DevSecOps とは こちらの DevSecOps ガイドをダウンロード
2019年11月3日 // 1 min read
DevSecOps とは、開発チームと運用チームに IT セキュリティを統合し、ソフトウェア開発ライフ サイクルのあらゆるステップでセキュリティを優先事項とすることです。詳しくはこちらのガイドをダウンロードしてください。
現在、運用チームはコラボレーション、自動化、コンテナを利用して、ソフトウェアの提供にかかる時間を短縮しています。こうした DevOps のベスト プラクティスは構築を迅速化する新たな方法を見つけるうえで役立ちましたが、依然として古いセキュリティ プラクティスが多くの企業のペースを低下させています。
DevSecOps を導入しましょう。DevSecOps とは、開発チームと運用チームに IT セキュリティを統合し、ソフトウェア開発ライフ サイクルのあらゆるステップでセキュリティを優先事項とすることです。いくつかの変更を加えるだけで、組織は遅延やコスト増加なしに、より優れた安全なソフトウェアを出荷できます。
Enter DevSecOps のメリット
セキュリティ費用の削減
DevSecOps には、パフォーマンスの高いチームが実践している全ての DevOps のベスト プラクティスと、大規模な組織に求められるセキュリティが含まれます。DevOps パイプラインにセキュリティを組み込むと、リリース前に脆弱性を発見でき、その修復もより簡単に、少ないコストで対応できるようになります。
より効果的なチームワーク
DevOps では開発者と運用担当者の双方が信頼性と品質に責任を負うのと同様に、DevSecOps ではセキュリティを最終ステップではなくチームの取り組みにします。開発、運用、セキュリティの各チームが連携し、一行目のコードを書く時から最終的な本番運用までアプリケーションの安全を確保します。
ポリシー駆動型の自動化
優れた DevSecOps プログラムは、組織のソフトウェア デリバリー プロセス全体における信頼性も高めます。自動チェックは、全員の開発ペースを遅らせてしまう複雑な手動ツールの一式としてではなく、ポリシー主導型の方法でセキュリティを実装します。
従来: サイロ化したセキュリティ |
現在: DevSecOps |
|---|---|
デプロイ直前にテストを実施静的テストと動的テストはデリバリー サイクルの最後であるリリース直前に実施していました。 |
アイディアから本番運用までテストを実施静的テストと動的テストは、セキュア コーディング プラクティス、品質ゲート チェック、セキュリティの脆弱性の修正と同時に行います。 |
セキュリティの専門知識が分散開発チーム、IT 運用チーム、セキュリティ チームが個別に作業していました。 |
セキュリティの専門知識を共有開発チーム、IT 運用チーム、セキュリティ チームは全て共通のセキュリティ ガイドラインに従って作業します。 |
手動のセキュリティ テストデプロイの頻度は低く、セキュリティ チェックは必要に応じて個別に行われていました。 |
自動セキュリティ テストデプロイの頻度は高くなり、CI/CD パイプラインに自動セキュリティ チェックが追加されます。 |
DevSecOps を導入するための 3 つのヒント
1. コラボレーションのために安全な共有プラットフォームを利用
DevOps と同様に、DevSecOps もコラボレーションに依存し、コラボレーションで終わります。共有プラットフォームは、開発、IT 運用、セキュリティの各チームが連携し、その働き方を標準化するのに役立ちます。セキュリティが組み込まれたプラットフォームを優先的に利用すると、組織全体でベスト プラクティスを共有したり、コードを見つけて再利用したり、開始時からコラボレーションしたりできるようになります。
GitHub からのヒント: 優れたセキュリティはサインインから始まります。最適なコラボレーション プラットフォームを見つける場合は、2 要素認証、シングル サインオン、自動 Organization 同期などの ID 管理機能をサポートしているプラットフォームである必要があります。
2. エンドツーエンドで SDLC を保護
最近リリースされたアプリケーションの最大 99% にオープン ソース コードが含まれています。つまり、オープン ソースの依存関係は既にコード ベースの一部になっています。*オープン ソース コードと内部ソース コードの両方に含まれるセキュリティの脆弱性をプロアクティブに特定できるコード セキュリティ ツールを CI/CD パイプラインに統合しましょう。
GitHub からのヒント: オープン ソース ソフトウェアは至るところにあります。LGTM バリアント分析、WhiteSource、Snyk などの自動セキュリティ ツールを使用すると、チームが手作業で追跡できないバグや脆弱性を簡単に見つけて排除できます。
*2019 年オープンソース セキュリティおよびリスク分析レポート
3. 本番運用後にセキュリティを追跡
コードのコミット後もセキュリティは継続します。DevSecOps パイプラインも終了しません。導入後も脆弱性を継続的に監視して、コードとお客様の安全性を維持します。ハッカーが悪用できるようになる前に、リリース後の脆弱な依存関係を追跡して更新できるツールを探してください。
GitHub からのヒント: セキュリティの脆弱性アラートはプロジェクトの安全性を高める一方、業界のデータでは脆弱性の 70% 以上が 30 日後も、その多くは最長で 1 年後も、パッチが適用されないままとなっていることがわかっています。脆弱な依存関係を特定するだけでなく、それを自動で修正するインテグレーションを利用しましょう。
Tags