コラボレーションが鍵となる
Shackleford氏は新たに組織されたDevSecOpsチームを管理するうえで、チームメンバー間のコラボレーションに力点を置く必要があると確信している。簡単に述べると、プロジェクトのセキュリティや開発、品質管理に責任を持つ各担当者は、一致団結して協力しなければならない。
同氏は特にセキュリティについて、「セキュリティチームは自らの専門領域において、どの既存ツールがDevSecOps環境に統合可能であるかを判断したうえで、統合および開発が継続的に実施される環境でうまく機能するよう、アップデートや適合の必要がある手続きや統制を洗い出さなければならない」と記している。
すべてを機能させる方法
Shackleford氏は、DevSecOpsチームが完全に機能し始めたのであれば、以下の点の実現に向けて進んでいくよう提言している(図A)。
図A DevSecOpsのワークフロー
提供:SANSおよびDave Shackleford氏
在庫のマネジメント:ファイルやインフラという資産を在庫データベースに組み入れられるよう、ネットワークやシステムを精査するツールを用いたディスカバリプロセスを確立させてほしい。同氏は、データベースを最新の状態にしておくとともに、強固なセキュリティを維持するために、新たな資産や資産の変更を見つけ出すプロセスを用意しておくことも提案している。
企業標準や業界標準への準拠:同氏は、数々の規則や標準に準拠するうえで、エージェントベースの、そして/あるいはエージェントレスなテクノロジを利用して、コンフィギュレーションの標準をシステムに適用し、新たなコンフィギュレーションがポリシーからの変更、あるいは逸脱に当たるかどうかを検証できるようになると確信している。
アカウントと権限の統制:リソースに付与されているアカウントと権限の統制は必要不可欠だ。同氏は「すべてのユーザーやグループ、ロール(役割)、権限については、注意深く議論し、need-to-knowの原則(必要性のある人にのみ情報を伝えるという原則)に基づいてリソースに付与するべきだ」と説明するとともに、「アクセスにおける最小権限モデルを適用するというベストプラクティスも、可能な限り適用するべきだ」と記している。