なぜ「セキュリティのシフトレフト」が下火になったのか、ネガティブじゃないその理由　Dockerが解説：2025年版開発者調査レポートを公開

　調査対象となった企業のほとんどはセキュリティを懸念事項と考えており、「セキュリティは懸念事項ではない」と答えた回答者はわずか1％だった。ある回答者が「われわれはセキュリティ専任チームを置いていない。全員でセキュリティに取り組んでいる」とコメントしているように、開発者の間でもセキュリティに対する当事者意識が広がりつつあるようだ。それを示す調査結果として、セキュリティをアウトソーシングしている企業は20％程度（5社に1社）だった。

　ただし、従業員数が50人以上の企業では、ソフトウェアセキュリティは専任のセキュリティエンジニアが担当している傾向が強かった。

ボトルネックはセキュリティではなく、計画と実行

　脆弱（ぜいじゃく）性が発生する（もしくは発見される）と、担当業務にかかわらず、開発者、セキュリティエンジニア、DevOpsエンジニアなどが全員で協力して対応に当たっていることが分かった。

　こうした背景もあり、脆弱性修正は多くのチームで最も時間を費やすセキュリティ関連タスクとなっている。しかし意外にも、チームの進捗（しんちょく）を妨げる問題のトップ10にセキュリティは入っていない。セキュリティよりも大きな障害となっているのは「計画や実行に関わる活動」だった。

　Dockerはこれについて「セキュリティが、多くの人が考える以上にワークフローにうまく統合されていることを示している」としている。

セキュリティのシフトレフトは話題としては下火

　広く浸透してきた「セキュリティのシフトレフト」というスローガンは、回答者が挙げた重要なトレンドの9位にとどまった。Dockerはこれについて次のように分析している。

　「セキュリティツールが改善され、シフトレフトがこれまでより容易になった可能性がある。あるいは、シフトレフトというトレンドが広く受け入れられている結果かもしれない。生成AI（人工知能）やInfrastructure as Code（IaC）といったトレンドと比べるとインパクトは見劣りするものの、開発のリーダーにとってセキュリティのシフトレフトは、依然として強い影響力を持っている」

　Dockerは総括として「セキュリティチームは『指揮系統の下で役割を果たす』というよりも、『どうすれば全員でより良い結果を出せるか』に意識が向いている」と述べている。