連載
» 2021年12月15日 05時00分 公開

元現場エンジニアの「もっとこうしておけばよかった」から学ぶDevSecOpsのヒント特集:クラウドネイティブのセキュリティ対策とDevSecOpsの勘所(1)

元現場エンジニアの「もっとこうしておけばよかった」という経験をアンチパターンとして振り返りつつ、どうすればDevSecOpsを浸透させることができるのかを紹介した、CloudNative Days TOKYO 2021のセッション「元現場エンジニアが思う『もっとこうしておけばよかった』から学ぶDevSecOps」の様子をレポートする。

[松林沙来,@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 新人だった頃や、慣れない仕事を始めた時など、過去の自分を振り返って「今にして思うと、もっとうまくできたのに」と思うことは、誰しも少なからずあるだろう。JFrogでデベロッパーアドボケイトとして活動し、以前はアプリケーション開発に携わっていた横田紋奈氏も、自身がエンジニアだった頃を振り返ると、「知らなかったことやできていなかったことがたくさんあることに気付いた」という。

JFrogの横田紋奈氏

 「エンジニア時代のモチベーションとしては、『良いものを作りたい』という思いで仕様を検討したり、エンジニア組織の外と協力したりすることができた。一方、インフラやセキュリティにめっぽう弱く、チャレンジする勇気も小さかった」(横田氏)

 そんな横田氏の経験をアンチパターンとして振り返りつつ、どうすればDevSecOpsを浸透させることができるのか。横田氏は「CloudNative Days TOKYO 2021」のセッション「元現場エンジニアが思う『もっとこうしておけばよかった』から学ぶDevSecOps」で、そのベストプラクティスを紹介した。

その1:アプリケーションの作り込みが「良いものを作る」ことの大部分だと思っていた

 1つ目のアンチパターンは、「アプリケーションの作り込みこそが『良いものを作る』の大部分を占めるという意識をどこかで持っていた」ことだという。一見良いものを作るための作り込みは良いことに思えるが、「それこそが大事な活動だという意識をどこかで持っていた」(横田氏)ことによって、デリバリーのプロセスや、セキュリティの改善などは、「やらないといけないタスク」「自分たちの作業を楽にするためにするもの」と認識していた。

ユーザーに届くまでが「良いものを作る」ことであり、その後も続く

「良いものを作ること」につながるのは、アプリケーションの作り込みだけではない

 この過去の経験を踏まえ、横田氏は「ユーザーに届くまでが『良いものを作る』、もっというと、その後も続く」ことだとした。何を作るかだけでなく、ユーザーにどうやって素早く安全に届けるかという部分も「良いものを作る」ことの一部であるとして、「もっとポジティブに取り組むべきことだった」(横田氏)と振り返った。

その2:セキュリティチームが自分のチームの外側にあった

 2つ目のアンチパターンは「実際の組織としても気持ちの上でもセキュリティチームが自分のチームの外側にあった」ことだ。横田氏が当時所属していた組織では、セキュリティのチームが開発チームの外側にあり、必要なときにやりとりをする程度の関わりしかなかった。

セキュリティチームも一緒にものづくりをする仲間

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。