「セキュリティ」への対応もスピードアップを。
「DevSecOps」の実証に挑戦

近年のシステム構築では、開発をよりスピードアップしたいという要望が強くなっていることを受け、アジャイル開発手法やDevOpsが普及してきています。開発がスピードアップするにつれ、セキュリティ対策にかかる時間やコストの課題が顕在化してきました。

例えば脆弱性診断では、お客様は診断のために毎回さまざまな調整を人手で実施しており、手間や時間、コストがかかっていると聞きます。診断チーム側も依頼をいただくたびに、脆弱性診断の計画を毎回策定して実施に臨んでいる状況です。

これでは、折角アジャイル開発やDevOpsにより開発のスピードアップを図っても、セキュリティ対策にかかる時間やコストがボトルネックになりかねません。

こうした課題に対して、DevOpsの開発・運用サイクルにセキュリティ対策を組み込んだ「DevSecOps」という概念が提唱されています。開発段階においてはコードを修正すれば自動的にセキュリティテストが実施され、運用・監視段階においては、新たな脅威や脆弱性が検知されれば半自動にて迅速に対策が実施され、開発側にフィードバックする、というものです。

そのDevSecOpsの実現のため、いくつかの仕組みをDevOpsのフレームワークに組み込んだ環境を構築し実証してみました。

その結果、セキュリティ対策に要する時間を削減しつつ、一定のセキュリティレベルを担保でき、セキュリティ対策の複雑性も解消されることが確認できました。

その一方で、例えばビジネスロジックに関する脆弱性診断は、自動化されたセキュリティテストだけでは取り扱うことが困難であるなど、課題も見えてきました。DevSecOpsの環境構築には多種多様な仕組みやソフトウェアを組み合わせる必要があり、人材や体制、さらには文化醸成などの面でも課題が残ります。今後も、引き続き工夫が必要となりそうです。