“DevSecOps” vs. “継続的なハードニング”

 現在二つのわずかに異なるバーションが提供されています(以下の画像参照)。二つのバーションの目的は、アプリケーションセキュリティを様々な視点で検討していただき、それについての議論を行いやすくし、結果としてアプリケーションセキュリティの普及を促進させることです。

  1. 左の「Continuous Hardening」バーションのご案内:
    DevSecOpsという概念に疑問をお持ちの場合は、左側の「継続的なハードニング」のバーションをご利用ください。これはアプリケーションセキュリティ強化の実現に大切な役割を持つ概念です。このバーションではDevSecOpsはDevOpsを説明した画像(右下)に限定されています。結果として、アプリケーションセキュリティのストーリーはより一般的になり、より受け入れやすくなるでしょう。

  2. 右の「DevSecOps」バーションのご案内:
    DevSecOpsという概念を強調したい場合は、右の「DevSecOps」バーションをご利用ください。DevSecOpsのような開発・運用・セキュリティの垣根をお超えた連携でセキュリティハードニングを実現するというアプローチはDevOpsのシナリオだけでなく、場合によってウオーターフォールやハイブリッド等の手法でも適切であるでしょう。

 このアプリケーションセキュリティストーリーについてのpdfをダウンロードして、ポスターとしてお使いいただけます。

Shift-Left, Security by Design and DevSecOps and Continuous Hardening
両方のバージョン間の違いは上に示されているようにほんのわずかです。これは、「DevSecOps」と「継続的なハードニング」の同等性に基づく結果です。これは、それ自体が質問に対する答えであり、「DevSecOpsの最終目的を達成するにはどうすればよいか?」ということです。この最終目的というのはセキュアなソフトウェアを作成するためのものです。

「Continuous Hardening」
バーションのダウンロード

「DevSecOps」
バーションのダウンロード

 この最も重要なテーマは、アプリケーションセキュリティの普及を促進させるために、どうすればよいのかを考えていただくことです。それは特定のセキュリティ技術の問題ではなく、セキュリティコストと製品開発段階での組織的なメカニズムに関する問題です。

 このアプリケーションセキュリティストーリーは新しい知識ではありません。セキュリティと現場の専門家が日常的に経験している現実と状況を1ページにまとめているだけです。

 ただ、複雑なテーマの現状を簡単に表示し、議論しやすくすることに価値があります。それがこのポスターの図解の目的です。組織内のアプリケーションセキュリティの強化を促進させるために、この1枚で知るべき状況と改善点を表示しています。

 DevSecOpsはこの目標を達成するために重要であると思われますが、まだ広く受け入れられている概念ではありません。多くの議論を換気するため二つのポスター(二つのわずかに異なるバーション)を提供し、アプリケーションセキュリティの普及に貢献できれば幸いです。

ディパオロ・ロベルト (Author: Roberto Di Paolo)
2017~2021, ©ACROSEC Inc., All Rights Reserved.

Update 2021/9/17: New poster version
Update 2021/12/10: Title updated