラットフォームとしてSPIRALを強化していきたいと考えています。SPIRALを通して、日本企業のDX推進を支援していきます。

岡田氏：　パイプドビッツの立ち位置は、単なるサービスベンダーではありません。サービス改善に必要な課題を発見してスピーディーに取り組むサイクルの経験を通し、ソフトウェア業界全体に励みとなる、ひいては直接・間接にセキュリティ実践を推進する位置におられると思います。コロナ禍中、世界中の企業がデジタル活用で命をつないでいます。ですから、今後もSPIRALに関連するビジネスはもちろん、社会全体に対しても「情報技術を、諦めない」というメッセージを伝える立場となっていかれることを期待しています。デジタル社会を支える一員として、これからも一丸となって、安心できるソフトウェアに関わる取り組みを推進していきましょう。