2018年のトレンドは、DevOpsにセキュリティを融合した「DevSecOps」:夢物語で終わらせない「DevOps」(6)(1/2 ページ)
迅速なサービス展開を維持しつつ、セキュリティをどう担保すればいいのか。DevOpsにおけるこの課題への答えは、DevOpsの新たなトレンド「DevSecOps」にその答えがあるのです。
2018年は、DevOpsがエンタープライズITの世界にも浸透する年になる――。前回の記事ではそんなお話をしました。ユーザー企業がDevOpsに対して持つ課題も、「迅速性の向上」といったふんわりとしたテーマから、迅速さを実現する際、具体的に障害となる事柄へと変わってきています。
今回はその中でも「迅速なサービス展開を維持しつつ、セキュリティをどう担保するのか」という、システム開発プロセスにおけるDevOpsの課題について、考えていきましょう。
セキュリティのテストは、開発段階で行う時代に?
2018年が始まって間もないのですが、早くも「Meltdown」や「Spectre」といったCPU関連の脆弱性や、「コインチェック」の仮想通貨流出など、セキュリティに関する事件が世間を騒がせています。一概にこの全てが開発プロセスに依存した話ではありませんが、規模の大小を問わず、システムを取り扱う組織ではセキュリティを無視することはできません。
ある程度の規模がある企業ならば、一連の開発プロセスが確立されており、各工程でセキュリティやコンプライアンスを徹底するための仕組みが取り入れられていることでしょう。しかし、DevOpsのように迅速な開発ワークフローを回そうとすると、既存の開発プロセスを大きく変える必要が出てきます。
承認プロセスの簡略化や、テストの自動化などを徹底するのはもちろんのこと、特に大きな影響がある要素の1つに「セキュリティ監査」があります。
一般的には、社内のセキュリティチームが、リリース前に数日かけてアプリケーションやプラットフォームの脆弱性を検出するテストを行うのですが、仮に最終段階で修正が発生すると、手戻りによるスケジュール遅延が発生し、最終的にはコストも増えてしまいます。
こうした問題を防ぐため、DevOpsでは、開発プロセスのより早い段階で強制的にセキュリティテストを行うことが求められます。このように、後工程で行っていたプロセスを、開発工程に組み込む考え方を「シフトレフト(Shift Left)」といいます。
シフトレフトを実現するためには、各工程の作業だけではなく、それに関わるメンバーの役割も大きく変える必要があります。
これまではアプリケーションの開発が終わってから、セキュリティチームに引き渡し、彼らがセキュリティに関する監査を全て行うという分担が行われていました。しかし、開発過程でセキュリティを万全にするならば、「開発や運用に関わる全てのエンジニアが、セキュリティに責任を持つ」ということを前提として、開発を進める必要があります。
関連記事
- 「DevOps」から「SalesEngs」へ――2018年、DevOpsの成功に必要なこと
2018年は、DevOpsがエンタープライズITの世界にも浸透する年になると考えています。しかし、それが成功するためには、DevOpsという考え方そのものを大きく変えなければならないかもしれません。 - DevOpsの実践企業は20%、IT部門とビジネス部門との文化の壁に課題も――IDC調査
国内DevOps市場の動向調査によると、DevOpsを実践している企業は20%で、実践検討に前向きな企業も多かった一方、IT部門とビジネス部門との連携や評価指標に課題があることが判明した。 - 「Slack」を導入できない企業にDevOpsはムリ?
承認プロセスのリードタイム短縮を目指し、最近の開発プロジェクトでは、SlackやChatWorkをはじめとしたチャットツールが採用されることが増えてきました。しかし、チャットツール導入に失敗する企業が多いのも事実。その理由はどこにあるのでしょうか。 - コレ1枚で分かる「DevOps」
開発(Development)と運用(Operation)が連携し、協力し合うソフトウェア開発手法「DevOps(デブオプス)」について、その原義を振り返りつつ、ビジネスにおける効果を解説します。 - DevOps導入で知っておきたい最大の障壁とは?
開発担当者と運用担当者が連携しながら開発する「DevOps」について、アジャイル開発と組み合わせる相乗効果や、DevOps導入の障壁について考えてみます。
Copyright © ITmedia, Inc. All Rights Reserved.