ブログ|NRIセキュア

DevSecOps実践時の課題をどう解決する?|成熟度評価と優先度付きロードマップ策定を解説

作成者: 上野 尊義|2026/07/09

開発と運用の間にギャップが存在する従来型の開発と比較し、DevSecOpsはセキュリティリスクを抑えつつ迅速で柔軟な開発を実現します。従来型の開発では、ビジネス部門・開発・運用が分離され、それぞれが利害を主張することで業務が円滑に回りにくい問題がありました。そこで、全員が1つのチームに融合し、各メンバーが開発プロセス全体を俯瞰して協力するDevOpsが提案されました。さらに、DevSecOpsではDevOpsの各開発プロセスにセキュリティ対策を組み込みます。ソフトウェア構築後の脆弱性の発見による手戻りのリスクを低減するため、開発プロセスの上流からセキュリティ対策を実施するシフトレフトの考え方がDevSecOpsには取り入れられています。

DevSecOpsに至るまでの開発形態の進化

DevSecOpsの重要性は理解しているものの、具体的にどのようなアクションを取ればDevSecOpsを実践できるのかわからないため従来型の開発から脱却できないといった悩みはないでしょうか。また、DevSecOpsで提唱されているセキュリティ対策の数が多く、どのセキュリティ対策から実施するべきか計画を立案することが難しいという課題を感じていないでしょうか。

 

本記事では、まず開発プロジェクトがDevSecOpsを実践する道筋を示した上で、その際に直面する可能性のある課題を説明し、課題を解消するためにNRIセキュアが考案したDevSecOps成熟度評価・ロードマップ策定サービスを紹介します。当社のセキュリティスペシャリストの専門力により、DevSecOpsの実践における課題がどのように解消され、DevSecOpsを実践する道筋がどのように生まれ変わるのかについて解説します。

DevSecOpsを実践する道筋

DevSecOpsを実践する3つのステップ

従来型の開発からDevSecOpsへと移行する、または現状の開発プロジェクトのDevSecOpsをより成熟させる道筋は、①現在実施されているセキュリティ対策を把握し、②新しく実施するセキュリティ対策の計画を立て、③セキュリティ対策の実施に必要なリソースを確保し対策を実施するという3つのステップに分けることができます。

現状のDevSecOps成熟度を把握する

より成熟したDevSecOpsに移行する計画を立てるためには、まず現時点で開発プロジェクトが実施している、または実施していないセキュリティ対策が何かを明らかにすることが必要です。ウォーターフォール型の開発プロセスを採用していて脆弱性診断のみを実施している開発プロジェクトや、アジャイル開発を採用し自動脆弱性診断ツールを活用している開発プロジェクトなど、開発プロジェクトによってセキュリティ対策の実施状況は様々です。開発プロジェクトが次に実施すべきセキュリティ対策は、その開発プロジェクトにおける現状のセキュリティ対策状況、つまりDevSecOpsの成熟度によって異なります。

 

ソフトウェアセキュリティの向上を目的とするコミュニティであるOpen Worldwide Application Security Project(OWASP)が公開している「DevSecOps Maturity Model」というフレームワーク[i](以降、OWASP DSOMMと表記)を利用することで、DevSecOpsを実践する上で実施すべきセキュリティ対策を把握することができます。既に実施されているセキュリティ対策については現状の開発プロセスを調べることで明らかにできますが、不足しているセキュリティ対策についてはDevSecOpsにおいて実施されているべき理想的なセキュリティ対策を知っている必要があります。OWASP DSOMMを用いて開発プロジェクトで実施すべき理想的なセキュリティ対策を把握し、既に実施しているセキュリティ対策と比較することによって、開発プロジェクトに不足しているセキュリティ対策が何かを明確にすることができます。

セキュリティ対策の優先順位を決め、計画を立案する

開発プロジェクトに不足しているセキュリティ対策に対して優先順位を決め、セキュリティ対策の計画を作成します。セキュリティ対策によって、その対策がされていないことで生じるリスクや、対策を実施することで開発プロセスに与える恩恵は異なります。開発プロジェクトの現状のDevSecOps成熟度を踏まえた上で、特にどのセキュリティ対策が効果的かを検討し、セキュリティ対策を実施する順番を決定して計画を立案します。

承認を経てリソースを確保し、セキュリティ対策を実施する

立案したセキュリティ対策計画に対して管理職やリーダー層から承認を得て、計画の遂行に必要なリソースを確保し、セキュリティ対策を実施します。計画の遂行に必要なリソースとして、例えば予算や人員・時間が存在し、これらのリソースを割り当てるためには管理職やリーダー層への説明と承認が必要です。

DevSecOpsの実践における3つの課題

DevSecOpsの実践における3つの課題

DevSecOpsを実践する際に直面する可能性のある課題として、①現状のセキュリティ対策の達成状況を正しく把握できない、②セキュリティ対策の計画立案時に対策の優先順位を決められない、③リソースを確保する際に管理職・リーダー層にセキュリティ対策の必要性が伝わらない、という3点をそれぞれ説明します。

セキュリティ対策を誤解しているとDevSecOps成熟度を適切に把握できない

セキュリティ対策の内容を誤って認識している場合、セキュリティ対策が達成されているのか判断に迷ったり判断を間違えたりする可能性があります。セキュリティ対策が十分に達成され開発プロセスに組み込まれているのか、それともまだ不十分で未達成の部分が残っているのか適切に判断を下すことが必要です。

 

セキュリティ対策の実施状況を判断する際の具体例として、設計段階で多要素認証の必要性が検討され、必要がある場合は設計に盛り込まれているか、という多要素認証に関する観点を考えます。2つの誤った判断の例を挙げます。

 

誤った判断の1つ目は「パスワードと秘密の質問による認証を設計したため達成済み」という内容です。パスワードによる認証、及び秘密の質問による認証はどちらも知識認証であり、これは多段階認証ではありますが多要素認証ではないため、未達成と判断すべきです。知識情報・所持情報・生体情報から複数種類の情報を用いた認証が多要素認証であるということを適切に理解できていない場合、多段階認証を多要素認証と誤解し誤った判断を下してしまいます。

 

誤った判断の2つ目は「パスワードで認証した後、メールで送付した認証コードを入力させて認証を行うため達成済み」という内容です。パスワードは知識情報を用いた認証です。一方で、認証コードをメールで送付することは、メールを閲覧できることを確認しており、所持情報による認証の目的である特定の物理デバイスの所持の確認にはなりません。認証に関するガイドラインであるNIST SP 800-63B-4[ii]では、一般的にパスワードだけでメールにアクセスできること、メールを傍受されるリスクがあることを理由に、経路外認証にメールを使用してはならないとしています。そのため、この場合は多要素認証としては不十分であると判断することが望ましいです。

 

この2つの例はセキュリティ対策の中でも基本的な多要素認証に関する観点でしたが、セキュリティ対策には他にも様々なものがあり、開発プロジェクトにおけるDevSecOps成熟度の評価者が知らない対策が存在する可能性もあります。詳細な内容を知らないセキュリティ対策の達成状況に関して、誤った判断を下すリスクが存在します。

セキュリティ対策の数が多くどれが効果的か判断が難しい

各開発段階や文化におけるセキュリティ対策の例

理想的なDevSecOpsを実現した開発プロセスでは各開発段階において多くのセキュリティ対策が組み込まれており、未達成のセキュリティ対策が多数存在する場合にどれから実施すべきなのか判断が難しい可能性があります。上図は各開発段階や開発プロジェクトの文化におけるセキュリティ対策をそれぞれ数個抜き出したものですが、主要なセキュリティ対策だけでも多数存在すると言えます。仮に、現在の開発プロジェクトがWebアプリケーション診断だけを実施していた場合、他に実施すべきセキュリティ対策は大量に存在し、その中でどのセキュリティ対策が最も効果的で優先度が高いかを考えることは困難だと想像します。

OWASP DSOMMにおけるレベルの定義とセキュリティ対策の個数

レベル

定義

個数

1

Basic understanding of security practices

25

2

Adoption of basic security practices

56

3

High adoption of security practices

62

4

Very high adoption of security practices

30

5

Advanced deployment of security practices at scale

19

OWASP DSOMMでは、各セキュリティ対策に5段階のレベルを設定していますが、同レベルのセキュリティ対策の間の優先順位はやはり開発プロジェクトのメンバーが判断する必要があります。表にOWASP DSOMMのレベルの定義とそれぞれのレベルのセキュリティ対策の個数(2026年3月時点)を記載しました。特にレベル2やレベル3のセキュリティ対策の個数が多く、この中でどのセキュリティ対策を優先的に実施すべきかを自動的に導くことはできません。

セキュリティの専門家でない開発者が対策の必要性を訴えるにはハードルがある

セキュリティを専門としていない開発者にとって、セキュリティ対策の詳細な内容や、対策していないことのリスクを正確に理解することは難しく、結果として管理職・リーダー層にセキュリティ対策の必要性を伝えることができない可能性があります。さらに、利益に直結しないセキュリティ対策に対して必要な予算や人員、時間の確保を要求することにはハードルがあると予想されます。

NRIセキュアによる成熟度評価・優先度付きロードマップ策定

NRIセキュアによる支援を活用したDevSecOpsの実践の道筋

DevSecOpsの実践における課題を解消するため、NRIセキュアはDevSecOps成熟度評価・ロードマップ策定サービスを考案しました。開発プロジェクトのメンバーに代わって、当社のセキュリティスペシャリストがDevSecOps成熟度の現状分析、セキュリティ対策の優先順位付けとロードマップの作成、そして開発者や管理職・リーダー層に向けた報告と説明を行います。NRIセキュアの支援によりDevSecOpsを実践する道筋が新しくなり、当社が持つセキュリティの知見を活用することができます。

  1. 開発プロジェクトに関するヒアリング
    当社の専門家が開発プロジェクトのメンバーに対してヒアリングを行い、開発プロジェクトの実態を調査します。
  2. DevSecOps成熟度の分析
    ヒアリングの結果に基づき、当社が開発プロジェクトのセキュリティ対策の達成状況を評価します。
  3. セキュリティ対策のロードマップ作成
    どのセキュリティ対策をどの順番で実施すべきかが明確化されたセキュリティ対策のロードマップを、NRIセキュアの知見を活用して作成します。
  4. 分析結果やロードマップの報告・説明
    DevSecOps成熟度の分析結果や作成したロードマップについて、開発プロジェクトのメンバーや管理職・リーダー層に向けてセキュリティの専門家として報告や説明を行います。
  5. 管理職からの承認、リソース確保・対策実施
    NRIセキュアからの報告や説明を受けてセキュリティ対策の必要性を管理職・リーダー層が精査し、承認された場合は開発プロジェクトがセキュリティ対策を実施します。必要に応じて当社がセキュリティ対策の実施を支援することも可能です。
NRIセキュアの支援によるDevSecOpsの実践における課題の解消

DevSecOps成熟度評価・ロードマップ策定サービスにより、どのようにDevSecOpsの実践における課題が解消されるのかを説明します。

開発プロジェクトの実態に応じて達成状況を判断する

OWASP DSOMMを参考に作成したヒアリングシートへの回答や、追加の詳細なヒアリングの結果を用いて、開発プロジェクトのセキュリティ対策の達成状況、つまりDevSecOpsの成熟度を評価します。ヒアリングシートに対して開発プロジェクトの担当者が回答に迷った質問や、当社が回答結果を精査した結果より詳細な情報が必要だと判断された観点について追加でコミュニケーションを取ります。このヒアリングにより、セキュリティ対策を導入したが今は形骸化しているといった開発プロジェクトの実態を把握し、セキュリティ対策に詳しい専門家が達成状況を判断します。

専門家の知見やトレンドに基づき優先順位を導く

開発プロジェクトの業界やサイバー攻撃のトレンドに関するNRIセキュアが持つ知見に基づいて、開発プロジェクトごとにカスタマイズされたセキュリティ対策の優先順位を導き、セキュリティ対策の推奨される実施順序を表したロードマップを作成します。サイバー攻撃のトレンドに関する例として、2025年の金融業界におけるインターネット取引サービスの顧客アカウントへの不正アクセスや不正取引の被害の急増が挙げられ、証券会社等においてパスキー認証等のフィッシング耐性のある多要素認証の導入が進みました[iii]。このように、サイバー攻撃のトレンドに応じてセキュリティ対策の重要性が変化するため、セキュリティの最新の動向に詳しい専門家がセキュリティ対策の優先順位を導くことには価値があります。

セキュリティの専門家としてセキュリティ対策の必要性を報告する

セキュリティの専門家として、NRIセキュアのセキュリティスペシャリストによる開発プロジェクトのメンバー向けのDevSecOps成熟度の評価結果及びロードマップの報告や、管理職やリーダー層向けのエグゼクティブサマリーの提供、報告会の実施が可能です。開発プロジェクトのメンバーに向けて、セキュリティ対策の達成状況や当社が作成したロードマップの全体像を詳細に確認できるDevSecOps成熟度評価結果を提供します。また、報告会では各開発工程におけるセキュリティ対策の達成状況や優先的に実施すべきセキュリティ対策を説明し、総括として開発プロジェクトのDevSecOpsの成熟度と課題、次に実施すべきセキュリティ対策を報告します。さらに、セキュリティ対策に関する疑問を報告会で解消することにより、セキュリティ対策の必要性を検討するために必要な知識の獲得を支援します。

まとめとサービスの詳細について

NRIセキュアのセキュリティスペシャリストの専門力を活用することで、DevSecOpsを実践する上での課題の解消が期待できます。現状のDevSecOps成熟度を把握する際に開発プロジェクトのメンバーだけではセキュリティ対策の達成状況を正しく把握できない可能性があるため、ヒアリングの結果に基づきNRIセキュアが達成状況を分析します。さらに、セキュリティ対策の計画を立案する際に対策の優先順位を決めることが難しいという課題が想定されるため、セキュリティの知見やトレンドを踏まえて優先順位を導きます。セキュリティ対策計画を実行に移すため、セキュリティの専門家でない開発者がセキュリティ対策の必要性を説明することにはハードルがありますが、NRIセキュアのセキュリティの専門家が分析結果を報告しセキュリティ対策を説明することによって管理職やリーダー層に対策の必要性を伝え適切な意思決定を支援します。

 

本記事で紹介した「DevSecOps成熟度評価・ロードマップ策定サービス」は、「DevSecOps実行支援サービス」で提供している複数のサービスの内の1つです。サービスの詳細に興味を持った方は、サービスページからお問い合わせください。

また、本記事で紹介したDevSecOps成熟度を向上させる方法を含めた、DevSecOpsの実践に関するセミナーを開催します。ご興味がございましたら、セミナーページよりお申込みください。

  • DevSecOps実践時の課題解決セミナー
    • 開催日時:2026年7月22日(水)13:00~14:00
    • 開催方法:オンライン
    • 参加費:無料
    • セミナーページ:https://www.nri-secure.co.jp/seminar/2026/0722devsecops
      ※セミナー内容は予告なく変更される場合があります。詳細については、セミナーページをご参照ください。

 

[i] https://dsomm.owasp.org/

[ii] https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63B-4.pdf

[iii] https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html