セキュリティは後から追加するものではなく 常にあるべきもの

読了にかかる時間:7 分 | ボリュームアイコンこの記事を音声で聴く

セキュリティシールド
Jump to section

セキュリティは、しばしば付け足しとして扱われます。つまり、セキュリティチームや IT 運用チームが開発ライフサイクルの最後に考慮すればよいという考え方です。ソフトウェアのアップデートが年に 1 度か 2 度程度であれば、こういったプロセスでも問題ないかもしれません。しかし、ソフトウェア開発者が数日または数時間という短いアジャイルソフトウェア開発ライフサイクルを選択し始めると、このようなセキュリティへのアプローチは、迅速なアップデートやアプリケーションの本番環境への導入が必要となる場合の障害となります。

「DevSecOps のクラウドへの移行に伴う懸念分野として、次の 4 つが上位を占めています。データセキュリティ (45%)、クラウドセキュリティ管理 (36%)、サプライチェーンのセキュリティリスク (33%)、パブリッククラウドのアセットの保護 (29%)」1

45% 36% 33% 29%

データセキュリティ

クラウドセキュリティ管理

サプライチェーンのセキュリティリスク

パブリッククラウドのアセットの保護

アプリケーション開発ライフサイクルの早い段階で DevSecOps 手法を採用して組み入れることで、IT チームとセキュリティチームは、複数の人、プロセス、技術にまたがるセキュリティの課題に後からではなく早い段階で取り組むことができます。この手法により、セキュリティを開発ライフサイクルの継続的で包括的な部分に組み込むことができます。また、このアジャイルな働き方は、スピードと効率の向上、セキュリティとコンプライアンスの改善、一貫性、再現性、コラボレーションの向上、ヒューマンエラーの削減にもつながります。

この取り組みは最終的にはリスクの低減につながり、企業はコンプライアンスにおける業界のセキュリティ基準を満たすことができます。しかし、どうしたらそれを実現できるのでしょうか。

DevSecOps が重要な理由

DevSecOps なら、
安全に 迅速化を実現

セキュリティシールド

企業がベアメタル、仮想マシン、プライベートクラウド、パブリッククラウドなどのハイブリッド環境でより多くのワークロードを実行するようになると、セキュリティやコンプライアンスに関する複雑で困難な問題に直面するようになります。データは複数のワークロードに分散されるため、コンテナのセキュリティインサイダー脅威マルウェアなどの既存のセキュリティ課題はさらに複雑なものになります。

DevSecOps では、IT チームとセキュリティチームによる、人、プロセス、技術にまたがるセキュリティ問題への取り組みを支援します。具体的には、以下の実現を支援します。

  • 安全性の向上とリスクの最小化:アプリケーション開発やインフラストラクチャのライフサイクルの早い段階でセキュリティの脆弱性を排除することで実現します
  • 効率とスピードの向上:従来のセキュリティプラクティスとツールを排除し、自動化と標準化により DevOps リリースサイクルの効率とスピードを実現します
  • リスクの軽減と可視性の向上:アプリケーション開発およびインフラストラクチャのライフサイクルの早い段階でセキュリティゲートを導入することで実現します

セキュリティチームは、リスクと緩和のバランスを取るだけでなく、複数のクラウドプロバイダーや急速に変化する IT 標準に関するセキュリティやコンプライアンスの問題に対応する必要があります。そのため、ハイブリッドクラウドのセキュリティを実現するには、各チームの参加と協力に基づく企業全体での取り組みが欠かせません。

「DevOps チームがセキュリティグループと協力してセキュリティに関する責任をより多く担うことで、DevSecOps の成熟度が高まります。開発、IT 運用、情報セキュリティの部門間で責任を共有することが重要です」2

オープンソースとオープンスタンダードは、Red Hat におけるオープン・ハイブリッドクラウド戦略の重要な基盤となっています。オープンソースがもたらすオープンな要素のおかげで、アプリケーションやデータをある環境から別の環境へと一貫して移行することができます。しかし、管理されていないコミュニティソフトウェアを使用すると、組織が攻撃に対して脆弱になる可能性があります。

Red Hat はオープン・ハイブリッドクラウド・セキュリティと DevSecOps を実現するため、信頼性の高いセキュリティ重視のソリューションを提供しており、企業がハイブリッド環境の構築、管理、制御、および自動化戦略の実施、さらには DevSecOps 手法による堅牢なアプリケーションの開発に集中できるように支援します。

Red Hat の DevSecOps へのアプローチ

DevSecOps 手法はアプリ開発ライフサイクルの
早期に、また頻繁かつ継続的に 組み込む

DevSecOps は、セキュリティを犠牲にすることなくアプリケーションを迅速に開発することを目指す企業にとって非常に重要です。しかし、DevSecOps はアプリケーションのライフサイクルだけに留まりません。Red Hat のアプローチでは、パートナーのエコシステムとともに、ライフサイクルとテクノロジースタックのすべての段階でセキュリティを統合します。

セキュリティを重視したハイブリッドクラウドの構築

DevSecOps 導入の成功への道は、アプリケーション・パイプラインの作成前からすでに始まっています。組織はまず、アプリケーションやインフラストラクチャが、セキュリティツールやセキュリティ機能が組み込まれたソフトウェア上で運用されることを確認する必要があります。

Red Hat のオープンソースソフトウェアはソフトウェア・サプライチェーンのセキュリティプロセスを使用して開発されています。そのため、ワークロードをビジネスに最適な任意の場所に移行できる柔軟性が得られるほか、脆弱性や攻撃にさらされるリスクを軽減できます。さらに Red Hat では、ソースコードの静的コード解析、ソフトウェアの出所の確認、広範な品質保証と回帰テスト、ハードニング、安全なチャネルでの配布、Red Hat 製品に含まれるすべてのパッケージの継続的なセキュリティアップデートを行っています。

Red Hat Enterprise Linux® は、お客様が重要なアプリケーションを信頼できる方法で拡張し、ベアメタル、仮想、コンテナ、およびあらゆる種類のクラウド環境で一貫して新しいテクノロジーを展開するためのセキュリティ基盤を提供します。

Red Hat Enterprise Linux が提供するセキュリティ基盤により、その上で動作し、レイヤーを形成する Red Hat OpenShift® などの製品にも Red Hat Enterprise Linux が提供するセキュリティ技術の効果が受け継がれますRed Hat では、同様の信頼できるコンテンツをパッケージ化した Linux コンテナも提供しています。Red Hat Universal Base Images を使用すると、Open Container Initiative (OCI) 準拠の Linux コンテナが実行されるあらゆる場面で、Red Hat コンテナイメージの信頼性、セキュリティ機能、パフォーマンスをさらに強化できます。

セキュリティを重視したハイブリッドクラウドを管理および制御

従来の環境とコンテナ化された環境の両方を含むハイブリッド環境を大規模に管理し、制御するための主要な方法として、アプリケーション開発、セキュリティ運用、インフラストラクチャ運用のすべてにおいて一貫した自動化戦略を採用して、セキュリティとコンプライアンスを強化することが挙げられます。自社のハイブリッドクラウドに一貫性のある自動化戦略を採用する企業は、セキュリティとコンプライアンスの向上という重要な成果を得ることができます。

コンピュータに向かう男性のイラスト

DevSecOps 手法を用いたアプリケーション開発におけるセキュリティ

組織がハイブリッドクラウドをセキュリティが統合された基盤に構築してセキュリティを強化し、ハイブリッド環境の管理と制御に向けて一貫した自動化戦略を全社的に導入することに成功した場合でも、自動化をアプリケーション・ライフサイクルまで拡大し、DevSecOps の手法を開発とインフラのライフサイクルの早い段階で導入するなど、セキュリティの継続的な取り組みが必要になります。

45%

「回答者の 45% が、セキュリティを維持しながら開発とデプロイを迅速化することを主な促進要因として挙げています」3

Red Hat ソリューションにおける DevSecOps の導入は、お客様がアプリケーション・パイプラインの早い段階でセキュリティを構築し、従来の環境とコンテナ化された環境の両方で DevSecOps 手法を使用してアプリケーションを展開し、実行できるよう支援します。これは単なるテクノロジーの変化だけではなく、企業文化、人、プロセスの変革も必要になります。

55%

「DevSecOps リーダーの 55% が、アプリケーション開発チームとセキュリティチームの間で共有責任の文化を構築することが不可欠だと回答しています」4

Red Hat はパートナー企業とともに、包括的な DevSecOps エコシステムを構築するためのツールやサービスに加え、オープン・ハイブリッドクラウド上でセキュリティに特化したアプリケーションを構築、展開、実行するための堅牢なポートフォリオの実現に必要な専門知識と能力を提供します。その結果、プロセスの改善、セキュリティを犠牲にすることのないアプリケーション開発の迅速化、コラボレーション文化の醸成、そして自社、また最終的には顧客のリスクの低減を実現できます。

コンピュータに向かう人のイラスト

関連情報

IDC レポート:DevSecOps

IDC リサーチ

組織が積極的に DevSecOps 手法を追求し取り入れる理由とは

DevOps に関する記事を読む

DevOps

DevSecOps の実現に向けて、Red Hat を選ぶべき理由とは

1:Red Hat 後援の IDC ホワイトペーパー。「DevSecOps:致命的なリスクの低減がビジネス成果を向上させる」#US48346521、6 ページ、2021 年 12 月

2:Red Hat 後援の IDC ホワイトペーパー。「DevSecOps:致命的なリスクの低減がビジネス成果を向上させる」#US48346521、4 ページ、2021 年 12 月

3:Red Hat 後援の IDC ホワイトペーパー。「DevSecOps:致命的なリスクの低減がビジネス成果を向上させる」#US48346521、5 ページ、2021 年 12 月

4:Red Hat 後援の IDC ホワイトペーパー。「DevSecOps:致命的なリスクの低減がビジネス成果を向上させる」#US48346521、15 ページ、2021 年 12 月