Domino's Pizzaは、アプリ開発の初期段階からセキュリティをプロセスに組み込んでいる。そこにはアプリ開発者を成長させる仕組みがあった。
Domino's Pizzaのリー・ワットフォード氏(CISO:最高情報セキュリティ責任者)は、オンラインイベント「Infosecurity Europe」(2021年)の前に本誌のインタビューに答え、同社のDevSecOpsについて語った。
「社内のプラットフォーム開発者とアプリケーションを開発するサードパーティーがいる」と同氏は話し、次のように付け加えた。社内で開発したコードであろうとサードパーティーが書いたコードであろうと、コードのセキュリティを確保する権限は社内開発者に与えている。
同社が開発したのは、監視と可視性を提供するセキュリティモデルだ。このモデルはコンテナとセキュリティインフラをカバーし、ガバナンス、スキル、可視性が組み込まれている。可視性によって、開発者はセキュリティに関する知識と認識を向上させることができ、セキュリティを確保したコードを作成できるようになるとワットフォード氏は話す。
ソフトウェア開発プロセスにセキュリティの意識を組み入れるという課題について、同氏は次のように語る。「ソフトウェア開発パイプラインの最も重要なステップは、開発プロセスでセキュリティを意識させることだ。開発者はビジネスに対してアジャイルであることを求められるため、決められた速度で作業しなければならない。それでも、インフラの運用方法とコードのデプロイ方法について抑制と均衡を維持する必要がある」
このセキュリティモデルは、アジャイルなソフトウェア開発とデプロイプロセスを妨げることなくコードを安全に開発する舞台を提供する。
自動化はソフトウェア開発フェーズで広く使われている。アプリケーションの脆弱(ぜいじゃく)性を検証し、一定のテスト基準を満たさないコードを自動的に拒否する。ワットフォード氏によれば、こうした自動拒否はセキュリティトレーニングメッセージを伝えるのに役立つという。「つまり、そのコードは開発パイプラインと運用環境を通過できないことが開発者に伝わる」
ITインフラ側では、コードの公開が別のパイプラインを通じて自動化される。これにより、アプリケーション開発チームとインフラチームはIT運用チームとの効果的な連携が可能になる。Domino's PizzaはPCI DSS標準に従うため、セキュリティ制御に関する職務分掌を要求される。
Domino's Pizzaはこのセキュリティモデルの成熟度を上げ、より細かいプロセスを追加している過程にあるとワットフォード氏は話す。設計段階からセキュリティを確保するアプローチを実施するため、運用面からルールを設定するのが同社の目標だ。
「何が起きているかについての可視性があり、何が適切かを示すベースラインがあれば、異常や構成ミスを迅速に特定できる」と言い、これによってDomino's Pizzaは問題点に優先順位を付け、深刻なセキュリティリスクを迅速に解決できると補足する。
プログラマーが手作業でコーディングすると新たな脆弱性が組み込まれる恐れが高まる。
GitLabは開発者を調査し、コードのセキュリティを向上させる方法としてコードレビュー、静的コード解析、ライブアプリケーションの監視、オープンソースライブラリやコンテナのセキュリティスキャン、プロジェクト設計段階でのリスク分析などを挙げた。
セキュリティを確保したコーディングは、自動テストと併用できるセキュリティモデルを使って開発者自身が安全でクリーンなコードを作成していることを確認し、コードがテストスイートによって拒否された場合はその理由を理解することから始まるとワットフォード氏は言う。これは学習プロセスだ。開発者がより安全なコードを開発するようになるにつれ、ツールがコードを拒否する確率は低くなる。
ソフトウェア開発者がコーディングエラーを減らす努力をするという考え方でもある。CCS Insightのボラ・ロティビ氏(リサーチディレクター)は言う。「社内外を問わず、クライアントの期待に応えようとする全ての開発者にとっての最優先事項の一つは、開発するアプリケーションのリスクを減らすことだ」
アプリケーションのセキュリティ戦略を構築するに当たっては、ITセキュリティの担当者が自動化をDevOpsツールチェーンに標準プラクティスとして統合し、可視性を高めるスキャンと適切な優先順位設定を組み合わせることをForrester Researchのアナリストは推奨する。
自動セキュリティテストをDevOpsツールチェーンに含めるのであれば、フックが既に存在する。リリース前テストを行う主要製品は「Azure DevOps」「GitHub」「Jenkins」「JIRA」などの開発ツールとの統合を提供する。DevOpsプラクティスの成熟度が高い企業は、リリース前テストツールを利用して開発パイプラインに統合している可能性が高い。
リリース前テストツールの結果を集約すれば、セキュリティの結果を詳しく把握でき、調査結果を検証して優先順位を付けるのに役立つ。静的アプリケーションセキュリティテスト(SAST)と動的アプリケーションセキュリティテスト(DAST)のスキャン結果を組み合わせれば、修復までの期間が平均よりも24.5日短くなる。SASTとソフトウェアコンポジション解析(SCA)の結果を組み合わせれば、修復までの期間が6日短くなる。
出典:「The state of application security, 2021」(Forrester Research)
Copyright © ITmedia, Inc. All Rights Reserved.
DXが進み、レガシーシステムからの脱却が喫緊の課題となっている今。「ERP×ノーコードツール」のアプローチで基幹システムの刷新に取り組む企業が増えている。そのアプローチを推進するに当たってのポイントを解説する。
DXの本質は、デジタル技術を駆使して変化に適応する能力を身につけることにある。その手段の1つとして注目を集めているのが、ローコード/ノーコード開発ツールだ。京王グループなどの事例とともに、その特徴やメリットを紹介する。
DX人材の重要性が高まる中、ノーコードツールの活用によって業務改革と人材育成を両立しようとする動きが活発化している。年間約780時間の工数削減を実現した京セラをはじめとする5社の事例を基に、その実態を探る。
急速に進化するデジタル技術は、製造業などのものづくりの現場にもさまざまな恩恵をもたらしている。しかし、設備点検業務や棚卸業務などの立ち仕事や移動が多い現場では、いまだにアナログ業務が残存し、効率化の妨げとなっているという。
あらゆる業界でDXの重要性が増しているが、工場や倉庫の中にはデジタル化が後回しにされている隙間業務が多数ある。その理由を明らかにした上で、それらの業務をモバイルアプリでデジタル化し、現場DXを推進する9社の事例を紹介する。
なぜ、「kintone」が大企業の「Fit to Standard」に効果的なのか (2025/3/7)
ノーコードは、負の遺産であるアナログ業務をなくせるのか (2024/11/12)
手間もコストもかかるGUIのテストはどうすれば自動化できるのか (2024/6/4)
「システム内製化」が失敗しがちなのはなぜ? “従来のやり方”では駄目な理由 (2024/5/15)
金融機関のモダナイゼーション 最適解に導くには (2024/3/29)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
iStock.com/Iana Miroshnichenko
