海外コメンタリー

DevSecOpsチーム--クラウド上の資産をまもるコラボレーション - (page 2)

Michael Kassner (Special to TechRepublic) 翻訳校正: 村上雅章 野崎裕子

2017-02-28 06:30

コラボレーションが鍵となる

 Shackleford氏は新たに組織されたDevSecOpsチームを管理するうえで、チームメンバー間のコラボレーションに力点を置く必要があると確信している。簡単に述べると、プロジェクトのセキュリティや開発、品質管理に責任を持つ各担当者は、一致団結して協力しなければならない。

 同氏は特にセキュリティについて、「セキュリティチームは自らの専門領域において、どの既存ツールがDevSecOps環境に統合可能であるかを判断したうえで、統合および開発が継続的に実施される環境でうまく機能するよう、アップデートや適合の必要がある手続きや統制を洗い出さなければならない」と記している。

すべてを機能させる方法

 Shackleford氏は、DevSecOpsチームが完全に機能し始めたのであれば、以下の点の実現に向けて進んでいくよう提言している(図A)。


図A DevSecOpsのワークフロー
提供:SANSおよびDave Shackleford氏

在庫のマネジメント:ファイルやインフラという資産を在庫データベースに組み入れられるよう、ネットワークやシステムを精査するツールを用いたディスカバリプロセスを確立させてほしい。同氏は、データベースを最新の状態にしておくとともに、強固なセキュリティを維持するために、新たな資産や資産の変更を見つけ出すプロセスを用意しておくことも提案している。

企業標準や業界標準への準拠:同氏は、数々の規則や標準に準拠するうえで、エージェントベースの、そして/あるいはエージェントレスなテクノロジを利用して、コンフィギュレーションの標準をシステムに適用し、新たなコンフィギュレーションがポリシーからの変更、あるいは逸脱に当たるかどうかを検証できるようになると確信している。

アカウントと権限の統制:リソースに付与されているアカウントと権限の統制は必要不可欠だ。同氏は「すべてのユーザーやグループ、ロール(役割)、権限については、注意深く議論し、need-to-knowの原則(必要性のある人にのみ情報を伝えるという原則)に基づいてリソースに付与するべきだ」と説明するとともに、「アクセスにおける最小権限モデルを適用するというベストプラクティスも、可能な限り適用するべきだ」と記している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]