アジャイル開発や生成AI、クラウド活用が当たり前になった今、セキュリティは「後工程のチェック」では間に合わない。それでも、現場では「CI/CDパイプラインはあるがセキュリティは手作業」「セキュリティチームと開発チームの役割が分断されている」など、旧来型の運用から抜け出せないという課題に悩まされている。

本レポートでは、まず総論でセキュリティが形式化・属人化してしまう背景や、日本企業の組織構造的な課題を整理。そのうえで、属人的なノウハウに頼らず“仕組みで担保する”セキュリティをどう実装すべきか、実践的な視点で解説する。

続く5社の講演レポートでは、DevSecOpsや自動化、シフトレフト、セキュリティチャンピオン制度などを軸に、開発・運用フェーズでの「守りの最適化」事例を多数収録。API、IaC、SaaS、生成AIといった新たな対象への対応をどう進めるか、それぞれの立場での苦労や対策法といったノウハウが詰め込まれている。「ルールはあるけど運用できていない」「結局、誰か1人の頑張りに頼ってしまっている」そんな現場に必要なのは、特定ツールの導入ではなく、仕組みと文化の“再設計”だ。

セキュリティ担当者やSRE、現場のITリーダーに、今ある運用にひとつ踏み込むための“視座”を与え、この難題にどう対峙すべきか──。これにズバリ答えているのが、この資料だ。本資料は、2025年3月19日に開催された「Think IT Day Security for Application」のセッション内容をもとに、5社の取り組みと日本企業のセキュリティに関する組織構造的な課題を整理するとともに、旧来型の運用から抜け出すためのアプローチについて再認識することのできる内容となっている。