DXの進展で企業のサイバーセキュリティはどう変わるか：Weekly Memo（2/2 ページ）

[松岡功，ITmedia]

DX時代にそぐわないウオーターフォール型開発

　図1で示したように、DXの進展で企業におけるサイバーセキュリティ対策はIT部門から全部門の課題へと大きく変わっていくことを述べた。さらにそれぞれの部門の取り組み方も大きく変わってくるだろう。佐々木氏はその具体例として、ソフトウェア開発のケースを次のように説明した。

　図2は、ウオーターフォール型のソフトウェア開発ライフサイクル（SLDC）を示したものである。従来のソフトウェア開発はこのSLDCを適用してきた。しかしDX時代の到来によってビジネスのスピーディーな変化に対応して新たなサービスを生み出していくには、SLDCでは対処が難しい状況が明らかになってきた。

図2　ウオーターフォール型のソフトウェア開発ライフサイクル（出典：マカフィーの資料）

　また、図3はSLDCの作業をもう少しブレークダウンして段階ごとの欠陥修正コストを比較したものだ。当然ながら欠陥修正が後工程になるほどコストが跳ね上がっていく。つまり、DX時代の開発手法として、テストによるチェックが後工程のSLDCはスピードもコストもそぐわないということだ。

図3　従来のSLDCにおける欠陥修正コスト（出典：マカフィーの資料）

　では、DX時代の開発手法にはどのようなものがあるのか。それを示したのが、図4である。左側の「DevOps」は開発と運用の連携を表した言葉で、この図では「組織の文化の変革」と記している。下部にある「DEV」と「OPS」による無限ループを回し続けて、ビジネスを持続的に推進するのがDevOpsの目的である。

図4　DXを実現するための取り組み（出典：マカフィーの資料）

　中央の「CI/CD」（Continuous Delivery/Continuous Integration）はDevOpsを実現するための仕組みで、「ソフトウェアエンジニアリングのプラクティス」を図ってその自動化を目指す取り組みだ。

　そして右側の「ShiftLeft」は、「テストの前倒しによるバグ・脆弱性の修正」と記しているが、要は図3におけるグラフのテストによるチェックのピークポイントを「左へ移行」させて、コスト削減や品質向上を図ろうという取り組みだ。これら3つの取り組みは「アジャイル開発」の要素でもある。

　さらに、佐々木氏いわくDevOpsのサイバーセキュリティ対策における最近の話題として、ShiftLeftの考え方に基づいて、開発フェーズにおけるセキュリティチェック（脆弱性チェックや設定鑑査）、運用フェーズにおけるセキュリティチェック（設定鑑査や脅威の検知・防御）を実施する「DevSecOps」という考え方が注目されているという。いわばDevOpsの動きにセキュリティを埋め込んだ形だ。このDevSecOpsもDX時代のキーワードの1つになりそうだ。

　今回の会見で、DX時代のサイバーセキュリティについて認識を新たにできた。引き続き、特にサービス開発におけるDevSecOpsやPSIRTの取り組みに注目していきたい。