主導するか従うか、2つに1つだ
IT部門のセキュリティチームは、ソフトウェア開発者が必要とするものを理解したうえで、望ましい結果を達成するためのセキュアな方法を提供する必要がある。クラウドサービスは速度とアクセシビリティ、柔軟性を提供する。また、あるオンラインサービスが広く普及している場合、そこには何らかの理由があるはずだ。セキュリティ担当者のなかには、クラウドサービスへのアクセスを直感的に避けようとする人もいる。その結果、ネットワークレベルでのブロックや、使用を禁止するポリシーが採用される場合もあるかもしれない。しかし、使用禁止は開発の足を引っ張る結果となるため、たいていの場合は優れた判断になり得ない。
他に考えられる対応として、妥当なものが2つある。1つ目は、企業のIT部門が等価でよりセキュアなサービス(例えば、権限を有する開発者だけがアクセスできるようなホスティングサービスなど)を提供することだ。そして2つ目は、オンラインサービスの管理方法を身に付け、企業ITに組み込むことだ。
機能が豊富で、容易に使用でき、サポートが充実しているシステムを提供できるIT部門はさほど多くないはずだ。このため、そのようなレベルに到達できないのであれば、オンラインサービスを受け入れ、セキュアに使用する方法を身に付けるしかない。
開発者によるオンラインサービスの使用方法をIT部門のセキュリティ担当者が学習し、管理するようになれば、企業はそれぞれの環境が持つ優れた点を手にできるようになる。つまり、開発者はセキュリティポリシーに準拠しながら、最新のツールを使って迅速に開発を推進できるのだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
