クラウドネイティブ化でインフラとアプリケーションの境界が曖昧に

　DevOpsとクラウドネイティブアプリケーションが組み合わさることによって、インフラとアプリケーションの境界、そして開発と運用の境界が曖昧になっている。

　ガートナーには、顧客への調査を通じてクラウドネイティブのDevSecOpsを実現する上での主な課題を3つ抽出した。1つ目は、セキュリティに関する社内の知識が不足していること。2つ目は、新しいツールと従来のツールの統合が困難であること。そして3つ目が、アプリケーションとインフラの境界が曖昧であることだ。

「プラットフォームのチームはインフラをコードとして構成することに多くの時間を費やしています。また開発チームは、コードを書く時間を減らし、ローコードやノーコード、オープンソースから要素を取り出して組み合わせることに時間を費やすようになっています。そうなると、インフラのセキュリティがどこまでで、アプリケーションやソフトウェアのセキュリティがどこからなのかが分かりにくくなり、非常に混乱しているのです」（ウィンクレス氏）

　こうした状況の中でセキュリティの効果を上げるためには、クラウドセキュリティのセンター・オブ・エクセレンス（CCOE）を構築することが最も効果的だとウィンクレス氏は話す。

CCOEはクラウドネイティブの実現を促進するコンサルティングチーム

　CCOEそのものは具体的なツールやソリューションと違い、組織上の概念でしかない。CCOEが効力を発揮し、課題を解決していくためには、クラウドネイティブの実現を促進するコンサルティングチームという位置づけがポイントになる。

　クラウド・アーキテクトをはじめ、セキュリティ・アーキテクト、クラウドエンジニア、プラットフォームの運用メンバー、変革の推進者をCCOEの核となり、自分たちが作業を行うのではなく、コンサルタントとして各事業部門にアドバイスをしていく形だ。CCOEに専門知識を集約することで、「アプリケーションの問題なのか」「プラットフォームの問題か」といった細かい切り分けをせず一体となって対応し、変革を推進していく。このCCOEは、物理的なチームでも仮想的なチームでもよく、大掛かりな組織再編の必要はない。

　また別の観点でみると、全社をカバーするセキュリティチームがクラウドネイティブアプリケーションのセキュリティを担当している組織は、セキュリティの権限をIT部門以外へ委譲している組織と比較して成果が低い傾向があることが、ガートナーの調査で分かっている。逆に言うと、権限を分散させたほうが成功の確率が高いということだ。

　調査の回答数が他の調査と比べて少ないため論拠として弱い部分もあると断った上で、ウィンクレス氏は、3つのデータを示した。

　1つ目はよい点で、39％企業においてアプリケーション開発チームがコードのリリースを遮断することができているということ。

　残りの2つは、望ましくない状況を表している。

　1つは、54％の組織においてセキュリティチームがアプリケーションのセキュリティモニタリングを担ってしまっているというデータだ。最初のレベルのアプリケーションのモニタリングは、セキュリティチームではなくアプリケーションに近いビジネス部門がすべきであるにもかかわらず、現時点では半数以上の企業でセキュリティチームが担っている。


　もう1つは、32％の組織でセキュリティチームがセキュリティツールの予算に権限を持っていることだ。ただし、「推移の傾向を見ると、予算権限はセキュリティチームから離れてアプリケーション開発、運用またはDevOpsの部門へとシフトしつつある」とウィンクレス氏は指摘する。

「特に、アプリケーションのセキュリティテストを行うツールは、セキュリティチームよりも開発チームの利用頻度が高まっています。言い換えると、購入するツールの選択が難しくなっているともいえます。CCOEや開発、運用、DevOpsなど複数のチームを関与させ、サイロを超えて可視性を高め、機能させることが必要です」（ウィンクレス氏）

【次ページ】新旧ツールの統合と自動化にはスキル、知識、経験が必要