[{"data":1,"prerenderedAt":478},["ShallowReactive",2],{"/ja-jp/the-source/authors/josh-lemos":3,"footer-ja-jp":34,"the-source-banner-ja-jp":344,"the-source-navigation-ja-jp":356,"the-source-newsletter-ja-jp":383,"footer-source-/ja-jp/the-source/authors/josh-lemos/":394,"authors-ja-jp":404,"categories-ja-jp":434,"josh-lemos-articles-list-ja-jp":435},{"_path":4,"_dir":5,"_draft":6,"_partial":6,"_locale":7,"config":8,"seo":10,"content":12,"type":26,"slug":27,"_id":28,"_type":29,"title":11,"_source":30,"_file":31,"_stem":32,"_extension":33},"/ja-jp/the-source/authors/josh-lemos","authors",false,"",{"layout":9},"the-source",{"title":11},"Josh Lemos",[13,24],{"componentName":14,"componentContent":15},"TheSourceAuthorHero",{"config":16,"name":11,"role":19,"bio":20,"headshot":21},{"gitlabHandle":17,"linkedInProfileUrl":18},"joshlemos","https://www.linkedin.com/in/joshlemos/","最高情報セキュリティ責任者","Josh Lemosは20年にわたり情報セキュリティチームを率いてきた経験を生かし、GitLab Inc.の最高情報セキュリティ責任者を務めています。具体的には、情報資産とテクノロジーを適切に保護するための企業ビジョン、戦略、プログラムの確立および維持、Gitlab DevSecOpsプラットフォームの強化、そして顧客への最高水準のセキュリティ提供といった職務を担当しています。",{"altText":11,"config":22},{"src":23},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1751463405/f4rqtiecakrekvxfhqar.jpg",{"componentName":25},"TheSourceArticlesList","author","josh-lemos","content:ja-jp:the-source:authors:josh-lemos.yml","yaml","content","ja-jp/the-source/authors/josh-lemos.yml","ja-jp/the-source/authors/josh-lemos","yml",{"_path":35,"_dir":36,"_draft":6,"_partial":6,"_locale":7,"data":37,"_id":340,"_type":29,"title":341,"_source":30,"_file":342,"_stem":343,"_extension":33},"/shared/ja-jp/main-footer","ja-jp",{"text":38,"source":39,"edit":45,"contribute":50,"config":55,"items":60,"minimal":332},"GitはSoftware Freedom Conservancyの商標です。当社は「GitLab」をライセンスに基づいて使用しています",{"text":40,"config":41},"ページのソースを表示",{"href":42,"dataGaName":43,"dataGaLocation":44},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/","page source","footer",{"text":46,"config":47},"このページを編集",{"href":48,"dataGaName":49,"dataGaLocation":44},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/content/","web ide",{"text":51,"config":52},"ご協力をお願いします",{"href":53,"dataGaName":54,"dataGaLocation":44},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/CONTRIBUTING.md/","please contribute",{"twitter":56,"facebook":57,"youtube":58,"linkedin":59},"https://twitter.com/gitlab","https://www.facebook.com/gitlab","https://www.youtube.com/channel/UCnMGQ8QHMAnVIsI3xJrihhg","https://www.linkedin.com/company/gitlab-com",[61,88,161,232,294],{"title":62,"links":63,"subMenu":69},"プラットフォーム",[64],{"text":65,"config":66},"DevSecOpsプラットフォーム",{"href":67,"dataGaName":68,"dataGaLocation":44},"/ja-jp/platform/","devsecops platform",[70],{"title":71,"links":72},"価格",[73,78,83],{"text":74,"config":75},"プランの表示",{"href":76,"dataGaName":77,"dataGaLocation":44},"/ja-jp/pricing/","view plans",{"text":79,"config":80},"Premiumを選ぶ理由",{"href":81,"dataGaName":82,"dataGaLocation":44},"/ja-jp/pricing/premium/","why premium",{"text":84,"config":85},"Ultimateを選ぶ理由",{"href":86,"dataGaName":87,"dataGaLocation":44},"/ja-jp/pricing/ultimate/","why ultimate",{"title":89,"links":90},"ソリューション",[91,96,101,106,111,116,121,126,131,136,141,146,151,156],{"text":92,"config":93},"デジタルトランスフォーメーション",{"href":94,"dataGaName":95,"dataGaLocation":44},"/ja-jp/topics/digital-transformation/","digital transformation",{"text":97,"config":98},"セキュリティとコンプライアンス",{"href":99,"dataGaName":100,"dataGaLocation":44},"/ja-jp/solutions/application-security-testing/","Application security testing",{"text":102,"config":103},"自動化されたソフトウェアデリバリー",{"href":104,"dataGaName":105,"dataGaLocation":44},"/ja-jp/solutions/delivery-automation/","automated software delivery",{"text":107,"config":108},"アジャイル開発",{"href":109,"dataGaName":110,"dataGaLocation":44},"/ja-jp/solutions/agile-delivery/","agile delivery",{"text":112,"config":113},"クラウドトランスフォーメーション",{"href":114,"dataGaName":115,"dataGaLocation":44},"/ja-jp/topics/cloud-native/","cloud transformation",{"text":117,"config":118},"SCM",{"href":119,"dataGaName":120,"dataGaLocation":44},"/ja-jp/solutions/source-code-management/","source code management",{"text":122,"config":123},"CI/CD",{"href":124,"dataGaName":125,"dataGaLocation":44},"/ja-jp/solutions/continuous-integration/","continuous integration & delivery",{"text":127,"config":128},"バリューストリーム管理",{"href":129,"dataGaName":130,"dataGaLocation":44},"/ja-jp/solutions/value-stream-management/","value stream management",{"text":132,"config":133},"GitOps",{"href":134,"dataGaName":135,"dataGaLocation":44},"/ja-jp/solutions/gitops/","gitops",{"text":137,"config":138},"Enterprise",{"href":139,"dataGaName":140,"dataGaLocation":44},"/ja-jp/enterprise/","enterprise",{"text":142,"config":143},"スモールビジネス",{"href":144,"dataGaName":145,"dataGaLocation":44},"/ja-jp/small-business/","small business",{"text":147,"config":148},"公共機関",{"href":149,"dataGaName":150,"dataGaLocation":44},"/ja-jp/solutions/public-sector/","public sector",{"text":152,"config":153},"教育",{"href":154,"dataGaName":155,"dataGaLocation":44},"/ja-jp/solutions/education/","education",{"text":157,"config":158},"金融サービス",{"href":159,"dataGaName":160,"dataGaLocation":44},"/ja-jp/solutions/finance/","financial services",{"title":162,"links":163},"関連リソース",[164,169,174,179,184,189,193,197,202,207,212,217,222,227],{"text":165,"config":166},"インストール",{"href":167,"dataGaName":168,"dataGaLocation":44},"/ja-jp/install/","install",{"text":170,"config":171},"クイックスタートガイド",{"href":172,"dataGaName":173,"dataGaLocation":44},"/ja-jp/get-started/","quick setup checklists",{"text":175,"config":176},"学ぶ",{"href":177,"dataGaName":178,"dataGaLocation":44},"https://university.gitlab.com/","learn",{"text":180,"config":181},"製品ドキュメント",{"href":182,"dataGaName":183,"dataGaLocation":44},"https://docs.gitlab.com/","docs",{"text":185,"config":186},"ブログ",{"href":187,"dataGaName":188},"/ja-jp/blog/","blog",{"text":190,"config":191},"お客様の成功事例",{"href":192,"dataGaLocation":44},"/ja-jp/customers/",{"text":194,"config":195},"お客様成功事例",{"href":192,"dataGaName":196,"dataGaLocation":44},"customer success stories",{"text":198,"config":199},"リモート",{"href":200,"dataGaName":201,"dataGaLocation":44},"https://handbook.gitlab.com/handbook/company/culture/all-remote/","remote",{"text":203,"config":204},"GitLabサービス",{"href":205,"dataGaName":206,"dataGaLocation":44},"/ja-jp/services/","services",{"text":208,"config":209},"TeamOps",{"href":210,"dataGaName":211,"dataGaLocation":44},"/ja-jp/teamops/","teamops",{"text":213,"config":214},"コミュニティ",{"href":215,"dataGaName":216,"dataGaLocation":44},"/community/","community",{"text":218,"config":219},"フォーラム",{"href":220,"dataGaName":221,"dataGaLocation":44},"https://forum.gitlab.com/","forum",{"text":223,"config":224},"イベント",{"href":225,"dataGaName":226,"dataGaLocation":44},"/events/","events",{"text":228,"config":229},"パートナー",{"href":230,"dataGaName":231,"dataGaLocation":44},"/ja-jp/partners/","partners",{"title":233,"links":234},"Company",[235,240,245,250,255,260,265,269,274,279,284,289],{"text":236,"config":237},"GitLabについて",{"href":238,"dataGaName":239,"dataGaLocation":44},"/ja-jp/company/","company",{"text":241,"config":242},"採用情報",{"href":243,"dataGaName":244,"dataGaLocation":44},"/jobs/","jobs",{"text":246,"config":247},"経営陣",{"href":248,"dataGaName":249,"dataGaLocation":44},"/company/team/e-group/","leadership",{"text":251,"config":252},"チーム",{"href":253,"dataGaName":254,"dataGaLocation":44},"/company/team/","team",{"text":256,"config":257},"ハンドブック",{"href":258,"dataGaName":259,"dataGaLocation":44},"https://handbook.gitlab.com/","handbook",{"text":261,"config":262},"投資家向け情報",{"href":263,"dataGaName":264,"dataGaLocation":44},"https://ir.gitlab.com/","investor relations",{"text":266,"config":267},"Sustainability",{"href":268,"dataGaName":266,"dataGaLocation":44},"/sustainability/",{"text":270,"config":271},"ダイバーシティ、インクルージョン、ビロンギング（DIB）",{"href":272,"dataGaName":273,"dataGaLocation":44},"/ja-jp/diversity-inclusion-belonging/","Diversity, inclusion and belonging",{"text":275,"config":276},"トラストセンター",{"href":277,"dataGaName":278,"dataGaLocation":44},"/ja-jp/security/","trust center",{"text":280,"config":281},"ニュースレター",{"href":282,"dataGaName":283,"dataGaLocation":44},"/company/contact/","newsletter",{"text":285,"config":286},"プレス",{"href":287,"dataGaName":288,"dataGaLocation":44},"/press/","press",{"text":290,"config":291},"現代奴隷制の透明性に関する声明",{"href":292,"dataGaName":293,"dataGaLocation":44},"https://handbook.gitlab.com/handbook/legal/modern-slavery-act-transparency-statement/","modern slavery transparency statement",{"title":295,"links":296},"お問い合わせ",[297,301,306,311,316,321,326],{"text":295,"config":298},{"href":299,"dataGaName":300,"dataGaLocation":44},"/ja-jp/sales/","sales",{"text":302,"config":303},"サポートを受ける",{"href":304,"dataGaName":305,"dataGaLocation":44},"/support/","get help",{"text":307,"config":308},"カスタマーポータル",{"href":309,"dataGaName":310,"dataGaLocation":44},"https://customers.gitlab.com/customers/sign_in/","customer portal",{"text":312,"config":313},"ステータス",{"href":314,"dataGaName":315,"dataGaLocation":44},"https://status.gitlab.com/","status",{"text":317,"config":318},"利用規約",{"href":319,"dataGaName":320,"dataGaLocation":44},"/terms/","terms of use",{"text":322,"config":323},"プライバシーに関する声明",{"href":324,"dataGaName":325,"dataGaLocation":44},"/ja-jp/privacy/","privacy statement",{"text":327,"config":328},"Cookieの設定",{"dataGaName":329,"dataGaLocation":44,"id":330,"isOneTrustButton":331},"cookie preferences","ot-sdk-btn",true,{"items":333},[334,336,338],{"text":317,"config":335},{"href":319,"dataGaName":320,"dataGaLocation":44},{"text":322,"config":337},{"href":324,"dataGaName":325,"dataGaLocation":44},{"text":327,"config":339},{"dataGaName":329,"dataGaLocation":44,"id":330,"isOneTrustButton":331},"content:shared:ja-jp:main-footer.yml","Main Footer","shared/ja-jp/main-footer.yml","shared/ja-jp/main-footer",{"_path":345,"_dir":346,"_draft":6,"_partial":6,"_locale":7,"id":347,"visibility":331,"title":348,"button":349,"_id":353,"_type":29,"_source":30,"_file":354,"_stem":355,"_extension":33},"/shared/ja-jp/the-source/banner/the-economics-of-software-innovation-2025-08-18","banner","The Economics of Software Innovation","The Economics of Software Innovation—AI’s $750 Billion Opportunity",{"config":350,"text":352},{"href":351},"/software-innovation-report/","Get the research report","content:shared:ja-jp:the-source:banner:the-economics-of-software-innovation-2025-08-18.yml","shared/ja-jp/the-source/banner/the-economics-of-software-innovation-2025-08-18.yml","shared/ja-jp/the-source/banner/the-economics-of-software-innovation-2025-08-18",{"_path":357,"_dir":9,"_draft":6,"_partial":6,"_locale":7,"logo":358,"subscribeLink":363,"navItems":367,"_id":379,"_type":29,"title":380,"_source":30,"_file":381,"_stem":382,"_extension":33},"/shared/ja-jp/the-source/navigation",{"altText":359,"config":360},"the source logo",{"src":361,"href":362},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1750191004/t7wz1klfb2kxkezksv9t.svg","/ja-jp/the-source/",{"text":364,"config":365},"購読する",{"href":366},"#subscribe",[368,372,375],{"text":369,"config":370},"人工知能",{"href":371},"/ja-jp/the-source/ai/",{"text":97,"config":373},{"href":374},"/ja-jp/the-source/security/",{"text":376,"config":377},"プラットフォームとインフラストラクチャ",{"href":378},"/ja-jp/the-source/platform/","content:shared:ja-jp:the-source:navigation.yml","Navigation","shared/ja-jp/the-source/navigation.yml","shared/ja-jp/the-source/navigation",{"_path":384,"_dir":9,"_draft":6,"_partial":6,"_locale":7,"title":385,"description":386,"submitMessage":387,"formData":388,"_id":391,"_type":29,"_source":30,"_file":392,"_stem":393,"_extension":33},"/shared/ja-jp/the-source/newsletter","The Sourceニュースレター","ソフトウェア開発の未来への洞察に関する最新情報を入手しましょう。","The Sourceのニュースレターへの登録が完了しました。",{"config":389},{"formId":390,"formName":283,"hideRequiredLabel":331},28467,"content:shared:ja-jp:the-source:newsletter.yml","shared/ja-jp/the-source/newsletter.yml","shared/ja-jp/the-source/newsletter",{"_path":4,"_dir":5,"_draft":6,"_partial":6,"_locale":7,"config":395,"seo":396,"content":397,"type":26,"slug":27,"_id":28,"_type":29,"title":11,"_source":30,"_file":31,"_stem":32,"_extension":33},{"layout":9},{"title":11},[398,403],{"componentName":14,"componentContent":399},{"config":400,"name":11,"role":19,"bio":20,"headshot":401},{"gitlabHandle":17,"linkedInProfileUrl":18},{"altText":11,"config":402},{"src":23},{"componentName":25},{"amanda-rueda":405,"andre-michael-braun":406,"andrew-haschka":407,"ayoub-fandi":408,"brian-wald":409,"bryan-ross":410,"chandler-gibbons":411,"dave-steer":412,"ddesanto":413,"derek-debellis":414,"emilio-salvador":415,"erika-feldman":416,"george-kichukov":417,"gitlab":418,"grant-hickman":419,"haim-snir":420,"iganbaruch":421,"jlongo":422,"joel-krooswyk":423,"josh-lemos":11,"julie-griffin":424,"kristina-weis":425,"lee-faus":426,"ncregan":427,"rschulman":428,"sabrina-farmer":429,"sandra-gittlen":430,"sharon-gaudin":431,"stephen-walters":432,"taylor-mccaslin":433},"Amanda Rueda","Andre Michael Braun","Andrew Haschka","Ayoub Fandi","Brian Wald","Bryan Ross","Chandler Gibbons","Dave Steer","David DeSanto","Derek DeBellis","Emilio Salvador","Erika Feldman","George Kichukov","GitLab","Grant Hickman","Haim Snir","Itzik Gan Baruch","Joseph Longo","Joel Krooswyk","Julie Griffin","Kristina Weis","Lee Faus","Niall Cregan","Robin Schulman","Sabrina Farmer","Sandra Gittlen","Sharon Gaudin","Stephen Walters","Taylor McCaslin",{"ai":369,"platform":376,"security":97},[436,459],{"_path":437,"_dir":438,"_draft":6,"_partial":6,"_locale":7,"config":439,"seo":442,"content":446,"type":454,"category":438,"slug":455,"_id":456,"_type":29,"title":443,"_source":30,"_file":457,"_stem":458,"_extension":33,"date":447,"description":444,"timeToRead":448,"heroImage":445,"keyTakeaways":449,"articleBody":453},"/ja-jp/the-source/security/key-security-trends-for-cisos-in-2025","security",{"layout":9,"template":440,"author":27,"featured":6,"sourceCTA":441,"isHighlighted":6,"authorName":11},"TheSourceArticle","source-lp-ai-guide-for-enterprise-leaders-building-the-right-approach",{"title":443,"description":444,"ogImage":445},"2025年におけるCISO向けの主なセキュリティトレンド","AIの導入に伴う新たなリスクと機会の発生、アイデンティティ管理の再構築、DevOpsチームの強化方法など、2025年の主なセキュリティトレンドについてご紹介します。","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464506/hyue0lgqq2lqk3arwnel.jpg",{"title":443,"date":447,"description":444,"timeToRead":448,"heroImage":445,"keyTakeaways":449,"articleBody":453},"2025-02-25","5分で読めます",[450,451,452],"AIの導入は、セキュリティリスクと機会の両方をもたらします。そのため、組織はベンダー製品におけるAIの使用状況を確認し、システム停止の可能性に備えて準備し、AIを活用してセキュリティ管理を強化する必要があります。","マシン間の複雑なやり取り、動的な権限管理、AIシステムへのアクセスに対応できるよう、アイデンティティ管理のモダナイゼーションを行う必要があります。これに伴い、より柔軟で適応性の高いセキュリティツールも必要となります。","AIツールによって、セキュリティチェックの自動化、安全なコーディングパターンの提案、ソフトウェア開発ライフサイクル全体へのセキュリティ統合を行うことで、DevOpsのセキュリティスキル不足を補えます。","2025年に使用する重要なセキュリティツールの大半には、社内で検査または完全に制御できないAIモデルが含まれるようになります。そのため、企業の取締役会は、次の重大ニュースとして報道されるようなセキュリティ侵害の発生を防止する対策を最高情報セキュリティ責任者（CISO）に求めています。その一方で、競合他社はAIを用いて、ほんの数か月前には不可能だった規模でセキュリティの自動化を進めています。さらに、欧州連合（EU）や米カリフォルニア州が定めた新たな規則がAIシステムの使用方法に影響を及ぼす中、変化する規制要件によってさらに複雑さが増しています。\n\nセキュリティに関する状況は急速に変化していますが、適切なアプローチを取ることで、これらの課題を好転させて、新たなサイバー脅威からシステムを保護しながら、より強固な防御体制を構築することが可能です。ここでは、今年の企業セキュリティの分野で主流となる3つのトレンドをご紹介します。\n\n## 1. プロプライエタリLLMの脆弱性\n現在、多くのベンダーが、自社製品の基盤となる独自の大規模言語モデル（LLM）を使用していますが、これにより、新たなリスクが生じています。これらのLLMの大半はブラックボックスです。つまり、どのように動作するのか、またどのような安全制御がなされているのかについて多くを確認できません。AIのガードレールの脆弱性は、セキュリティ研究者によって実証されています。LLM自体、またそのLLMを使用する製品に対するアタックサーフェス（攻撃対象領域）が拡大しつつあります。\n\n多くの製品が同じようなプロプライエタリLLMを使用しているため、あるLLMが攻撃を受けた場合、同時に多数のシステムに影響が生じる可能性があります。重要なビジネス機能においてAI搭載ツールへの依存度が高まる中、このようなリスクの集中は特に懸念されます。そのため、以下の対応が必要です。\n\n- LLMを使用しているベンダーを確認する\n- LLMを使用しているベンダーが行っているセキュリティ制御を評価する\n- LLMを用いたサービスの障害発生時にシステムが停止状態に陥る場合に備えて、計画を立てる\n- AIに依存する重要なシステムのバックアッププランを立てる\n\n> 詳細については、「[透明性を重視したAI戦略を立てる：DevOpsプロバイダーに尋ねるべき7つの質問](https://about.gitlab.com/the-source/ai/building-a-transparency-first-ai-strategy-7-questions-to-ask-your-devops/)」をお読みください。\n\n## 2. アイデンティティ管理における課題\nクラウドとAIシステムによって、日常的に使用するシステムへのアクセスの管理方法が変わりつつあります。企業のアイデンティティシステムは、以下のような課題への対応が求められます。\n\n- サービスベースの非人間アイデンティティの増加\n- マシン間の接続の増加\n- ユーザーのアクセス対象の迅速な変更対応\n- サービス間の複雑な権限チェーン\n- さまざまなレベルのデータアクセスを必要とするAIシステム\n\n従来のアイデンティティおよびアクセス管理（IAM）ツールは、このような課題に対応できるようには作られていませんでした。今後はニーズの変化に応じて迅速に適応できる、より柔軟なアイデンティティ管理ツールが必要となります。このようなダイナミックな環境をより適切に管理できるよう、[ゼロトラストの原則とジャストインタイムアクセス](https://about.gitlab.com/the-source/security/field-guide-to-threat-vectors-in-the-software-supply-chain/)の導入をぜひご検討ください。\n\nまた、セキュリティチームは人間のユーザーに適用するのと同レベルの厳密性と可監査性を備えた戦略を策定し、自律型AIの複雑化に備える必要があります。AIシステムが急速に普及するにつれて、[こうした非人間アイデンティティの追跡と保護](https://about.gitlab.com/blog/improve-ai-security-in-gitlab-with-composite-identities/)は、人間のユーザーのアクセス管理と同様に重要になります。\n\n## 3. DevOpsにおける適切なセキュリティ対策の実施\n[最近行った調査](https://about.gitlab.com/developer-survey/)では、デベロッパーの58%がアプリケーションのセキュリティに対して何らかの責任を感じていると回答しました。その一方で、セキュリティスキルがあるDevOps担当者を確保するのは依然として困難です。AI搭載ツールは、以下のような場面で便利です。\n\n- 開発の初期段階でセキュリティの脆弱性や脅威が潜んでいないかコードをチェックし、問題を未然に防ぐ\n- 安全なコーディングパターンを提案する\n- 適切なアクセス権限を自動的に設定する\n- 開発プロセス全体を通して繰り返しの作業を自動化する\n\nセキュリティチームはAI搭載ツールを使用することで効率化を図れます。また、デベロッパーはAI搭載ツールを用いれば、コードが本番環境に到達する前に、一般的なセキュリティ問題を発見できます。つまり、チームが緊急に対処しなければならない状況が減り、全体としてセキュリティが向上します。\n\nデベロッパーのワークフローに直接統合可能なツールへの投資を検討することをおすすめします。デベロッパーが安全に作業できるような環境を整えれば、安全に作業が行われる可能性が高まります。\n\n## 行動を起こす：脅威が増す状況への対策としてAIを活用する\nこれらの変化に遅れを取らないようにするには、以下のように対応する必要があります。\n\n1. 自社のシステムでAIツールが使われている場所を洗い出し、リスクを評価する\n1. クラウドとAIのニーズに合わせて、アイデンティティ管理のアプローチを見直す\n1. AIによってセキュリティ関連の作業を強化できる方法を探る\n1. 新たなAIのリスクや規制について、取締役会に情報を随時知らせる\n1. 主要ベンダーとの関係を構築して、各社のAIセキュリティ対策を把握する\n1. AIセキュリティのリスクと機会について、社内のチームを教育する\n\nAIによって新たなリスクが生じる一方で、AI搭載の新たなツールによって組織を保護できるのも事実です。新たな脅威に注意しながら、AIを活用してセキュリティ対策を強化することに注力しましょう。AIセキュリティ対策を定期的に見直すことで、新たなリスクへの対策を事前に行えます。\n\n## 今後の展望\nAI技術の進化に伴い、今後もセキュリティに関する状況は変化し続けるでしょう。新たな脅威や機会の発生に備えて、セキュリティ戦略を柔軟に適応できるように準備しておくことをおすすめします。組織全体、特に法務、開発、運用の各チームと強固な関係を築きましょう。このような協力体制を育めば、セキュリティ上の課題により効果的に対応できます。\n\nテクノロジーが変化しても、組織の資産を守り、安全な事業運営を実現するという中核的な使命は変わらないことを忘れないようにしましょう。新しいツールやアプローチは適切なタイミングで使用してください。ただし、AIの導入を急ぐあまり、セキュリティの基本を見失うことのないようご注意ください。","article","key-security-trends-for-cisos-in-2025","content:ja-jp:the-source:security:key-security-trends-for-cisos-in-2025.yml","ja-jp/the-source/security/key-security-trends-for-cisos-in-2025.yml","ja-jp/the-source/security/key-security-trends-for-cisos-in-2025",{"_path":460,"_dir":438,"_draft":6,"_partial":6,"_locale":7,"config":461,"seo":463,"content":467,"type":454,"category":438,"slug":474,"_id":475,"_type":29,"title":464,"_source":30,"_file":476,"_stem":477,"_extension":33,"date":468,"description":465,"timeToRead":448,"heroImage":466,"keyTakeaways":469,"articleBody":473},"/ja-jp/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security",{"layout":9,"template":440,"author":27,"featured":331,"sourceCTA":462,"isHighlighted":6,"authorName":11},"application-security-in-the-digital-age",{"title":464,"description":465,"ogImage":466}," 一般的なセキュリティに関する不満の根本原因に対処する","セキュリティの不満は文化的な問題として捉えられることがありますが、リーダーは技術スタックの複雑さや脆弱性管理などの問題にも焦点を当てる必要があります。","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464489/mragusmxl1wz8ozdaoml.png",{"title":464,"date":468,"description":465,"timeToRead":448,"heroImage":466,"keyTakeaways":469,"articleBody":473},"2024-10-29",[470,471,472],"脆弱性管理において認証スキャンに移行すると、有効性は高まるものの、エンジニアリングの労力が重要でないタスクに振り分けられ、セキュリティチームとエンジニアリングチームの間に分断が生じるおそれがあります。","ミニマリストアプローチでソフトウェア開発を行うと、依存関係が最小限に抑えられスキャナーのノイズが減るだけでなく、デベロッパーの負担が軽減されるため、ソフトウェアセキュリティが向上することが期待できます。","再現可能なユースケースに基づいてテスト・保証された設計パターンを使用する「舗装道路」アプローチを採用することで、エンジニアリングチームの負担を軽減しながらセキュリティを高められるようになります。","GitLabにより今年実施された[DevSecOpsの専門家を対象とした年次調査](https://about.gitlab.com/ja-jp/developer-survey/)では、エンジニアリングチームとセキュリティチーム間の連携強化を妨げている可能性のある、組織文化に関する問題がいくつか明らかになりました。セキュリティ部門の回答者の過半数（58%）が開発チームに脆弱性の修正を優先させることに苦労していると回答しているほか、52%が形式的な作業によって脆弱性を迅速に修正する取り組みが遅れることが多いと回答しています。さらに、セキュリティ部門の回答者は、セキュリティの調査結果を理解することの難しさ、過度の誤検出、ソフトウェア開発プロセスにおいてテストが行われるタイミングが遅すぎるなど、自分たちの仕事に関連する具体的な不満についてもいくつか指摘しています。\n\n[DevSecOps](/topics/devsecops/)はエンジニアリングチームとセキュリティチーム間の連携の強化を保証するものですが、不満や食い違いがチーム間の溝として存在することも確かです。このような課題は、組織のセキュリティに対する考え方やチームの連携方法、セキュリティに割く時間の配分といった、より大きな問題の兆しとして発生しています。\n\n## 脆弱性の終わらない悪循環からの脱出\n\n脆弱性スキャンは潜在的な脆弱性をすべて表面化させますが、ソフトウェアパッケージに共通脆弱性識別子（CVE）があるからといって、それが攻撃者によってアクセス可能または悪用可能であるとは限りません。認証済み脆弱性スキャンが一般的になって以来、発見される脆弱性が数年間で飛躍的に増加しましたが、同時に、そうした脆弱性に対しトリアージとフィルタリングを行うセキュリティチームとデベロッパーの負担も増えました。\n\n認証スキャンへの移行により多くの点でセキュリティプログラムの有効性が向上したことは事実ですが、結果として優先順位の低い問題の修正を迫られ、終わりのない悪循環にデベロッパーが陥ることにもなりました。本質的な修正につながらないパッチに労力を費やすと、脆弱性や悪用可能な欠陥にパッチを適用するという本来優先すべきタスクが見過ごされてしまいます。これが、現在発生しているセキュリティチームとエンジニアリングチームの分断の主な要因です。\n\nそれでは、組織はどのようにしてこれらの問題の根本原因に対処し、エンジニアリングチームとセキュリティチーム間のより良い連携を促進できるのでしょうか？ここでは、一般的なセキュリティに関する不満を根本的に防ぐための3つの方法をご紹介します。\n\n### 1. ノイズを排除して精度の高いシグナルに集中\n\n過剰な誤検出は、当社の調査でセキュリティ部門の回答者が挙げた不満の中で2番目に多いものでした。誤検出は明らかに問題ですが、多くの場合、根本的な原因は脆弱性の管理にあります。\n\nセキュリティの検出結果は高精度である必要がありますが、組織において多くの誤検出が発生する場合、そうした高い精度を実現する対策を講じていない可能性があります。組織は、セキュリティ対策の焦点を重要なものに絞り込む必要があります。そのため、従来の静的アプリケーションセキュリティテスト（SAST）ソリューションでは不十分な可能性があります。SASTは強力なツールですが、結果が管理できない場合や適切なコンテキストがない場合は、その価値の大部分を発揮できません。最も効果的にSASTを活用するには、[他のセキュリティや開発ツールとシームレスに連携させて、デベロッパーがアクセスできる状態](https://about.gitlab.com/blog/oxeye-joins-gitlab-to-advance-application-security-capabilities/)である必要があります。\n\nもう1つの問題として、ほとんどのスキャンツールでは、脆弱性の発見を理解するためのコンテキストの幅が非常に狭いことが挙げられます。これは、[セキュリティの脆弱性を説明するAI搭載機能](https://about.gitlab.com/ja-jp/the-source/ai/understand-and-resolve-vulnerabilities-with-ai-powered-gitlab-duo/)など、AIが役に立つ分野の1つです。\n\n### 2. 技術スタックを最小限に抑え、アタックサーフェス（攻撃対象領域）を最小化する\n\n重要な事項に集中すべきなのはセキュリティテストだけに当てはまることではなく、組織がソフトウェアを構築する方法に対しても同様のアプローチを行う必要があります。\n\nAIはソフトウェア開発プロセスの簡素化に役立つはずのものですが、[当社の調査によると、多くの組織ではまだまだ道半ばであることが示唆されています](https://about.gitlab.com/the-source/platform/3-surprising-findings-from-our-2024-global-devsecops-survey/)。実際、AIを使用している回答者は、AIを使用していない回答者よりもツールチェーンを統合したいと考える傾向が非常に高く、異なるAIモデルを実行するさまざまなポイントソリューションの急増により、複雑さが減るのではなく、むしろ増大する可能性があることが示されています。\n\n増大し続ける技術スタックの複雑さがセキュリティに関する不満の大きな原因となっています。大規模で多面的なソフトウェアシステムを構築する場合、ある程度複雑になることは避けられません。ただし、メンテナンスが困難なコードや冗長な依存関係など、非最適な設計を決定することにより生じる複雑さを回避する措置は講じる必要があります。不要な複雑さがある状態では、アタックサーフェス（攻撃対象領域）が拡大され、選別し、優先順位を付け、対処しなければならないセキュリティスキャン結果が増加してしまいます。\n\n組織はソフトウェアの最小化という観点から開発を進める必要があるのです。これはつまり、どのツールを採用するか、また何をコードベースに組み込むかを決定する上で意図的に取り組むべきということです。そうすれば依存関係を最小限に抑え、ソフトウェアサプライチェーンのセキュリティを向上させ、スキャナーのノイズを減らし、重要でない問題の解決にかかるデベロッパーの負担を軽減できます。\n\n### 3. 「舗装された道路」アプローチをプロセスに組み込む\n\nソフトウェア開発ライフサイクルにおいて、遅すぎるタイミングでセキュリティテストが行われることも、アンケート回答者により明らかになった最大の不満の1つでした。脆弱性の検出の遅れにより出荷が遅れた場合、チームは不満を感じるかもしれませんが、多くの場合、その脆弱性をもっと早く検出することはそもそも不可能だった可能性があります。それでも、簡単に配備でき、再利用可能なセキュリティコンポーネントを運用して不確定要素や潜在的な脆弱性を制限することは可能です。\n\nチームは[再現可能なユースケースに基づいてテスト済みで信頼性の高い設計パターン](https://about.gitlab.com/the-source/platform/how-devops-and-platform-engineering-turbocharge-efficiency/)を採用することで、開発後期に問題が検出されることのないようにできます。これは「舗装された道路」アプローチと呼ばれます。「舗装された道路」とは、チームが安全なアプリケーションをより効率的に構築するために従うべき厳選されたツール、プロセス、コンポーネントのセットを含む推奨されるプロセスです。たとえば、GitOpsを使用して、すべてのワークロードに大規模にデプロイされる、適切に設計・テストされたInfrastructure as Code（IaC）をバージョン管理してデプロイできます。\n\n「舗装された道路」アプローチを採用することで、ある程度の柔軟性が失われる可能性はありますが、最終的にはエンジニアリングチームの運用負担や手戻りが軽減され、セキュリティが高まります。これはセキュリティチームと開発チームが協力して取り組む必要があります。セキュリティチームは「舗装された道路」の設計を支援できますが、コードベースの一部としてそれらを運用、メンテナンスするにはエンジニアリングチームの力が必要となります。\n\n## セキュリティはドメインであり、チームではない{class=\"no-anchor\"}\n\nセキュリティはすでにエンジニアリングチームも実践するものとして移行されていることが判明しており、今後も両者の境界が曖昧になると予想されます。しかし、AIの急速な導入とそれに伴うソフトウェア開発の加速（調査回答者の66%が昨年の2倍またはそれ以上の速度でソフトウェアをリリースしていると回答）により、セキュリティ上の利益を最大に得られるように最適化されたシステムとフレームワークを確立することが、組織において重要になります。したがって、開発チームとセキュリティチームの間に文化的な断絶があることが問題のすべてではないのです。コラボレーションの文化を育むことは不可欠ですが、セキュリティチームとエンジニアリングチームは、既存のコードベースの最適化や、組織全体の技術チームがシームレスに採用できるスケーラブルなエンジニアリング中心のソリューションの構築など、ソフトウェア開発の基本的な側面を協力しながら再考する必要もあります。","security-its-more-than-culture-addressing-the-root-cause-of-common-security","content:ja-jp:the-source:security:security-its-more-than-culture-addressing-the-root-cause-of-common-security.yml","ja-jp/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security.yml","ja-jp/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security",1760988355759]