多くの組織では、DevOps はセキュリティとは別に機能していました。 開発と展開のスピードが速まるにつれて、セキュリティ制御は後回しにされることが多くなります。 しかし、セキュリティを早めに組み込むという DevSecOps の動きは、成果を上げていることが証明されています。
DevOps は、ソフトウェア開発と IT 運用の間のサイロを解体して継続的な統合プロセスを採用する一連のプラクティスです。
従来、多くの組織では、インフラストラクチャ内でapplicationsを開発、展開、管理するために、機能ごとにチームを分離していました。 しかし、ビジネスを革新しデジタル変革するための競争により、新機能の開発とリリースのペースが加速しています。 セキュリティは後回しにされることが多く、品質が低下し、多くの顧客を不満にさせてしまいます。 開発サイクルの終盤でapplicationコードの変更を加えると、非常にコストがかかるだけでなく (追加のテストと再認証のため)、「セキュリティによって作業が遅くなる」という一般的な認識が強まります。
サイクルタイムが加速し、開発チームがソフトウェアをより早くリリースするためにアジャイル手法を採用するようになるにつれ、DevOps による継続的インテグレーションは、より多くの新機能をより早く市場に投入し、より頻繁なリリースを提供することを目指します。 すべてはスピード次第です。
ソフトウェア開発ライフサイクルの早い段階でセキュリティのベストプラクティスを使用すると、コストと効率に劇的なプラスの効果を生み出すことができます。 しかし、多くの組織では、DevOps のムーブメント以前に開発チームと運用チームがサイロで運用されていたのと同じように、セキュリティ チームはサイロで存在し続けています。 このため、継続的な統合/デプロイメント プロセスにセキュリティを組み込む、さらに新しい動きが生まれました。 DevSecOps。
DevSecOps ムーブメントの人気が高まっているのは、主に「シフト レフト」と呼ばれる方法論によるものです。「シフト レフト」とは、ソフトウェア開発チームが最初から堅牢なコードに重点を置くことです。 この方法により、セキュリティはゲートキーパーとしての反応的な役割から、予防的な役割へと移行します。 セキュリティ チームは開発チームにガイダンスとサポートを提供し、継続的インテグレーション/継続的デリバリー (CI/CD) 開発パイプラインにセキュリティ自動化を早期に組み込みます。
DevSecOps 環境では、セキュリティは共有責任であり、より優れたコラボレーションとフィードバックを構築し、開発、運用、セキュリティ間の障壁を打ち破り、より低コストで効率性を高めながら、より早く機能を市場に投入できるようになります。
セキュリティを共有責任としているとしても、セキュリティ チームは、開発者がすぐにセキュリティの専門家になり、最初の機会に適切なセキュリティ管理の決定を下せるようになることを期待することはできません。 DevOps と同様に、DevSecOps は、applicationsの開発および展開方法に文化的な変化を必要とする哲学です。 ただし、セキュリティ チームが以下の 5 つの領域に重点を置くと、コストを削減し、効率を高め、拡張性を向上させることができます。
左にシフト
開発ライフサイクルのできるだけ早い段階でプロセスにセキュリティを組み込みます。
安全な道を簡単な道にする
開発者の (CI/CD) パイプラインに組み込まれた、パッケージ化された摩擦のないセキュリティ制御の提供に重点を置きます。
サイロを壊す
開発、運用、セキュリティ チーム (App Dev、DevOps、SecOps) 間のコラボレーションとフィードバックを強化します。
セキュリティチャンピオンの育成
開発チーム内でセキュリティを最優先に考慮します。
ビルドパイプラインを作成する
開発者が使用するのと同じツールでセキュリティ制御とテストを構築します。 この方法では、制御が自動的かつ一貫して適用され、開発チームは新しいリリースごとにセキュリティ チームに依存する必要がなくなります。