DevSecOpsとサイバー規制（インペラティブ）

日本のコンサルタントの見解

デジタルトランスフォーメーションを促進するDevSecOpsの導入

DevSecOpsとは、多くの企業で取組みが進んでいるDevOpsの進化形態の一つであり、本編にて説明のあった通り、DevOpsの方法論にセキュリティの概念を入れた方法論である。DevOpsがソフトウエア開発のアジリティの確保のための開発と運用の統合だとすれば、DevSecOpsは、そのDevOpsの仕組みのそれぞれのプロセスにセキュリティ対策の仕組みを統合させることにより、よりセキュアかつスピーディなソフトウエア開発を実現することを目的としている。セキュリティ対策に関するアプローチは「侵入をされないように堅牢な仕組みを築く」から「侵入されることも視野に入れ、いかに早く検知して、被害を最小限にとどめるか」にシフトしてきており、その対策そのものも随時開発や運用にフィードバックが必要なものとなっている。このため、DevOpsに対してセキュリティの概念を取り込むことはセキュリティ対策自体の強化という意味でも非常に有用である。DevOpsは、グローバルでは、スピードやチャレンジ性を求められるシステム領域（System Of Engagementの領域）において積極的に採用されている。一方で、日本におけるDevOpsの浸透率については、グローバルと比較してかなり低いのが現状である。日本のユーザ企業におけるソフトウエア開発の内製化の比率は低く、開発エンジニアの所属もSIベンダなどのITサービス提供側企業に偏重している。このためソフトウエア開発の環境や手法はSIベンダに依存していることが多く、ユーザ企業側でソフトウエア開発のアジリティを求めてDevOpsの導入を試みようとしても、その実現が難しいのが実情である。日本企業の中でもデジタルトランスフォーメーション推進に積極的な企業は、DevOpsを取り入れ、ビジネスニーズに迅速に対応し続けている。さらには新しいビジネスモデルの創出や、新しいユーザサービスの開発にチャレンジを続けている企業もある。しかし、その先進企業の中においてでもDevSecOpsの取組みにチャレンジしている企業となるとその数はかなり少ない。

グローバルにおいても、日本においても、開発、運用、情報セキュリティのそれぞれのチームや組織は縦割り状態で運用されていることが多い。そのため、DevSecOpsの導入を実施するには、開発、運用、セキュリティの３つの縦割り組織のそれぞれの目標、文化、仕組みをDevSecOpsの考え方を利用して再構築する必要がある。異なる組織の文化や考え方の変革が伴うため、時間をかけて取組んでいくべき試みである。日本企業が欧米諸国の企業をはじめとしたデジタルトランスフォーメーション先進企業の圧倒的なスピード感に追従していくためには、一刻も早くこの変革の着手にとりかからなければならない。そのためにはまず、ユーザ企業側で開発や運用のためのプラットフォームを整備し、ソフトウエア開発環境・プロセスの主体を持つことが最初のステップではないだろうか。

日本におけるDevSecOpsへの取組み

前述のような状況ではあるが、SoE領域のシステム環境の整備やアプリケーションの開発等を中心に、DevSecOpsの導入にチャレンジしている日本企業も存在している。そうした事例をいくつか紹介したい。

あるIoT機器メーカーでは、コアビジネスである機器の製造・販売とは別に新規ビジネスとして、機器によって収集されたデータの統計情報を公開・提供するデータサービス事業をスタートしている。データサービスとして公開されるのは統計情報取得のためのAPIである。このAPIは、様々な新製品の発売や、IoT製品バージョンアップによる収集情報の変化等に対応するため、高い柔軟性と変更に対するスピードが求められる。一方で統計的な情報ではあるが、個人が測定したデータをもとにして市場に公開するサービスであるため、情報セキュリティの面においても信頼できる仕組みを整備し続ける必要があった。このような背景から、これらを統合的に検討していくため、DevSecOpsのチームを立ち上げて検討を重ねていく方針とした。専門組織として、組織横断的なプラットフォーム開発企画チームを立ち上げ、DevSecOpsの検討を開始、今日に至っている。DevOpsチームにセキュリティの担当者を組み込み、DevOpsの仕組みやプロセスに対して、入れ込むべきセキュリティ要素を検討し、変革を推進している。初期検討は終了しており、まさにデータサービスの提供が開始され、グローバル展開を順次推進中である。

ある金融サービス企業では、金融サービス業界におしよせている顧客接点の変化やその変化によるビジネスモデルの変革などに対して勝ち残っていくために、CTOのミッションの変革に着手した。従来の機能改修やバージョンアップのスピードでは新しいビジネススピードに太刀打ちできないと判断し、アジリティの確保を最重要課題にあげつつ、強固かつ堅牢なインフラの構築を目指すことをCTOのミッションとして定義し、変革に着手している。一方で顧客データを取扱うため、セキュアなプラットフォームとして信頼性を確保し続ける必要もあり、それらを統合して検討することができるDevSecOpsの導入とプラットフォームの整備を推進している。当該プラットフォームに基幹系のシステムを順次マイグレーションするとともに、APIによるサービスを開発し、様々な他金融商品やサプライヤとの連携も容易に可能とし、新しい顧客体験の提供に向けて現在も推進中である。

ある機器メーカーでは、これまでの機器の製造・販売から様々なサービスを提供する次世代プラットフォームとしてAI、IoT、API等のプラットフォーム整備を進めており、それぞれのプラットフォーム開発にDevOpsチームを立ち上げ推進している。当初、情報セキュリティに関しては、独立したチームとして専属のチームが存在し、プラットフォームに対する共通のセキュリティ指針を検討していた。しかしそれぞれ特性の違うプラットフォームに対して共通のガイドラインや仕組みを定義することは難しく、効果的な指針が作成できない課題が生じていた。そこで、個々のプラットフォームの特性や扱うデータ等により、個々に最適化したセキュリティ方針、仕組み、プロセスを定義して導入を進めていく方針に変え、ぞれぞれの基盤のDevOpsチームにセキュリティ担当を参画させることによDevSecOpsチームを編成し、プラットフォームの開発を実施している。このように、それぞれのプラットフォーム毎に最適化を図りつつDevSecOpsの導入を推進している事例もある。

こうしたDevSecOpsへの取組み事例は、それぞれの業界がおかれている状況や企業が取組んでいる領域により、その適応内容も規模も導入方法も様々である。DevSecOpsの導入に際しては、業界の動向や自社の現在のITの状況、取組み、ITリソースの分析、競合他社の動向といったそれぞれの企業が現在置かれている状況や環境を分析・把握した上で、適切な方法を模索してアプローチを開始することが重要と考える。

日本企業のITの現場を再構築

先に述べたように、DevSecOpsを導入するためには、ITシステムのアジリティの確保というゴールに対し、開発、運用、セキュリティをいかに個々のプロセスに統合するかを検討していく必要があるが、すでに多くのITリソースが存在する組織内で、会社や組織の全IT領域を対象として、3つを統合するアプローチは非常に困難のように思える。スモールスタートから成功体験を重ねて拡張して立ち上げていくのがよいのではないだろうか。ここでは、それを体現するにあたり考慮すべき点を述べておきたい。

• 新しい領域のITで始める
  DevSecOps導入における最初の取組み対象としてふさわしい対象システム・機能群を特定した上で導入を開始することは非常に重要である。当然ながら、システムのアジリティが求められる領域での導入をしていくのが望ましい。またこれまでのIT組織のチームの中で運用を開始するよりは別の組織としてアプローチしていくことのほうが推進しやすいケースが多い。これまでのITシステムの開発、運用、セキュリティとは違う文化を形成するためのチャレンジであるため、既存のシステムの開発・運用・セキュリティ管理の方針の影響が強い組織やチームで推進を開始することは、非常に困難を伴う。
• DevOps検討当初からセキュリティの担当を参画させる開発・運用・セキュリティを高度に統合していくにあたり、まずはDevOps（開発・運用の統合）から検討をスタートするというアプローチを実施する組織も多いが、セキュリティ担当者は当初から参画させておくことが望ましい。どの段階でどのようなセキュリティを確保するかを検討するためには、開発・運用プロセスへの理解が必要となる。残念ながら日本企業においてセキュリティチームは、開発や運用のチームとは別チームとなっていることが多いため、そのプロセスや課題などを共有しつつ、徐々にDevSecOpsの形を作り上げていくプロセスが非常に重要である。
•  社内の共通認識を醸成（ロールアウト）する
  DevSecOpsの導入推進を実施しても、人の文化や過去の経験、働き方を急に変えるというのは難しいものである。特に現場主義の日本では、トップダウン施策としてDevSecOps導入を進め、即座に期待通りの成果を出すことは非常に難しく思える。ある特定の導入しやすい領域において、現場主導にて成功体験・変革を断続的に続けていく中で、徐々に社内の共通認識が醸成され、組織全体にDevSecOpsの考え方が浸透していくことが、組織内でのDevSecOpsの定着に向けて必要なステップだと考えられる。

DevSecOpsとは、単にITの取組みや仕組みだけでなく、顧客向けのサービスの品質、信頼性、安全性を高度に保ちながら、サービス提供と継続的改善のスピードを速める取組みであり、その本質は、これまでサイロ化されてきた組織のプロセスや文化の統合である。

日本のユーザ企業のIT組織における内製化率の低さや縦割り組織構造などの課題も非常に多く、この取組みに対して真剣に検討を実施していかなければならないが、もしDevSecOpsを実現できる組織が出現したとしたら、その組織は、異なる文化を統合し、継続的に学習する活気のある組織を作り出すことに成功した組織である。そのような組織こそがイノベーションでほかを圧倒し、さらには産業をリードし続けるような組織に成長できるのではないだろうか。

執筆者

小山 義一　マネジャー

クラウドインテグレーターを経て現職。製造および通信業界を中心に多様なインダストリーに対して、システム全体構想策定やクラウド導入支援等のプロジェクト推進に従事。近年は、持続可能なデジタル変革を実現するためのプロジェクト推進やソフトウェアの内製化支援のコンサルティングサービスを提供。

向山 奈美子　マネジャー

外資系ITメーカーを経て現職。多様なインダストリーに対して、テクノロジー領域のコンサルティングプロジェクトに幅広く従事。特にシステム開発方法論およびアーキテクチャー策定に強みを持ち、デジタル変革において継続的な価値提供を行うためのコンサルティングサービスを提供。