Continuous Securityとは

システム構築においてセキュリティをCI/CDパイプラインに組み込みシステムの開発と共に継続的にテスト、開発、デプロイしていくための考え方です。
DevOpsにSecを加えたDevSecOps文化の一つとしても認識されています。

 

Continuous Securityの特徴

• 自動化
  セキュリティにおいてもDevOpsの実践と同様に自動化されたテスト、デプロイを行います。バージョンシステムへの変更を契機にテストが実行され自動化されたセキュリティテストスイートが実行されます。
• Devへの統合
  lintツールやCIパイプライン上で実行可能なテストスイート、コンテナスキャナなどにより開発とセキュリティが一体化されます。
• 省力化
  デリバリー後の継続的な監視においても自動化が行われ、脅威の検知とリスクレベルを機械学習により自動的に算出する製品群等が存在します。

 

歴史

従来システム開発においてセキュリティの監査チェックは開発の最終段階で行われることが多く、開発が終わった段階で手戻りになり最終的な納期が遅れることが多いプロセスでした。またセキュリティ監査、修正プロセスを省略した結果セキュリティ上の負債が発生し、システムが大きくなった段階で問題になることが多い箇所でもありました。

Continuous Security(継続的セキュリティ)の実践に伴い、コードレベルでの脆弱性検知の自動化（各種lintツール）、デプロイ後のモニタリングの自動化、機械学習による脅威の検知（AWS Guard Duty等）が実現可能になりDevOpsチームにSecチームを加えたDevSecOpsの実践が行われるようになりました。

 

現場の声

DevSecOpsの実践のためにはDevOpsの実践と同様マインドセットの転換が必要ですが、Continuous Securityを実践可能なレベルにまで落とし込めているチームはまだ多くはありません。
実現のためには、セキュリティに関してもソフトウェア開発におけるデリバリに不可欠なプロセスの一つとして認識し、セキュリティ専門家と協力してデプロイパイプラインを構築していくというマインドセットの転換が必要です。

 

＜執筆・監修＞
アルサーガパートナーズ株式会社　DX技術用語集制作チーム