海外コメンタリー

DevSecOpsチーム--クラウド上の資産をまもるコラボレーション

Michael Kassner (Special to TechRepublic) 翻訳校正: 村上雅章 野崎裕子

2017-02-28 06:30

 DevOpsにセキュリティを統合したDevSecOpsを実現するには、情報セキュリティチームとアプリケーション開発チーム、IT運用チームが一体となって協力する必要がある。本記事では、こういったDevSecOpsチームがいかにしてクラウドにおけるセキュリティの難問を解決できるのかについて解説する。


提供:iStock/Jakub Jirsak

 サイバーセキュリティのプロフェッショナルは、自らの取り組みにおいて、開発チームとセキュリティチーム、運用チームの一致協力(DevSecOps)が必要不可欠であることを、(時には痛い思いをしながら)学んでいる。プロジェクトのあらゆる側面に関与している人材を各部門から供出してもらうことで、セキュリティ統制の統合を強化するとともに、スケジュール遅延を減らし、セキュリティプロセスにおける後付けの実装によって引き起こされる問題を防げるようになる。

 とはいえ、クラウド内の資産にまつわる設定やセキュリティを自動化する際には懸念が存在する。Voodoo Securityのオーナー兼主席コンサルタントであり、SANS Instituteでアナリスト兼シニアインストラクターを務めるとともにトレーニングコースの作成者でもあるDave Shackleford氏は、自らの研究論文「The DevSecOps Approach to Securing Your Code and Your Cloud」(コードとクラウドをセキュアにするためのDevSecOpsアプローチ)に、「DevSecOpsには潜在的な利点があるものの、着手するには、対象となるモデルがSaaSであるかPaaSであるかIaaSであるかにかかわらず(中略)文化面でのある種の変革と、綿密な計画が必要となるだろう」と記している。

 同氏は、綿密な計画が必要という点について、以下に留意するよう説明している。

  • 脅威のモデル化:脅威のモデル化を実施しておくことで、セキュリティチームは自らが守ろうとしている資産の種類と性質、そしてそれら資産がクラウド内でどのように管理/監視されるか、さらには脅威のベクトルがどのようなものになりそうかをより深く理解できるようになる。
  • リスク評価:リスクを分析することで、セキュリティチームは、現在どのような統制が適用されており、クラウド内での適切な運用に向けてどの統制に手を加える必要があるかについて、より深い洞察が得られるようになる。

 同氏は、クラウドベースの資産について脅威のモデル化とリスク評価が重要となる理由として、「クラウドサービスプロバイダーの環境内では、社内でうまく機能していたある種のセキュリティ統制が機能しない、あるいは利用できないという事態がほぼ間違いなく発生するためだ」と記している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策

  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート

  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]