昨今のシステム開発において注目されている「DevSecOps」。製品やツール選定が論点になりがちだが、実際には技術面ではなく、それ以外の要因で組織への浸透が阻害されてしまうケースが多い。

アクセンチュア テクノロジーコンサルティング本部 セキュリティグループ マネージャー 田原聖也氏が、7月13日、14日に開催されたオンラインセミナー「TECH+フォーラム クラウドインフラ Days 2023 Jul.ビジネスを支えるクラウドの本質」に登壇。この課題に対する実践的な解決策やアイデアについて解説した。

DevSecOpsとは

ガートナーの定義において、DevSecOpsは、「新興のアジャイルITやDevOpsの開発にセキュリティをできるだけシームレスかつ透過的に統合すること」とされている。

理想的には、開発者のアジリティやスピードを低下させたり、開発ツール環境を変更したりすることなく実現することが望ましい。ただセキュリティテストを行うのではなく、できるだけ開発・運用の効率性を阻害しないことがポイントだ。具体的には、開発者や運用者が使うCI/CDパイプラインやIDEに統合されたかたちで実装する方針を採ることが推奨される。

  • DevSecOps施策の代表例

「例えば、コーディングのフェーズでは、IDE(Integrated Development Environment、統合開発環境)のプラグインを入れてセキュアコーディングができているかチェックする。ビルドのフェーズであれば、静的コード解析などのツールを導入してソースコードが問題ないかチェックする方法が採られることがあります」(田原氏)

DevSecOps導入後の問題点は、技術ではなく人材・プロセスにある

この記事は
Members+会員の方のみ御覧いただけます

ログイン/無料会員登録

会員サービスの詳細はこちら