編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」
海外コメンタリー

DevSecOpsチーム--クラウド上の資産をまもるコラボレーション

Michael Kassner (Special to TechRepublic) 翻訳校正: 村上雅章 野崎裕子

2017-02-28 06:30

 DevOpsにセキュリティを統合したDevSecOpsを実現するには、情報セキュリティチームとアプリケーション開発チーム、IT運用チームが一体となって協力する必要がある。本記事では、こういったDevSecOpsチームがいかにしてクラウドにおけるセキュリティの難問を解決できるのかについて解説する。


提供:iStock/Jakub Jirsak

 サイバーセキュリティのプロフェッショナルは、自らの取り組みにおいて、開発チームとセキュリティチーム、運用チームの一致協力(DevSecOps)が必要不可欠であることを、(時には痛い思いをしながら)学んでいる。プロジェクトのあらゆる側面に関与している人材を各部門から供出してもらうことで、セキュリティ統制の統合を強化するとともに、スケジュール遅延を減らし、セキュリティプロセスにおける後付けの実装によって引き起こされる問題を防げるようになる。

 とはいえ、クラウド内の資産にまつわる設定やセキュリティを自動化する際には懸念が存在する。Voodoo Securityのオーナー兼主席コンサルタントであり、SANS Instituteでアナリスト兼シニアインストラクターを務めるとともにトレーニングコースの作成者でもあるDave Shackleford氏は、自らの研究論文「The DevSecOps Approach to Securing Your Code and Your Cloud」(コードとクラウドをセキュアにするためのDevSecOpsアプローチ)に、「DevSecOpsには潜在的な利点があるものの、着手するには、対象となるモデルがSaaSであるかPaaSであるかIaaSであるかにかかわらず(中略)文化面でのある種の変革と、綿密な計画が必要となるだろう」と記している。

 同氏は、綿密な計画が必要という点について、以下に留意するよう説明している。

  • 脅威のモデル化:脅威のモデル化を実施しておくことで、セキュリティチームは自らが守ろうとしている資産の種類と性質、そしてそれら資産がクラウド内でどのように管理/監視されるか、さらには脅威のベクトルがどのようなものになりそうかをより深く理解できるようになる。
  • リスク評価:リスクを分析することで、セキュリティチームは、現在どのような統制が適用されており、クラウド内での適切な運用に向けてどの統制に手を加える必要があるかについて、より深い洞察が得られるようになる。

 同氏は、クラウドベースの資産について脅威のモデル化とリスク評価が重要となる理由として、「クラウドサービスプロバイダーの環境内では、社内でうまく機能していたある種のセキュリティ統制が機能しない、あるいは利用できないという事態がほぼ間違いなく発生するためだ」と記している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]