CI/CDセキュリティの向上にはガイドラインの提示だけでは不十分、GitHub Actionsを対象にNTTとNTTドコモビジネスが調査

　NTT株式会社とNTTドコモビジネス株式会社（旧：NTTコミュニケーションズ株式会社）は24日、早稲田大学と共同で、CI/CD基盤として広く利用されている「GitHub Actions」を対象に、公式に推奨されているセキュリティ対策の実施状況と、その実践を妨げる要因について調査を実施したと発表した。

　GitHub Actionsは、ソフトウェア開発プラットフォーム「GitHub」上で利用できるCI/CDサービスで、個人開発者から企業の大規模開発まで、幅広い開発現場で利用されている。

　CI/CDは、ソフトウェア開発ライフサイクルにおけるプログラムのテストや公開作業などの各種プロセスを自動化する仕組みで、開発の迅速化や人的ミスの削減、品質の安定化などに貢献しており、現在では多くの企業の開発者が、ソフトウェア開発の基盤技術として日常的に利用している。

　一方、CI/CD環境は、ソフトウェアの配布や更新を自動で行う仕組みであるため、認証情報の管理不備や、設定変更時のレビュー不足などの運用上の問題があると、不正なプログラムの混入など、ソフトウェアサプライチェーン全体に影響を及ぼす重大なセキュリティインシデントにつながるリスクがある。

　GitHub Actionsでは、こうしたリスクを低減するためのセキュリティ対策や推奨設定が示されているが、実際の開発現場でそれらがどの程度実践されているのか、また実践を妨げている要因については、これまで十分に明らかにされていなかった。

ソフトウェア開発サイクルにおけるCI/CDによる自動化領域

　研究では、GitHub Actionsを利用する公開ソフトウェアリポジトリおよび開発者を対象とした調査を実施した。GitHub Actionsを利用するリポジトリのうち、一定程度正常にGitHub Actionsを利用していると判断できるすべてのリポジトリ（約34万件）を対象に、CI/CDの設定ファイルを自動的に分析した。さらに、GitHub Actionsを利用する開発者102人に対してアンケート調査を実施し、セキュリティ対策を実践していない理由や、その判断に至る背景を分析した。

　調査では、GitHub Actionsの5種類の主要なセキュリティ対策は、実施率が平均17.5％（最小0.6％～最大52.9％）と全体的に低い水準にとどまっていることが分かった。特に、専用のツールや機能を活用する対策については、十分に活用されていない実態が確認された。また、開発者調査の結果、セキュリティ対策が実践されない主な要因として、対策の存在が十分に認知されていないことや、運用の手間が増えるという負担感が挙げられた。加えて、「自身の開発には関係ない」といった誤解も一部で確認されたという。

　これらの知見は、CI/CDセキュリティの向上にはガイドラインの提示だけでは不十分であり、開発者の理解や負担感を考慮した技術的な支援や開発の仕組みが不可欠であることを示していると指摘する。研究で得られた結果は、開発者への適切な通知設計、プラットフォームやIDEによる支援強化など、セキュリティ対策の実効性を高めるための具体的な施策検討に活用できるとしている。

GitHub Actionsにおけるセキュリティ対策の実践状況

　さらに研究では、得られた分析結果と改善に向けた示唆を、GitHubに共有した。CI/CDエコシステム全体の安全性向上に資する知見としてこのようなフィードバックを行うことで、プラットフォームレベルでのセキュリティ改善にも貢献した。

　NTTドコモビジネスは、研究で得られた知見をもとに、CI/CD環境を活用して開発・提供するサービス全体のセキュリティ強化を推進する。開発プロセスへのセキュリティ対策の組み込みを通じて、セキュリティバイデザインに基づくサービス開発を強化する。加えて、自社が提供するCI/CDプラットフォーム「Qmonus Value Stream」においても、研究成果を今後の改善に活用することを検討する。これにより、顧客が安心・安全に利用できる信頼性の高いサービス提供につなげていくとしている。