TOPSoftware > DevSecOpsの重要性と課題(上)

Software

DevSecOpsの重要性と課題(上)

2018/01/29

David Taber CIO

DevSecOpsの重要性

 近年、ITインフラは劇的な変化を遂げた。動的プロビジョニング、共有リソース、クラウドコンピューティングへの移行が、ITのスピード感、俊敏性、コストに恩恵をもたらし、そのすべてが、アプリケーション開発の改良につながった。

 アプリケーションをクラウド上で展開できるようになったことで、規模と速度の両方が向上した。さらに、アジャイルやDevOpsの方法論への移行と、それに伴う継続的デリバリーへの移行によって、アプリケーションのビッグバンリリースは過去のものになった。特に、自動化というくくりの中で開発と運用を一体化するDevOpsは、機能の頻繁なリリースや、アプリケーションの安定性向上など、あらゆる面の強化につながった。

 だが、セキュリティやコンプライアンスの監視ツールの中には、そのような変化のペースについていけないものも多い。DevOpsで求められるような速さでコードをテストすることをもともと想定していないからだ。その結果、アプリケーションの高速開発にとってセキュリティは最大の障壁であるという見方が強固になった。もっと広く捉えて、ITイノベーションの最大の障壁だという見方もある。

 「優れた成果を残す俊敏な企業には、今やDevOpsが深く浸透しており、オンラインビジネスの成功の基盤になっている」。そう話すのは、イスラエルRadwareのセキュリティエバンジェリストで研究者のPascal Geenens氏だ。「テクノロジーも消費者のニーズも絶えず変化する。そこで、アップデートのサイクルを継続的に回していくことになる。それぞれのアップデートでは、ページのアップロード時間からショッピング機能や検索機能に至るまで、多種多様な機能を最新鋭のものにし、常に最善の状態で稼働できるようにする」

 「だが、アプリケーションのセキュリティは後付けで考えることが多かった」とGeenens氏は指摘する。「時には、競合他社の先を行くのを阻むものと捉えられることもあった。運用を続けるうえでアプリケーションがよりどころにしていることを考えると、セキュリティを顧みないのはリスクの高い戦略だと認識しなくてはならない。DDoS攻撃やPDoS攻撃によってあっさり窮地に陥る恐れがある。Apache Strutsのフレームワークをアップデートしないとどうなるかは、米Equifaxの例を見れば分かる。DevSecOpsの動きは、これを変えるためのものだ」

↑ページ先頭へ