海外コメンタリー

DevSecOpsチーム--クラウド上の資産をまもるコラボレーション - (page 2)

Michael Kassner (Special to TechRepublic) 翻訳校正: 村上雅章 野崎裕子

2017-02-28 06:30

コラボレーションが鍵となる

 Shackleford氏は新たに組織されたDevSecOpsチームを管理するうえで、チームメンバー間のコラボレーションに力点を置く必要があると確信している。簡単に述べると、プロジェクトのセキュリティや開発、品質管理に責任を持つ各担当者は、一致団結して協力しなければならない。

 同氏は特にセキュリティについて、「セキュリティチームは自らの専門領域において、どの既存ツールがDevSecOps環境に統合可能であるかを判断したうえで、統合および開発が継続的に実施される環境でうまく機能するよう、アップデートや適合の必要がある手続きや統制を洗い出さなければならない」と記している。

すべてを機能させる方法

 Shackleford氏は、DevSecOpsチームが完全に機能し始めたのであれば、以下の点の実現に向けて進んでいくよう提言している(図A)。


図A DevSecOpsのワークフロー
提供:SANSおよびDave Shackleford氏

在庫のマネジメント:ファイルやインフラという資産を在庫データベースに組み入れられるよう、ネットワークやシステムを精査するツールを用いたディスカバリプロセスを確立させてほしい。同氏は、データベースを最新の状態にしておくとともに、強固なセキュリティを維持するために、新たな資産や資産の変更を見つけ出すプロセスを用意しておくことも提案している。

企業標準や業界標準への準拠:同氏は、数々の規則や標準に準拠するうえで、エージェントベースの、そして/あるいはエージェントレスなテクノロジを利用して、コンフィギュレーションの標準をシステムに適用し、新たなコンフィギュレーションがポリシーからの変更、あるいは逸脱に当たるかどうかを検証できるようになると確信している。

アカウントと権限の統制:リソースに付与されているアカウントと権限の統制は必要不可欠だ。同氏は「すべてのユーザーやグループ、ロール(役割)、権限については、注意深く議論し、need-to-knowの原則(必要性のある人にのみ情報を伝えるという原則)に基づいてリソースに付与するべきだ」と説明するとともに、「アクセスにおける最小権限モデルを適用するというベストプラクティスも、可能な限り適用するべきだ」と記している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    2025年はクラウドを標的にする攻撃が増加!?調査レポートに見る、今後警戒すべき攻撃トレンド

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. ビジネスアプリケーション

    業務マニュアル作成の課題を一気に解決へ─AIが実現する確認と修正だけで完了する新たなアプローチ

  4. 経営

    プロが教える“使える業務マニュアル”--作成・運用を実現する3つのポイント

  5. セキュリティ

    Microsoft Copilot for Security--DXをまい進する三井物産が選んだ理由

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]