この調査では、強力なDevOps文化がより強力なセキュリティを実現するうえで有効となることも裏付けられている。これは「チームが共用のツールを用いて協力し、共通の目標に向かって作業を進めるところから生み出される、そして配備チームは強力な自主性を保ちつつ、作業の完遂に向け、組織境界を比較的容易に越えられるような、共有の文化」と定義されている。
DevSecOpsに至る最適な道とはどのようなものだろうか?セキュアなソフトウェア配備を重要な柱としつつ事業をさまざまな方向に展開しているCisco Systemsは、数多くのクラウドベースのソリューションをまたがるセキュリティの取り組みを評価、改善するためにDevSecOpsの方法論を活用してきている。同社の上級バイスプレジデント兼最高情報セキュリティ責任者を務めるSteve Martino氏は最近の投稿で、DevSecOpsの取り組みを始めるためのティップスを提示している。
- 足元を固める:Martino氏は「開発工程を通じてセキュリティを取り込んでいくための指針となる、明確に定義された原則は、エンジニアリングチームと運用チーム、セキュリティチームの間の相互信頼を確立するうえで役立つ」と述べている。
- まずセキュリティ要求を定義する:「われわれCiscoでは、情報セキュリティチームとアプリケーションチームが参加するアジャイルセキュリティハッカソンを実施し、『ガードレール』と呼んでいる最も重要なセキュリティ要求をまず定義した」
- ガードレールを自動化する:「新たなアカウントを準備するタイミングなどで、チームがガードレールを適用できるような簡単な方法を用意する。また、既存アカウントを後付けで改善する簡単なスクリプトを開発する」
- 継続的に検証する:「新たなリソースが導入される、あるいはその他の変更が発生するなかで、継続的なセキュリティ検証と、セキュリティログのリアルタイム監視によってガードレールを最新のものにしておく。また、特定のスコアに基づいた、あるいは部門のテナントに対する基準を格付けしたセキュリティ関連の状況レポートの定期的な作成を検討する」
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
