「DevSecOps」って何？ GitHubが考える全ての組織が開発スタイルとして取り入れるべき理由：GitHub直伝、「DevSecOps」初めの一歩（前）

企業のビジネスにソフトウェアが欠かせない今、ソフトウェアの開発スピードを迅速化させられるかどうかが重要になる一方、セキュリティも欠かせない要素です。そこで最近目にするのが「DevSecOps」というキーワードです。

[田中裕一，GitHub]

はじめに

　企業のビジネスにソフトウェアが欠かせない今、ソフトウェアの開発スピードを迅速化させられるかどうか、いわゆる「DevOps」の実現が重要になっています。一方、開発スピードの向上と同時に考えていかなければならないのがセキュリティです。迅速かつ効率的にソフトウェアをリリースできても、セキュリティの問題で顧客に影響が出れば、顧客満足度の低下、企業ブランドの価値毀損（きそん）につながりかねません。

　とはいえDevOpsは決して新しい考え方ではなく、ソフトウェアを迅速に提供するための開発スタイルとしてITエンジニアの間で広く知られています。DevOpsでは、開発チームと運用チームがコラボレーションすることで、より信頼性の高いソフトウェアを迅速にリリースすることを目指しています。

　そうした中で最近、DevOpsと関連して「DevSecOps」という言葉を目にした方もいると思います。今回は2回に分けて、DevSecOpsとはどのような考え方なのか、組織でDevSecOpsの文化を広めるためにどう取り組んでいけばよいのか解説していきます。

全員が責任を負う――「DevOps」という言葉が生まれた背景

　DevOpsという言葉が生まれたのは2008年。システム管理者のPatrick Debois氏とソフトウェア開発者のAndrew Clay Shafer氏が、運用チームと開発チームの間の隔たりをなくすことを目的として結成したワーキンググループにまでさかのぼります。そこで誕生したベストプラクティスのプロセスが現在のDevOpsとして知られています。

　これ以前の2000年代半ばまでは、開発チーム、品質保証チーム、IT運用チームが連携しておらず縦割りで作業することが一般的でした。開発チームはソースコードを書くことのみに責任を持ち、品質保証チームはそのコードをテストして一定の品質を満たしていることを保証することに責任を持ち、IT運用チームは本番環境にコードをデプロイし、そのソフトウェアを安定して運用することに責任を持っていました。