セキュリティの「シフトレフト」を成功に導くためには、セキュリティ担当者とソフトウェア開発者のそれぞれの役割を明確にすることが重要だ。どうすればいいのか。
ソフトウェア開発において脆弱(ぜいじゃく)性をいち早く発見し、修正するセキュリティの「シフトレフト」にはさまざまな課題がある。中編「『シフトレフト』にソフトウェア開発者が後ろ向きの理由と、前向きにする方法」は課題を説明し、解決法を探った。後編となる本稿は、その一つであるセキュリティ担当者とソフトウェア開発者の役割分担を考える。
シフトレフトの考え方を取り入れた開発で大切なのは、セキュリティをソフトウェア開発者に丸投げするのではなく、セキュリティ担当者とソフトウェア開発者のそれぞれの役割を明確にすることだ。セキュリティ担当者の役割として考えられるのは、リスク管理全般。つまりソフトウェアの安全性を高め、ユーザー企業を攻撃の被害から守ることだ。一方でソフトウェア開発者は自身のソースコードを検証する役割を果たす。
セキュリティ担当者は、ソフトウェアの脆弱性を減らすためにセキュリティポリシーを設定すべきだ。ソフトウェア開発者が簡単に使用し、誤検知による不要なアラートをなくすための工夫も凝らさなければならない。セキュリティツールを選定する際は、設定のしやすさや、統合開発環境(IDE)を通じてセキュリティ担当者とソフトウェア開発者がコミュニケーションできるといった条件を重視しよう。
例えばセキュリティ担当者は、テストツールを継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインに接続する方法について、ソフトウェア開発者に指示する場合がある。テストツールをCI/CDパイプラインに接続する際は、ソースコードをバックグラウンドで自動スキャンし、ソースコードが変更されるたびに自動的に再スキャンするツールが役立つ。
セキュリティにおけるシフトレフト採用の動きはまだ始まったばかりだ。シフトレフトに使えるセキュリティツールは充実している。問題は現場にどう浸透させるかだ。ソフトウェア開発者はセキュリティツールの使用を強制されると、反発する可能性がある。最近は可視性を高め、セキュリティ担当者とソフトウェア開発者の情報共有のしやすさを図ったセキュリティツールもあり、シフトレフト採用のハードルが下がりつつある。
開発企業はシフトレフトのセキュリティツールを使い、セキュリティ担当者とソフトウェア開発者をうまく連携させることで、両者の負荷を減らせるはずだ。本番環境への移行前にアプリケーションの脆弱(ぜいじゃく)性を発見し効率良く修正できるようになるからだ。そういったメリットから考えると、シフトレフトの採用を検討する価値は十分にあると考えられる。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
