ロシア・ウクライナ情勢に関連したサイバー活動への備えを
5min. read

DevOpsについては聞いたことがあるでしょう。でも、DevSecOpsはどうですか? DevSecOpsとは、ソフトウェア セキュリティをソフトウェア配信プロセス全体の中核として位置づける概念を指します。

これがなぜ重要かを理解するには、ソフトウェア セキュリティのしくみについて考える必要があります。従来、ソフトウェア セキュリティ オペレーションは、ソフトウェアの作成に必要な他のプロセスとは別個に実行されていました。セキュリティについてあまり考えずに、開発者がコードを記述し、ITチームが導入していました。セキュリティ エンジニアがコードまたはコードをホストする環境の潜在的な脆弱性を確認するのは、ソフトウェアが作成され、本番環境に導入された後でした。

ソフトウェア セキュリティへのこうしたアプローチは、特に導入スピードが加速しているクラウド環境では非常に非効率です。セキュリティの問題が検出された場合、すでに記述され、導入されたコードの取り消しが必要になることがよくありました。つまり、ソフトウェアを本番環境に導入するまで問題が検出されず、組織がセキュリティの脅威にさらされることがよくあったのです。

DevSecOps (セキュリティの「シフト レフト」)では、ソフトウェア配信プロセスの全段階にセキュリティを組み込むことで、これらの問題に対処します。DevSecOpsにより、開発者はコードの記述時にセキュリティについて考えるようになり、ソフトウェアを導入する前にセキュリティの問題がないかどうかがテストされます。また、ITチームは導入後に発生したセキュリティの問題に迅速に対処するための計画を作成できます。

DevSecOpsはDevOpsを土台にしている
DevSecOpsはDevOpsの代替品ではありません。DevOpsの基本概念を拡張したものであり、開発者とITチームがサイロで別々に機能するのではなく、密接に連携してセキュリティを組み込むという考え方です。効果的なDevSecOpsとは、DevOpsを採用し、CI/CD開発パイプライン全体にセキュリティを統合することを指します。

DevSecOpsはツールではなく、文化である
組織でのDevSecOpsの実現に役立つツールやプロセスは数多くありますが、突き詰めていくと、DevSecOpsはツールやプロセスではなく、文化なのです。

DevSecOpsは、組織に正しい文化的価値を植え付けるものなのです。開発者、ITチーム、セキュリティ スペシャリスト、およびソフトウェアの配信に関わるすべての人々が、すべての作業においてソフトウェア セキュリティが何よりも大切であるという考え方を身に付ける必要があります。アプリケーションに関する意思決定を行う前に、チーム全体がセキュリティ上の懸念事項について考える必要があります。それができれば、DevSecOpsを実現したことになります。

DevSecOpsを実装する
DevSecOpsを実現する方法のうち、組織にとって最善の方法またはその理想的な組み合わせは、組織のニーズによって異なります。組織にDevSecOpsの文化を植え付けるのに役立つ一般的な戦略を、いくつかご紹介します。

  • 教育: ソフトウェア配信プロセス内のすべての利害関係者が、最新のセキュリティの脅威、および脅威に対処することの重要性について理解している必要があります。

  • 通信: すべてのチーム メンバー間の有効な通信チャネルを構築し、セキュリティの問題に関する情報を迅速に共有できるようにします。

  • セキュリティ プレイブック: さまざまなチーム メンバーが、特定のタイプのセキュリティ インシデントにどのようにレスポンスすべきかを指定する「プレイブック」を作成します。

  • 監査とコンプライアンス: セキュリティの監査とコンプライアンス チェックを、ソフトウェア配信プロセスの定例作業にします。

  • 適切なツールの使用: クラウドでのセキュリティおよびコンプライアンス ポリシーの適用の自動化を推進する、APIベースのクラウド セキュリティ ツールを選びます。

開発者がセキュリティに配慮するように仕向ける
DevSecOpsを実装する際、ほとんどの組織において、最も抵抗するのは開発者チームです。ここで疑問になるのは、セキュリティに配慮し、ワークロードに追加して、スキル セットを学ぶよう開発者を説得するには、どうすればよいでしょうか。

適切なツールは、DevSecOpsへの変換の促進剤として役に立ちます。クラウド プロバイダAPIを活用するツールを実装し、ポリシーの適用を自動化することで、開発者は徐々に学習し、有害なミスを犯さないようになります。クラウド ネイティブ ツールを活用して、AWSでポリシーの適用を自動化できます。ただし、マルチクラウド導入を使用する場合、厳格なコンプライアンス規制を受ける場合、または多くのアカウントを持つAWS環境に拡張する場合は、サードパーティ ツールを使用して効果的に作業を行い、すべてを1つのコンソールで管理する必要があります。適切なツールを選ぶ際のヒントについては、このブログ記事をご覧ください

DHI GroupがどのようにDevSecOps文化を創出したかについては、ブログ記事DevOpsとSecOpsの比較からDevSecOpsへをご覧ください。

顧客事例

株式会社みんなの銀行

業界に先駆けてフルクラウドバンキングシステムを構築したみんなの銀行 クラウドセキュリティソリューションにPrisma Cloudを採用

  • 417

データシート

Amazon Web Services 向け Prisma Cloud

Prisma™ Cloud (旧名RedLock) は、クラウド リソースの変化を動的に検出し、ユーザー アクティビティ、リソース設定、ネットワーク トラフィック、脅威インテリジェンス、および脆弱性フィードなどの生のサイロ化されたデータ ソースを常に関連付けて、パブリック クラウドのリスクの全体像を示す、セキュリティとコンプライアンスのサービスです。Prismaは、革新的な、機械学習によるアプローチを通じて、組織が責任共有モデルにおいて迅速にリスクに優先順位を付け、俊敏な開発を維持し、効果的に義務を履行できるようにします。

  • 2455

イベント

Prisma Cloud 使い倒しセミナー

第3回目の使い倒しセミナーでは、アンケートでリクエストの多かった、RQLのコーディング方法につきまして、デモを交えながら解説します。 Prisma CloudのRQLは、CSPMの設定だけでなく、ネットワーク、監査イベント、アノマリの検索が可能です。加えて、Cloud Network Security(IDベースマイクロセグメンテーション)の構成、さらには、CWPやGuardDuty、Inspectorなど外部のスキャナーの検査結果も検索することが可能です。 本セミナーではRQLの初歩から、少し複雑な便利な機能について解説します。

Online
  • 114

ホワイトペーパー

エンタープライズ向け MICROSOFT OFFICE 365を保護するためのガイド

Palo Alto Networks Security Operating Platform は、ネットワークからクラウド、エンドポイントに至るまでのMicrosoft 環境の保護に役立ちます。業界で最も包括的なMicrosoft のセキュリティ機能の一部を採用することで、Security Operating Platform はApp-ID を使用したMicrosoft のオペレーティング システムとアプリケーションの物理セキュリティ、VM-Series for Hyper-V® によるプライベート クラウド セキュリティ、Azure によるパブリック クラウドの脅威防御、インライン次世代ファイアウォールを介したCASB 機能およびAperture SaaS セキュリティ サービスを使用し、API を介したCASB 機能によるOffice 365 のセキュリティ、そして、GlobalProtect ネットワーク セキュリティとTraps™アドバンスト エンドポイント プロテクションを使用したMicrosoft エンドポイントをサポートします。

  • 1250

データシート

Microsoft Azure 向け Prisma Cloud

Prisma™ Cloud (旧名RedLock) は、クラウド リソースの変化を動的に検出し、ユーザー アクティビティ、リソース設定、ネットワーク トラフィック、脅威インテリジェンス、および脆弱性フィードなどの生のサイロ化されたデータ ソースを常に関連付けて、パブリック クラウドのリスクの全体像を示す、セキュリティとコンプライアンスのサービスです。Prisma は、革新的な、機械学習によるアプローチを通じて、組織が責任共有モデルにおいて迅速にリスクに優先順位を付け、俊敏な開発を維持し、効果的に義務を履行できるようにします。

  • 1131

顧客事例

The Pokémon Company International 社

The Pokémon Company International 社 : ポケモンは Prisma Cloud でセキュリティを簡素化、課題だったコンプライアンスをスムーズに実現

  • 117

リソース

法定通知

アカウント

  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2022 Palo Alto Networks, Inc. All rights reserved.