「シフトレフト」をうまくいかせるこつは? 「開発者にセキュリティを丸投げ」は駄目セキュリティにも「シフトレフト」を【後編】

セキュリティの「シフトレフト」を成功に導くためには、セキュリティ担当者とソフトウェア開発者のそれぞれの役割を明確にすることが重要だ。どうすればいいのか。

2022年05月12日 05時00分 公開
[Melinda MarksTechTarget]

関連キーワード

DevOps | サイバー攻撃 | セキュリティ


 ソフトウェア開発において脆弱(ぜいじゃく)性をいち早く発見し、修正するセキュリティの「シフトレフト」にはさまざまな課題がある。中編「『シフトレフト』にソフトウェア開発者が後ろ向きの理由と、前向きにする方法」は課題を説明し、解決法を探った。後編となる本稿は、その一つであるセキュリティ担当者とソフトウェア開発者の役割分担を考える。

シフトレフトの成否は「適切なバランス」で決まる どういうこと?

 シフトレフトの考え方を取り入れた開発で大切なのは、セキュリティをソフトウェア開発者に丸投げするのではなく、セキュリティ担当者とソフトウェア開発者のそれぞれの役割を明確にすることだ。セキュリティ担当者の役割として考えられるのは、リスク管理全般。つまりソフトウェアの安全性を高め、ユーザー企業を攻撃の被害から守ることだ。一方でソフトウェア開発者は自身のソースコードを検証する役割を果たす。

 セキュリティ担当者は、ソフトウェアの脆弱性を減らすためにセキュリティポリシーを設定すべきだ。ソフトウェア開発者が簡単に使用し、誤検知による不要なアラートをなくすための工夫も凝らさなければならない。セキュリティツールを選定する際は、設定のしやすさや、統合開発環境(IDE)を通じてセキュリティ担当者とソフトウェア開発者がコミュニケーションできるといった条件を重視しよう。

 例えばセキュリティ担当者は、テストツールを継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインに接続する方法について、ソフトウェア開発者に指示する場合がある。テストツールをCI/CDパイプラインに接続する際は、ソースコードをバックグラウンドで自動スキャンし、ソースコードが変更されるたびに自動的に再スキャンするツールが役立つ。

 セキュリティにおけるシフトレフト採用の動きはまだ始まったばかりだ。シフトレフトに使えるセキュリティツールは充実している。問題は現場にどう浸透させるかだ。ソフトウェア開発者はセキュリティツールの使用を強制されると、反発する可能性がある。最近は可視性を高め、セキュリティ担当者とソフトウェア開発者の情報共有のしやすさを図ったセキュリティツールもあり、シフトレフト採用のハードルが下がりつつある。

 開発企業はシフトレフトのセキュリティツールを使い、セキュリティ担当者とソフトウェア開発者をうまく連携させることで、両者の負荷を減らせるはずだ。本番環境への移行前にアプリケーションの脆弱(ぜいじゃく)性を発見し効率良く修正できるようになるからだ。そういったメリットから考えると、シフトレフトの採用を検討する価値は十分にあると考えられる。

TechTarget発 世界のインサイト&ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。

ITmedia マーケティング新着記事

news075.png

Z世代の告白手段は「直接」が大多数 理由は?
好きな人に思いを伝える手段として最も多く選ばれるのは「直接」。理由として多くの人は...

news100.jpg

日本はなぜ「世界の旅行者が再訪したい国・地域」のトップになったのか 5つの視点で理由を解き明かす
電通は独自調査で、日本が「観光目的で再訪したい国・地域」のトップとなった要因を「期...

news023.jpg

誰も見ていないテレビ番組にお金を払って露出する意味はあるのか?
無名のわが社でもお金を出せばテレビに出してもらえる? 今回は、広報担当者を惑わせる...