ツールを通じてDevOpsにセキュリティを統合する手助けを――日本シノプシス:@ITソフトウェア品質向上セミナー
@ITは2018年12月14日、「@IT ソフトウェア品質向上セミナー」を開催した。本稿では日本シノプシスの講演「DevOpsにおける品質とセキュリティテスト〜Built-in Security into DevOps ToolChain」の模様をお届けする。
@ITは2018年12月14日、「@IT ソフトウェア品質向上セミナー」を開催した。本稿では日本シノプシスの講演「DevOpsにおける品質とセキュリティテスト〜Built-in Security into DevOps ToolChain」の模様をお届けする。
IoT機器にしてもコネクテッドカーにしても、果てはスペースシャトルにしても、今や全てがソフトウェアによって制御される世界になりつつあるが、「現在のソフトウェア開発には3つの挑戦がある」と日本シノプシス ソフトウェア・インテグリティグループ シニアセキュリティスペシャリストの中野哲也氏は述べた。
「1つ目は、より迅速に作らないといけないこと。2つ目は、迅速でありながら高品質なソフトウェアが求められること。そして3つ目は、セキュアなソフトでなければならないことだ」(中野氏)
これら3つの、互いに相反する要求を満たす方法として注目されているのが「DevOps」だ。プロダクトリリースまでのリードタイムを短縮するために、開発と運用が協調し、ユーザーからのフィードバックを反映して高品質を確保しながらソフトウェア開発ライフサイクルを素早く回していく手法だ。
「ただ、これを人手だけで回していくのは難しい。開発やビルド、テスト、CI/CD、モニタリングといった一連のツールセットで支えようという流れが広がっている」(中野氏)
DevOpsによって迅速な開発と高品質を実現できるが、抜け落ちがちなのがセキュリティの要素だ。そこで、ソフトウェアのライフサイクルにセキュリティをビルトインする「DevSecOps」という概念が広がりつつあるが、これまた人が頑張るだけでは限界がある。「やはり、DevSecOpsを支えるツールチェーンが必要だ」(中野氏)
Synopsysでは、静的解析を行う「Coverity」、コンポーネント分析を行う「Black Duck Hub」、動的解析を行う「Seeker」「Defensics」と、3つの分野それぞれにツールを提供する他、マネージドサービスを提供。さらにDevSecOpsを回す環境を構築し、成熟度向上の支援を行うプロフェッショナルサービスも用意している。
ツールに関しては個別の機能強化を図るだけではなく、ユーザーインタフェースを統合してより使いやすくする他、一部はクラウドベースで提供することも計画中だ。中野氏はこうした取り組みを通じて「DevOpsの全プロセスにおいて、セキュリティを統合していくようサポートする」と説明した。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
DevOpsの邪魔にならないセキュリティをどう実現するか――CI/CDに統合可能な「IAST」とは
デジタルトランスフォーメーションの加速と同時に、セキュリティ品質に対するユーザーの目の厳しさが増す中、DevOpsのプロセスにいかにセキュリティを取り組むかは大きな課題だ。このような中、「IAST(Interactive Application Security Testing)」というカテゴリーのツールに注目が集まっている。
Codenomicon 2018で語られた「Dev」と「Sec」連携のポイント
「Black Hat USA 2018」に先駆けて2018年8月7日にSynopsysが開催した「Codenomicon 2018」では、セキュリティ担当者と開発者、運用者が一体となってセキュアなアプリケーションを迅速にリリースに必要なポイントが紹介された。
Synopsysが調査、対象コードの78%にオープンソース由来の脆弱性あり
Synopsys(シノプシス)のBlack Duckグループによると、さまざまなソースコードが含むオープンソースソフトウェア(OSS)の比率が高まっているという。それに伴い、OSSに起因する脆弱(ぜいじゃく)性をも取り込んでしまっている場合が少なくない。