DevSecOpsを確立する方法企業が直面する間違いとは?

シンガポールのSP DigitalはDevOpsで大きな成果を挙げている。同社は一歩進んでDevSecOpsの確立に着手した。だが、DevSecOpsには不可欠な要素がある。

2020年09月16日 08時00分 公開
[Aaron TanComputer Weekly]

 SP Digitalは、シンガポール最大の公共事業サプライヤーSP(Singapore Power) Groupのデジタル部門だ。同社はDevOpsを採用し、ソフトウェアリリースを以前よりもはるかに迅速化している。その一例がモバイルアプリの「SP Utilities」だ。このアプリは公共料金の使用量を家庭で管理できるようにする。同社はこのアプリを2週間に1回更新している。約4年前、DevOpsを採用する前の更新頻度は数カ月に1回だった。

 SP Digitalのエンジニアリング部門でバイスプレジデントを務めるコリン・レオン氏は、同氏が率いるチームがITサプライヤーからこのアプリを引き継いだ当時、ソフトウェアのリリースは散発的で、事前に行う必要のあることを定義することから始めなければならなかったと語る。

 「今では新機能を迅速にリリースできるようになった。同時に、突然生じる恐れのあるあらゆる種類のバグや欠陥にも対処できるようになった。当社のパイプラインははるかに強力になり、新機能を送り出す能力は以前に比べて格段向上したと考えている」(レオン氏)

 SP DigitalはDevOpsを通じてコードの品質を向上させたのと同じように、DevSecOpsを通じてセキュリティを強化することに目を向けるようになった。DevSecOpsとは、ソフトウェア開発の初期段階でセキュリティを考慮する取り組みだ。

 調査会社IDCによると、アジア太平洋地域では2024年までに新規アプリケーションの少なくとも50%がDevSecOpsを取り入れ、ソフトウェア開発のライフサイクルを短縮するようになるという。

 「ソフトウェア開発プロセスの中盤や最後にセキュリティに対応する以前のやり方は、コストがかかり過ぎ、非効率になっている」と語るのはIDC Asiaでリサーチマネジャーを務めるジーナ・スミス氏だ。

 「セキュリティへの取り組みをプロセスの前半、つまり計画段階に移すことで、効率が大幅に向上してコストが削減される。要は、最初から品質の高いコードを作成することだ」と同氏は補足する。

 オープンソース、クラウド、アプリケーションのコンテナ化を利用する企業が増えるにつれ、「複雑な一連の課題」に直面する企業も増える。こうした課題への対処に役立つのが成熟したDevSecOpsポリシーだとスミス氏は話す。

 「DevOpsパイプラインの各段階にセキュリティの計画、検証、監視を組み込むことは、開発者、IT部門、セキュリティ部門の間にある昔ながらの分断(敵意)の橋渡しになる」(スミス氏)

 SP Digitalのレオン氏が率いるチームは現在、DevSecOpsを可能にするツールを探しているという。大きな課題は、同社のセキュリティ機能が企業セキュリティを中心にしていることだ。

 同社はアプリケーションセキュリティの専門家を最近雇用した。この専門家の役割は、SP DigitalのDevOpsプラクティスを形作り、開発プロセスにセキュリティを組み込むのに適したツールを導入することだとレオン氏は話す。

 かつて著名なGoogleサイト信頼性エンジニアリング(SRE)グループの一員で、PuppetのフィールドCTO(最高技術責任者)を務めるナイジェル・ケルステン氏は、DevSecOpsプラクティスで自動化を大規模に導入する重要性を強調した。

 「企業が直面する一般的な間違いは幾つかある。最大の間違いは、関係者全員が十分理解して信頼する大規模な自動化を行わずにDevSecOpsを導入しようとしていることだ」とケルステン氏は話す。

 「大規模な自動化を行わなければ以前と変わらない手作業のプロセスになり、相変わらずやる気が空回りすることになるだろう。その結果DevSecOpsにはならず、Dev、Sec、Opsがそれぞれ独立した状態になる」(ケルステン氏)

 企業は開発者が使いたくなるツールを選定しなければならない。「企業はセキュリティやインフラのツールを開発者に強制するだけでは駄目だ。APIによるプログラミングに適していて、役に立ち、容易にするインタフェースを用意する必要がある」とケルステン氏は補足する。

 変更管理の検討も必要だ。ケルステン氏によると、意欲が違う複数のチームを連携させて変更管理を可能にするという難しい仕事を成し遂げなければならないという。こうした変更は難しく、簡単な答えはない。

 「これまで繰り返し目にしてきたのは、スケーラブルな自動ソリューションを使って開発部門と運用部門のコラボレーションに成功した企業は、セキュリティでも同じように行い同じように成功していることだ」(ケルステン氏)

 DevSecOpsのもう一つの課題は誤検知を抑えることだと話すのは、GitHubでアジア太平洋地域のバイスプレジデントを務めるサム・ハント氏だ。

 「DevSecOpsのプロセスを導入すれば、必然的に脆弱(ぜいじゃく)性の検出率も高まる。そうなれば、当然誤検知も増える。その結果、セキュリティチェックの価値に対する開発者の信頼も損ねる。この事態への取り組み方によって、DevSecOpsの文化が生まれるかどうかが決まる」(ハント氏)

 「重要度と影響度の点からバグに優先順位を付け、そのバグを解決する方法を決める必要がある。セキュリティを最優先するワークフローを運用することで、チームは最も重大な影響を及ぼすバグを特定し、時間をかけて管理するステップを取ることができる」とハント氏は話す。

 DevSecOpsとは、根本的にセキュリティがサイロ化した機能ではないと認識することだ。そのため、DevSecOpsはサイバーセキュリティ戦略の基盤構造になる可能性がある。Puppetのケルステン氏はそう注意を促す。

 「理想的には、セルフサービスインタフェースを使って高度な自動化を導入する運用チームと、アジャイルな手法を利用する開発者が企業で共存することだ。これを実現する最も効果的なアプローチは、設計から導入までとそれ以降のソフトウェアデリバリーサイクル全体でのコラボレーションを可能にし、それを強化することだ」(ケルステン氏)

 そのためには、ソフトウェアデリバリーサイクルに関わる全ての担当者がセキュリティを念頭に置いてコーディングする必要がある。そう語るのは、Red Hatのアジア太平洋部門でアプリケーションプラットフォームの製品管理ディレクターを務めるビシャール・ガリワラ氏で、次のように補足した。従来のアプリケーション開発では必ずしもセキュリティが重視されていたわけではないので、トレーニングを必要とする開発者がいるかもしれない。

 ガリワラ氏は、自社のセキュリティ要件とリスク許容度を判断し、リスク分析を実施するためのフレームワークを用意することを企業に提案する。「例えば、アプリケーションに必要なセキュリティ制御の量や、さまざまなアプリケーションを市場に投入するまでの時間の重要度などを判断する」

 GitHubのハント氏によると、インフラセキュリティやID管理など、セキュリティの従来の職務はDevSecOpsの影響を受けないとしても、企業が「Infrastructure as a Code」「Policy as a Code」のような「as a Code」型のモデルに移行するときに、セキュリティの他の分野でのレビューを自動化するのにDevSecOpsのプロセスが役に立つという。

 SP DigitalはまだDevOpsに取り組んでいる最中だ。レオン氏が率いるチームは、インフラ、運用、アプリケーション開発、セキュリティなど、各ITチーム間で学習交流を編成し、ベストプラクティスを共有しているところだ。

 「幾つか成功を収め、ITプロジェクトの効果を高めるレベルの自動化を行って各チームを支援している。セルフサービスをもっと増やし、各チームの懸念事項にもっと自動化した方法で対処できるレベルに達することを目指している」(レオン氏)

Copyright © ITmedia, Inc. All Rights Reserved.

髫エ�ス�ス�ー鬨セ�ケ�つ€驛「譎擾スク蜴・�。驛「�ァ�ス�、驛「譎冗樟�ス�ス驛「譎「�ス�シ驛「譏懶スサ�」�ス�ス

製品レビュー 発注ナビ株式会社

システム開発の4つの手法とは? システム開発の流れや専門用語を基礎から解説

システム開発を任されても、「何から始めたらよいのか分からない」という担当者は多いだろう。そこで本資料では、システム開発の流れや専門用語といった基礎知識を分かりやすく解説するとともに、システム開発の4つの手法を紹介する。

製品資料 株式会社AGEST

短納期化が進むシステム開発、なぜテストのアウトソーシングが増えているのか

システムの不具合によるさまざまなリスクを回避するには網羅的なテストを行う必要があるが、自社で行うのは難しい。そこで活用したいのが外部のテスト専門会社だ。本資料ではテスト専門会社を活用するメリットや具体的な流れを解説する。

製品資料 サイボウズ株式会社

レガシーシステムからどう脱却する? 今の時代の基幹システムの在り方

レガシーシステムからの脱却が叫ばれる中、「ERP×ノーコードツール」のアプローチで基幹システムの刷新に取り組む企業が増加している。その推進に当たっては、「Fit to Company Standard」の概念を頭に入れておくことが必要になる。

製品資料 株式会社ビルドシステム

「ローコード開発×内製化」失敗の理由とは? 3つの事例から得た2つの教訓

迅速なサービスの提供を実現する手段として、「ローコード開発×内製化」が注目されている。エンジニア不足の中でも、非IT部門が開発を担える点がその理由の1つだが、全てが順調に進むわけではない。失敗事例から得た2つの教訓を紹介する。

事例 ポールトゥウィン株式会社

信頼性と再現性のある「ソフトウェアテスト・QAサービス」導入事例

Webシステムやアプリ、IoT機器などの開発では、“テストのためのテスト”になりがちだ。QA改善に取り組んだ企業事例をもとに、属人化の解消、品質のばらつき防止、効率的なリソース運用といった具体的な課題解決の道筋を紹介する。

アイティメディアからのお知らせ

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

郢ァ�「郢ァ�ッ郢ァ�サ郢ァ�ケ郢晢スゥ郢晢スウ郢ァ�ュ郢晢スウ郢ァ�ー

2025/07/07 UPDATE

  1. AI陷�スヲ騾�ソス�ス郢晄㈱繝ィ郢晢スォ郢晞亂繝」郢ァ�ッ郢ァ螳夲スァ�」雎ク蛹サ笘�ケァ荵敖€譴ァ�ャ�。闕ウ邏具スサ�」郢ァ�ケ郢晏現ホ樒ケ晢スシ郢ァ�ク邵イ髦ェ�ス隴夲ス。闔会スカ邵コ�ィ邵コ�ッ�ス�ス
  2. 邵イ驛。DK邵イ髦ェ竊堤クイ遯蘖I邵イ髦ェ�ス鬩戊シ費シ樒クコ�ィ邵コ�ッ�ス貅伉€ツ€邵コ�ゥ邵コ�ス�ス�ソ邵コ�ス�ス邵コ莉」�具ソス�ス
  3. AI邵コ�ォ鬯�スシ郢ァツ€邵コ�ス邵コ莉」縲堤ケ晏干ホ溽ケァ�ー郢晢スゥ郢晢ソス邵コ蠕後€堤クコ髦ェ�狗クイ蠕。�サ鄙ォ竊千クコ髦ェ�ス郢ァ�ウ郢晢スシ郢晢ソス縺�ケ晢スウ郢ァ�ー邵イ髦ェ�ス陞ウ貅キ魘ィ
  4. 邵コ�ェ邵コ蟒」I隴弱f�サ�」邵コ�ョ郢ァ�ケ郢晏現ホ樒ケ晢スシ郢ァ�ク邵コ�ッ遯カ諛翫¢郢晢スゥ郢ァ�ヲ郢晉甥笏∬恪�「遯カ譏エ竊醍クコ�ョ邵コ蜈キ�シ�ス
  5. 邵イ闌志do邵イ髦ェ�ス遯カ諞コ�ス驛�匣遯カ譏エ竊帝坡�ュ邵コ�セ邵コ�ェ邵コ�ス��邵イ諷ァaemon邵イ髦ェ�ス遯カ諛医′鬯イ謚ォツ€譏エツァ郢ァ�ス竊醍クコ�スツ€ツ€雎�ス」髫暦ス」邵コ�ッ�ス�ス
  6. 遯カ諞コ�ォ蛟ャ邃�クコ蠑ア窶サ陞「�イ郢ァ蠕娯�邵コ�スツ€譏エツ€遯殫ple Vision Pro邵イ髦ェツ€ツ€陝呈��セ�。霑壼現窶イ陷�スコ邵コ�ヲ郢ァ繧雁鵠隰鯉スヲ邵コ蜉ア笳守クコ�ス竊鷹€�ソス鄂ー
  7. 鬮ア讒ュ縺顔ケ晢スウ郢ァ�ク郢昜ケ昴>邵コ�ァ郢ァ繧�ソス郢晢スュ郢ァ�ー郢晢スゥ郢晢ソス郢ァ蟶晏ケ暮€具スコ邵コ�ァ邵コ髦ェ�狗クイ謔滂ス、�「邵コ�ョ郢ァ�ウ郢晢スシ郢晢ソス縺�ケ晢スウ郢ァ�ー邵イ髦ェ�ス髣懶スス邵コ�ィ邵コ遉シ�ゥ�エ
  8. 髢ィ�キ陜」�エ邵コ�ォ邵コ鄙ォ��郢ァ荵昴&郢晄コ佩礼ケ昜ケ昴%郢晢スシ郢ァ�キ郢晢スァ郢晢スウ陜�蝓趣ス。�ス
  9. 闕ウ闃ス蟒�鬮ョ�サ隶匁コ倪€イ鬮「迢怜験邵コ�ォ邵イ霆喉G邵イ髦ェ�定抄�ソ邵コ�ス轤企€包スア邵コ�ィ邵コ�ッ�ス貅伉€ツ€騾墓サ難ソスAI郢晏干ホ溽ケァ�ク郢ァ�ァ郢ァ�ッ郢晏現�ス髣頑ァォ蠎企勳�ス
  10. 闔臥ソォ竊定ュ乗鱒�ス邵イ蠕鯉ソス郢晢スュ郢ァ�ー郢晢スゥ郢晄コ佩ヲ郢ァ�ー邵イ髦ェ�ス闖エ霈披€イ陷茨スィ霎滂スカ鬩戊シ披鴬邵コ�ョ邵コ蜈キ�シ貅伉€ツ€隴�スー隴弱f�サ�」郢ァ蛛オ�らクコ貅假ス臥クコ蜷晄峡騾ァ�ス�、迚吝密

DevSecOpsを確立する方法:企業が直面する間違いとは? - TechTargetジャパン システム開発 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...