システム開発の初期段階からセキュリティ対策に取り組む「LAC Karasu（ラックカラス）」の挑戦と進化

システムのセキュリティ対策において、本番環境への対応は多くの企業で重要視されています。一方で、開発フェーズにおけるセキュリティが十分に考慮されていないことが、リリース後のセキュリティリスクを高める要因となっています。

ラックでは、開発フェーズのセキュリティリスク低減を実現する新しいプロダクト「LAC Karasu（ラックカラス）」を、2024年9月に公開しました。このツールは、システム開発の初期段階からセキュリティを組み込むことで、企業が安全なソフトウェアを効率的に開発できるよう支援します。以前の記事では、「LAC Karasu」開発の背景や、具体的な利点について詳しく説明していますので、ぜひこちらもご覧ください。

公開から5カ月が経過した今、無料の「アーリーアクセス・プログラム」を通して寄せられたお客様の声や、ウェビナーなどのイベント、お客様インタビューなどの活動を通して見えてきた現場の課題を整理しました。企業のセキュリティ実施状況と課題、その課題解決のためにLAC Karasuがどのように進化してきたのかをご紹介します。

公開後に直面した理想とギャップ

開発者である私自身、「セキュリティは必要だけれど、どう進めればいいか決めるのが難しい」という悩みを抱えていました。この課題を解決するためにお客様の声も取り入れながら開発を進め、満を持して公開した「LAC Karasu」でしたが、公開直後から壁に突き当たりました。

公開当初、LAC Karasuはシステムのセキュリティリスクをコントロールすることを目指し、リリース単位でのセキュリティチェック実施促進と結果の可視化により、開発フェーズのセキュリティ強化に貢献しようとしていました。しかし、実際に利用したユーザーからは、次のようなフィードバックが寄せられました。

• 初回リリース時には必ずセキュリティ診断をしているが、その後の保守や機能追加といったリリースでは大きな改修の時だけ診断している。
• リリース単位・開発案件単位でのセキュリティチェックは行っておらず、予算が組み込まれたタイミングで、年1回程度実施している。
• SAST、SCA、CSPMといったツールは導入まで至っていない。

つまり、LAC Karasuが目指していた「リリース単位でセキュリティチェックを実施し、その結果を可視化する」という方針が、現場の実情を踏まえると「現実的ではない」と受け止められていたのです。

セキュリティ実施状況や課題

公開後、LAC Karasuを紹介するイベントを開催し、参加者の声を集めてきました。アンケートやヒアリングから、各社の開発フェーズにおけるセキュリティへの取り組みに関する集計結果の一部をご紹介します。

調査概要

調査方法	アンケート、ヒアリング
回答方式	複数回答可
実施期間	2024年9月～12月
有効回答数	77社
言葉の定義	セキュリティチーム：自社全体のセキュリティ推進の責任を担う部門 開発チーム：システム開発やアプリケーション開発を担う部門

結果

開発フェーズにおけるセキュリティへの取り組み

アンケート結果から、金融業界や製造業界では開発工程でのセキュリティガイドライン運用や、運用工程での継続的な脆弱性管理が行われていることがわかりました。

「開発工程でのセキュリティガイドラインが運用されている」と回答した企業は全体で48.1％。業界別では、製造業界が66.7％、金融業界が63.6％と比較的高水準だった一方、流通業界は18.2％と大きな差が見られました。「運用フェーズにおいて、脆弱性管理を継続的に実施している」と回答した企業は全体で49.4％。業界別では金融業界が63.6％、製造業界が47.6％と高めの一方、流通業界は27.3％にとどまりました。

金融業界では、顧客の資産や個人情報を扱う業務特性上、厳格なセキュリティ対策が求められます。法令遵守や監査基準（PCI DSSやFISC安全対策基準など）への対応が必須であり、開発工程でも組織的に高いリスク管理が行われているため、セキュリティガイドラインに基づいた管理体制やリスク対策が推進されていると考えられます。

製造業界では、サプライチェーンの複雑化などに伴い脆弱性管理やセキュリティガイドラインの運用が重視されており、開発段階からガイドラインを遵守する意識が高まっています。製品自体のセキュリティ対策を怠れば市場からの信頼を損なうリスクがあるため、開発チーム自らリスクの事前排除に向けた取り組みを進めていると見られます。

セキュリティチームと開発チーム

セキュリティ推進の責任を担うセキュリティチームの人材不足は、スキル面・人数面の両方で深刻な課題となっています。特に開発チームでは、「セキュリティ担当者が不在の企業が89.4％」に上るという実態が明らかになりました。その結果、適切なセキュリティ要件への対応が十分に行われず、対策が形骸化してしまうケースが後を絶ちません。

また、開発チームがセキュリティ要件に沿って行われているか確認する仕組みが確立されていないケースもあります。そのため、リリース直前のセキュリティ診断に頼らざるを得ず、コストやスケジュールの制約から脆弱なシステムのリリースに繋がるリスクを抱えています。とはいえ、開発フェーズでのセキュリティ対策が不十分であることに、多くの企業が問題意識を持っていることが分かりました。

セキュリティチェック体制

以下は、セキュリティチェックの体制についてのアンケート結果です。

• 開発チームがセキュリティテストを実施している：23.4%
• 開発ベンダーがチェックを実施した結果を提示してもらう：7.8％
• 専門業者に委託して第三者的確認を取っている：1.3％

これらを合計すると、32.5％の企業がセルフチェックを実施していることが分かりました。この取り組み自体は一定の効果が期待できるものの、セキュリティチームがチェック結果の証跡を十分に検証せず、適切な対策につながっていないケースも少なくありません。さらに、多くの企業では委託先からの報告内容のみをセキュリティチェックの証跡としている傾向も見られ、委託先を含めたセキュリティチェック体制の構築が大きな課題となっています。

セキュリティリスク管理ツールの導入状況

「全社横断的なセキュリティ管理プラットフォームを導入している」と回答した企業は6.5％にとどまり、システム資産のセキュリティリスクを全社的に管理するための専用ツールが未導入のケースが多数であることがわかりました。その代わり、Excelやメールなどの汎用的なOAツールを用いて、年に一度や定期的にアンケートを実施し把握している企業が多いと推測されます。

LAC Karasu新バージョン誕生

お客様からのヒアリングやアンケート結果を反映させるため、2024年11月にLAC Karasuのコンセプトを見直し、「システムのセキュリティリスクをコントロールする」ことを目指した、以下の新たな取り組みを導入しました。

• 開発案件ごとに適切なセキュリティ要件を柔軟に設定
• 開発フェーズの初期段階からセキュリティ対応状況を確認

そして2025年2月には、ユーザー企業ごとに独自のセキュリティ要件設定が可能になり、リリース前に「何をどのように実施すべきか」をセキュリティチームと開発チームが事前に協議して決められる機能を拡充しました。実施したセキュリティ要件への対応をToDoとし、その対応結果を一元管理する仕組みを提供しています。

これにより、多くの企業が直面している「セキュリティ人材のスキルやリソース不足」や、「開発チームにセキュリティ担当者が不在」という課題、さらにはExcelやメールなどで対応を余儀なくされている現状を打破し、セキュリティチームと開発チームが連携してセキュリティの対策と証跡管理、リリース承認審査を実施できるようになりました。つまり、開発初期から計画的にセキュリティを組み込む体制を、LAC Karasuを通してセキュリティチームと開発チームが密に連携することで推進できるようになるのです。

無料ウェビナー近日開催！

新しく拡充したLAC Karasuの機能説明も含め、セキュアなシステム構築の実践的なアプローチをご紹介するウェビナーを開催します。前述の課題に直面しているセキュリティ担当者は、ぜひご参加ください。

さいごに

LAC Karasuは、開発フェーズのセキュリティにお悩みを抱える皆様の声に寄り添いながら、より多くの方にご活用いただけるプロダクトを目指して進化を続けてまいります。皆様のご利用を通じて得られる貴重な意見を反映させ、さらなる改善を目指していきますので、ぜひご利用いただきフィードバックをお寄せください。なお、現在（2025年2月時点）無料でご利用いただける「アーリーアクセス・プログラム」を実施中です。この機会にぜひお試しください。