DevSecOpsを確立する方法：企業が直面する間違いとは？

シンガポールのSP DigitalはDevOpsで大きな成果を挙げている。同社は一歩進んでDevSecOpsの確立に着手した。だが、DevSecOpsには不可欠な要素がある。

[Aaron Tan，Computer Weekly]

iStock.com/SARINYAPINNGAM

　SP Digitalは、シンガポール最大の公共事業サプライヤーSP（Singapore Power） Groupのデジタル部門だ。同社はDevOpsを採用し、ソフトウェアリリースを以前よりもはるかに迅速化している。その一例がモバイルアプリの「SP Utilities」だ。このアプリは公共料金の使用量を家庭で管理できるようにする。同社はこのアプリを2週間に1回更新している。約4年前、DevOpsを採用する前の更新頻度は数カ月に1回だった。

　SP Digitalのエンジニアリング部門でバイスプレジデントを務めるコリン・レオン氏は、同氏が率いるチームがITサプライヤーからこのアプリを引き継いだ当時、ソフトウェアのリリースは散発的で、事前に行う必要のあることを定義することから始めなければならなかったと語る。

　「今では新機能を迅速にリリースできるようになった。同時に、突然生じる恐れのあるあらゆる種類のバグや欠陥にも対処できるようになった。当社のパイプラインははるかに強力になり、新機能を送り出す能力は以前に比べて格段向上したと考えている」（レオン氏）

　SP DigitalはDevOpsを通じてコードの品質を向上させたのと同じように、DevSecOpsを通じてセキュリティを強化することに目を向けるようになった。DevSecOpsとは、ソフトウェア開発の初期段階でセキュリティを考慮する取り組みだ。

　調査会社IDCによると、アジア太平洋地域では2024年までに新規アプリケーションの少なくとも50％がDevSecOpsを取り入れ、ソフトウェア開発のライフサイクルを短縮するようになるという。

　「ソフトウェア開発プロセスの中盤や最後にセキュリティに対応する以前のやり方は、コストがかかり過ぎ、非効率になっている」と語るのはIDC Asiaでリサーチマネジャーを務めるジーナ・スミス氏だ。

　「セキュリティへの取り組みをプロセスの前半、つまり計画段階に移すことで、効率が大幅に向上してコストが削減される。要は、最初から品質の高いコードを作成することだ」と同氏は補足する。

　オープンソース、クラウド、アプリケーションのコンテナ化を利用する企業が増えるにつれ、「複雑な一連の課題」に直面する企業も増える。こうした課題への対処に役立つのが成熟したDevSecOpsポリシーだとスミス氏は話す。

　「DevOpsパイプラインの各段階にセキュリティの計画、検証、監視を組み込むことは、開発者、IT部門、セキュリティ部門の間にある昔ながらの分断（敵意）の橋渡しになる」（スミス氏）

　SP Digitalのレオン氏が率いるチームは現在、DevSecOpsを可能にするツールを探しているという。大きな課題は、同社のセキュリティ機能が企業セキュリティを中心にしていることだ。

　同社はアプリケーションセキュリティの専門家を最近雇用した。この専門家の役割は、SP DigitalのDevOpsプラクティスを形作り、開発プロセスにセキュリティを組み込むのに適したツールを導入することだとレオン氏は話す。

　かつて著名なGoogleサイト信頼性エンジニアリング（SRE）グループの一員で、PuppetのフィールドCTO（最高技術責任者）を務めるナイジェル・ケルステン氏は、DevSecOpsプラクティスで自動化を大規模に導入する重要性を強調した。

　「企業が直面する一般的な間違いは幾つかある。最大の間違いは、関係者全員が十分理解して信頼する大規模な自動化を行わずにDevSecOpsを導入しようとしていることだ」とケルステン氏は話す。

　「大規模な自動化を行わなければ以前と変わらない手作業のプロセスになり、相変わらずやる気が空回りすることになるだろう。その結果DevSecOpsにはならず、Dev、Sec、Opsがそれぞれ独立した状態になる」（ケルステン氏）

　企業は開発者が使いたくなるツールを選定しなければならない。「企業はセキュリティやインフラのツールを開発者に強制するだけでは駄目だ。APIによるプログラミングに適していて、役に立ち、容易にするインタフェースを用意する必要がある」とケルステン氏は補足する。

　変更管理の検討も必要だ。ケルステン氏によると、意欲が違う複数のチームを連携させて変更管理を可能にするという難しい仕事を成し遂げなければならないという。こうした変更は難しく、簡単な答えはない。

　「これまで繰り返し目にしてきたのは、スケーラブルな自動ソリューションを使って開発部門と運用部門のコラボレーションに成功した企業は、セキュリティでも同じように行い同じように成功していることだ」（ケルステン氏）

　DevSecOpsのもう一つの課題は

続きを読むには、［続きを読む］ボタンを押して
ください（PDFをダウンロードします）。

関連記事

マイクロサービスはセキュリティの複雑性を増大させる

無思慮なS/4HANA移行で発生するセキュリティリスク

DevOps導入を成功させるための10の法則

コンテナとDevOpsに求められるセキュリティ

いまさら聞けないCI/CD入門