DevSecOpsで広がるITセキュリティの楽観的展望

セキュリティとストレージのリーディングカンパニー > ブログ > バラクーダネットワークス > DevSecOpsで広がるITセキュリティの楽観的展望

DevSecOpsで広がるITセキュリティの楽観的展望
Mike Vizard

2017年07月13日

サイバー犯罪で悪用されることの多い脆弱性は、2つのカテゴリに大別することができます。1つ目は、エンドユーザを誘導して文書をダウンロードさせたり、システムにマルウェアを感染させたリンクをクリックさせたりする、何らかの形のフィッシング攻撃を伴うものです。2つ目は、オペレーティングシステム、データベース、またはアプリケーションに存在する何らかの既知の脆弱性を標的とするものです。

地道な教育によってこれらの脅威を見分ける方法をユーザに周知し、被害を封じ込める努力を続けることを除けば、一般的なセキュリティ専門家が実行できる有効なフィッシング攻撃対策はそれほどありません。しかしながら、既知の脆弱性が存在するソフトウェアの問題については、2つの面で楽観視できる理由があります。1つ目は、機械学習アルゴリズムなどのテクノロジの進歩によって、脆弱性の発見がはるかに容易になるという予測に基づくものです。2つ目は、アプリケーション開発者に浸透しつつある、DevSecOpsの取り組みと関連性があります。

自分のコードの品質に責任を負う開発者が増えたことで、DevOpsの範囲を広げた、DevSecOpsという手法が、認知されるようになってきています。以前は、アプリケーション開発者が大量のコードを書き、完成したと自らが判断して、展開を担当するIT運用チームに引き渡していました。IT運用チームは、コードを書いた開発者と何回もミーティングを繰り返し、最終的に、本番環境の展開可能な場所にコードを配置します。いずれの段階においても、ソフトウェアの厳格な検証が実施されることはなく、漠然としたセキュリティポリシーを基本的に遵守していることを確認する程度でした。そして、そういった不完全なプロセスによって、我々の想像をはるかに超える数の、サイバー犯罪者が簡単に悪用できるソフトウェアが存在することになりました。ベライゾンの2017年版データ漏洩/侵害調査報告書の結果は、その事実を証明するものであり、分析対象の1,935件のデータ漏えいの88%が、最も多い9つの攻撃ベクトルのいずれかに該当するものでした。このような状況は、ITセキュリティのすべてのプロフェッショナルにとっての大きな懸念事項であり続けてきました。

『強調的な取り組みによって、ビルドプロセスの各段階で

アプリケーションがテストされるようになってきています。』

クリックしてツイート

しかしながら、現在は、大規模アプリケーションのテストプロセスにセキュリティテストを組み込もうという試みが注目されるようになり、その動きを当然のことと考える開発者が増えています。実際に、アプリケーション開発プロセスが終了するのを待ってからテストを実施するのではなく、協調的な取り組みによって、ビルドプロセスの各段階でアプリケーションがテストされるようになってきています。このような取り組みによって、すでに展開されているすべてのコードが魔法のように一夜にして修正されるわけではありません。しかしながら、レガシーアプリケーションがアップデートされたりリプレースされたりすることで、そういったアプリケーションのセキュリティレベルが大幅に向上するはずです。

もちろん、完全なセキュリティなどというものは存在しません。しかしながら、セキュリティ専門家は、ほとんどの組織に「最大の敵は己にあり」という言葉が当てはまることを知っています。日常的に発生するセキュリティ侵害に使われるエクスプロイトの多くは、それほど高度なものではありません。高度なプログラミング技術で情報を盗み取ることのできるハッカーがどこにでもいるわけではありません。けれども、他人が書いたコードを使って攻撃を始めるだけのスキルを持つプログラマは何千人も存在し、そういったプログラマのほとんどは、大きな富を得ることはありません。犯罪者の仕事を引き受けるのは、自分のスキルに誰よりも多くの報酬を払ってくれるからであり、自分のスキルを活かせる、面白く、見返りのある仕事が他にあるならば、サイバー犯罪に加担することはないはずです。サイバー犯罪は今後も常に存在します。今は、ITセキュリティの現状によって、あまりにも簡単にサイバー犯罪を始められますが、DevSecOpsが浸透し、この状況が改善されるのも、それほど遠い先の話ではないでしょう。


DevSecOpsの詳細は、http://www.devsecops.org/を参照してください。


マイク・ヴィザード(Mike Vizard)氏は、25年を超えるIT業界での経歴に基づいて、InfoWorld、eWeek、CRN、Baseline、ComputerWorld、TMCNet、Digital Reviewなど、さまざまなサイトで編集や寄稿を担当しています。現在マイクは、IT Business Edgeでブログ記事を投稿しており、CIOinsight、The Channel Insider、Programmableweb、Slashdotにも寄稿しています。マイクはブログで、新登場のクラウドテクノロジとしてIntronis MSP Solutions by Barracudaを紹介しています。

マイクとつながりたい方は、LinkedInTwitterGoogle+をご利用ください。


*本内容はBarracuda Product Blog 2017年 5月26日 Rise of DevSecOps Brings Cause for IT Security Optimism を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お役立ち情報満載の資料ダウンロード|機能詳細、導入構成、モデル一覧などお役立ち情報が満載です。

お問い合わせはこちら

03-5436-6235 受付時間 平日9:00〜17:00

Webからのお問い合わせはこちら