検索
連載

セキュリティ事故を防ぎたいなら知っておくべき、「DevSecOps」における推奨事項GitHub直伝、「DevSecOps」初めの一歩(後)

ソフトウェアの開発スピードを迅速化させられるかどうかが重要になる一方、セキュリティの取り組みも欠かせません。そこで注目されているのが「DevSecOps」です。DevSecOpsを組織で推進するためには何から取り組めばよいのか紹介します。

Share
Tweet
LINE
Hatena

開発者ファーストのアプローチがセキュリティ強化に役立つ

 安全なアプリケーションやシステムを開発できるかどうかは、開発中のコードレビュープロセスにおいて、開発者がどれだけ多くの脆弱(ぜいじゃく)性を修正できるかどうかに依存しています。これは現在のソフトウェア開発における課題の一つです。

 そこで最近目にするのが「DevSecOps」です。前回記事では、DevSecOpsという言葉が生まれた背景、DevSecOpsの意味を解説しました。

 後編となる今回は、DevSecOpsを進めていくに当たってどのような取り組みが重要なのかを紹介します。2022年7月時点でDevSecOpsの正式なガイドラインはありませんが、企業や組織がDevSecOpsに取り組んでいく際、以下のような取り組みが重要になります。

開発部門とセキュリティ部門がお互いの認識をあらためる

 開発部門とセキュリティ部門が互いのことを「自分たち」と「彼ら」のように分けて考える認識をあらため、両部門が同じチームとして日常的にコラボレーションを促進する体制に変えましょう。そのために実践できる簡単なアクションとして、開発の早い段階でセキュリティ部門にも設計レビューに参加してもらうことが挙げられます。

 セキュリティ部門のメンバーがレビューをする場合、コードの内容ではなく、脆弱性を生み出しそうな設計になっていないか、脆弱性がないかという観点でチェックすることが大切です。

可能な限り自動化する

 ソースコード内における脆弱性や、脆弱な依存関係の検出は、適切なツールを利用して自動化することを推奨します。その際のツールの選定は、開発とセキュリティ双方の観点から検討します。開発の観点からは「十分な精度で脆弱性を検知してくれるのか」「現状の開発ワークフローを必要以上に複雑なものにしないか」「解析にはどのくらいの時間がかかるのか」を重視します。セキュリティの観点からは「必要な脆弱性がきちんと検出できるか」「複数のプロジェクトを横断して、どのような指摘が検出されているか、一望できるか」「指摘は適切に優先順位付けされているか」を重視しましょう。

開発フローにツールを組み込む

 セキュリティ観点でのチェックは、コードレビュー時の観点の一つとして組み込むという限定的な方法もあれば、CI/CD(継続的インテグレーション/継続的デリバリー)のプロセスに統合したワークフローを構築する、より大掛かりな方法もあります。どちらの方法を採るにせよ、選定したツールを実際の開発フローに組み込みましょう。

 これらの取り組みを推進することで、開発部門とセキュリティ部門の信頼関係はさらに強固なものになります。この信頼関係は、いつどこで脆弱性を解決するかに関わるだけではなく、どの結果を優先すべきか、誰が効果的に対処できるかなど、体制作りにも役立ちます。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  3. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  4. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  5. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  6. 従業員は「最新のサイバー脅威との戦い」を強いられている セキュリティ教育に不満を持つ理由の1位は?
  7. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  8. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  9. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  10. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
ページトップに戻る