見出し画像

DevOpsチームにセキュリティ対策を浸透させるための3つの心得

Orca Security Japan公式アカウント

皆様こんにちは! 先週は韓国のソウルに滞在していました。何週間か前に吹雪があったため防寒対策万全で行きましたが、実際は東京より少し寒い程度でした。。。この記事ではDevSecOpsの具現化について触れます。


Software開発チームやCloud運用チームにセキュリティ対策を浸透させることはとても大切な取り組みです。

CloudネイティブなApplicationはOSSライブラリ等他人が実装したコードに大きく依存していたり、Cloud環境は常にMalwareの混入や設定ミスの危険が伴っていたりで気が抜けません。


"DevSecOps"とは開発チーム・セキュリティチーム・運用チームが三位一体となってセキュリティファーストな文化を醸成する概念です。

概念のため具体的な施策を定義しているわけではありませんが、Softwareパイプラインにセキュリティ機能を組み込んで開発〜運用までセキュリティ対策を自動化する仕組みの実装はDevSecOps具現化の1つと言えます。


何故、開発チームや運用チームは自身の直接のミッションではないセキュリティ対策に意識を向けなければならないのでしょうか?

理由はシンプルでセキュリティインシデントは高額な代償を伴うからです。企業の名誉毀損や場合によっては倒産に繋がることも珍しくありません。

DevSecOpsを具現化してセキュリティインシデントを未然に防ぐ体制を整えておく方が、名誉毀損や倒産よりはるかに安価ですね。


具現化するためには3つのポイントがあると思います。1つ目はCICDパイプラインへの組み込みです。

CICDパイプラインにデフォルトでCodeやパッケージの依存性、ContainerイメージやRunTime環境に対するチェック機構を組み込んでおければ開発チームや運用チームは特に意識することなくチェックできます。


2つ目はAlertのモニタリングです。

APMツールのようなモニタリングツールでApplicationの健康状態をモニタリングしているケースは一般的ですが、これと同様にセキュリティAlertをモニタリングすることで攻撃の兆候をいち早く掴むことができますね。


3つ目はLogへのアクセスです。これまではIntegrityやConfidenrtialityを優先して、セキュリティチーム以外はLogにアクセスできないPolicyで運用しているケースが多かったかもしれません。

しかしながらこのPolicyは開発チームや運用チームがセキュリティに関する状況を正確に把握することを困難にしていることも事実です。

Read権限のみ付与する等工夫して、セキュリティチーム以外にもLogへのアクセスを許可する仕組みはDevSecOps具現化には不可欠です。



皆様のCloud環境をOrca SecurityでスキャンしてCloudのリスクを明らかにしませんか? 30日間無償でお手伝い致します。

https://orca.security/lp/cloud-security-risk-assessment/



いいなと思ったら応援しよう!