TOPSoftware > DevSecOpsの重要性と課題(中)

Software

DevSecOpsの重要性と課題(中)

2018/01/31

David Taber CIO

 さらに、この連携は適切に検討しておく必要があると同氏は強調する。「例えば、開発現場でコードを作成している時に、開発者がローカルのビルドプロセスの間に脆弱性の有無を調べるツールがあるのか(コードがコンパイルを通らないからビルドの問題というような形)、それとも、Jenkinsを使ったCI/CDのプロセスの中で行うのか、あるいは、その両方を行い、各ビルドプロセスにおいて、コードがセキュアであることを確認するセキュリティ要素チェックがあるのかといったことだ」

 さらに大きな問題の1つとしてRed HatのBursell氏が挙げるのは、文化的に見て「シフトレフト」の話をするのは簡単ではないという点だ。「プロセスの早い段階でこれらを交えることはとてつもなく重要だ。そして同じく不可欠なのが、リスクに関する話も、セキュリティに関する話と同じくらいしておくことだ。そこでポイントとなるのがガバナンスだ。ビジネス部門は、セキュリティ自体を目的としたセキュリティに関心を寄せることはめったにないが、リスクを軽減する手段としてのセキュリティには関心を寄せる」

 だが、セキュリティは全員の責任だという考え方については、同氏は注意を促し、セキュリティに関してどの職務が責任を負うかを決める必要があると話す。「例えば、使用できるコンテナイメージを定義する職務の人と、使用できるミドルウエアライブラリをブラックリストかホワイトリストで定義する職務の人が、それぞれいるとする。だが、本当に必要なのは、これをセキュリティポリシーと結びつけることだ」

 「大半の企業は、リスクに対する明確なガバナンスがあり、それに基づいてできたセキュリティポリシーがある。そのポリシーをDevSecOpsのプロセスに反映するプロセスを導入することが、そちらとDevSecOpsとの橋渡しになる」

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ