問題
問96
DevSecOpsの考え方として、最も適切なものはどれか。
- 開発、運用、セキュリティの各チームが連携し、開発の初期段階からセキュリティを組み込むことで、手戻りを減らし迅速なリリースを目指す。
- 開発完了後に、セキュリティ専門のチームが集中的に脆弱性診断を行い、問題がなければリリースする。
- セキュリティを最優先し、開発のスピードや運用の効率性はある程度犠牲にすることを許容する。
- 運用段階でのみセキュリティ対策を行い、ファイアウォールやIDS/IPSによってシステムを保護する。
正解
正解は「ア」です。
解説
正解は「開発、運用、セキュリティの各チームが連携し、開発の初期段階からセキュリティを組み込むことで、手戻りを減らし迅速なリリースを目指す。」です。DevSecOpsは、DevOps(開発と運用の連携)にセキュリティ(Security)の考え方を統合したアプローチです。従来は、開発が終わった最後の段階でセキュリティチェックを行うことが多く、そこで問題が見つかると大きな手戻りが発生していました。例えるなら、家を建て終えてから耐震性に問題があると分かり、基礎から作り直すようなものです。DevSecOpsでは、設計段階からセキュリティ専門家が関わり、開発の各プロセスにセキュリティ対策を自動的に組み込んでいきます。
これにより、問題を早期に発見・修正できるため、安全なソフトウェアを迅速にリリースすることが可能になります。つまり、「シフトレフト」(セキュリティ対策を開発プロセスの早い段階=左側へ移行させる)という考え方が中心となっています。
イ(開発完了後に、セキュリテ…):
これは従来の開発モデル(ウォーターフォール型など)におけるセキュリティの考え方です。DevSecOpsは、この手戻りの多さを問題視して生まれました。
ウ(セキュリティを最優先し、…):
DevSecOpsは、セキュリティと開発スピードの「両立」を目指すアプローチであり、どちらかを犠牲にするという考え方ではありません。
エ(運用段階でのみセキュリテ…):
これは境界防御の考え方であり、DevSecOpsが目指す「開発の全段階にセキュリティを組み込む」というアプローチとは異なります。
解法のポイント
DevSecOpsを理解するポイントは、「Dev(開発)」「Sec(セキュリティ)」「Ops(運用)」の3者が「最初から」「連携して」開発を進めるという点です。キーワードは「シフトレフト」と「自動化」です。セキュリティ対策を開発プロセスの早い段階(左側)にシフトさせ、ビルドやテストの過程でセキュリティチェックを自動的に行うことで、品質とスピードを両立させます。選択肢の中で、この「初期段階からの連携」というDevSecOpsの核心をついているものを選ぶことが正解への道筋です。他の選択肢は、セキュリティ対策を後工程で行ったり、スピードを犠牲にしたりする古い考え方を示しています。
用語補足
DevOps (デブオプス):
開発チーム(Development)と運用チーム(Operations)が協力し合うことで、ソフトウェアをより迅速かつ確実にリリースするための考え方や文化です。料理人と配膳係が密に連携して、素早く美味しい料理をお客さんに届けるようなイメージです。
DevSecOps (デブセックオプス):
DevOpsに、セキュリティ(Security)の考え方を加えたものです。開発の最初からセキュリティも一緒に考えることで、安全で速いリリースを目指します。料理人と配膳係に、栄養士も加わって、美味しくて速くて健康的な料理を提供するイメージです。
脆弱性診断:
ソフトウェアやシステムにセキュリティ上の弱点(脆弱性)がないかを専門的に調べることです。家のドアや窓に鍵のかけ忘れや壊れている場所がないか、防犯のプロがチェックするようなものです。
リリース:
開発したソフトウェアやサービスを、利用者が使えるように公開することです。映画を劇場で公開したり、新商品を店頭に並べたりすることに相当します。
