2018年のトレンドは、DevOpsにセキュリティを融合した「DevSecOps」:夢物語で終わらせない「DevOps」(6)(2/2 ページ)
迅速なサービス展開を維持しつつ、セキュリティをどう担保すればいいのか。DevOpsにおけるこの課題への答えは、DevOpsの新たなトレンド「DevSecOps」にその答えがあるのです。
セキュリティもカバーした開発「DevSecOps」
これはつまり、企業のセキュリティポリシーとして対応すべき要求(要件)を、全てコードレベルで実装することが求められるということです。DevOpsの開発ワークフローの中で開発者と運用者が、前工程で脆弱性を動的に検出し、修正コストを下げる。こうした取り組みは「DevSecOps」と呼ばれ、2018年にエンタープライズが取り組むべきDevOpsの活動として注目されています。
DevSecOpsにおける重要なポイントは、「セキュリティ監査の自動化」と「DevOpsツールチェーンの連携」です。「セキュリティ監査の自動化」という観点では、既に数多くのセキュリティツールが存在しますが、以下の2つに大別できます。
静的セキュリティ診断:SAST(Static Application Security Testing)
コード内部にある脆弱性を検出するための診断します。アプリケーションコードだけではなく、Dockerイメージ内のアプリケーションに対して、脆弱性を検出してくれるツールも出ています。
動的セキュリティ診断:DAST(Dynamic Application Security Testing)
クロスサイトスクリプティング(XSS)や認証の脆弱性など、稼働したアプリケーションにさまざまな入力を与え、その出力結果を元に脆弱性の有無を診断します。
これらをDevOpsの開発ワークフローに動的に組み込む――つまり「DevOpsツールチェーンの連携」を行うことで、初めてDevSecOpsが実装できたことになります。
DevSecOpsでは、1つのセキュリティツールを導入すれば、全てをカバーできるわけではありません。そのため、デプロイの各段階において、DevOpsツールチェーンが生み出す成果物に適したセキュリティツールの連携が欠かせません。
例えば、Gitにソースをコミットした時点でSASTが行われ、CIツールでテスト環境にデプロイされた時点で、DASTがテストを行うといったイメージです。
これらをいかに企業の開発ワークフローに合わせて構築できるのかが、これからの開発における重要なポイントとなります。セキュリティチームとも連携し、開発者と運用者が協力し合って開発ワークフローを整えることが、エンタープライズITのDevOpsにおける2018年の課題といえるでしょう。
次回はDevOpsを支えるためのツール選定について、具体的に考えていきます。お楽しみに!
著者紹介:北山晋吾
楽天株式会社にて国際ECサービスのインフラ部門に入社。主にオープンソースを利用したインフラ基盤やプライベートクラウドの設計、構築、運用を担当。
その後、日本ヒューレット・パッカードにて、金融系システムのプロジェクトリードを経験。仕事に従事しながらグロービス経営大学院でMBAを取得し、現在はテクニカルアーキテクトとしてDevOpsやクラウド、Deep Learning分野をはじめとした、オープンソースソリューションの提案、コンサルティングおよび構築デリバリーを担当している。
また、これまでの業務経験を生かし、教育トレーニングの講師やオープンソース勉強会のリード、アーキテクト育成活動など幅広く活躍している。
関連記事
- 「DevOps」から「SalesEngs」へ――2018年、DevOpsの成功に必要なこと
2018年は、DevOpsがエンタープライズITの世界にも浸透する年になると考えています。しかし、それが成功するためには、DevOpsという考え方そのものを大きく変えなければならないかもしれません。 - DevOpsの実践企業は20%、IT部門とビジネス部門との文化の壁に課題も――IDC調査
国内DevOps市場の動向調査によると、DevOpsを実践している企業は20%で、実践検討に前向きな企業も多かった一方、IT部門とビジネス部門との連携や評価指標に課題があることが判明した。 - 「Slack」を導入できない企業にDevOpsはムリ?
承認プロセスのリードタイム短縮を目指し、最近の開発プロジェクトでは、SlackやChatWorkをはじめとしたチャットツールが採用されることが増えてきました。しかし、チャットツール導入に失敗する企業が多いのも事実。その理由はどこにあるのでしょうか。 - コレ1枚で分かる「DevOps」
開発(Development)と運用(Operation)が連携し、協力し合うソフトウェア開発手法「DevOps(デブオプス)」について、その原義を振り返りつつ、ビジネスにおける効果を解説します。 - DevOps導入で知っておきたい最大の障壁とは?
開発担当者と運用担当者が連携しながら開発する「DevOps」について、アジャイル開発と組み合わせる相乗効果や、DevOps導入の障壁について考えてみます。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.