脅威や脆弱性に対する定期的なアップデートのプロセスへの取り込み:社内の脆弱性調査はほとんどの企業で定例作業となっているが、クラウド内の資産はクラウドサービスのプロバイダーがツールを提供していない、あるいは顧客の要求するアクセスを提供していない場合も多いため、あまり実施されていないとShackleford氏は感じている。しかし、打つ手はある。同氏は「脆弱性検知製品を以前から手がけているベンダーによっては、自社製品をクラウドプロバイダーの環境に対応させており、定期的な、あるいは臨時でのより踏み込んだ検査の実施要請を手作業で行わなくてもすむよう、APIを利用している場合もしばしばある」と記すとともに、「他の手として、継続的に、あるいは必要に応じて仮想マシンを個別に検査できる、ホストベースのエージェントを利用するというものもある」と記している。
ログやデータ収集の自動化:クラウドインスタンス内の監視システムやサービス、アプリケーション、OSから集めたデータは、自動的に取りまとめ、中央の集積プラットフォームに送信する必要がある。Shackleford氏は「DevSecOpsグループ全体は、社内における開発と、クラウド上にある資産の双方について、継続的に監視するという文化にコミットするべきだ」と強調するとともに、「いったんイベントの継続的な監視がしっかりと根付いたのであれば、何らかのイベントが発生した際に、制御を既知の正常な状態に戻せるような対応をそのイベントによって『自動的に』起動できるはずだ」と記している。
クラウドベースのセキュリティ
セキュリティはコストセンターであるため、投資と運用コストを厳格に管理しておきたい企業にとっては難題となる。こういった企業にとって、サービスとしてのセキュリティ(SECaaS)は難題の解決に向けた道となるかもしれない。Shackleford氏は「多くのSECaaSプロバイダーが、複数の統制分野においてコストと複雑さを低減できる、(大手クラウドプロバイダーのAPIと緊密に統合された)埋め込み型の軽量エージェントやサービスオプションを提供している」と記すとともに、「SECaaSという選択肢は、自動化および、継続的な開発と配備に向けた戦略にとって理想的であるため、DevSecOpsチームにとって魅力的なものとなる」と記している。
DevSecOpsは、ひと言で述べると、情報セキュリティチームとアプリケーション開発チーム、IT運用チームとの間の継続的なコラボレーションだ。これがうまく機能すれば、セキュリティまわりのコストと、サイバーセキュリティ関連の事件に巻き込まれる可能性を低減できるだろう。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。