2018年のトレンドは、DevOpsにセキュリティを融合した「DevSecOps」：夢物語で終わらせない「DevOps」（6）（2/2 ページ）

[北山晋吾（日本ヒューレット・パッカード），ITmedia]

セキュリティもカバーした開発「DevSecOps」

　これはつまり、企業のセキュリティポリシーとして対応すべき要求（要件）を、全てコードレベルで実装することが求められるということです。DevOpsの開発ワークフローの中で開発者と運用者が、前工程で脆弱性を動的に検出し、修正コストを下げる。こうした取り組みは「DevSecOps」と呼ばれ、2018年にエンタープライズが取り組むべきDevOpsの活動として注目されています。

　DevSecOpsにおける重要なポイントは、「セキュリティ監査の自動化」と「DevOpsツールチェーンの連携」です。「セキュリティ監査の自動化」という観点では、既に数多くのセキュリティツールが存在しますが、以下の2つに大別できます。

静的セキュリティ診断：SAST（Static Application Security Testing）

　コード内部にある脆弱性を検出するための診断します。アプリケーションコードだけではなく、Dockerイメージ内のアプリケーションに対して、脆弱性を検出してくれるツールも出ています。

動的セキュリティ診断：DAST（Dynamic Application Security Testing）

　クロスサイトスクリプティング（XSS）や認証の脆弱性など、稼働したアプリケーションにさまざまな入力を与え、その出力結果を元に脆弱性の有無を診断します。

　これらをDevOpsの開発ワークフローに動的に組み込む――つまり「DevOpsツールチェーンの連携」を行うことで、初めてDevSecOpsが実装できたことになります。

　DevSecOpsでは、1つのセキュリティツールを導入すれば、全てをカバーできるわけではありません。そのため、デプロイの各段階において、DevOpsツールチェーンが生み出す成果物に適したセキュリティツールの連携が欠かせません。

DevSecOpsの全体像。デプロイの各段階において適したセキュリティツールを使う必要がある

　例えば、Gitにソースをコミットした時点でSASTが行われ、CIツールでテスト環境にデプロイされた時点で、DASTがテストを行うといったイメージです。

　これらをいかに企業の開発ワークフローに合わせて構築できるのかが、これからの開発における重要なポイントとなります。セキュリティチームとも連携し、開発者と運用者が協力し合って開発ワークフローを整えることが、エンタープライズITのDevOpsにおける2018年の課題といえるでしょう。

　次回はDevOpsを支えるためのツール選定について、具体的に考えていきます。お楽しみに！

著者紹介：北山晋吾

　楽天株式会社にて国際ECサービスのインフラ部門に入社。主にオープンソースを利用したインフラ基盤やプライベートクラウドの設計、構築、運用を担当。

　その後、日本ヒューレット・パッカードにて、金融系システムのプロジェクトリードを経験。仕事に従事しながらグロービス経営大学院でMBAを取得し、現在はテクニカルアーキテクトとしてDevOpsやクラウド、Deep Learning分野をはじめとした、オープンソースソリューションの提案、コンサルティングおよび構築デリバリーを担当している。

　また、これまでの業務経験を生かし、教育トレーニングの講師やオープンソース勉強会のリード、アーキテクト育成活動など幅広く活躍している。