シフトレフトとは？メリットや実施するポイントなどを解説

近年はソフトウェアのライフサイクルが短期化しており、スピーディーな開発が求められつつあります。また、短期間での開発が求められる中で、セキュリティ対策の重要性は高まっています。そこで注目されているのがシフトレフトと呼ばれる手法です。
この記事では、シフトレフトのメリットやセキュリティ・バイ・デザイン、DevOps、DevSecOpsとの違いについてわかりやすく解説しています。シフトレフトを実施するポイントもまとめていますので、ぜひ参考にしてください。

シフトレフトとは、ソフトウェアの品質とセキュリティのチェックを開発サイクルの早い段階で行う手法のことです。通常は開発工程の最終段階で実施されるセキュリティ対策やセキュリティ関連のテストを、開発工程の早期から重点的に実施する点に特長があります。

ソフトウェアの開発フローを「企画、要件定義、設計、実装、テスト、リリース・運用」といった順に示した場合、終盤に近いテストの段階で重大な脆弱性が発見されることが懸念されます。このような事態に陥ると、改善に要するコストが増大したり、ソフトウェアのリリースそのものが遅延してしまったりすることにもなりかねません。スムーズな進行のためにも、設計段階からセキュリティ対策やテストを行うことが効果的です。このように、セキュリティ対策を上流工程（開発フローのうち、より左側）へと移動させることから、シフトレフトと呼ばれています。

近年、システム開発のライフサイクルが短期化し、迅速かつ頻繁にソフトウェアをリリースする傾向になっているため、早急に脆弱性を発見する必要があります。また、サイバー攻撃の増加やセキュリティ人材不足の減少などを背景に、セキュリティチームと開発チームが協力して、安全で高品質なソフトウェアを提供する必要性が高まっています。シフトレフトへの注目が高まっているのは、こうした背景によるものです。

シフトレフトの対義語に相当するシフトライトという手法も存在します。シフトライトとは、テスト工程を開発の後段階へ移す手法のことです。実際の本番環境とデータを使用し、リリース後も継続的にソフトウェアの品質を監視して、必要に応じて修正を行います。よって、シフトレフトとシフトライトはテスト工程のタイミングに違いがあります。いずれもソフトウェア開発における品質向上を目指すアプローチとして、互いに補完的な関係にあるといえるでしょう。

シフトレフトには、多くのメリットがあります。ここでは、シフトレフトの主な3つのメリットについて見ていきましょう。

欠陥やエラーが早期発見できる

セキュリティ対策を前倒しで実施することにより、ソフトウェアの脆弱性や不具合の早期発見ができるのがシフトレフトのメリットです。
修正すべき箇所を早期発見することで、修正コストを削減し、後工程の手戻りや遅延を防止できます。

市場投入までの期間を短縮できる

シフトレフトのメリットは、開発するソフトウェアが市場に投入されるまでの期間を短縮できることです。
ソフトウェアの脆弱性や不具合などを早期に発見して修正することにより、スムーズな進行が可能となり、開発プロジェクト全体の期間を短縮することにつながります。

コストが削減できる

コストが削減できることも、シフトレフトのメリットの1つです。
ソフトウェアの脆弱性や不具合を早期に発見・修正することは、開発コストの削減効果をもたらします。開発後期に脆弱性や不具合が発覚すると、工程の見直しや想定外の人件費が発生する可能性が高いためです。こうした手戻りや追加の工程が生じるのを未然に防ぐことにより、修正コストを抑え、全体の開発コストを削減できることが大きなメリットです。

すでに完了した工程に立ち返って作業をやり直すことは、開発メンバーにとって少なからずストレスとなります。また、改修の程度や範囲によっては、テストと検証を繰り返して問題を解決した部分に手が加わり、再びテストをやり直さなくてはならないことも考えられます。こうした負担が重なることがメンバーのモチベーションを低下させ、パフォーマンスの悪化につながる可能性も否定できません。このように、トータルでの開発コストの増大につながりかねないリスク要因を排除する意味においても、シフトレフトは有効な手法といえます。

シフトレフトと密接な関わりがある概念として、「セキュリティ・バイ・デザイン」が挙げられます。シフトレフトはセキュリティ対策における手法で、セキュリティ・バイ・デザインは考え方を意味することが違いです。セキュリティ・バイ・デザインとは、企画や設計など初期段階からセキュリティ要件を考慮するアプローチのことです。必要なセキュリティ対策を初期段階で組み込むことで、リリース直前の脆弱性発見やスケジュール遅延、追加コスト発生のリスクを回避できます。

シフトレフトはセキュリティ対策における手法なのに対して、「DevOps（デブオプス）」と「DevSecOps（デブセクオプス）」は、シフトレフトを実現するための開発体制という点が異なります。DevOpsとは、開発（Developer）と運用（Operations）のチームが協力し、ソフトウェアとサービスのクオリティを向上させる開発体制のことです。DevSecOpsは開発・運用にさらにセキュリティ（Security）チームが加わることで、セキュリティ対策を含むトータルコストを低減しつつ、クオリティ向上を実現するための開発体制のことを指します。いずれも、シフトレフトを実現するために必要な開発体制を整える上で重要な考え方です。

シフトレフトを適切に実施するには、どのような点に留意する必要があるのでしょうか。特に注意しておきたいシフトレフトの4つのポイントを紹介します。

テストの範囲を明確にする

シフトレフトを実施する際には、どの範囲までテストを行うべきかを明確にする必要があります。
ソフトウェアのどの部分にどういった種類のテストが必要かを決定しておくことで、注力すべき箇所が特定しやすくなるからです。また、テストを闇雲に実施するのではなく、優先順位をつけると取り組みやすくなります。このように、早期にセキュリティ関連のテストが必要な箇所を見極めておくことが大切です。

テストの自動化を行う

シフトレフトにおいてテストを実施する際には、一貫性を保つためにテストの工程を自動化することをおすすめします。
手作業によるテストでは、評価のばらつきが生じかねません。テストを自動化することで、繰り返し必要なテストも統一された手順で効率よく実施できます。また、テストの工程そのものが省力化されることにより、開発者が機能の実装や不具合の修正に集中しやすくなることも大きなメリットです。特に、高頻度で実施する必要があるテストに関しては、自動化の仕組みが欠かせません。例えば、コードが変更されるごとに既存の機能が正常に動作するか確認する回帰テストを実施する必要がある場合、テストに要する時間や人的コストを削減することにより、開発コスト全体の低減が期待できます。

セキュリティ検証用のツールを開発に活用する

シフトレフトを実施する際には、セキュリティ検証用のツールを開発に活用することが大切です。
例えば、SAST（静的アプリケーション・セキュリティ・テスト）やDAST（動的アプリケーション・セキュリティ・テスト）といったツールを活用することにより、コードの品質向上が期待できます。

また、こうしたツールを開発環境に統合させれば、フィードバックをリアルタイムで得られるというメリットもあります。セキュリティに関する問題点の有無をこまめに確認することは、適切なセキュリティ対策が施されたソフトウェアの開発を着実に進めていく上で重要です。

セキュリティチームを設計に参加させる

シフトレフトを実施する際には、セキュリティチームにソフトウェアの設計段階から参加してもらうことが重要です。
設計段階からセキュリティチームのレビューを行うことにより、開発段階の修正リスクを抑え、結果として開発工程を効率化できます。前述のDevSecOpsの考え方を取り入れ、セキュリティ対策を含むトータルコストを低減しつつ、クオリティ向上を実現させましょう。

なお、セキュリティチームと開発者の連携が強化されることは、シフトレフトの実施に限らず多くの良い影響をもたらします。プロジェクト全体を通じてセキュリティへの意識が高まる効果が期待できるほか、セキュリティチームとの協業が定例化することにより、組織全体における開発文化の質を高められるからです。ソフトウェアのライフサイクルが短期化し、迅速かつ安全性の高いソフトウェアの開発が求められている昨今、セキュリティチームとの協業は開発全般を通じて重要なポイントといえます。

シフトレフトは、セキュリティ対策やテストを開発工程の早期に実施することで、ソフトウェアの脆弱性や不具合を早期に発見し、効率的な開発を可能にする手法です。機能豊富なアプリケーションの登場や多様なプラットフォームへの対応といったソフトウェアの複雑化に加え、サイバー攻撃などのセキュリティリスクが増加している昨今において、シフトレフトは安全かつ迅速なソフトウェア開発を実施する上で重要といえます。

シフトレフトを実施するにあたって、自社の開発環境やソフトウェアに実装するセキュリティソリューションを見直しておくことをおすすめします。トレンドマイクロが提供するクラウドセキュリティプラットフォーム「Trend Vision One」は、本番稼働前にコンテナイメージをスキャンする機能を備えており、脆弱性、マルウェア、シークレット埋込の検出などができます。スキャン結果に応じて本番環境へのデプロイ制御（ブロック/アラート）を行うことも可能です。本番環境で稼働中のコンテナに対して、疑わしい動作や悪意のある動作・トラフィックを検出することで、脅威から防御するランタイムセキュリティ機能も提供できるため、攻撃をいち早く検知することで迅速な対応を支援します。シフトレフトで求められるセキュリティ対策を実現したい場合は、ぜひTrend Vision Oneをご活用ください。