検索
特集/連載

開発とセキュリティの「なすりつけ合い」を断つ DevSecOpsとSecDevOpsの正体ボトルネックか、自動化の武器か

セキュリティが原因でリリースが遅れる――。その解決の鍵を握るのは「DevSecOps」と「SecDevOps」だ。似て非なる両者の違いと、自社に適した選択基準を解き明かす。

Share
Tweet
LINE
Hatena

関連キーワード

サイバー攻撃 | マルウェア | セキュリティ


 アプリケーション開発と運用の各工程にセキュリティを組み込む手法を「DevSecOps」と呼ぶ。その似ている概念として、最近は「SecDevOps」も認知度が高まりつつある。SecDevOpsはどのようなもので、DevSecOpsとはどう違うのか。それぞれの特徴や、メリット・デメリットを整理する。

DevSecOpsとSecDevOpsはこう違う

 DevSecOpsとSecDevOpsは、どちらもCI/CD(継続的インテグレーション/継続的デリバリー)にセキュリティを統合する手法だが、セキュリティの位置付けやセキュリティをどう統合するかといった点において違いもある。

 DevSecOpsはもともとあった「DevOps」(開発と運用の融合)にセキュリティを追加した。セキュリティ担当者は開発者や運用者と密接に協力するが、プロジェクト全体の管理やガバナンスの監督について開発者と運用者が主役になる。

 一方、SecDevOpsはセキュリティを最優先に考えるのが特徴だ。開発と運用チーム内にセキュリティ機能を完全に統合するとともに、セキュリティ担当者の責任も明確にする。セキュリティ担当者を「外部の人」として捉えるのではなく、同じ責任を持つメンバーとして迎え入れるというわけだ。

 DevSecOpsでは、開発、運用、セキュリティの各担当者は共通の目標達成に向けて「別々の焦点やミッション」を持って協力する。対照的に、SecDevOpsではそういった壁をなくし、一丸になってプロジェクトに取り組む。そのため、開発者と運用者にはセキュリティの専門知識が求められ、セキュリティ担当者にはシステム設計やコードレビューといった開発、運用分野の専門知識が求められる。

利点と欠点

 DevSecOpsとSecDevOpsにはそれぞれの利点と欠点がある。ある企業にとっての利点が別の企業にとっての欠点となることも考えられる。以下で詳しく見てみよう。

DevSecOpsの利点

  • 明確な役割定義
    • 各チームは自分の専門分野と専門知識を維持し、高い専門性を発揮できる。
  • 強力なガバナンス
    • 集中管理によって、企業のセキュリティポリシーの順守につながる。
  • 導入しやすさ
    • DevSecOpsは既存のDevOpsワークフローに段階的に追加できる。
  • セキュリティの高度な専門知識
    • セキュリティチームがセキュリティに専念し、深い技術的な焦点を維持できる。

DevSecOpsの欠点

  • ボトルネックの可能性
    • 手動レビューがデプロイメントを遅らせる可能性がある。
  • 文化的な抵抗
    • 開発者はセキュリティを「外部」の責任と見なす場合がある。
  • 限られた機敏性
    • 集中管理がイノベーションを遅らせる可能性がある。
  • 分散した責任
    • デプロイ後のセキュリティ事故の責任が不明確になる場合がある。

SecDevOpsの利点

  • 統合された所有権
    • 共有の目標によって引き渡しをなくし、速度を向上させる。
  • 継続的なセキュリティ検証
    • 自動化されたテストでセキュリティを継続的に検証できる。
  • 高い機敏性
    • 組み込まれたセキュリティが速く安全なリリースを可能にする。
  • 強化されたセキュリティ意識
    • チーム全員がセキュリティを「自分ごと」として考える。

SecDevOpsの欠点

  • 高いスキル要件
    • チーム全員に多岐にわたる専門知識が求められる。
  • 複雑なガバナンス調整
    • 自動化がコンプライアンス(法令順守)と衝突する可能性がある。
  • 基準が一致しないリスク
    • DevSecOpsのような集中管理がないため、基準が統一しない可能性がある。
  • 初期の費用
    • SecDevOpsへの移行には、組織づくりやツールへの初期投資が必要だ。

では、どちらを採用すれば良いのか

 DevSecOpsとSecDevOpsのどちらが最適かは、企業のIT成熟度、規制上の制約、組織文化などに依存する。

 DevSecOpsとSecDevOpsはどちらも迅速に安全なソフトウェアを提供することを目指しているが、セキュリティがどれだけ深く統合され、誰がその責任を持つかに違いがある。DevSecOpsは専門チーム間の協力を通じてセキュリティを組み込み、ガバナンスと役割分担を維持する。SecDevOpsはセキュリティを完全に融合し、プロセスの不可分かつ自動化された部分とする。

 規制が厳しい業界の企業は、DevSecOpsの集中管理によって規制が守りやすくなる。クラウドネイティブや製品駆動型の企業は、SecDevOpsを採用して、セキュリティをアジャイルなワークフローに直接組み込めるようになる。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る