情シスと開発部隊をつなぐ“セキュリティ共通言語”の実装法　持続可能なシフトレフト体制を構築するには

セキュリティのシフトレフトを実現するメソッド

　また矢野氏は「Cybereason CNAPPは組織全体にメリットをもたらす」とし、その理由について、よくあるセキュリティ組織の課題を例に出して説明した。

　多くの企業では、CISOをはじめとするCxOが定めたセキュリティの全体方針や戦略のもと、セキュリティ部門が具体的な設計や運用に落とし込む役割を担う。サービス開発部門は、CISOやCIO、セキュリティ部門から出されたセキュリティ要件などをもとに、サービス開発のライフサイクルにセキュリティを組み込んでいく。矢野氏は「Cybereason CNAPPのメリットは、CISO/CxOレベル、セキュリティ部門、サービス開発部門それぞれにある」と主張する。

　まずCISOレベルでは、法規制やベンチマークをベースとしたコンプライアンスレポートの作成や、組織全体におけるクラウド環境の可視化によるセキュリティ文化の浸透といった面で貢献できるとした。セキュリティ部門の観点からは、権限管理やコンプライアンス違反などの脅威検知に加え、リスク機能によって各領域の脅威を統合的に分析できるため、会社として適切に対応の優先度付けができる点を挙げた。そしてサービス開発部門では、CI/CDパイプラインにセキュリティ対策を組み込んで、ビルド時に自動的に脆弱性スキャンを行うことで、開発スピードを損なわずにセキュリティを担保できるとした。

　また、立場や役割の違いからセキュリティ部門とサービス開発部門の間に壁ができてしまうケースもよく耳にする。このような課題に対しても「Cybereason CNAPPを共通言語として用いることができる」と矢野氏。

　Cybereason CNAPPは実務・運用の観点から総合的にリスクを可視化するため、たとえばセキュリティ部門がサービス開発部門へセキュリティのフォロー事項を伝達する際にもスムーズな連携が可能だ。サービス開発部門は、セキュリティが開発の足かせになることを懸念しがちだが、Cybereason CNAPPを用いることで、サービス品質の担保とデリバリースピードの両立が実現できる。こうした考え方は、開発プロセスの上流工程からセキュリティを実装していくことから“セキュリティのシフトレフト”と呼ばれており、Cybereason CNAPPはこのシフトレフトを部門を越えて実現するというわけだ。

　矢野氏は最後に、Cybereason CNAPPの特徴を「包括的なカバレッジ」「リアルタイム検知と優先度付け」「開発スピードを損なわないセキュリティ」と3つにまとめた。加えて、各機能には生成AIが実装されているため、情報の取得や検索、運用作業の効率化にも貢献することを説明する。

　「Cybereason CNAPPは常に変化するクラウド環境に適したリアルタイム検知技術を備えています。DevOpsにもシームレスに組み込めるため、開発スピードも損ないません。これにより、スピードとセキュリティを両立したクラウドセキュリティ対策を実現できるのです」（矢野氏）