連載
» 2020年10月06日 05時00分 公開

セキュリティ責任者に送るヒント集(2):DevOpsチームとセキュリティチームの摩擦を減らすDevSecOpsを導入するための4つのポイント

DevOpsチームとセキュリティチームは、開発プロセスの最後まで別々に作業することが多く、結果、両チーム間で摩擦が生じやすくなっています。これは、製品やサービスを市場に投入する競争において、セキュリティが後回しにされることがあり、潜在的な脆弱(ぜいじゃく)性に対処するための時間が十分に確保されていないためです。DevOpsとサイバーセキュリティを効果的に融合させた組織は、セキュリティ対策を積極的に実践し、チーム間の摩擦を減らすことに成功しています。本稿では、セキュリティ責任者がDevSecOpsを導入するための4つのポイントを紹介します。

[森屋幸英,テナブル・ネットワーク・セキュリティ・ジャパン]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

DevOpsチームとサイバーセキュリティチームの不調和

 DevOpsが便利であることは否定のしようがありません。DevOpsによるスピードの向上、迅速な実験、継続的な更新は、競争の激しい市場で成功を収める上での信条となっています。

 ただ残念なことに、過去数年間でリスクの増大や著名なサイバー攻撃が起きているにもかかわらず、サイバーセキュリティがDevOpsの話題に上ることはほとんどありませんでした。DevOpsチームとサイバーセキュリティチームの間にあるこのような摩擦は、ITの歴史の中で長く続いてきた断絶によってもたらされた症状の一つです。これは、開発者とサイバーセキュリティ専門家の文化的なルーツ、語彙(ごい)、プロセスが異なっており、しばしば衝突していることにも起因しています。

 DevOpsチームは、スピード重視の開発サイクルでの作業に慣れているのに対し、セキュリティの専門家はコントロールと安定性に焦点を当てるように訓練されています。スピード、可視性の低さ、リソースの制約といった課題を克服するためには、DevOpsチームとセキュリティチームはお互いの違いを超えて開発サイクルの初期段階から協力すべきです。

DevSecOpsの導入

 セキュリティチームは、開発サイクルの最後の段階で脆弱性を検出するという傾向があります。このような作業の仕方では、製品やサービスのセキュリティ面での信頼性を損なうだけではなく、市場投入までの時間短縮戦略を止めてしまい、何時間もかけてコーディングを行うことになってしまいます。

 DevSecOpsは、DevOpsプロセスの中にセキュリティ対策を統合するという哲学です。セキュリティ責任者は、アプリ開発計画の早い段階でセキュリティ対策を計画に含めるようにシフトすることで、開発サイクルへの関わり方を変えることができます。遅れて問題を発見するのではなく、継続的に問題発生の予防に焦点を当てることで、両チームの作業の効率化が可能になります。

 以下、セキュリティ責任者がDevSecOpsを導入するための4つのポイントを紹介します。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。