DevSecOps とは何ですか?

DevSecOps は、開発チームがセキュリティ問題に効率的に対処できるよう支援することを目的としていますこれは、厳しいスケジュールと迅速なソフトウェアアップデートに対応できなかった古いソフトウェアセキュリティプラクティスの代替手段となります。DevSecOps の重要性を理解するために、ソフトウェア開発プロセスを簡単に確認しましょう。

ソフトウェア開発ライフサイクル

ソフトウェア開発ライフサイクル（SDLC）は、ソフトウェアチームが高品質のアプリケーションを作成できるようにするための構造化されたプロセスです。ソフトウェアチームはSDLCを使用してコストを削減し、ミスを最小限に抑え、ソフトウェアが常にプロジェクトの目的に合致するようにします。ソフトウェア開発ライフサイクルでは、ソフトウェアチームは次の段階を経ます。

• 要件分析
• 計画
• 建築デザイン
• ソフトウェア開発
• テスト
• デプロイ

SDLC の DevSecOps

従来のソフトウェア開発方法では、セキュリティテストはSDLCとは別のプロセスでした。セキュリティチームは、ソフトウェアを構築した後に初めてセキュリティ上の欠陥を発見しました。DevSecOps フレームワークは、ソフトウェア開発および配信プロセス全体で脆弱性を検出することにより、SDLC を改善します。

DevSecOps を実装するには、ソフトウェアチームはまず、DevOps と継続的インテグレーションを実装する必要があります。

DevOps

DevOps 文化は、開発チームと運用チームを結びつけるソフトウェア開発手法です。これは、ツールと自動化を使用して、2 つのチーム間のコラボレーション、コミュニケーション、透明性を向上させます。その結果、企業は、変更に柔軟に対応しながら、ソフトウェア開発期間を短縮できます。 

継続的インテグレーション

継続的インテグレーションと継続的デリバリー (CI/CD) は、自動化されたビルドアンドテストのステップを使用して、アプリケーションの小さな変更を信頼性の高い方法で効率的に提供する最新のソフトウェア開発手法です。開発者は、CI/CD ツールを使用してアプリケーションの新しいバージョンをリリースし、ユーザーがアプリケーションを使用できるようになった後で、問題に迅速に対応します。例えば、AWS CodePipeline は、アプリケーションのデプロイと管理に使用できるツールです。

DevSecOps

DevSecOps は、CI/CD プロセス全体でセキュリティ評価を統合することにより、DevOps プラクティスにセキュリティを導入します。これにより、セキュリティは、ソフトウェアの構築に関わるすべてのチームメンバー間で共有される責任になります。開発チームは、コードを記述する前にセキュリティチームとコラボレーションします。同様に、運用チームは、デプロイ後もソフトウェアのセキュリティの問題を監視し続けます。その結果、企業はコンプライアンスを確保しつつ、安全なソフトウェアをより迅速に提供します。 

DevSecOps と DevOps の比較

DevOps は、アプリケーションをできるだけ早く市場に投入することに重点を置いています。DevOps では、セキュリティテストは、アプリケーション開発の最後、デプロイの直前に実行される個別のプロセスです。通常、別のチームがソフトウェアのセキュリティをテストして適用します。例えば、セキュリティチームはファイアウォールを設定して、アプリケーションの構築後にアプリケーションへの侵入をテストします。

一方、DevSecOps では、セキュリティテストをアプリケーション開発プロセスの一部にします。セキュリティチームと開発者は協力して、ソフトウェアの脆弱性からユーザーを保護します。例えば、セキュリティチームはファイアウォールを設定し、プログラマーが脆弱性を防ぐためにコードを設計し、テスターが不正なサードパーティによるアクセスを防ぐためにすべての変更をテストします。

DevSecOps 文化は、コミュニケーション、人、テクノロジー、プロセスを組み合わせたものです。 

通信

企業は、トップから始まる文化的変化を促進することにより、DevSecOps を実装します。上級リーダーは、セキュリティプラクティスを採用することの重要性とメリットを DevOps チームに説明します。ソフトウェア開発者と運用チームは、DevSecOps プラクティスを採用するために適切なツール、システム、および奨励を必要とします。 

人材

DevSecOps は、ソフトウェアチームが関与する文化的トランスフォーメーションにつながります。ソフトウェア開発者は、コードのビルド、テスト、デプロイという従来の役割に固執しなくなりました。DevSecOps を利用すると、ソフトウェア開発者と運用チームはセキュリティの専門家と緊密に連携し、開発プロセス全体を通じてセキュリティを強化します。 

テクノロジー

ソフトウェアチームは、テクノロジーを使用して開発中に自動セキュリティテストを実行します。DevOps チームは、これを使用して、デリバリースケジュールを損なうことなく、セキュリティ上の欠陥がないかアプリをチェックします。例えば、ソフトウェアチームは、Amazon Inspector を使用して、継続的な脆弱性管理を大規模に自動化します。

処理

DevSecOps は、従来のソフトウェア構築プロセスを変えます。DevSecOps により、ソフトウェアチームは開発のあらゆる段階でセキュリティテストと評価を実行します。ソフトウェア開発者は、コードを記述するときにセキュリティ上の欠陥をチェックします。次に、セキュリティチームがプレリリースアプリケーションにセキュリティの脆弱性がないかテストします。例えば、次の項目をチェックします。

• ユーザーが必要なものだけにアクセスできるようにするための承認
• 異常なデータを受信したときにソフトウェアが正しく機能できるようにするための入力検証 

その後、ソフトウェアチームは、最終アプリケーションをエンドユーザーにリリースする前にすべての欠陥を修正します。

セキュリティテストは、アプリケーションが公開されても終了しません。運用チームは引き続き潜在的な問題を監視し、修正を行い、セキュリティチームおよび開発チームと協力してアプリケーションのアップデートバージョンをリリースします。例えば、Amazon CodeGuru Reviewer を使用して、セキュリティの脆弱性、開示されたシークレット、リソースのリーク、同時実行の問題、誤った入力検証、AWS API と SDK の使用に関するベストプラクティスからの逸脱を検出する場合があります。 

ソフトウェアチームは以下の DevSecOps ツールを使用して、ソフトウェア開発中にセキュリティの欠陥を評価、検出、報告します。

静的アプリケーションセキュリティ検査

静的アプリケーションセキュリティ検査 (SAST) ツールは、独自のソースコードの脆弱性を分析して検出します。 

ソフトウェア構成分析 

ソフトウェア構成分析 (SCA) は、リスク管理、セキュリティ、およびライセンスコンプライアンスの目的で、オープンソースソフトウェア (OSS) の使用に関する可視性を自動化するプロセスです。 

対話型アプリケーションセキュリティ検査

DevSecOps チームは、対話型アプリケーションセキュリティ検査 (IAST) ツールを使用して、本番環境におけるアプリケーションの潜在的な脆弱性を評価します。IAST は、アプリケーション内から実行される特別なセキュリティモニターで構成されています。 

動的アプリケーションセキュリティ検査

動的アプリケーションセキュリティ検査 (DAST) ツールは、ネットワークの外部からアプリケーションのセキュリティをテストすることにより、ハッカーを模倣します。

ソフトウェアチームに DevSecOps を導入する際、企業は次のような課題に直面する可能性があります。 

文化的変化への抵抗

ソフトウェアチームとセキュリティチームは、長年にわたり従来型のソフトウェア構築手法に従ってきました。企業では、IT チームが DevSecOps の考え方にすぐに慣れるのが難しいと感じられる場合があります。ソフトウェアチームは、アプリケーションの構築、テスト、および展開に重点を置いています。一方、セキュリティチームはアプリケーションを安全に保つことに重点を置いています。したがって、上級管理者は、ソフトウェアセキュリティプラクティスとタイムリーなデリバリーの重要性について、両方のチームに同じ認識を持たせる必要があります。 

複雑なツールの統合

ソフトウェアチームは、さまざまなタイプのツールを使用してアプリケーションを構築し、セキュリティをテストします。さまざまなベンダーのツールをデリバリープロセスに統合し続けることは困難です。従来型のセキュリティスキャナーは、最新の開発手法をサポートしていない場合があります。