DevSecOpsは具体的にどうする? 開発チームとセキュリティ部署の関係は?――Snyk創業者の提言:「セキュリティ部署は変わる必要がある」(1/2 ページ)
DevSepOpsを具体的にどうやるか。開発者がセキュリティに関与することで開発スピードが低下するなら本末転倒だ。また、セキュリティ担当部署の役割はどうなるのか。Snykの創業者、ガイ・ポジャーニー氏にインタビューした。
DevSecOpsで、具体的に誰が何をどうやるべきなのかについてはイメージがしにくい。
開発チームはセキュリティについて、どういった責任を持つのか。作業の負荷をどう軽減できるのか。開発チームとセキュリティ部署はどのように役割分担をすべきなのか。セキュリティガバナンスについてはどうすべきなのかなど、考えるべきことは多い。
本記事では、Snyk(スニーク)創業者のガイ・ポジャーニー(Guy Podjarny)氏へのDevSecOpsに関するインタビューをお届けする。ポジャーニー氏はイスラエル軍のサイバーセキュリティ部隊を経て、複数のセキュリティスタートアップを創業した。その後Akamai TechnologiesでWebパフォーマンス部門のCTO(最高技術責任者)を務め、次にSnykを立ち上げた。開発セキュリティに関する複数の書籍の筆者でもある。
Snykは開発者向けのセキュリティプラットフォームで知られる。同社はこれを、「デベロッパーファースト(開発者第一主義)」のツールだと形容する。コードセキュリティが中心だが、クラウドセキュリティなどにカバー範囲を広げてきている。本インタビューでは同社の製品に偏ることなく、ポジャーニー氏が考えるDevSecOpsのあり方を語ってもらった。
参照記事:
「デベロッパーファーストセキュリティ」のSnyk(スニーク)、 日本で本格事業展開
「デベロッパーファースト」のコードセキュリティツールはどう使える? ユーザーの感想は
シフトレフトは「望ましいこと」ではなく「必須条件」に
――あなたは、なぜ「デベロッパーファースト」のセキュリティ企業を創業することにしたのか。
Akamai TechnologiesのCTOだったとき、Webパフォーマンスの業界にいち早くDevOpsの波が訪れ、アプリケーションの作り方が根本的に変わったことを実感した。 また、そのころクラウドが広がり、開発チームは他の部署に依存しなくて済むようになった。
以前は開発者がマシンを使いたい場合、チケットを発行し、誰かがサーバをプロビジョンしてくれるのを待たなければならなかった。 だがクラウドでは、APIをたたくだけでマシンが手に入る。こうした動きに伴って、QA(品質保証)も一般的には開発者側に移行した。
しかし、セキュリティはこの動きについていかず、中央集権的なものにとどまった。これが開発者にとっての大きなボトルネックになった。結果として開発のスピードが落ちた。場合によっては開発者がセキュリティに関する手続きを回避するようになった。どちらも良い解決策とは言えない。
Copyright © ITmedia, Inc. All Rights Reserved.