DevSecOpsは単なるバズワードではない
今日、DevOpsはかつてないほどに重要な意味を持つようになっています。デジタルの世界は競争が日々激化しており、市場をリードするサービスを構築、運営するには、DevOpsの実践が不可欠となっているからです。しかし、ソフトウェア開発を取り巻く状況は変化を続け、DevOpsだけにとどまらない新たな要件が生じています。特に近年のセキュリティを取り巻く状況には、大きな変化がありました。
デジタルの世界では、サイバーセキュリティのリスクがかつてないほど高まっています。現在はサイバー攻撃が絶え間なく発生しており、コンシューマーであれ、企業であれ、サイバーセキュリティのリスクは現実のものとなっています。アーキテクチャーやプロセスに弱点があれば、それらが悪用されてしまうため、全ての組織はこれらのリスクに先手を打つ必要があります。
また、悪質な脅威の増加とは別に、データプライバシーをめぐる規制の強化が導入されたことも大きな変化です。現在では、データを適切に管理できない企業や、データの完全性を確保できない企業は、深刻な事業リスクに直面しています。
DevSecOpsは単なるバズワードではない
これらの理由から私には、「DevSecOps」という言葉が単なるバズワードであるとは思えません。むしろDevSecOpsは、DevOpsに対する必然的な進化であるように思えます。この進化が必須だと考えられる理由はなんでしょう。
私は、開発チームと運用チームがセキュリティを十分に考慮しなかったことが原因で遅れが生じたプロジェクトを幾つも見てきました。幸運な場合は、脆弱性やセキュリティの問題が見つかりません。しかし多くの場合、後から見つかったセキュリティリスクに対応するために、サービス開始時期の変更や「リソースの追加に同意してほしい」とテクノロジー責任者がビジネス関係者に泣きつくことになります。私の経験では、Sec無きDevOpsは、常にチームの不満、ビジネスの信頼性の問題、企業と顧客をリスクに晒す脆弱なサービスなどにつながります。
企業が競争力と危機からの回復力の両方を維持するには、これまで以上にセキュリティチームがサービスの提供に深く統合される必要があります。企業のテクノロジーリーダーが開発、運用チームにセキュリティチームを近づけるために採用できる戦略を紹介します。