DevOpsにセキュリティを統合したDevSecOpsを実現するには、情報セキュリティチームとアプリケーション開発チーム、IT運用チームが一体となって協力する必要がある。本記事では、こういったDevSecOpsチームがいかにしてクラウドにおけるセキュリティの難問を解決できるのかについて解説する。
提供:iStock/Jakub Jirsak
サイバーセキュリティのプロフェッショナルは、自らの取り組みにおいて、開発チームとセキュリティチーム、運用チームの一致協力(DevSecOps)が必要不可欠であることを、(時には痛い思いをしながら)学んでいる。プロジェクトのあらゆる側面に関与している人材を各部門から供出してもらうことで、セキュリティ統制の統合を強化するとともに、スケジュール遅延を減らし、セキュリティプロセスにおける後付けの実装によって引き起こされる問題を防げるようになる。
とはいえ、クラウド内の資産にまつわる設定やセキュリティを自動化する際には懸念が存在する。Voodoo Securityのオーナー兼主席コンサルタントであり、SANS Instituteでアナリスト兼シニアインストラクターを務めるとともにトレーニングコースの作成者でもあるDave Shackleford氏は、自らの研究論文「The DevSecOps Approach to Securing Your Code and Your Cloud」(コードとクラウドをセキュアにするためのDevSecOpsアプローチ)に、「DevSecOpsには潜在的な利点があるものの、着手するには、対象となるモデルがSaaSであるかPaaSであるかIaaSであるかにかかわらず(中略)文化面でのある種の変革と、綿密な計画が必要となるだろう」と記している。
同氏は、綿密な計画が必要という点について、以下に留意するよう説明している。
- 脅威のモデル化:脅威のモデル化を実施しておくことで、セキュリティチームは自らが守ろうとしている資産の種類と性質、そしてそれら資産がクラウド内でどのように管理/監視されるか、さらには脅威のベクトルがどのようなものになりそうかをより深く理解できるようになる。
- リスク評価:リスクを分析することで、セキュリティチームは、現在どのような統制が適用されており、クラウド内での適切な運用に向けてどの統制に手を加える必要があるかについて、より深い洞察が得られるようになる。
同氏は、クラウドベースの資産について脅威のモデル化とリスク評価が重要となる理由として、「クラウドサービスプロバイダーの環境内では、社内でうまく機能していたある種のセキュリティ統制が機能しない、あるいは利用できないという事態がほぼ間違いなく発生するためだ」と記している。