トレンドマイクロ、「DevOpsに関する実態調査 2019」の結果を発表。“DevOpsの課題は部門間コミュニケーションとセキュリティの関与”
- 2019/08/27 10:00
- SecurityInsight
トレンドマイクロは8月22日、DevOpsを実施、もしくは実施意向がある法人組織におけるIT部門の責任者1,310名(日本:100名、全体(日本を含む16か国):1,310名)を対象に4月~5月に実施した「DevOpsに関する実態調査 2019」の結果を発表した。そのうち、セキュリティに関連する項目の概要は以下のとおり。
DevOps計画時にセキュリティ部門が常に相談を受けるのは全体では65.3%、日本は半数以下の45.0%であることが分かった。
DevOpsはアプリケーションやWebサービスを迅速に開発する上で有効な開発手法だが、開発環境で脆弱性のあるアプリケーションや不正プログラムが入り込むと、運用環境に至るまで長期にわたって脅威を内包し続ける可能性がある。システムの運用時に脆弱性や不正プログラムが発覚した場合、システムの改修やサービスの停止につながるため、セキュリティリスクはシステムを運用する前の開発時に洗い出し、対処することが重要となる。
法人組織は、業種や取り扱う情報などを踏まえて定めたセキュリティポリシーに準じてDevOpsのセキュリティを考慮することが必要。そのためには、DevOpsの開発部門、運用部門に加えてセキュリティ部門と連携してシステムを設計することが求められる。
一方で、全体の72.4%、日本は75.0%のIT部門責任者がDevOpsにおいてセキュリティの関与が少ないことで組織がリスクに晒されると考えていることが分かった。
DevOpsを実施する際には、脆弱性のあるアプリケーションや不正プログラムなどの脅威に加えて、クラウドサービスのアクセスキーなど機微な情報の管理不備により情報窃取や不正な操作などの被害にあう可能性もある。DevOpsを実施する際にはこのようなリスクがあることを考慮し、セキュリティ設計を行なうことが大切となる。開発時、運用時のそれぞれで発生するリスクを洗い出し、どのようなセキュリティ対策を講じるべきか定めることが重要である。
今回の調査により、DevOpsを実施するにあたっては、開発部門、運用部門のコミュニケーションに加え、セキュリティ部門の関与が課題としてあげられることが分かった。DevOpsを実施する中で、脅威が入り込むと開発環境から運用環境にいたるまで長期間にわたり脅威が内包し続け、被害が拡大する可能性がある。そのため、DevOpsを実施する際には、計画段階から法人組織に応じたセキュリティポリシーを定め、そのセキュリティポリシーに準じたツールの選定や、権限設定などの対策を行っていくことが重要となる。