2018年のトレンドは、DevOpsにセキュリティを融合した「DevSecOps」夢物語で終わらせない「DevOps」(6)(1/2 ページ)

迅速なサービス展開を維持しつつ、セキュリティをどう担保すればいいのか。DevOpsにおけるこの課題への答えは、DevOpsの新たなトレンド「DevSecOps」にその答えがあるのです。

» 2018年02月14日 08時00分 公開

 2018年は、DevOpsがエンタープライズITの世界にも浸透する年になる――。前回の記事ではそんなお話をしました。ユーザー企業がDevOpsに対して持つ課題も、「迅速性の向上」といったふんわりとしたテーマから、迅速さを実現する際、具体的に障害となる事柄へと変わってきています。

 今回はその中でも「迅速なサービス展開を維持しつつ、セキュリティをどう担保するのか」という、システム開発プロセスにおけるDevOpsの課題について、考えていきましょう。

セキュリティのテストは、開発段階で行う時代に?

 2018年が始まって間もないのですが、早くも「Meltdown」や「Spectre」といったCPU関連の脆弱性や、「コインチェック」の仮想通貨流出など、セキュリティに関する事件が世間を騒がせています。一概にこの全てが開発プロセスに依存した話ではありませんが、規模の大小を問わず、システムを取り扱う組織ではセキュリティを無視することはできません。

 ある程度の規模がある企業ならば、一連の開発プロセスが確立されており、各工程でセキュリティやコンプライアンスを徹底するための仕組みが取り入れられていることでしょう。しかし、DevOpsのように迅速な開発ワークフローを回そうとすると、既存の開発プロセスを大きく変える必要が出てきます。

 承認プロセスの簡略化や、テストの自動化などを徹底するのはもちろんのこと、特に大きな影響がある要素の1つに「セキュリティ監査」があります。

 一般的には、社内のセキュリティチームが、リリース前に数日かけてアプリケーションやプラットフォームの脆弱性を検出するテストを行うのですが、仮に最終段階で修正が発生すると、手戻りによるスケジュール遅延が発生し、最終的にはコストも増えてしまいます。

 こうした問題を防ぐため、DevOpsでは、開発プロセスのより早い段階で強制的にセキュリティテストを行うことが求められます。このように、後工程で行っていたプロセスを、開発工程に組み込む考え方を「シフトレフト(Shift Left)」といいます。

photo 後工程で行っていたプロセスを、開発工程に組み込む考え方を「シフトレフト(Shift Left)」といいます

 シフトレフトを実現するためには、各工程の作業だけではなく、それに関わるメンバーの役割も大きく変える必要があります。

 これまではアプリケーションの開発が終わってから、セキュリティチームに引き渡し、彼らがセキュリティに関する監査を全て行うという分担が行われていました。しかし、開発過程でセキュリティを万全にするならば、「開発や運用に関わる全てのエンジニアが、セキュリティに責任を持つ」ということを前提として、開発を進める必要があります。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ