yamory Blog

DevSecOpsとはなにか

DevSecOps(読み方: デブセックオプス) とは、DevOpsエコシステムをソフトウェアセキュリティにまで拡げるという概念であり、ここ数年で話題となってきたテーマでもあります。

本記事では、DevSecOpsの概念と、DevSecOpsが登場した背景について解説します。
DevSecOpsを最初に理解するうえでの一助となれば幸いです。

DevSecOpsとは

DevSecOpsを一言で表すと、セキュリティ要件が組み込まれたDevOpsです。
要件定義、設計、コード実装、デプロイに至るDevOpsパイプラインの全体にセキュリティ観点を組み込んでいきましょう、という考え方です。

DevSecOpsは、セキュリティを含めることが特徴です。
DevOpsとDevSecOpsの違い

DevSecOpsが登場した背景

なぜDevSecOpsが重要であるかを理解するために、これまでソフトウェアのセキュリティがどのように機能していたか、一度振り返ってみましょう。

これまでソフトウェアのセキュリティを担保するタスクは、ソフトウェアの開発プロセスとは別で実施されていました。
開発チームとエンジニアは設計および実装に専念し、セキュリティについては二の次としていたのではないでしょうか。
ソフトウェアが開発され、プロダクション環境にデプロイされて初めて、セキュリティエンジニアが脆弱性診断を行う流れが一般的でした。

このアプローチにおける問題点は、特にデプロイの頻度・スピードに適応できず、とても非効率になってしまうことです。
セキュリティの問題が見つかった場合、すでに作成およびデプロイされているコードを切り戻す必要が発生します。
また、ソフトウェアがすでに実稼働状態になるまで問題が検出できず、組織がセキュリティの脅威にさらされることを意味します。

さらに昨今では「アジャイル開発」と呼ばれる、新しい機能を短期間で継続的にリリースしていくソフトウェア開発アプローチの採用も増え、この問題はより顕在化するようになってきました。
ソフトウェア開発チームは、セキュリティを犠牲にすることなくソフトウェア開発プロセスをスピードアップする方法を見つける必要が出てきました。

そこで「DevSecOps」では、この問題をソフトウェア開発におけるすべてのプロセスにセキュリティを統合することにより解決しようとしています。

これにより、開発者はコードを書くときにセキュリティについて考え、ソフトウェアは展開前にセキュリティ問題についてテストされ、デプロイ後にセキュリティ問題が現れた場合は開発チームが迅速に対処する計画を立てられるようになります。

デプロイ前の各プロセスにセキュリティの要件・工程を組み入れていくことから「シフトレフト(Shift Left)」と呼ばれることもあります。

シフトレフト(Shift Left)とは、デプロイ前の各プロセスにセキュリティの要件・工程を組み入れていくことを指します。
Shift Leftの概念

DevSecOpsを実現するには

DevSecOpsにおける理想の形は、コードを安全で高速にデプロイすることを確保しながら、セキュリティチームと開発者をつなぐことです。
そのためには、チーム間を越えたコミュニケーションとアプリケーションセキュリティの責任について双方が共通認識を持つことが大切です。

DevSecOpsを実現するには、既存のITリソースとDevOpsプロセスを広く実践し、その上で強力なセキュリティを統合する全体戦略を構築する必要があります。
DevSecOpsを体現するための専用ツールはなく、またDevSecOpsに準拠した特定のプロセスといったものもありません。
様々なソフトウェア企業、セキュリティベンダーが試行錯誤を繰り返しながら洗練しているさなかにあります。

さいごに

今回はDevSecOpsの概念についてご紹介しましたが、yamoryでは今後もDevSecOpsを実現するためのトピックをご紹介してまいります。

また、先日セミナーおよびブログでご紹介したOWASP ASVS v4.0.1は、開発者とセキュリティチームが共通認識を形成するために最適なドキュメントです。同ドキュメントは、セキュアなWebアプリケーションに関する実装要件のリストですが、作者はDevSecOpsを目的にもしています。
ぜひご一読ください。

最後になりますが、yamoryではWebアプリケーションの約9割を占めると言われているオープンソースソフトウェアの脆弱性と、その脆弱性に関連する攻撃情報をモニタリングし、アプリケーションのセキュア化を支援いたします。
ぜひ一度お試しいただければ幸いです。

オープンソース脆弱性管理ツール yamory

  • 利用中のOSSを抽出し
    脆弱性を自動スキャン
  • 脆弱性への対応優先度を自動で分類
  • 組織規模に合わせたプランを選択可能

フリー

¥0

個人向け

1件ずつ Immediate な脆弱性を管理

1チームまでの開発チーム作成

yamory を使いはじめる

プロ

有料料金はお問い合わせください

中〜大規模組織向け

無制限で Immediate な脆弱性を管理

無制限の開発チーム作成

開発チームを俯瞰できるセキュリティチーム機能

危険な脆弱性の Slack 連携通知機能

特定のソフトウェアの脆弱性一覧を表示

特定の脆弱性を含むソフトウェア一覧を表示

Jira Cloud と連携

30日間の無料トライアルを開始