DevSecOpsとは
重要なポイント DevSecOpsは、DevOpsの拡張であり、セキュリティの懸念を開発プロセスの早い段階に移すことに重点を置いています。 「シフトレフト」とは、セキュリティを考慮し、開発プロセスを前倒しして実施するという概念です。 DevSecOpsは、セキュリティへの配慮を開発の最後まで残しておくことで生じる摩擦や手戻りを減らすことを目指しています。 DevSecOpsは、開発、運用、およびセキュリティがビジネスゴールに沿って連携し、より効率的なイノベーションを実現するための画期的な手段です。 DevSecOpsは、作業原則の集合体です。ソフトウェアコンポジション解析や、安全なコンポーネント管理に関連しており、1つのツールや手順というよりも、組織が連携する手段に関するものです。 一言で言うと? Dev.Sec.Ops. 上記の言葉を聞いたことがありますか?そうでない場合、あなただけではありません。DevSecOpsの基本的な前提は、話す相手によって異なる名前で呼ばれていることもあります(Rugged DevOps、SecDevOpsなど)。 では、DevSecOpsとは一体どういう意味なのでしょうか?まず知っておかなければならないのは、DevSecOpsの「sec」はセキュリティを意味するということでしょう。 多くの企業にとって、DevOpsの考え方を導入することは、ソフトウェア開発チームとIT運用チームの間の「ギャップを埋める」、つまり「サイロ化を防ぐ」ことであり、多くの場合、より速く、より安定したソフトウェアをリリースできるようになることを目的としています。 DevSecOps は、DevOps の概念を拡張したものであり、ソフトウェア開発ライフサイクル(SDLC)の中で「セキュリティを(つまり、より早い時期に)シフトレフトする」というキャッチフレーズで紹介されることがよくあります。セキュリティレビューや検査は、緩和措置が必要な発見があった場合、実施するのがより困難でコストがかかるサイクルの終盤に取り組むよりも、より効率的に実施することができるのです。 実際、DevSecOpsの背後にある原則、すなわち品質をソースに近づけ続けることは、「The DevOpsハンドブック」で述べられているように「DevOpsの第二の道(フィードバック)」の重要な信条でもあります。 “複雑なシステムでは、検査プロセスや承認プロセスを増やすと、かえって将来の不具合の可能性が高まります。意思決定を作業現場から遠ざけると、承認プロセスの有効性が低下します。そうすると、意思決定の質が下がるだけでなく、サイクルタイムが長くなるので、原因と結果のフィードバックの強度が低下し、成功と失敗から学ぶ能力が低下するのです。” Edwards Demingは、エンジニア、統計学教授、経営コンサルタントであり、米国で「総合品質管理(TQM)」を立ち上げるきっかけとなったことでよく知られていますが、同じ考えを(ずっと以前に)「ビジネスの有効性を変革するための(14の)主要経営原則」の3番目に提唱しています。…
