DevOpsチームとセキュリティチームの摩擦を減らすDevSecOpsを導入するための4つのポイント：セキュリティ責任者に送るヒント集（2）

DevOpsチームとセキュリティチームは、開発プロセスの最後まで別々に作業することが多く、結果、両チーム間で摩擦が生じやすくなっています。これは、製品やサービスを市場に投入する競争において、セキュリティが後回しにされることがあり、潜在的な脆弱（ぜいじゃく）性に対処するための時間が十分に確保されていないためです。DevOpsとサイバーセキュリティを効果的に融合させた組織は、セキュリティ対策を積極的に実践し、チーム間の摩擦を減らすことに成功しています。本稿では、セキュリティ責任者がDevSecOpsを導入するための4つのポイントを紹介します。

[森屋幸英，テナブル・ネットワーク・セキュリティ・ジャパン]

DevOpsチームとサイバーセキュリティチームの不調和

　DevOpsが便利であることは否定のしようがありません。DevOpsによるスピードの向上、迅速な実験、継続的な更新は、競争の激しい市場で成功を収める上での信条となっています。

　ただ残念なことに、過去数年間でリスクの増大や著名なサイバー攻撃が起きているにもかかわらず、サイバーセキュリティがDevOpsの話題に上ることはほとんどありませんでした。DevOpsチームとサイバーセキュリティチームの間にあるこのような摩擦は、ITの歴史の中で長く続いてきた断絶によってもたらされた症状の一つです。これは、開発者とサイバーセキュリティ専門家の文化的なルーツ、語彙（ごい）、プロセスが異なっており、しばしば衝突していることにも起因しています。

　DevOpsチームは、スピード重視の開発サイクルでの作業に慣れているのに対し、セキュリティの専門家はコントロールと安定性に焦点を当てるように訓練されています。スピード、可視性の低さ、リソースの制約といった課題を克服するためには、DevOpsチームとセキュリティチームはお互いの違いを超えて開発サイクルの初期段階から協力すべきです。

DevSecOpsの導入

　セキュリティチームは、開発サイクルの最後の段階で脆弱性を検出するという傾向があります。このような作業の仕方では、製品やサービスのセキュリティ面での信頼性を損なうだけではなく、市場投入までの時間短縮戦略を止めてしまい、何時間もかけてコーディングを行うことになってしまいます。

　DevSecOpsは、DevOpsプロセスの中にセキュリティ対策を統合するという哲学です。セキュリティ責任者は、アプリ開発計画の早い段階でセキュリティ対策を計画に含めるようにシフトすることで、開発サイクルへの関わり方を変えることができます。遅れて問題を発見するのではなく、継続的に問題発生の予防に焦点を当てることで、両チームの作業の効率化が可能になります。

　以下、セキュリティ責任者がDevSecOpsを導入するための4つのポイントを紹介します。

1．コンテナの役割を理解する

　DevOpsチームとシームレスに連携するための一つの方法は、アプリケーション開発におけるコンテナの役割を理解することです。

　コンテナは、ソフトウェアのパッケージ方法を変えることで、アプリケーションの開発と展開を劇的に加速、簡素化し、運用コストを削減してイノベーションを促進します。その一方で、コンテナは寿命が短いため、従来のスキャン手法では脆弱性を検出することが困難です。また、セキュリティ上の評価も難しく、コンテナの修復には従来のITとは異なるアプローチが必要です。

　DevOpsと連携するための重要な方法の一つは、脆弱性の評価と修正を、継続的インテグレーション／継続的デプロイメント（CI/CD）システムに統合することです。これにより、DevOpsのライフサイクルの品質保証（QA）段階において、単体テストや統合テストなど他のテストと並行して、全ての新しいコンテナイメージのセキュリティテストが確実に行われるようになります。

　DevOpsにセキュリティを組み込むことは、サイバーセキュリティの有効性にとって大きなメリットとなります。

2．可能な限りテストと自動化を行う

　強力なDevOpsプロセスを持つ多くの組織では、毎日「数百」とは言わないまでも数十のソフトウェアアップデートが行われています。このような環境で手動のプロセスに頼っていると、セキュリティ対応がおろそかになるどころか不可能になることさえあります。

　そこで、ビルドを変更するたびに、あるいは新たな脆弱性を発見するたびに、セキュリティテストを自動的に開始すべきです。自動化は、開発者の統合開発環境（IDE）におけるシームレスな一部分としてだけでなく、CI／CDツールチェーン内においても、DevOps全体について高レベルのセキュリティを保証することで補っています。

3．積極的な予防は土壇場での検出に勝る

　セキュリティが内側から組み込まれていると、サイバー犯罪者が侵入しにくくなります。そのため、開発サイクルの早い段階で積極的に脆弱性に対処し修正することで、リリース後に修正する場合に比べて時間とコストを節約できます。一般的に、リリース前のQAテストと比べて、リリース後のセキュリティ欠陥の修正には2〜3倍のコストがかかります。

4．現在のプラクティスセキュリティ対策を評価し、分析する

　手順をドキュメントにして残すことは、最適な対策を保証するフレームワークの作成に役立ちます。手順書により、物事がシンプルで簡潔になり、信頼性、予測可能性、運用効率が向上します。同時に、シニア開発者がレビュー、配置、コーディング方法を記録できるようにするなど、セキュリティの最適な対策を作り、順守することが大事です。

　また開発者は、既に承認されたソフトウェアコンポーネントやイメージを使用することも重要です。これらのフレームワークやプロセスを少なくとも年に2回は見直し、評価することで、チームが複雑なDevSecOpsの懸念事項に対処できるようになります。

誰もがセキュリティの一員でなければならない

　デジタルトランスフォーメーションの加速は、セキュリティや開発者の考え方、仕事の進め方を根本的に変えようとしています。しかし、接続性の向上と生産性のスピードアップはリスクの増大へとつながる可能性があります。

　DevOpsチームとセキュリティチームのコラボレーションにより、組織はセキュリティ、安定性、ガバナンスを損なうことなく、スピード感を保ちながら業務を遂行することができます。開発サイクルの初期段階から効果的なセキュリティ対策を確立するには、組織全体のカルチャーシフトと、全ての利害関係者がサイバーセキュリティに責任を負うという新しい考え方が必要です。