Domino's Pizzaは、アプリ開発の初期段階からセキュリティをプロセスに組み込んでいる。そこにはアプリ開発者を成長させる仕組みがあった。
Domino's Pizzaのリー・ワットフォード氏(CISO:最高情報セキュリティ責任者)は、オンラインイベント「Infosecurity Europe」(2021年)の前に本誌のインタビューに答え、同社のDevSecOpsについて語った。
「社内のプラットフォーム開発者とアプリケーションを開発するサードパーティーがいる」と同氏は話し、次のように付け加えた。社内で開発したコードであろうとサードパーティーが書いたコードであろうと、コードのセキュリティを確保する権限は社内開発者に与えている。
同社が開発したのは、監視と可視性を提供するセキュリティモデルだ。このモデルはコンテナとセキュリティインフラをカバーし、ガバナンス、スキル、可視性が組み込まれている。可視性によって、開発者はセキュリティに関する知識と認識を向上させることができ、セキュリティを確保したコードを作成できるようになるとワットフォード氏は話す。
ソフトウェア開発プロセスにセキュリティの意識を組み入れるという課題について、同氏は次のように語る。「ソフトウェア開発パイプラインの最も重要なステップは、開発プロセスでセキュリティを意識させることだ。開発者はビジネスに対してアジャイルであることを求められるため、決められた速度で作業しなければならない。それでも、インフラの運用方法とコードのデプロイ方法について抑制と均衡を維持する必要がある」
このセキュリティモデルは、アジャイルなソフトウェア開発とデプロイプロセスを妨げることなくコードを安全に開発する舞台を提供する。
自動化はソフトウェア開発フェーズで広く使われている。アプリケーションの脆弱(ぜいじゃく)性を検証し、一定のテスト基準を満たさないコードを自動的に拒否する。ワットフォード氏によれば、こうした自動拒否はセキュリティトレーニングメッセージを伝えるのに役立つという。「つまり、そのコードは開発パイプラインと運用環境を通過できないことが開発者に伝わる」
ITインフラ側では、コードの公開が別のパイプラインを通じて自動化される。これにより、アプリケーション開発チームとインフラチームはIT運用チームとの効果的な連携が可能になる。Domino's PizzaはPCI DSS標準に従うため、セキュリティ制御に関する職務分掌を要求される。
Domino's Pizzaはこのセキュリティモデルの成熟度を上げ、より細かいプロセスを追加している過程にあるとワットフォード氏は話す。設計段階からセキュリティを確保するアプローチを実施するため、運用面からルールを設定するのが同社の目標だ。
「何が起きているかについての可視性があり、何が適切かを示すベースラインがあれば、異常や構成ミスを迅速に特定できる」と言い、これによってDomino's Pizzaは問題点に優先順位を付け、深刻なセキュリティリスクを迅速に解決できると補足する。
プログラマーが手作業でコーディングすると新たな脆弱性が組み込まれる恐れが高まる。
GitLabは開発者を調査し、コードのセキュリティを向上させる方法としてコードレビュー、静的コード解析、ライブアプリケーションの監視、オープンソースライブラリやコンテナのセキュリティスキャン、プロジェクト設計段階でのリスク分析などを挙げた。
セキュリティを確保したコーディングは、自動テストと併用できるセキュリティモデルを使って開発者自身が安全でクリーンなコードを作成していることを確認し、コードがテストスイートによって拒否された場合はその理由を理解することから始まるとワットフォード氏は言う。これは学習プロセスだ。開発者がより安全なコードを開発するようになるにつれ、ツールがコードを拒否する確率は低くなる。
ソフトウェア開発者がコーディングエラーを減らす努力をするという考え方でもある。CCS Insightのボラ・ロティビ氏(リサーチディレクター)は言う。「社内外を問わず、クライアントの期待に応えようとする全ての開発者にとっての最優先事項の一つは、開発するアプリケーションのリスクを減らすことだ」
アプリケーションのセキュリティ戦略を構築するに当たっては、ITセキュリティの担当者が自動化をDevOpsツールチェーンに標準プラクティスとして統合し、可視性を高めるスキャンと適切な優先順位設定を組み合わせることをForrester Researchのアナリストは推奨する。
自動セキュリティテストをDevOpsツールチェーンに含めるのであれば、フックが既に存在する。リリース前テストを行う主要製品は「Azure DevOps」「GitHub」「Jenkins」「JIRA」などの開発ツールとの統合を提供する。DevOpsプラクティスの成熟度が高い企業は、リリース前テストツールを利用して開発パイプラインに統合している可能性が高い。
リリース前テストツールの結果を集約すれば、セキュリティの結果を詳しく把握でき、調査結果を検証して優先順位を付けるのに役立つ。静的アプリケーションセキュリティテスト(SAST)と動的アプリケーションセキュリティテスト(DAST)のスキャン結果を組み合わせれば、修復までの期間が平均よりも24.5日短くなる。SASTとソフトウェアコンポジション解析(SCA)の結果を組み合わせれば、修復までの期間が6日短くなる。
出典:「The state of application security, 2021」(Forrester Research)
Copyright © ITmedia, Inc. All Rights Reserved.
ビジネスに生成AIを利用するのが当たり前になりつつある中、ローコード開発への活用を模索している組織も少なくない。開発者不足の解消や開発コストの削減など、さまざまな問題を解消するために、生成AIをどう活用すればよいのか。
システム開発を任されても、「何から始めたらよいのか分からない」という担当者は多いだろう。そこで本資料では、システム開発の流れや専門用語といった基礎知識を分かりやすく解説するとともに、システム開発の4つの手法を紹介する。
システムの不具合によるさまざまなリスクを回避するには網羅的なテストを行う必要があるが、自社で行うのは難しい。そこで活用したいのが外部のテスト専門会社だ。本資料ではテスト専門会社を活用するメリットや具体的な流れを解説する。
レガシーシステムからの脱却が叫ばれる中、「ERP×ノーコードツール」のアプローチで基幹システムの刷新に取り組む企業が増加している。その推進に当たっては、「Fit to Company Standard」の概念を頭に入れておくことが必要になる。
迅速なサービスの提供を実現する手段として、「ローコード開発×内製化」が注目されている。エンジニア不足の中でも、非IT部門が開発を担える点がその理由の1つだが、全てが順調に進むわけではない。失敗事例から得た2つの教訓を紹介する。
なぜ、「kintone」が大企業の「Fit to Standard」に効果的なのか (2025/3/7)
ノーコードは、負の遺産であるアナログ業務をなくせるのか (2024/11/12)
手間もコストもかかるGUIのテストはどうすれば自動化できるのか (2024/6/4)
「システム内製化」が失敗しがちなのはなぜ? “従来のやり方”では駄目な理由 (2024/5/15)
金融機関のモダナイゼーション 最適解に導くには (2024/3/29)
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/Iana Miroshnichenko
