ようこそゲストさん

  • 会員限定
  • 2022/11/07 掲載

クラウドネイティブ環境で「DevSecOps」を実現する具体的方法──ガートナーが解説

記事をお気に入りリストに登録することができます。
クラウドネイティブなアプリケーションでは、インフラとアプリケーションの境界がますます曖昧になっている。また、DevOpsでも開発と運用が近づき、重なりつつある。CI/CDのパイプラインを減速させることなく、いかにアプリケーションやデータのセキュリティを担保するのか。ガートナーのシニアディレクター,アナリスト、チャーリー・ウィンクレス氏が、クラウドネイティブのDevSecOpsにおける課題と解決方法、ツールの導入状況などについて解説した。

執筆:畑邊 康浩

執筆:畑邊 康浩

photo
ガートナーのシニアディレクター,アナリスト、チャーリー・ウィンクレス

クラウドネイティブ化でインフラとアプリケーションの境界が曖昧に

 DevOpsとクラウドネイティブアプリケーションが組み合わさることによって、インフラとアプリケーションの境界、そして開発と運用の境界が曖昧になっている。

 ガートナーには、顧客への調査を通じてクラウドネイティブのDevSecOpsを実現する上での主な課題を3つ抽出した。1つ目は、セキュリティに関する社内の知識が不足していること。2つ目は、新しいツールと従来のツールの統合が困難であること。そして3つ目が、アプリケーションとインフラの境界が曖昧であることだ。

「プラットフォームのチームはインフラをコードとして構成することに多くの時間を費やしています。また開発チームは、コードを書く時間を減らし、ローコードやノーコード、オープンソースから要素を取り出して組み合わせることに時間を費やすようになっています。そうなると、インフラのセキュリティがどこまでで、アプリケーションやソフトウェアのセキュリティがどこからなのかが分かりにくくなり、非常に混乱しているのです」(ウィンクレス氏)

 こうした状況の中でセキュリティの効果を上げるためには、クラウドセキュリティのセンター・オブ・エクセレンス(CCOE)を構築することが最も効果的だとウィンクレス氏は話す。

CCOEはクラウドネイティブの実現を促進するコンサルティングチーム

 CCOEそのものは具体的なツールやソリューションと違い、組織上の概念でしかない。CCOEが効力を発揮し、課題を解決していくためには、クラウドネイティブの実現を促進するコンサルティングチームという位置づけがポイントになる。

 クラウド・アーキテクトをはじめ、セキュリティ・アーキテクト、クラウドエンジニア、プラットフォームの運用メンバー、変革の推進者をCCOEの核となり、自分たちが作業を行うのではなく、コンサルタントとして各事業部門にアドバイスをしていく形だ。CCOEに専門知識を集約することで、「アプリケーションの問題なのか」「プラットフォームの問題か」といった細かい切り分けをせず一体となって対応し、変革を推進していく。このCCOEは、物理的なチームでも仮想的なチームでもよく、大掛かりな組織再編の必要はない。

 また別の観点でみると、全社をカバーするセキュリティチームがクラウドネイティブアプリケーションのセキュリティを担当している組織は、セキュリティの権限をIT部門以外へ委譲している組織と比較して成果が低い傾向があることが、ガートナーの調査で分かっている。逆に言うと、権限を分散させたほうが成功の確率が高いということだ。

 調査の回答数が他の調査と比べて少ないため論拠として弱い部分もあると断った上で、ウィンクレス氏は、3つのデータを示した。

 1つ目はよい点で、39%企業においてアプリケーション開発チームがコードのリリースを遮断することができているということ。

 残りの2つは、望ましくない状況を表している。

 1つは、54%の組織においてセキュリティチームがアプリケーションのセキュリティモニタリングを担ってしまっているというデータだ。最初のレベルのアプリケーションのモニタリングは、セキュリティチームではなくアプリケーションに近いビジネス部門がすべきであるにもかかわらず、現時点では半数以上の企業でセキュリティチームが担っている。

画像
セキュリティチームから権限を離し、分散・委譲する
(出典:Gartner(2022年7月))

 もう1つは、32%の組織でセキュリティチームがセキュリティツールの予算に権限を持っていることだ。ただし、「推移の傾向を見ると、予算権限はセキュリティチームから離れてアプリケーション開発、運用またはDevOpsの部門へとシフトしつつある」とウィンクレス氏は指摘する。

「特に、アプリケーションのセキュリティテストを行うツールは、セキュリティチームよりも開発チームの利用頻度が高まっています。言い換えると、購入するツールの選択が難しくなっているともいえます。CCOEや開発、運用、DevOpsなど複数のチームを関与させ、サイロを超えて可視性を高め、機能させることが必要です」(ウィンクレス氏)

【次ページ】新旧ツールの統合と自動化にはスキル、知識、経験が必要

関連タグ

あなたの投稿

関連コンテンツ

PR

処理に失敗しました

人気のタグ

おすすめユーザー

会員登録で動画、資料に使えるホワイトペーパー、オンラインセミナー年間500本など、会員限定記事が​閲覧できる!​

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます