2023年09月01日 05時15分 公開
特集/連載

「DevSecOps」に必要な基礎スキルとは? 習得する方法は?役に立たないセキュリティ研修から脱却【第3回】

自社のセキュリティを確保するためには、「DevSecOps」を取り入れることが効果的だ。しかしDevSecOps人材はなかなかいない。育成するにはどのような手段が有効なのか。

[Paul LewisTechTarget]

 「DevSecOps」は、アプリケーション開発と運用の各工程にセキュリティを組み込む手法だ。DevSecOpsの需要はあるが、その実践に必要な開発とセキュリティ、運用の経験を備える人材を見つけることは簡単ではない。

「DevSecOps」実現に効果的なトレーニングとは

 セキュリティ担当者のDevSecOpsスキルを向上させる方法の一つが、セキュリティ監視機能を設計および管理する「検出エンジニアリング」(Detection Engineering)に注力することだ。検出エンジニアリングは、アラートの発生から対処の実行、解決に至るまでのプロセス全体を追跡する。この作業はセキュリティ運用スキルの向上と密接に関係する。

 しかし、単に検出エンジニアリングの方法を理解するだけでは、セキュリティ担当者のレベルを引き上げるには不十分だ。セキュリティ担当者は攻撃者の目線で問題を捉え、柔軟な思考で考える必要がある。

 例えば、あるシステムを攻撃する方法を考えてみよう。標的となるシステムのユーザーはどの部門に所属しているかを調べ、どう攻撃すれば効果的かを考える。このような思考とアプローチを常に実施できるようになることが、トレーニングの最終目標だ。

 DevSecOpsに関するトレーニングはどの組織にとっても重要だ。一方で組織は、セキュリティ担当者が技術的に熟練するだけでなく、認知的な思考を鍛えることも等しく重要であることを念頭に置く必要がある。


 第4回は、知識のインプットだけでなく、知識の応用が重要な理由を説明する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news046.png

B2Bマーケティング支援のFLUED、国内のEC/D2C企業20万社のデータベース「StoreLeads」を提供開始
B2Bマーケティング・営業DXを支援するFLUEDは、カナダのLochside Softwareが提供するECサ...

news054.jpg

サブスク動画配信サービスの市場規模が5000億円超え 最もシェアを伸ばしたサービスは?――GEM Partners調査
定額制動画配信サービスの市場規模は2020年以降、堅調に拡大しています。ただし、成長率...

news044.jpg

ビルコム、PR効果測定ツール「PR Analyzer」に海外ニュースのクリッピング機能を追加
ビルコムは、クラウド型PR効果測定ツール「PR Analyzer」に新機能「海外メディアクリッピ...