DevSecOps の苦闘: DevSecCon Singapore 2019 の成果

セキュリティ文化の変化

「私たちセキュリティ専門家は、開発者を非難するのではなく、技術者となるよう努めるべきです。」

「セキュリティ チームはプロセスの自動化が得意ではないと感じています。 デフォルトで手動プロセスを採用する傾向があります。」

「セキュリティ チームは開発チームとの関係構築から始めることをお勧めします。」

これら 3 つのコメントは、セキュリティ専門家が開発チームに加わることができるし、加わるべきであることを示唆しています。 セキュリティ チームが共有していた苦労は、コインの裏側にあると言えます。セキュリティ スタッフは、DevOps プロジェクトをより良く推進するにはどうすればよいかを知りたいと思っています。 彼らは、開発の妨げになってはならないこと、また DevOps が使用するツールチェーンやプロセスの一部を実装する必要があることも認識しています。 RSA Conference SFO 2019でも大きな話題になったと思われる「シフトレフト」というアイデアが、このイベントでも広く言及されたのはそのためです。 セキュリティ専門家が自らの価値を高めたいと考えているだけでなく、デジタルビジネス時代に適応できる唯一の方法だと考えているため、これは必要なことです。

タレント

「組織は開発者を多く雇う傾向がありますが、セキュリティ担当者を雇うことを忘れがちです。 その結果、セキュリティチームの拡大が問題になります。」

「アプリケーション セキュリティの人材不足が根本的な原因です。 「アプリセキュリティの職に応募する人のほとんどは、ネットワークセキュリティの担当者です。」

強調されたもう一つの問題は、リソースと人材の不足でした。 これらのコメントからわかるように、アプリケーション セキュリティの職種を埋めるのは簡単ではありません。 組織がビジネスニーズを満たすために開発を加速することに注力する一方で、セキュリティ チームは拡張に苦労しています。 もちろん、ツールチェーンと自動化により、セキュリティ チームの作業をスケーラブルかつ高速化することで、このギャップを埋めることができます。 それはまだ最初の段階に過ぎないと感じました。 長期的には、DevOps とセキュリティの両方のジョブを十分に簡素化して、DevOps とセキュリティの両方の人材が両方の役割を果たせるようにする必要があります。

***

この空間内の文化を変えるのは簡単ではありませんが、変えなければならないことは誰もが知っています。 セキュリティチームと開発チームの両方の講演者が共通のテーマ、苦労、提案を持っているのを見るのは興味深いことでした。 共通のアイデア: 開発者とセキュリティ担当者が同じ目標を持つ単一のチームとして団結する方法についてです。 幸いなことに、多くのツールチェーン ベンダーとソリューション プロバイダーが現在、この簡素化されたアプローチに重点を置いています。 これは、ソフトウェア エンジニアリング テクノロジーとセキュリティ ソリューションの一種の民主化です。 ですから、私たちは皆、この方向に向かって進んでいます。