迅速なソフトウェア開発によるビジネス機会の拡大は重要だ。アイデアや顧客の要求をいち早くアプリケーションに取り入れてより良い製品を提供するために、近年は「DevOps」と呼ばれる開発手法が注目されている。DevOpsとはDevelopment(開発)とOperations(運用)を組み合わせた言葉であり、計画から開発、運用までの一連のプロセスを迅速に回すための概念だ。
さらに最近では、巧妙化するサイバー攻撃や内部不正へ対応するために、DevOpsにSec(セキュリティ)の要素も取り入れた「DevSecOps」の重要性が増している。本稿では、DevSecOpsを支援するプラットフォーム「GitLab」を提供するGitLabの日本カントリーマネージャを務める小澤正治氏に、同プラットフォームの特長と今後の日本での展開について取材した。
-
DevSecOpsのライフサイクル
高まり続けるセキュリティ要件
2023年に情報処理推進機構(IPA)が発表した情報セキュリティ10大脅威の中には、ランサムウェアやフィッシングなどの詐欺に加えて、内部不正などソフトウェア開発環境に起因する事象が含まれている。
-
情報セキュリティ10大脅威 2023(資料:IPA)
2021年に話題となった、大手金融機関ほかのシステムに関連するソースコードが流出した出来事も記憶に新しい。この件は故意ではないとされるが、結果的に外部の人間が誰でもソースコードを閲覧できる状況となってしまった。ソースコードからおおよその年収を推定できる外部の転職サービスを利用したことが原因とみられる。
海外と比べ、日本のITシステム開発の産業構造は、外部委託などによる多重下請け構造が特徴的だ。上記の一件も下請けの外部人材によるものだ。このように、ソフトウェア開発を進める際にはサプライチェーン全体のリスクマネジメントが非常に重要になる。
その一方で開発者の人材不足は顕著で、今後はオフショアをはじめ海外の人材を頼る場面も増加すると考えられる。そうした場合に、これまでなんとなく日本人同士の価値観で成り立っていた取り決めやワークフローが成り立たない場面も出てくるだろう。
欧米ではソフトウェア開発のガードレールを事前に設定し、そのガードレールの中でツール選定やルール設計が行われる。日本も今後はそうしたガードレール式の開発プロセスが求められるようになるはずだ。
ハード(製造業)からソフト(サービス業)へと変換を図る日本企業が増える中で、ソフトウェア開発プロセス全体のセキュリティ担保は重要な命題となりつつある。
