"安心・安全なサービスであること" は、今日のビジネスにおいて最も強く求められる条件の1つだ。どんなに革新性や利便性に優れたサービスでも、安全性に問題があっては、顧客はこれを利用しない。
だが、こうした世の動向と裏腹に、アプリケーションをセキュアに保つことは難易度を増している。開発の在り方がアジャイルへとシフトし、設計・開発・テスト・改善という一連のサイクルが短期化したことで、サイクルの中にセキュリティを組み込むのが困難になってきたのだ。結果として、DevOpsとセキュリティ対策の各プロセスが切り離されてしまっているケースが多くの開発チームで起きている。双方を複合したDevSecOpsは、どうすれば実現することができるか。
このほどFastlyが公開したホワイトペーパーは、DevSecOpsを実現するうえで大いに参考になるものだ。同資料では、Fastlyが世界中の専門家へ行ったヒアリングに基づきながら、DevSecOps の実現を阻害するボトルネックとその解決策をまとめている。一部を抜粋して紹介したい。
Fastly提供資料
セキュアなDevOpsとデジタルトランスフォーメーションを実現する5つの方法
> > 資料ダウンロードはこちら
DevSecOpsへのシフトを阻害する、5つの課題
セキュアなソフトウェア開発のライフサイクルを実現しようとしたとき、DevOpsチームにはどんな困難が待ち受けているのか。Fastlyは資料のなかで、多くのDevOpsチームが直面する課題として下表にある5つを説明している。
| [1] 可視性の欠如による、脅威の見過ごし |
|---|
| [2] 統合性がなく使いにくいセキュリティスタック |
| [3] 手作業が多いために起こる、遅く一貫性のないセキュリティテスト |
| [4] ツールの分散が引き起こす、セキュリティの複雑化 |
| [5] セキュリティチームと開発チーム、双方のカルチャーの衝突 |
詳細については資料を参照されたいが、たとえば[1]でいうと、このケースは特に、DXやDevOpsの導入に着手したばかりの企業で顕著に起こる課題だという。これらに共通するのは、過去のウォーターフォール文化で資産化された「ブラックボックス化したアプリケーション」を保有するということ。イテレーションを進めるための体制は構築したが、既存アプリケーションにあるソースのライブラリ、コンポーネントに対しては、可視性が確保できていない、……こうしたケースでは、企業は知らないうちに脆弱性をアプリケーションに組み込んでしまい、潜在的な脅威に "気付けない" 状況に陥る可能性がある。
当然、攻撃者は、こうした「可視性の欠如した企業」が設定ミスや脆弱性の修正に時間がかかるということをよく知っている。攻撃者の標的にならないためにも、欠如した可視性を健全化しなくてはならない。資料ではそのための解決策として、「セキュリティデータによる脆弱性の可視化」を提唱し、詳細に説明している。[2]から[5]も同様にそれぞれの示す概要と、それに対する解決策を解説している。ぜひご覧をいただきたい。
* * *
以上、資料から一部を抜粋して紹介した。同資料を公開するFastlyは、「ガートナー・ピア・インサイト」のWAF部門で3年連続「カスタマーズチョイス賞」に選出された実績を持つ企業だ(参考リンクを参照)。セキュリティ業界で高いプレゼンスを築く同社のまとめた資料は、DevSecOpsの実現を目指す方にとって、多くの気付きを与えてくれるだろう。
ダウンロード資料のご案内
Fastly提供資料
セキュアなDevOpsとデジタルトランスフォーメーションを実現する5つの方法
> > 資料ダウンロードはこちら
参考記事
[PR]提供:Fastly