システム開発の早い段階からセキュリティを考慮し、入れ込んでいく「DevSecOps」や「セキュリティ・バイ・デザイン」という言葉自体は徐々に知られるようになってきましたが、実践となると、特に日本ではまだまだのようです。普及しない背景にはどのような課題があり、そこから一歩踏み出すにはどのような捉え方が必要なのでしょうか。
NRIセキュアでDevSecOps事業を率いる福澤 達洋と、OWASPの設立時期からプロジェクトのコントリビュータとして活動してきたアスタリスク・リサーチの岡田 良太郎氏が、現状打開のヒントについて語り合いました。
-
福澤 達洋
- 2013年に野村総合研究所に入社。NRIセキュアテクノロジーズに出向し、SOCメンバとして活動しつつ、大型開発プロジェクトのPMを担当。当プロジェクトにおいて、アジャイル方式の開発を初めて社内で採用し、その後の多くのプロジェクトのモデルケースとなった。 2018年以降はペネトレーションテスト/レッドチームオペレーション等に従事し、100を超えるシステムのセキュリティ評価を実施。現在では、DevSecOps事業部部長としてお客様向けのコンサルティングサービスの提供や新サービスの検討を行っている。
-
岡田 良太郎
- 2006年にアスタリスク・リサーチ社を創業。アプリケーションセキュリティ実現のため、サイバー攻撃に強いシステムデザインや組織づくりに関わる教育・コンサルティング事業を推進するとともに、WASForum Hardening ProjectやOWASP Japan Chapterのリーダーとして活動し、2024年にはOWASPから「Honorable Lifetime Membership Award」を受賞している。
日本企業におけるDevSecOpsの実践を阻むハードル
株式会社アスタリスク・リサーチ 代表取締役 岡田 良太郎氏
プロジェクトを振り返り、運用課題を次のDevSecOpsのインプットに
NRIセキュアテクノロジーズ株式会社 福澤 達洋
「開発にセキュリティを取り込む」が意味する2つの側面
開発とビジネス両面に寄り添える、セキュア開発の推進に必要な人材像とは
セキュリティははじめからやるべきもの、知見の共有と責任感を持って推進を
<関連サービス>
DevSecOps実行支援サービス
<参考リンク>
Top 10 2025日本語,
https://github.com/owasp-ja/Top10/blob/master/2025/docs/ja/0x00_2025-Introduction.md
OWASP Gen AI Japanese,
https://genai.owasp.org/language/japanese/
OWASPドキュメント 日本語資料レポジトリ,
https://github.com/owasp-ja/