DevOpsの課題は
部門間コミュニケーションとセキュリティ

トレンドマイクロ「DevOpsに関する実態調査2019」報告

DevOpsとは、開発部門と運用部門が一体となってシステムの開発を進めていく手法を指している。トレンドマイクロでは2019年の4月~5月にかけて、そのDevOpsに関する実態調査を行った。調査対象は、DevOpsを実施している、あるいは実施意向のある法人組織のIT部門責任者※1。世界16か国※2で同じ調査を行い合計1,310名(うち日本は100名)から有効回答を得ている。

この調査で判明した一つは、DevOpsを実施しているあるいは、実施する意向のある)各国のIT部門責任者の大多数が、「開発部門と運用部門間のコミュニケーションは改善が必要」と感じている点である(図1)。

DevOpsは、システムの計画から実装、展開、評価をサイクルに素早く回して、製品/サービスの投入と改善のスピードを上げていくことを目指した手法と言える。このようなサイクルを適切に回していくには、開発部門と運用部門の密接なコミュニケーションの下で、システム利用者からのフィードバック(評価内容)をどのように製品/サービスに反映していくかを決めていかなければならない。

ところが、上の調査結果を見る限り、そうした密接なコミュニケーションが開発と運用の両部門間で確立されている組織のほうが少数派である。DevOpsの有用性や必要性が唱えられるようになってから何年もの歳月が経過しているが、大多数のIT部門が“コミュニケーション”という、DevOpsの最も重要で基本的な部分に依然問題を抱えているようだ。

1 回答者:従業員500名以上の法人組織に勤めるIT部門の責任者(チーム責任者を含む)
2 調査対象国:16か国の内訳/イギリス、フランス、ドイツ、イタリア、スペイン、デンマーク、ノルウェイ、スウェーデン、スイス、アメリカ、ブラジル、メキシコ、カナダ、オーストラリア、ニュージーランド、日本

図1:開発部門と運用部門間のコミュニケーションのレベルをどう評価しているか?

※調査結果のパーセンテージは、小数点以下第二位を四捨五入した数値(出典:トレンドマイクロ『DevOpsに関する実態調査 2019』調査結果)

日本のDevOpsではセキュリティ部門は“蚊帳の外”

こうした部門間のコミュニケーション不足の問題は、『DevOpsへのセキュリティ視点の反映』という点についても、負の影響を与えている。

例えば、今回の調査結果によれば、『DevOps計画時にセキュリティ部門が常に相談を受ける』と答えたIT部門責任者の比率は16か国全体で65.3%、日本は半数以下の45.0%と低い(図2)。

開発後の運用までを視野に入れた場合、DevOpsへのセキュリティ部門の関与/参加は不可欠と言え、それがないままにシステムの開発を進めた場合、運用時に構造的な脆弱性が発覚するおそれが強まる。仮に、システムの運用後に脆弱性が発覚するような事態に陥れば、当然、システム改修のためにサービスの停止を余儀なくされ、DevOpsによるシステムの迅速リリースの努力が水泡に帰すことになる。したがって、セキュリティリスクはシステム運用前の開発時にどのようなセキュリティ対策を講じるべきか定め対処することが重要であり、そのためには、DevOpsへのセキュリティ部門(あるいはセキュリティ担当者)の関与、あるいは参加が必須なのである。

実際、今回の調査対象であるIT部門責任者の7割以上が、DevOpsへのセキュリティ部門/担当者の関与が少ないと組織がリスクにさらされると認めている(図3)。

こうした懸念のとおり、DevOpsのプロセスで脅威への警戒を怠ると、開発環境と運用環境の双方が長期間にわたって脅威を内包し続け、それが大きなセキュリティ侵害へとつながる可能性がある。そのような事態を避けるためにも、DevOpsを実施する際には、計画段階から明確なセキュリティポリシーを定め、そのポリシーに準じたツールの選定や権限設定などの対策を講じておくことが重要となる。

図2:あなたの組織がDevOpsを計画する際、ITセキュリティ部門はどのくらいの頻度で相談を受けますか?

※調査結果のパーセンテージは、小数点以下第二位を四捨五入した数値(出典:トレンドマイクロ『DevOpsに関する実態調査 2019』調査結果)

図3:DevOpsにおいてセキュリティの関与が少ないことで組織がリスクにさらされると思いますか?

※調査結果のパーセンテージは、小数点以下第二位を四捨五入した数値(出典:トレンドマイクロ『DevOpsに関する実態調査 2019』調査結果)

記事公開日 : 2019.12.12
※ 記載内容は2019年12月現在のものです