「DevSecOps成熟度モデル」でDevOpsにセキュリティ管理を組み込む

今回は「「DevSecOps成熟度モデル」でDevOpsにセキュリティ管理を組み込む」についてご紹介します。

関連ワード (ITインフラ、オブザーバビリティーが変えるCX等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 DevOpsは、顧客体験の向上におけるアプリケーション開発のスピードと品質を向上させる実践論として、よく知られるようになりました。しかし開発者には、アプリケーション開発のスピードと複雑さが増すにつれ、十分にセキュリティが確保されているかの不安が生じており、DevOpsチームにとってセキュリティへの対処が不可避になりました。

 DevSecOpsは、セキュリティ管理をソフトウェアの開発ライフサイクル(SDLC)へ組み込むことに焦点を当てた、新しくかつ優れた手法です。DevSecOpsにより本番環境へのデプロイ前、さらに、その後においては、アプリケーションとその基盤となるインフラのセキュリティを確保することが可能になります。DevSecOpsは、ソフトウェア業界におけるトレンドになりつつあります。

 DevSecOpsがセキュリティの向上に資することは誰もが認めるところですが、残念ながら、その導入に関する標準的なガイダンスが、まだ確立されていません。このためDatadogは、セキュリティ管理手法をDevOpsの一連のプロセスに組み込むための理想形と現状とのギャップを特定し、組織内でDevSecOpsを成功裏に推進するために役立つ「成熟度モデル」を開発しました。成熟度モデルは、多くの企業がどのようにアプリケーションのセキュリティを管理しているか、実情の観察から得られた洞察に基づいており、組織におけるDevSecOpsの実践度を測定できる、他に類を見ないモデルです。

 Datadogは、10年以上にわたって1万5000以上の組織におけるDevOps(現在はDevSecOps)の実践を支援してきました。DevSecOpsの取り組みがまだ途上にある組織から、既に十分に浸透、成熟した組織まで、さまざまな段階の組織を支援したことにより、次の4つの洞察を得ました。

 セキュリティ対策は、しばしアプリケーション実装のスピードを低下させます。多くのチームリーダーは、アプリケーションの迅速な実装と脆弱性リスクの低減のために、開発プロセスにおいて優れたセキュリティ管理手法が必要だと認識しています。

 セキュリティチームはDevOpsチームとは異なるツール、プロセス、用語を使用していることがあり、開発のワークフローにセキュリティ管理手法を組み込むことが難しくなる一因となっています。

 DevOpsチームが、より多くのセキュリティの責任を負うようになるのに従い、セキュリティチームがSDLCの早い段階から参加するようになっています。この「シフトレフト」(開発~運用のプロセスを左右軸で表現した場合に、左手に位置する開発側にセキュリティの比重が移ること)を実現し、DevSecOpsの採用を成功させるためには、組織全体に大きな変化をもたらす必要があります。

 DevOpsが浸透するにつれ、組織はDevSecOpsへの取り組みを加速しようとします。しかし、アプリケーション全体に渡るセキュリティの可観測性を実現する上では、全てのチームが共有できる明確なセキュリティの指標が欠如しているなど、まだギャップが存在する状況が見受けられます。

 以上の洞察は、よりよいセキュリティ管理手法を構築する際に組織が経験するペインポイントを明らかにし、成熟度モデルの方向軸を定めるために基本的な要素となりました。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
Facebook、Instagramのユーザー画像で自己教師あり学習したコンピュータビジョン「SEER」発表
アプリ・Web
2021-03-06 09:30
ヨーカドーで“AR試着” 服やメイク、ランドセルまで
企業・業界動向
2021-04-24 22:31
ソフトバンク、楽天モバイルと元社員に1000億円規模の訴訟 まず10億円の支払いなどを請求
企業・業界動向
2021-05-07 19:37
ソニーが試作EV「VISION-S」を3月28日に一般公開、2021年事業化予定のドローン「Airpeak」も展示
モビリティ
2021-03-10 13:08
電池交換式の探し物トラッカー「MAMORIO RE」が1個3828円で発売、リング付きのレザーチャームも
IoT
2021-05-22 17:10
「AIがプラットフォームになる時代の始まり」–米マイクロソフト沼本EVP
IT関連
2023-10-04 00:25
南都銀行、顧客との物件授受をデジタル化するシステム導入–効率と確実性の向上へ
IT関連
2023-12-13 03:42
規制順守で止まらない、積極的なセキュリティアプローチへの転換–タレス・兼子氏
IT関連
2025-01-11 19:27
NTTデータとオラクル、ソブリンクラウドのサービス強化で協業–自社DCに「Oracle Alloy」導入
IT関連
2024-10-26 14:08
元Twitter幹部が起ち上げた投資会社01 Advisorsが2つ目のファンドを約342.4億円でクローズ
VC / エンジェル
2021-02-17 01:22
プリクラ感覚のネイルチップ印刷機「ネルチップ」 タカラトミーが発表 1回500円 専用アプリでアレンジも
くらテク
2021-03-19 07:45
日本は金銭的被害より物理的被害に恐怖–セキュリティ意識調査
IT関連
2022-07-06 01:52
社内申請などの書き方をAIで支援、従業員体験を向上–NTTテクノクロス
IT関連
2021-02-03 15:14
マイクロソフト、AIで「Teams」を強化へ–「背後に映る部屋の美化」などが可能に
IT関連
2023-11-17 09:40