「シフトレフト」をうまくいかせるこつは? 「開発者にセキュリティを丸投げ」は駄目:セキュリティにも「シフトレフト」を【後編】
セキュリティの「シフトレフト」を成功に導くためには、セキュリティ担当者とソフトウェア開発者のそれぞれの役割を明確にすることが重要だ。どうすればいいのか。
ソフトウェア開発において脆弱(ぜいじゃく)性をいち早く発見し、修正するセキュリティの「シフトレフト」にはさまざまな課題がある。中編「『シフトレフト』にソフトウェア開発者が後ろ向きの理由と、前向きにする方法」は課題を説明し、解決法を探った。後編となる本稿は、その一つであるセキュリティ担当者とソフトウェア開発者の役割分担を考える。
シフトレフトの成否は「適切なバランス」で決まる どういうこと?
シフトレフトの考え方を取り入れた開発で大切なのは、セキュリティをソフトウェア開発者に丸投げするのではなく、セキュリティ担当者とソフトウェア開発者のそれぞれの役割を明確にすることだ。セキュリティ担当者の役割として考えられるのは、リスク管理全般。つまりソフトウェアの安全性を高め、ユーザー企業を攻撃の被害から守ることだ。一方でソフトウェア開発者は自身のソースコードを検証する役割を果たす。
セキュリティ担当者は、ソフトウェアの脆弱性を減らすためにセキュリティポリシーを設定すべきだ。ソフトウェア開発者が簡単に使用し、誤検知による不要なアラートをなくすための工夫も凝らさなければならない。セキュリティツールを選定する際は、設定のしやすさや、統合開発環境(IDE)を通じてセキュリティ担当者とソフトウェア開発者がコミュニケーションできるといった条件を重視しよう。
例えばセキュリティ担当者は、テストツールを継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインに接続する方法について、ソフトウェア開発者に指示する場合がある。テストツールをCI/CDパイプラインに接続する際は、ソースコードをバックグラウンドで自動スキャンし、ソースコードが変更されるたびに自動的に再スキャンするツールが役立つ。
セキュリティにおけるシフトレフト採用の動きはまだ始まったばかりだ。シフトレフトに使えるセキュリティツールは充実している。問題は現場にどう浸透させるかだ。ソフトウェア開発者はセキュリティツールの使用を強制されると、反発する可能性がある。最近は可視性を高め、セキュリティ担当者とソフトウェア開発者の情報共有のしやすさを図ったセキュリティツールもあり、シフトレフト採用のハードルが下がりつつある。
開発企業はシフトレフトのセキュリティツールを使い、セキュリティ担当者とソフトウェア開発者をうまく連携させることで、両者の負荷を減らせるはずだ。本番環境への移行前にアプリケーションの脆弱(ぜいじゃく)性を発見し効率良く修正できるようになるからだ。そういったメリットから考えると、シフトレフトの採用を検討する価値は十分にあると考えられる。
TechTarget発 世界のインサイト&ベストプラクティス
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.