ツールを通じてDevOpsにセキュリティを統合する手助けを――日本シノプシス：＠ITソフトウェア品質向上セミナー

日本シノプシス ソフトウェア・インテグリティグループ シニアセキュリティスペシャリスト 中野哲也氏

　＠ITは2018年12月14日、「＠IT ソフトウェア品質向上セミナー」を開催した。本稿では日本シノプシスの講演「DevOpsにおける品質とセキュリティテスト〜Built-in Security into DevOps ToolChain」の模様をお届けする。

　IoT機器にしてもコネクテッドカーにしても、果てはスペースシャトルにしても、今や全てがソフトウェアによって制御される世界になりつつあるが、「現在のソフトウェア開発には3つの挑戦がある」と日本シノプシス ソフトウェア・インテグリティグループ シニアセキュリティスペシャリストの中野哲也氏は述べた。

　「1つ目は、より迅速に作らないといけないこと。2つ目は、迅速でありながら高品質なソフトウェアが求められること。そして3つ目は、セキュアなソフトでなければならないことだ」（中野氏）

　これら3つの、互いに相反する要求を満たす方法として注目されているのが「DevOps」だ。プロダクトリリースまでのリードタイムを短縮するために、開発と運用が協調し、ユーザーからのフィードバックを反映して高品質を確保しながらソフトウェア開発ライフサイクルを素早く回していく手法だ。

　「ただ、これを人手だけで回していくのは難しい。開発やビルド、テスト、CI/CD、モニタリングといった一連のツールセットで支えようという流れが広がっている」（中野氏）

　DevOpsによって迅速な開発と高品質を実現できるが、抜け落ちがちなのがセキュリティの要素だ。そこで、ソフトウェアのライフサイクルにセキュリティをビルトインする「DevSecOps」という概念が広がりつつあるが、これまた人が頑張るだけでは限界がある。「やはり、DevSecOpsを支えるツールチェーンが必要だ」（中野氏）

　Synopsysでは、静的解析を行う「Coverity」、コンポーネント分析を行う「Black Duck Hub」、動的解析を行う「Seeker」「Defensics」と、3つの分野それぞれにツールを提供する他、マネージドサービスを提供。さらにDevSecOpsを回す環境を構築し、成熟度向上の支援を行うプロフェッショナルサービスも用意している。

　ツールに関しては個別の機能強化を図るだけではなく、ユーザーインタフェースを統合してより使いやすくする他、一部はクラウドベースで提供することも計画中だ。中野氏はこうした取り組みを通じて「DevOpsの全プロセスにおいて、セキュリティを統合していくようサポートする」と説明した。

DevOps全プロセスにセキュリティを統合（出典：日本シノプシス）