BLOG

DevSecOpsが必要な本当の理由?DevSecCon Singapore 2019から学ぶ、DevOpsセキュリティの現場とは。

サムネール
Published April 16, 2019

みなさん、こんにちは。突然ですが、DevSecOpsという言葉、しっかりと言葉の定義まで含めてお聞きになったことはありますか? ガートナー社(英語サイト)によると、DevOpsという考え方に更にセキュリティの概念を加えたこのDevSecOps、近年のホットトピックの一つになってきているようです。ですが、情シスの現場でもしっかりと理解されている方は意外に少ないのではないでしょうか。

かく言う筆者も、軽くネットで調べてみたのですが、そもそもこの用語に触れている記事などが(特に日本語サイトでは)非常に少ない印象でした。そこで、たまたま先日、シンガポールで開催されたDevSecOpsを主題に置いたイベント、DevSecConに参加する機会があったのでここでその内容を総括してみようと思います。 

シンガポールで開催された本イベントは、アジア各国のユーザ企業の講演もあり、様々な意見がかわされていましたが、大きくまとめると下記の3つのポイントに集約されると感じました。

1.  開発の現場の変化

「すべての現場の開発者、ひとりひとりがセキュリティ担当者としての研修を受けるべきだ。」

「情報セキュリティという責任は開発者全員が請け負うべき責任である。」

意外かもしれませんが、これらはすべて開発部門に所属するユーザ企業のエンジニアの方々が壇上で強調していた内容です。セキュリティと言えばセキュリティ部門が担当するものであり、開発側は関係ない - 正直、そんな雰囲気は微塵も感じさせず、むしろ「どうやって開発プロセスにセキュリティ部門を取り込むか」という議論や体験談が熱心に話し合われていました。極論かもしれませんが、「手戻りを無くすためには、開発プロセスの初期段階の顧客ミーティング全てにセキュリティ部門も参加させるのがベストなのでは。」という発言すらありました。

2.  セキュリティ部門の変化

「我々セキュリティ担当者は技術者の立場に立つべきで、何か問題を見つけて指さし続けるだけの人間でいては駄目だ。」

「あくまでも個人的な意見だが、我々セキュリティの人間はとにかくプロセス自動化というものに疎い。ほっとくと全てマニュアル作業前提で進めるという、ね。(苦笑)」

「我々が提案するのは、セキュリティ部門は開発部門との緊密な連携を最優先事項とするという事だ。」

これらは逆に全てセキュリティ部門の講演者の方々の発言になります。前項の裏返しになりますが、情報セキュリティ部門の意見として「どうやったらもっと開発プロセスをより良い方法で支援できるか」という考えが大多数を占めていました。兎にも角にも、もはやセキュリティ部門はプロセスを邪魔したり結果的にプロジェクトの進捗を遅延させる要因であってはいけない、もうそんなことは言っていられない、という熱気を感じました。それを具現化するのが「シフト・レフト(Shift Left)」です。その名の通り、開発プロセスの、より上流工程で実装なり監査なりを実施することにより、プロジェクト進捗に支障のないセキュリティを実現する、という事です。これは先月サンフランシスコで開催されたRSAカンファレンス2019 (英語サイト)でも大きな話題になったようです。セキュリティ部門の価値向上というだけでなく、デジタル時代に適応するためにどうするべきか、という緊張感から出てきている一つの考え方と見るべきでしょう。

3.  セキュリティ人材

「どうも会社というものは、開発者はガンガン採用するけど、セキュリティ人材はあまり採らないようだ。結果として、セキュリティ部門のスケール問題がでちゃうんだよね(苦笑)」

「問題の根本はセキュリティ人材不足だと思っている。その証拠に、(とある顧客プロジェクトで)アプリケーションセキュリティ人材で募集をかけたところ、応募者の殆どがネットワークセキュリティのみの経験者で占められた。」

さて、最後のポイントは毎度おなじみの人材の話になってしまい若干恐縮です。しかし続けますと、生産年齢人口が豊富と言われるアジア地域(経済産業省の資料によるとこれから高齢化がすすむ、とありますが今はまだまだ潤沢な資産と言えます)ですら人材不足が課題なのであれば、日本では尚更深刻です。プロセスの自動化などを進めるのは勿論なのですが、各種セッションを聴講するうちに、そもそもDevSecOpsというトレンド自体がこの人材不足問題そのものへの取組の一環なのでは、とすら思えてきました。自動化し、開発部門であっても情報セキュリティ部門であってもDevもSecもまとめて運用(Ops)すること。それが先進的なデジタル改革に対応する取り組みあると同時に、全世界的な課題であるセキュリティ人材育成の遅れを解決するひとつの案でもあるのではないか – そんな事を考えながら、筆者は会場を後にしたのでした。