「自由な開発」は危険？ 開発チームとセキュリティチームの摩擦が招く脆弱性：形骸化したルールが開発を阻害

コンテナ技術は開発を迅速化させるが、管理されないイメージの乱立というリスクも生み出している。対策を強化したいセキュリティチームが障壁にならず、開発の自由を守るためのアプローチとは。

[TechTargetジャパン]

　コンテナオーケストレーションツール「Kubernetes」などのコンテナ技術の普及によって、開発者は必要なソフトウェアや好みのツールを組み込んだコンテナを素早く構築し、自由にデプロイできるようになった。しかし、この自由度の高さが新たな課題を生み出している。ベースイメージやソフトウェアのバージョンが管理されずに乱立することで、古いソフトウェアや肥大化したコンテナに起因する脆弱（ぜいじゃく）性が生まれやすくなっているのだ。

　開発の自由度を維持しつつ、セキュリティを確保するための方法として、開発の初期段階からセキュリティ対策を組み込む「シフトレフト」のアプローチがある。一方で、CI/CD（継続的インテグレーション／継続的デリバリー）パイプラインに組み込んだセキュリティチェックツールが過剰に反応し、開発プロセスを阻害することで、開発チームとセキュリティチームの間に摩擦が生じるケースが後を絶たない。

　コンテナ時代のセキュリティ問題に最前線で直面してきた専門家たちは、どのような手法でこの対立を乗り越えているのか。

摩擦を生む「チェックボックス型」のセキュリティ

併せて読みたいお薦め記事

開発速度とセキュリティの両立

• 開発とセキュリティの「なすりつけ合い」を断つ　DevSecOpsとSecDevOpsの正体
• 「シフトレフト」にソフトウェア開発者が後ろ向きの理由と、前向きにする方法

　2025年11月に米国で開催されたカンファレンス「Open Source SecurityCon」におけるパネルディスカッション「Balancing Developer Freedom and Security」では、この課題に対する具体的な解決策が議論された。

　パネルディスカッションでは、開発とセキュリティが対立する歴史的な背景や具体例が共有された。

　コンテナ向けセキュリティ製品を提供するEderaでCTO（最高技術責任者）を務めるアレックス・ゼンラ氏は、IoT（モノのインターネット）分野での事例を挙げた。これは「Linux」の知識がない技術者が、OSの中核である「カーネル」が古い状態のまま製品を構築してしまった事例だ。このときセキュリティ担当者は、外部からの通信を遮断するネットワーク防御にばかり目を向け、機器の内部に潜む脆弱性を見落としていたという。

　インフラツールベンダーSyntassoのスタッフプロダクトマネジャーであるキャット・モリス氏は、セキュリティチェックが単なる「チェックボックス（確認項目）の消化」になってしまう問題を指摘した。セキュリティ人材への投資が不足している企業では、手作業での確認や時代遅れのルールに縛られ、少数の担当者が膨大なソースコードを全てチェックして承認しなければならない状況に陥る。これに加えてゼンラ氏は、セキュリティチームが開発チームに対して修正すべき問題のリストをただ押し付け、責めるようなアプローチは避けるべきだと強調する。代わりに、問題を根本から解決するためのサポートを提供することが不可欠だという。

プラットフォームチームが担う調整役としての機能

　開発者の自由とセキュリティを両立させる仕組みとして有効なのが、専門の「プラットフォームチーム」の介在だ。

　オープンソースソフトウェア（OSS）のライセンス変更に伴う影響調査は、開発チームにとって大きな負担になる。米国の大手自動車企業でプラットフォームエンジニアリングチームを率いるガウラブ・サクセナ氏は、OSSのライセンス変更に伴う事例を紹介した。そこでは、数百個に及ぶサービスで利用されているソフトウェアのライセンスや依存関係を開発者が手作業で確認するのではなく、プラットフォームチームが自動化ツールを提供したという。

　この自動化ツールは、ソフトウェア部品表（SBOM）などの情報を自動で収集し、一元化されたデータウェアハウス（DWH）に保存する。開発者は簡単なクエリを実行するだけで、自らのサービスが要件に適合しているかどうかを素早く確認できる。

　インフラやセキュリティの細かい管理をプラットフォームチームが引き受けることで、開発者はビジネスロジックの構築に集中できるようになる。共通システム自体にCI/CDパイプラインのチェック機能を組み込むことが、両者の対立を解消する鍵になる。

リカバリー速度と相互理解が今後の鍵

　OSSの利用においても、セキュリティの課題は深刻だ。ゼンラ氏は、何年も更新されていないOSSで脆弱性が見つかった場合、プロジェクトの管理者に修正を求めることは難しい点を指摘した。外部依存のリスクを自社だけで完全にコントロールすることは困難だ。データベースベンダーWeaviateでアドバイザーを務めるマーカス・イーガン氏は技術的な対策として、不要なソフトウェアを含まない「小さなコンテナイメージ」を使用することや、問題が発生した際にすぐに対処できる迅速なリカバリーを前提としたシステム設計の重要性を強調した。

　技術的な対策と同時に、開発チームとセキュリティチームが互いの関心事を理解し、協力する関係を築くことも不可欠だ。モリス氏は具体的な歩み寄りの手法として「脅威モデリング」を挙げる。セキュリティチームと開発チームが同じ部屋に集まり、厳格なルールを盲信することなく、自社のビジネスにおける本当のリスクは何かを共同で分析、明文化することが重要だという。

　脅威モデリングによる両チームの歩み寄りと、ツールを通じた自動化の推進が、コンテナ時代の開発現場における真の生産性とセキュリティの両立を実現する。

本稿は、Cloud Native Computing Foundation（CNCF）が2025年11月25日に公開した動画「Panel: Balancing Developer Fre... Adrian Mouat, Cat Morris, Gaurav Saxena, Marcus Eagan & Alex Zenla」を基に作成しました。