ZenityのCTO兼共同創設者、マイケル・バーガリー（Michael Bargury）氏に言わせれば、ローコード／ノーコード（LCNC）開発はセキュリティ面に関しては（憂慮すべきことに）あまり検討の進んでいない領域だという。

「LCNCをセキュリティ保護下に入れるのが早ければ早いほど、首尾よく手が離れることになります」。バーガリー氏はRSAカンファレンスのサイバーセキュリティ学習ウェビナーで主張している。最新のSaaSを提供するベンダーはいずれもLCNCプラットフォームを提供する方向に向かっており、それには明らかな理由があると氏は考えている。「先の展開を期待してのことです。単一のソリューションよりもプラットフォームを提供したいのです」

たとえば、セールスフォースは単なるCRMツールではない――パブリッククラウド向けのアプリケーションと同じようなアプリケーションを構築することもできる。「大企業であれば、マイクロソフトかセールスフォースかServiceNowか、それ以外でも（LCNC市場をリードする）いずれかの企業の顧客になっているのが普通です」

上記のような企業が自社の既存製品にLCNC開発機能を搭載したことで、LCNCは企業の中枢に直接入り込みつつあるのだという。「重要なのはビジネスデータを直接扱うものだという点です。こうしたプラットフォームの中には当然ながらビジネス上の機密情報が存在します」と補足した。

アプリケーションを素早く開発、展開できることからLCNC市場は大きな成功を収めている。「あるステークホルダーでは、自社のニーズについて考え、ニーズを解決するところまですべて自分たちでやっています」と氏。とはいえ、ローコードアプリケーション開発がもたらすセキリティリスクに対する責任をこうした市民開発者やビジネステクノロジストが単独で負うべきだということではない。

ローコードプラットフォームベンダーが自社のプラットフォームで作られたすべてのアプリケーションの安全を保証できないのはなぜだろうか。「当社では実際に取り組んだことがありますが、失敗に終わりました。そして、もっとよい解決策が見つかったのです」。それは「パブリッククラウドで見られるのと同様の責任分担モデル」だと氏は言う。

ベンダーが負うべき責任がある一方、顧客企業も相応の責任を負う必要がある。「自社が開発しているアプリケーションで、どの部分の責任を負わなければならないのか――現在欠けているのはこの視点です」

Low-Code Security Requires Shared Responsibility Model