TOPSoftware > DevSecOpsの重要性と課題(上)

Software

DevSecOpsの重要性と課題(上)

2018/01/29

David Taber CIO

DevSecOpsのメリット

 メリットはシンプルだ。すなわち、最初から自動化されている部分が増えれば、稼働停止や攻撃につながりがちな管理誤りやミスの可能性が減るし、セキュリティアーキテクトがコンソールを使って手作業でセキュリティ設定を行う必要性も減る。

 米Gartnerも述べているように、DevSecOpsでは、IAM(Identity and Access Management)、ファイアウォール、脆弱性スキャンなど、セキュリティプラットフォームの機能を、DevOpsのライフサイクル全体を通してプログラム的に利用でき、セキュリティチームがポリシーを自由に設定できる。2021年には、高速開発チームの80%がDevSecOpsを取り入れるとGartnerは予想している(ちなみに、DevSecOpsとSecDevOpsは若干異なる)。

 「大切なのは、ライフサイクルの中にセキュリティを取り戻すことだ。すなわち、セキュリティの『シフトレフト』である」。そう話すのは、スペインBanco Santanderでサイバーセキュリティリサーチのグローバル責任者を務めるDaniel Cuthbert氏だ。「セキュリティは従来から、イノベーションを妨げる壁だと捉えられ、マイナスイメージを伴っていることが多い。セキュリティのシフトレフトで肝心なのは、イノベーションとセキュリティを兼ね備えたものを構築することだ。これを適切に行えば、現時点でセキュリティに対して皆が抱いているイメージを覆せる」

 Geenens氏も同様の見解だ。「DevSecOpsは、全員がセキュリティに責任を負うことを前提とする健全なモデルだ。あるチームがアプリケーションをロールアウトしてから別のチームに引き渡し、そちらのチームがセキュリティの面倒を見るということは考えられない。両者の決定と実装を一緒に行う必要がある。その結果、DevOpsチェーンのさまざまな段階でセキュリティを強化するためのツールや手法が生まれた」

 米Red Hatの最高セキュリティアーキテクトであるMike Bursell氏は、DevOpsとDevSecOpsという2つの言葉を区別すべきではないと主張する。「DevOpsを適切に実践すれば、おのずとセキュリティを備えることになる。その仕組みを理解するのがDevSecOpsだ」

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ