TOPSoftware > DevSecOpsの重要性と課題(中)

Software

DevSecOpsの重要性と課題(中)

2018/01/31

David Taber CIO

 DevSecOpsのシンプルな前提は、ソフトウエア開発ライフサイクルに携わる全員がセキュリティに責任を負うということだ。本質的に、開発(Dev:development)および運用(Ops:operations)の職務と、セキュリティ(Sec:security)の職務とを統合する。DevSecOpsは、開発プロセスのすべての部分にセキュリティを取り入れることを目指す。

前回から続く)

DevOpsとDevSecOps、統合の課題

 DevOpsにセキュリティを統合してDevSecOpsを実現するためには、新しいマインドセット、プロセス、ツールが必要だ。セキュリティやリスクマネジメントのリーダーは、協力性や俊敏性というDevOpsの本質を忠実に守り、シームレスかつ透過的に開発プロセスに関与して、セキュリティをできる限り暗黙的かつ円滑的なものにする必要がある。しかし、2つの異なる分野にとっては、簡単なことではない。

 Cuthbert氏は次のように見ている。「ここで問題になるのは、DevOpsではサービスとアジャイルの手法への適合が重要だという点だ。例えば、Infrastructure as Codeを扱う時に、セキュリティの要素について議論されることは滅多にない。現時点では、依然として2つの立場があるように思う。DevOpsのプロセスを支持する立場と、DevSecOpsを採る立場だ。この2つの足並みをそろえ、プロセスのすべての面の決定とライフサイクルにセキュリティが取り入れられるようにする必要がある」

 その足並みをそろえるのは一筋縄では行かないとCuthbert氏は言う。「現在のプロセスとライフサイクルを完全に理解する必要がある。セキュリティの追加に関して不十分な点はどこにあるだろうか。これを理解しているチャンピオンはいるだろうか。その人たちは、行動して変化をもたらすことが可能だろうか。こうした基本的なことが解決したら、あとはそれに基づいて行動することだ」

↑ページ先頭へ