開発部門と運用部門間のコミュニケーションが課題
開発部門と運用部門が連携してシステムを開発するDevOpsを実施、もしくは実施意向がある法人組織において、16か国全体では89.4%、日本では95.0%と多くのIT部門の責任者が、開発部門と運用部門間のコミュニケーションに改善の必要があると考えていることが分かった。
DevOpsによるシステム開発は、アプリケーション開発の計画、実装、展開、評価のサイクルに素早く対応し、製品やサービスの市場投入を早めることで、利用者により良い価値を提供する。
また、新しい機能を利用者に展開する頻度の増加に伴い、利用者からの評価も増加することが予想される。その評価内容をどのように製品やサービスに反映していくかを決めるために開発部門と運用部門間の意見交換や開発内容のすり合わせが必要だが、多くの法人組織で対応できていないことがうかがえる。
DevOps計画時に「セキュリティ部門が常に相談を受ける」日本は半数以下
また、DevOps計画時にセキュリティ部門が常に相談を受けるのは全体では65.3%、日本は半数以下の45.0%であることが分かった。
DevOpsはアプリケーションやWebサービスを迅速に開発する上で有効な開発手法だが、開発環境で脆弱性のあるアプリケーションや不正プログラムが入り込むと、運用環境に至るまで長期にわたって脅威を内包し続ける可能性がある。
システムの運用時に脆弱性や不正プログラムが発覚した場合、システムの改修やサービスの停止に繋がるため、セキュリティリスクはシステムを運用する前の開発時に洗い出し、対処することが重要だ。
法人組織は、業種や取り扱う情報などを踏まえて定めたセキュリティポリシーに準じてDevOpsのセキュリティを考慮することが必要になる。そのためには、DevOpsの開発部門、運用部門に加えてセキュリティ部門と連携してシステムを設計することが求められる。
7割以上のIT部門責任者が、DevOpsにセキュリティの関与が少ないと組織がリスクに晒されると回答
一方で、全体の72.4%、日本は75.0%のIT部門責任者がDevOpsにおいてセキュリティの関与が少ないことで組織がリスクに晒されると考えていることが分かった。
DevOpsを実施する際には、脆弱性のあるアプリケーションや不正プログラムなどの脅威に加えて、クラウドサービスのアクセスキーなど機微な情報の管理不備により情報窃取や不正な操作などの被害にあう可能性もある。
DevOpsを実施する際には、このようなリスクがあることを考慮し、セキュリティ設計を行うことが大切だ。開発時、運用時のそれぞれで発生するリスクを洗い出し、どのようなセキュリティ対策を講じるべきか定めることが重要だ。
この調査により、DevOpsを実施するにあたっては、開発部門、運用部門のコミュニケーションに加え、セキュリティ部門の関与が課題としてあげられることが分かった。DevOpsを実施する中で、脅威が入り込むと開発環境から運用環境にいたるまで長期間にわたり脅威が内包し続け、被害が拡大する可能性がある。
そのため、DevOpsを実施する際には、計画段階から法人組織に応じたセキュリティポリシーを定め、そのセキュリティポリシーに準じたツールの選定や、権限設定などの対策を行っていくことが重要だ。
■調査概要
- 調査名:DevOpsに関する実態調査 2019
- 実施時期:2019年4月~5月
- 対象:DevOpsを実施している、もしくは実施意向がある法人組織
- 回答者:従業員500名以上の法人組織に勤めるIT部門の責任者(チーム責任者を含む)
- 調査国: 16か国 全体(イギリス、フランス、ドイツ、イタリア、スペイン、デンマーク、ノルウェイ、スウェーデン、スイス、アメリカ、ブラジル、メキシコ、カナダ、オーストラリア、ニュージーランド、日本):1,310名、日本:100名
- 手法:インターネット調査