アカウント ログイン

セキュリティは後から追加するものではなく 常にあるべきもの

セキュリティシールド
セクションを選択

セキュリティは、しばしば付け足しとして扱われます。つまり、セキュリティチームや IT 運用チームが開発ライフサイクルの最後に考慮すればよいという考え方です。ソフトウェアのアップデートが年に 1 度か 2 度程度であれば、こういったプロセスでも問題ないかもしれません。しかし、ソフトウェア開発者が数日または数時間という短いアジャイルソフトウェア開発ライフサイ​クルを選択し始めると、このようなセキュリティへのアプローチは、迅速なアップデートや​アプリケーションの本番環境への導入が必要となる場合の障害となります。

「DevSecOps のクラウドへの移行に伴う懸念分野として、次の 4 つが上位を占めています。データセキュリティ (45%)、クラウドセキュリティ管理 (36%)、サプライチェーンのセキュリティリスク (33%)、パブリッククラウドのアセットの保護 (29%)」1

45% 36% 33% 29%

データセキュリティ

クラウドセキュリティ管理

サプライチェーンのセキュリティリスク

パブリッククラウドのアセットの保護

アプリケーション開発ライフサイクルの早い段階で DevSecOps 手法を採用して組み入れることで、IT チームとセキュリティチームは、複数の人、プロセス、技術にまたがるセキュリティの課題に後からではなく早い段階で取り組むことができます。この手法により、セキュリティを開発ライフサイクルの継続的かつ包括的な部分として組み込むことができます。また、このアジャイルな働き方は、スピードと効率の向上、セキュリティとコンプライアンスの改善、一貫性、再現性、コラボレーションの向上、ヒューマンエラーの削減にもつながります。

リスクを低減し、コンプライアンスにおける業界のセキュリティ基準を満たすための各種の取り組みを、どうしたら成功に導くことができるのでしょうか。

DevSecOps が重要な理由

DevSecOps なら、
安全に 迅速化を実現

セキュリティシールド

企業がベアメタル、仮想マシン、プライベートクラウド、パブリッククラウドなどのハイブリッド環境でより多くのワークロードを実行するようになると、セキュリティやコンプライアンスに関する複雑で困難な問題に直面するようになります。データは複数のワークロードに分散されるため、コンテナのセキュリティ,内部脅威または,マルウェアを含め、既存のセキュリティ課題はさらに複雑なものになります。

DevSecOps では、IT チームとセキュリティチームによる、人、プロセス、技術にまたがるセキュリティ問題への取り組みを支援します。具体的には、以下の実現を支援します。

  • 安全性の向上とリスクの最小化:アプリケーション開発やインフラストラクチャのライフサイクルの早い段階でセキュリティの脆弱性を排除することで実現します
  • 効率とスピードの向上:従来のセキュリティプラクティスとツールを排除し、自動化と標準化により DevOps リリースサイクルの効率とスピードを実現します
  • リスクの軽減と可視性の向上:アプリケーション開発およびインフラストラクチャのライフサイクルの早い段階でセキュリティゲートを導入することで実現します

セキュリティチームは、リスクと緩和のバランスを取るだけでなく、複数のクラウドプロバイダーや急速に変化する IT 標準に関するセキュリティやコンプライアンスの課題に対応する必要があります。そのため、ハイブリッドクラウドのセキュリティを実現するには、各チームの参加と協力に基づく企業全体での取り組みが欠かせません。

「DevOps チームがセキュリティグループと協力し、セキュリティに関する責任をより多く担うことで​、DevSecOps の成熟度が高まります。開発、IT 運用、情報セキュリティなどの部門間で責任を共有することが重要です」2

オープンソースとオープンスタンダードは、Red Hat におけるオープン・ハイブリッドクラウド戦略の重要な基盤となっています。オープンソースがもたらすオープンな要素のおかげで、アプリケーションやデータをある環境から別の環境へと一貫して移行することができます。しかし、管理されていないコミュニティソフトウェアを使用すると、組織が攻撃に対して脆弱になる可能性があります。

Red Hat はオープン・ハイブリッドクラウド・セキュリティと DevSecOps の実現に向けて、信頼性の高いセキュリティ重視のソリューションを提供しており、ハイブリッド環境の構築、管理、制御、および自動化戦略の実施、さらには DevSecOps の手法による堅牢なアプリケーションの開発に集中できるよう企業を支援します。

Red Hat の DevSecOps へのアプローチ

DevSecOps をアプリ開発ライフサイクルの
早期に、頻繁かつ継続的に 組み込む

DevSecOps は、セキュリティを犠牲にすることなくアプリケーションの迅速な開発を目指す企業にとって非常に重要です。しかし、DevSecOps はアプリケーションのライフサイクルだけに留まりません。Red Hat のアプローチでは、パートナーのエコシステムとともに、ライフサイクルとテクノロジースタックのすべての段階でセキュリティを統合します。

セキュリティを重視したハイブリッドクラウドの構築

DevSecOps 導入の成功への道は、アプリケーション・パイプラインの作成前からすでに始まっています。組織はまず、アプリケーションやインフラストラクチャが、セキュリティツールやセキュリティ機能が組み込まれたソフトウェア上で運用されることを確認する必要があります。

Red Hat のオープンソースソフトウェアはソフトウェア・サプライチェーンのセキュリティプロセスを使用して開発されています。そのため、ワークロードをビジネスに最適な任意の場所に移行できる柔軟性が得られるほか、脆弱性や攻撃にさらされるリスクを軽減できます。さらに Red Hat では、ソースコードの静的コード解析、ソフトウェアの出所の確認、広範な品質保証と回帰テスト、ハードニング、安全なチャネルでの配布、Red Hat 製品に含まれるすべてのパッケージの継続的なセキュリティアップデートを行っています。

Red Hat Enterprise Linux® は、お客様が重要なアプリケーションを信頼できる方法で拡張し、ベアメタル、仮想、コンテナ、およびあらゆる種類のクラウド環境で一貫して新しいテクノロジーを展開するためのセキュリティ基盤を提供します。

Red Hat Enterprise Linux が提供するセキュリティ基盤により、その上で動作し、レイヤーを形成する Red Hat OpenShift® などの製品にも Red Hat Enterprise Linux が提供するセキュリティ技術の効果が受け継がれます。Red Hat では、同様の信頼できるコンテンツをパッケージ化した Linux コンテナも提供しています。Red Hat Universal Base Images を使用すると、Open Container Initiative (OCI) 準拠の Linux コンテナが実行されるあらゆる場面で、Red Hat コンテナイメージの信頼性、セキュリティ機能、およびパフォーマンスをさらに強化できます。

セキュリティを重視したハイブリッドクラウドの管理および制御

従来の環境とコンテナ化された環境の両方を含むハイブリッド環境を大規模に管理し、制御するための主要な方法として、アプリケーション開発、セキュリティ運用、インフラストラクチャ運用のすべてにおいて一貫した自動化戦略を採用して、セキュリティとコンプライアンスを強化することが挙げられます。自社のハイブリッドクラウドに一貫性のある自動化戦略を採用する企業は、セキュリティとコンプライアンスの向上という重要な成果を得ることができます。

コンピュータに向かう男性のイラスト

DevSecOps 手法を用いたアプリケーション開発におけるセキュリティ

ハイブリッドクラウドをセキュリティが統合された基盤に構築し、一貫した自動化戦略を全社的に導入してハイブリッド環境の管理と制御が可能になった場合も、自動化をアプリケーション・ライフサイクルに拡大し、DevSecOps 手法を開発とインフラライフサイクルの早い段階で導入するなど、組織は引き続きセキュリティに注意を注ぐ必要があります。

45%

「回答者の 45% が、セキュリティを確保した上で迅速な開発とデプロイを達成することを主な促進要因として挙げています」3

Red Hat ソリューションにおける DevSecOps の導入は、お客様がアプリケーション・パイプラインの早い段階でセキュリティを構築し、従来の環境とコンテナ化された環境の両方で DevSecOps 手法を使用してアプリケーションを展開し、実行できるよう支援します。これは単なるテクノロジーの変化だけでなく、企業文化、人、プロセスの変革も必要になります。

55%

「DevSecOps リーダーの 55% が、アプリケーション開発とセキュリティのチーム間で共有責任の文化を構築することが不可欠だと回答しています」4

Red Hat はパートナー企業とともに、包括的な DevSecOps エコシステムの構築に必要なツールやサービスに加え、オープン・ハイブリッドクラウドでのセキュリティ重視のアプリケーションの構築、展開および実行に必要な堅牢なポートフォリオを利用可能にする専門知識と能力を共有しています。これらを活用することで、プロセスの改善、セキュリティを犠牲にすることのないアプリケーション開発の迅速化、コラボレーション文化の醸成、そして自社、また最終的には顧客のリスクの低減を実現できます。

コンピュータに向かう人のイラスト

関連情報

IDC レポート:DevSecOps

DevSecOps

Red Hat DevSecOps フレームワークがどのように信頼性と拡張性の高い基盤を構築し、DevOps のセキュリティを強化し、リスクを低減するよう企業を支援するかをご確認ください

DevOps に関する記事を読む

DevOps

DevSecOps の実現に向けて Red Hat を選ぶべき理由





1:IDC White Paper, sponsored by Red Hat. “DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes.” #US48346521, page 6, December, 2021.

2:IDC White Paper, sponsored by Red Hat. “DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes.” #US48346521, page 4, December, 2021.

3:IDC White Paper, sponsored by Red Hat. “DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes.” #US48346521, page 5, December, 2021.

4:IDC White Paper, sponsored by Red Hat. “DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes.” #US48346521, page 15, December, 2021.

Red Hat logo LinkedInYouTubeFacebookTwitter

製品

ツール

試用、購入、販売

コミュニケーション

Red Hat について

エンタープライズ・オープンソース・ソリューションのプロバイダーとして世界をリードする Red Hat は、Linux、クラウド、コンテナ、Kubernetes などのテクノロジーを提供しています。Red Hat は強化されたソリューションを提供し、コアデータセンターからネットワークエッジまで、企業が複数のプラットフォームおよび環境間で容易に運用できるようにしています。

ニュースレター「Red Hat Shares」を購読する

今すぐ登録する

言語を選択してください

© 2022 Red Hat, Inc.