セキュアなソフトウェア開発を実現するために：開発者とセキュリティ担当者を結びつけるTIPS トップ5 #DevOps # Security #secure software development #開発者 #セキュリティー担当者

本ブログは「GitLab」社のブログで2022年1月10日に公開された「Want secure software development? Our top 5 tips to bring dev and sec together」の日本語翻訳です。

セキュアなソフトウェア開発を実現するために：開発者とセキュリティ担当者を結びつけるTIPS トップ5

---

投稿者：Valerie Silverthorne

最も生産性の高いDevOpsチームは、開発プロセスの初期段階からセキュリティを組み込んで、セキュアなソフトウェア開発を実現しています。しかし現実として、開発チームとセキュリティチームは必ずしも常時上手くやっていけるわけではありません。バグが見つかり修正が必要な際に、責任の所在をめぐって口論になるなど、開発者とセキュリティ担当者はしばしば同じ視点に立つことに苦労します。

セキュリティリスクがかつてないほど高まっている今、開発者とセキュリティ担当者は、まずそれを認識する必要があります。

ここでは、両者間のギャップを解消し、セキュリティをDevOpsの枠組みに取り込むTIPS、トップ5を紹介します。

1. 過去のことは忘れる
古き悪しき時代には、コードを本番環境に展開された後にセキュリティ担当者が突然やってきて、問題点を指摘し変更を要求してきました。そしてその際、詳しい背景、理由の説明はほとんどありませんでした。開発者は、決して喜んで協力したわけではありません。しかし、これではセキュアなソフトウェア開発も実現されません。

ありがたいことに、DevOpsとモダンなアプリケーション開発が、新たな体験やワークフローをもたらします。「2021 Global DevSecOps Survey」によると、現在約28％のセキュリティ担当者が、部門間にまたがるDevOpsチームで仕事をしています。そして、70％以上がセキュリティのシフトレフトを実現していることが、この調査で明らかになりました。

この成功の秘訣は何でしょうか？DevOpsと、シフトレフトを成功させるために必要なテクノロジーの変化があってこそなのです。我々の調査によると、コード品質の向上とリリース時間の短縮を目的にDevOpsを採用したチームが、それを実現するために自動テスト、セキュリティスキャン、セキュリティのシフトレフトなどのテクノロジーを取り入れた結果、実際には開発部門とセキュリティ部門の距離を縮める効果がもたらされています。

ポイント: 適切なテクノロジーは、固定観念を打破するのに驚くほど有効です。

2. 互いを知る
開発者とセキュリティー担当者間に、継続的なコミュニケーションの問題が存在するのは明らかです。

実際、今回の調査でも誰がセキュリティに対して「責任」を負っているのかについて、合意できていないことがわかりました。セキュリティ担当者は、「セキュリティはフロントエンドの開発者からシステム管理者まで（技術者以外の役割も）すべてのメンバーが意識しなければならない」と言い、一方で開発者は、「すべては開発者の判断次第だ！」と言うのです。

これを改善するには、まずはお互いを知るという古典的なところからスタートします。セキュリティ担当者が開発者のミートアップに参加したり、開発者がセキュリティ担当者の振り返り会議に同席する等です。チームによっては、経営陣が部門横断的な「ランチ勉強会」やオンラインのミーティング、あるいはアイスブレイクを義務付けるなど、強制的にこの機能を持たせなければならない場合もあるでしょう。

ポイント: 脱出ゲーム等も、チームビルディングに役立ちます。

3. セキュリティチャンピオンプログラムの導入
セキュリティチャンピオンは、セキュリティへの関心と熱意を持ち、同僚と共有したいと考えている名の知れた信頼できる開発者のことを指します。このプログラムの導入は、継続的なセキュリティのシフトレフトを実現をするためのマインドセットに有効です。

いずれにせよ、セキュリティチャンピオンは、セキュリティチームが主導する正式なプログラムの一部である場合もあれば、熱心な開発者を通じて根本的な面から成長する場合もあります。専門家は、これがDevOpsチームを DevSecOpsに導く確かな方法であると示唆しています。

ポイント: 時として、あなたが伝えたいことに最も耳を傾け、そして明確に理解してくれるのは内部の人間です。

4. 開発とセキュリティが向き合う
開発者の大半が大学でセキュリティについて教わっていないのに、セキュリティ問題が浮上した際に開発者が責任を問われるのは厳しいものです。そして、セキュリティ担当者は、必ずしもコードの書き方を知っているわけではありません。スキルセットも専攻も職種要件もまったく異なる2人が、うまくやっていくことは難しいのでしょうか。

難しいことではあるとは思いますが、方法はあります。一つの解決策は、双方が (比喩的に) 学生に戻るということです。開発者はセキュリティのハンズオントレーニングを、セキュリティ担当はコーディングの方法を学べます。

また、DevOpsマネージャーは「セキュリティソフトウェア開発者」たる職種を2022年の社員リストに加える検討をしてもいいでしょう。このかなり新しい職種は、Glassdoor.comに1,000件以上掲載されています。

ポイント: 継続的な教育や部門横断的なトレーニングは、大きな利益をもたらします。

5. 実際に体験する
「百考は一行にしかず」という言葉があるように、セキュリティ侵害に何が関わっているのか、そして、そこに潜むリスクは何なのかを開発者に直接体験してもらうのはどうでしょう。ハッキング演習には必ず開発者を招待し、セキュリティレッドチームが参加した場合は、さらにポイントを加算します。

同時に、セキュリティ担当者をユーザーエクスペリエンス（UX）チームに招き、実際にユーザーと会ってリアルタイムのフィードバックを聞く場を設けてみましょう。

ポイント：自分が他のプロセスを理解することが大事なのです。