ソフトウェア開発工程の初期の段階までテスト工程を前倒しにすることで、責務と機能を積極的に取り込む「シフトレフト」という考え方が叫ばれるようになってきている。これは優れた考え方だが、さらなる取り組みが、特にDevOps環境において必要だ。というのもDevOps環境ではソフトウェアが目まぐるしく、そして自動化されたかたちで更新されていくためだ。しかし、極めて高度なセキュリティプラクティスを実践している組織は、DevOpsにおいても数歩先を進んでいる。
こういった組織では、DevOpsを拡張したDevSecOpsという言葉が用いられるようになってきている。Red Hatが記している概要によると、DevSecOpsは「アプリケーションやインフラのセキュリティを初期の段階から考慮」するとともに、「DevOpsのワークフローを減速させないような自動化されたセキュリティゲートの設置」を意味しているという。
提供:Joe McKendrick
DevSecOpsは一見すると、極めて技術的で無味乾燥な、サイロ化された試みのように感じられるかもしれないが、現実的には迅速なペースでのイノベーションという、顧客の間で高まってきているニーズへの対応を目指すオープンな文化によって形作られるものだ。PuppetとCircleCI、Splunkが最近公開した、DevOpsに関する調査レポート「2019 State of DevOps Report」(DevOpsの状況報告2019年版)には、「DevOpsを推進している組織は、セキュリティを統合するための指針を必要とし、求めてもいる」と記されている。
3000人近い開発者とマネージャーを対象としたこの調査では、DevSecOpsによってDevOpsのプラクティス全体がいかに向上するかが浮き彫りにされている。この調査によると、DevOpsのプラクティスを高い水準で実行しているチームでは、セキュリティポリシーの自動化が進んでおり、ソフトウェア開発ライフサイクルの極めて初期の段階、すなわち計画や設計といった段階からセキュリティチームを関与させているという結果が示されている。
DevOpsの進化において高い段階に到達している企業の割合は、セキュリティの統合が極めて高い水準に達している企業では22%にのぼっている一方、セキュリティを統合していない企業では6%にとどまっている。
また、オンデマンドによる本番環境への配備を実現している企業の割合は、セキュリティの統合が高い水準に達している企業では61%と、それ以外の水準にある企業に比べるとかなり高い数値になっている。一方、セキュリティを統合していない組織がオンデマンドで配備できる割合は49%にとどまっている。
