アプリケーションのセキュリティと DevSecOps の機能

アプリケーションのセキュリティと DevSecOps の目的は、開発プロセスやカスタム基幹業務 (LOB) アプリケーションにセキュリティの保証を統合することです。

最新化

アプリケーション開発は、DevOps チーム モデル、DevOps の短いリリース周期、クラウド サービスと API によるアプリケーションの技術的な構成など、同時に複数の側面で急速に再構成されています。 このような変更を理解するために、クラウドによって、セキュリティの関係や責任がどのように変化しているかを説明します。

時代遅れの開発モデルのこのような最新化では、アプリケーションと開発プロセスのセキュリティを最新化するための機会と要件の両方が示されています。 DevOps プロセスへのセキュリティの融合は、DevSecOps と呼ばれることがよくあり、次のような変更をもたらします。

• セキュリティが外部承認ではなく統合される: アプリケーション開発の変化の速度が速いため、従来の範囲の "スキャンとレポート" のアプローチは古くなります。 これらの従来のアプローチでは、開発を中断させたり、市場投入の遅れ、開発者の不十分な活用、問題のバックログの増加を発生させたりすることなく、リリースのペースを維持することはできません。
  • アプリケーション開発プロセスの早期にセキュリティを組み込むためのシフト レフト。問題を早く解決するほど、コストが安く、高速で、効果的になります。 アプリケーションが完成するまで待つと、形を変えるのが難しくなります。
  • ネイティブ統合: 開発ワークフローおよび継続的インテグレーションと継続的配置 (CI/CD) プロセスでの異常な摩擦を避けるため、セキュリティ プラクティスをシームレスに統合する必要があります。 GitHub 手法の詳細については、「Securing software, together」 (ソフトウェアをまとめて保護する) を参照してください。
  • 高品質のセキュリティ: セキュリティでは、開発者が問題を迅速に修正でき、誤検知によって開発者の時間を無駄にしないように、高品質の情報とガイダンスを提供する必要があります。
  • 集中型カルチャ: セキュリティ、開発、運用のロールは、共有カルチャ、共有価値、および共有目標と責務に重要な要素を寄与する必要があります。
• アジャイル セキュリティ: "完全なものの出荷" アプローチから、継続的かつ増分的に改善されるアプリケーション (およびそれらを開発するためのプロセス) に対する最小限実行可能なセキュリティで開始するアジャイル アプローチに、セキュリティをシフトします。
• クラウド ネイティブのインフラストラクチャとセキュリティ機能を利用して、セキュリティを統合しながら開発プロセスを効率化します。
• サプライ チェーン リスク管理: オープンソース ソフトウェア (OSS) とサードパーティ製のコンポーネントに対してゼロ信頼アプローチを採用し、それらの整合性を検証し、バグ修正と更新がこれらのコンポーネントに確実に適用されるようにします。
• 継続的な学習: 開発者サービス (サービスとしてのプラットフォーム (PaaS) サービスと呼ばれることもあります) の速いリリース ペースと、アプリケーションの構成の変化は、開発、運用、セキュリティ チームのメンバーが、新しいテクノロジを常に学習することを意味します。
• アプリケーションのセキュリティに対するプログラム的アプローチにより、アジャイル アプローチが継続的に改善されることを保証します。

その他のコンテキストについては、「Microsoft のセキュリティで保護された開発のライフサイクル」を参照してください。

チームの構成と重要な関係

アプリケーション セキュリティと DevSecOps の機能は、セキュリティのことをよく知っている開発者と運用チームが (セキュリティ分野の専門家のサポートを得て) 実施するのが最適です。

この機能では、通常、次のような他の機能やエキスパートとやり取りします。

• セキュリティ アーキテクチャと運用
• インフラストラクチャのセキュリティ
• コミュニケーション (トレーニングとツール)
• 人のセキュリティ
• ID とキー
• コンプライアンスおよびリスク管理チーム
• 主要ビジネス リーダーまたは担当者

次のステップ

データ セキュリティの機能を確認します。