「DevSecOps」を始める4つのコツ、まずは何から？：2種類のスキャンが重要

サイバーセキュリティツールベンダーのPortSwiggerは、最近導入が進んでいる「DevSecOps」について解説したブログ記事を公開した。2種類のスキャンが重要なものの、いったん始めた取り組みを拡大する際に注意が必要なのだという。

[＠IT]

　サイバーセキュリティツール「Burp Suite」を手掛けるPortSwiggerは2021年1月28日（米国時間）、最近導入が進んでいる「DevSecOps」の取り組みについて、どのように始めればよいのか、コツを紹介するブログ記事を公開した。

　DevSecOpsは、ユーザーに素早く価値を提供しつつ、セキュアなサービスを運用する手法として注目されている。PortSwiggerの顧客調査によれば、調査のためにサンプリングした大企業の42％が、DevSecOpsに投資しているという。

　ブログ記事は、Dropboxのプロダクトセキュリティエンジニアを務めるアレクサンドル・クラスノフ（Aleksandr Krasnov）氏へのマット・アトキンソン（Matt Atkinson）氏のインタビューに基づいている。クラスノフ氏はDevSecOps全般の専門家で、多くのシリコンバレー企業で実装に携わってきた。バグバウンティハンターでもあり、特にキャプチャーザフラッグ（CTF）チャレンジへ積極的に参加しているという。

まず自社のWeb資産全体をスキャン

　クラスノフ氏が真っ先に挙げるコツは、自社のWeb資産に対して脆弱（ぜいじゃく）性スキャンをかけることだ。どこにセキュリティホールがあるのかをまず見つけることで、修正する際の優先順位付けに着手できる。

　Webアプリケーションにセキュリティホールは付き物であり、素早く脆弱性を修正するか、または後で修正するかにかかわらず、まず問題を把握することが重要だ。

動的スキャンは欠かせない

　DevSecOpsにおけるスキャンは脆弱性スキャンだけではない。次に動的スキャンを実行すべきだという。

　動的スキャンには複数の種類があるものの、まずは実際にアプリケーションを動作させて検査する「Dynamic Application Security Testing」（DAST：動的セキュリティテスト）が望ましいという。DASTスキャンは、サイバー犯罪者が防御を破るために脆弱性を調査する作業をエミュレートしているからだ。

　DASTスキャンには、業務にかかる負担が少ないという特徴がある。

　チェックインのたびにテストする「Interactive Application Security Testing」（IAST：対話型アプリケーションセキュリティテスト）のような方法は複雑で運用負荷がかかる。

開発チームの準備状況に合わせて漸進的に進める

　クラスノフ氏によれば、DevSecOpsエンジニアの役割はこうだ。開発者がより円滑かつストレスなく、仕事ができるようにすることに尽きる。

　「DevSecOpsに取り組み始めた企業は、まずDevOpsの足掛かりを固めるべきなのか」という質問に対し、同氏は「ノー」と答えた。

　準備が十分整っていなくてもよい。徐々に取り組みを進めることが重要だという。こうすれば、失敗のリスクを低減できる上に、初期投資も抑えられる。

スケーラビリティを確保する

　徐々に取り組みを進めることには別の大きなメリットもある。着実に成果が上がるため、ROI（投資対効果）が明確になることだ。つまり経営層から支持されやすい。

　こうなると、DevSecOpsの実装がある程度進んだ後で、大規模な展開に踏み切りやすくなる。大規模な展開では破壊的変化が必要になり、経営層の支持が重要になるからだ。

　経営層から支持されるだけではない。開発を効率化すると同時にセキュリティ意識も高まるため、順調に進めば、誰にとっても歓迎すべき状況が生まれる。そうなれば、次のDevSecOps担当者を社内で確保することも容易になるだろう。