一般社団法人日本クラウドセキュリティアライアンス(CSAジャパン)は10月25日、「クラウド重大セキュリティ脅威対策-DevSecOpsのユースケース-」を公開した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】クラウドの重大なセキュリティの脅威を踏まえたセキュリティ対策を、DevSecOpsのサイクルに落とし込んで解説されています。DevSecOpsの概要や、クラウドの脅威について説明します。
DevSecOpsとは、Developmentの開発とOperationsの運用に、セキュリティを組み合わせた造語です。開発と運用が連携するDevOpsにセキュリティを融合させることで、セキュアな開発を目指すものです。
今回の資料は、DevSecOps実現のために、クラウドの重大セキュリティ脅威を起点としたユースケースを整理して、利用者がイメージしやすくすることを目的としています。具体的に挙げられているクラウドのセキュリティ脅威は「データ侵害」「設定ミスと不適切な変更管理」「クラウドセキュリティアーキテクチャと戦略の欠如」「ID・資格情報・アクセス・鍵の不十分な管理」「アカウントハイジャック」「内部者の脅威」「安全でないインターフェースと API」「弱い管理プレーン」「メタストラクチャとアプリストラクチャの障害」「クラウド利用の可視性の限界」「クラウドサービスの悪用・乱用・不正利用」の11で、問題点と対応策、DevSecOpsを踏まえた対処が紹介されています。
DevSecOpsは一言でいうと開発手法の一つです。DevSecOpsの必要性について、できるだけわかりやすく説明します。
DevSecOpsを説明する前に、まずDevOpsについて理解する必要があります。DevOpsは、開発者と運用者が連携して協力することで、以前より迅速かつ頻繁にリリースを行う開発手法です。例えば、開発部門と運用部門や品質部門が分断された組織として開発を行っている場合、全体の開発期間が長くなってしまうことは、なんとなくイメージができるのではないでしょうか。DevOpsは、テストの自動化など技術的な内容以外に、組織の文化的なあり方についても触れられています。
開発工程がDevOpsなどでより短縮化されることで、開発におけるセキュリティの実装も寄り添っていくことが求められます。また、自動化などの技術的な要素だけではなく、組織としての責任も共有されていることが必要です。
クラウドで最も気になるセキュリティの脅威は「設定ミス」です。1年以上前になりますが、クラウドセキュリティに関するセミナーで講演した内容を振り返りながら、設定ミスのセキュリティ脅威について説明します。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
