DevOpsで変わるセキュリティ

DevOps は組織文化を変え、 今後は品質保証やデータベースなど さまざまな部門との融合が 進んでいくことが予想されますが、 セキュリティへの対応は、 現在も多くの企業で立ち遅れています。 セキュリティの扱いは運用と似ていて、 運用の 10 年前と同じ道を 辿っているようなところがあります。 判断基準がほかの部門と異なる セキュリティの価値は、 なかなか認められていません。 例えば、開発者が 100 人いる IT 部門なら、 運用担当者は 10 人、 セキュリティ担当は １人しかいないイメージです。 勢力が桁違いに小さいので、 壁越しに投げられる仕事を ただこなすしかありません。 多くの会社にとって、 セキュリティは単なる コンプライアンス項目にすぎないからです。 2010 年、各界の セキュリティ担当者によって この問題が話し合われ、 『ラゲッド宣言』がまとめられました。 そこには、セキュリティ以外の業務に 携わる人々にとっても 有益で前向きな理念が記されています。 「自分のコードが、予想すらできない、 設計外の方法で、想定した以上に 長く使われるであろうことを認識する」 という１節は、誰の心にも響くでしょう。 『堅固な』という意味を持つ 『ラゲッド』の言葉は、 セキュリティを静的に捉える 従来の方法に代わる、 よりよい防御のあり方を象徴しています。 この視点で取り組みましょう。 組織を変えるには、 まず自らの意識改革が重要です。 セキュリティ部門は、 組織の足を引っ張るとみなされれば 割愛されるだけだということを、 自覚する必要があるでしょう。 どんな部門も、作り出す価値や ムダの大きさで評価されますが、 現在のセキュリティ部門は、 製品の価値よりムダを増やす性質です。 勢力が弱いことも認めましょう。 100 対１で、開発部門に かなうはずはありません。 最良の対策は、各部門に セキュリティ担当を決めてもらうことです。 セキュリティを考えるメンバーが 各チームにいれば、 ラゲッドへの論議も広がります。 セキュリティコンプライアンスの監査では、 システムやバックアップの仕組みを 十分に理解することが重要です。 インフラストラクチャアズコードの場合、 時間がかかるディスカバリーベースの アプローチを取らなくても、 Chef のレシピファイルなどを 見ることで、…