DevOpsチームとセキュリティチームの摩擦を減らすDevSecOpsを導入するための4つのポイント:セキュリティ責任者に送るヒント集(2)
DevOpsチームとセキュリティチームは、開発プロセスの最後まで別々に作業することが多く、結果、両チーム間で摩擦が生じやすくなっています。これは、製品やサービスを市場に投入する競争において、セキュリティが後回しにされることがあり、潜在的な脆弱(ぜいじゃく)性に対処するための時間が十分に確保されていないためです。DevOpsとサイバーセキュリティを効果的に融合させた組織は、セキュリティ対策を積極的に実践し、チーム間の摩擦を減らすことに成功しています。本稿では、セキュリティ責任者がDevSecOpsを導入するための4つのポイントを紹介します。
DevOpsチームとサイバーセキュリティチームの不調和
DevOpsが便利であることは否定のしようがありません。DevOpsによるスピードの向上、迅速な実験、継続的な更新は、競争の激しい市場で成功を収める上での信条となっています。
ただ残念なことに、過去数年間でリスクの増大や著名なサイバー攻撃が起きているにもかかわらず、サイバーセキュリティがDevOpsの話題に上ることはほとんどありませんでした。DevOpsチームとサイバーセキュリティチームの間にあるこのような摩擦は、ITの歴史の中で長く続いてきた断絶によってもたらされた症状の一つです。これは、開発者とサイバーセキュリティ専門家の文化的なルーツ、語彙(ごい)、プロセスが異なっており、しばしば衝突していることにも起因しています。
DevOpsチームは、スピード重視の開発サイクルでの作業に慣れているのに対し、セキュリティの専門家はコントロールと安定性に焦点を当てるように訓練されています。スピード、可視性の低さ、リソースの制約といった課題を克服するためには、DevOpsチームとセキュリティチームはお互いの違いを超えて開発サイクルの初期段階から協力すべきです。
DevSecOpsの導入
セキュリティチームは、開発サイクルの最後の段階で脆弱性を検出するという傾向があります。このような作業の仕方では、製品やサービスのセキュリティ面での信頼性を損なうだけではなく、市場投入までの時間短縮戦略を止めてしまい、何時間もかけてコーディングを行うことになってしまいます。
DevSecOpsは、DevOpsプロセスの中にセキュリティ対策を統合するという哲学です。セキュリティ責任者は、アプリ開発計画の早い段階でセキュリティ対策を計画に含めるようにシフトすることで、開発サイクルへの関わり方を変えることができます。遅れて問題を発見するのではなく、継続的に問題発生の予防に焦点を当てることで、両チームの作業の効率化が可能になります。
以下、セキュリティ責任者がDevSecOpsを導入するための4つのポイントを紹介します。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
DX時代の今、経営層やエンジニアに問い直す、「セキュリティ対策」と「セキュリティバイデザイン」の意義とは
近年の複雑化、多様化するサイバー攻撃を迎え撃つセキュリティ対策は、迅速なサイクルを回す開発が求められるデジタルトランスフォーメーション(DX)の阻害要因になるのではという意見もある。その中、DXとセキュリティの両立に有効なのが「セキュリティバイデザイン」だ。では、企業がセキュリティバイデザインに取り組む上で、どのような課題があるのか。
経営陣が欲しい「セキュリティ」、その3つの誤解と真実
デジタルトランスフォーメーション(DX)、システム刷新、そしてセキュリティ――昨今のIT投資における企業・団体の悩みは大きくなる一方だ。OWASP Japanリーダーで、アスタリスク・リサーチのCEOを務める岡田良太郎氏が、経営陣の誤解を解き、IT担当者にエールを送る。
主人公/ラスボスの視点からRPGを題材にサイバーセキュリティを解説した人気連載を無料提供
人気過去連載を電子書籍化し、無料ダウンロード提供する@IT eBookシリーズ。第57弾は、5章にわたってRPGを題材にサイバーセキュリティについて理解を深めてもらうという異色連載『RPGに学ぶセキュリティ』です。時に主人公の視点から、また時にはラスボスの立場に立って、RPGを見直してみると、サイバーセキュリティとの関連性が浮かび上がってきます。