CORPORATE-8-2

クライテリア

社内のセキュリティ担当者が、近年のセキュリティ動向やシフトレフト、リモートワークについて理解し、事業部門とともに開発リードタイムや生産性の改善のために必要な措置をおこなっているか。

タイプ

攻めのセキュリティ

観点

学習と改善

FAQ

Q.社内のセキュリティ担当は最新情報を常にキャッチアップしており、社内勉強会を開催しています。ただ、開発リードタイムや生産性の改善などには関わっていません。この場合はNoになりますか?

Yes, butになります。事業部門の開発リードタイムや生産性まで踏み込むとYesになります。

用語解説

シフトレフト

ソフトウェア開発サイクルの中で可能な限り早期にセキュリティリスク対策を行い、セキュリティに関する問題が早い段階で対処されるべきという考え方。

参考資料

DevOps 技術: セキュリティのシフトレフト | Google Cloud

"type": "thumb-down", "id": "hardToUnderstand", "label":"わかりにくい" },{ "type": "thumb-down", "id": "incorrectInformationOrSampleCode", "label":"情報またはサンプルコードが不正確" },{ "type": "thumb-down", "id": "missingTheInformationSamplesINeed", "label":"必要な情報 / サンプルがない" },{ "type": "thumb-down", "id": "translationIssue", "label":"翻訳に関する問題" },{ "type": "thumb-down", "id": "otherDown", "label":"その他" }] [{ "type": "thumb-up", "id": "easyToUnderstand", "label":"わかりやすい" },{ "type": "thumb-up", "id": "solvedMyProblem", "label":"問題の解決に役立った" },{ "type": "thumb-up", "id": "otherUp", "label":"その他" }] セキュリティの左シフトはソフトウェア デリバリーと組織のパフォーマンスを改善する一連の能力の 1 つです。これらの機能は 注: DORA State of DevOps Research Program で発見されました。これは、高いパフォーマンスを生み出すプラクティスと機能に関する、学術的に厳格で独立した研究調査です。詳細については、 DevOps のリソース をご覧ください。 セキュリティは全員の責任です。 2016 年度の DevOps レポート (PDF)によると、パフォーマンスの高いチームは、パフォーマンスの低いチームよりもセキュリティ問題の修正に要する時間が 50% 少ないことが示されています。情報セキュリティ(InfoSec)の目標を日々の業務にうまく統合することにより、より高いレベルのソフトウェア配信パフォーマンスを達成し、より安全なシステムを構築できます。この考え方は、「シフトレフト」とも呼ばれます。これは、セキュリティに関する問題がソフトウェア開発ライフサイクルの早い段階で対処されることを意味します(左から右のスケジュール図で左側に位置します)。 ソフトウェア開発では、設計、開発、テスト、リリースの少なくとも 4 つのアクティビティがあります。従来のソフトウェア開発サイクルでは、テスト(セキュリティ テストを含む)は開発の完了後に行われます。これは通常、多くの修正コストがかかるアーキテクチャ上の欠陥など、重大な問題が見つかったことを意味します。 欠陥が発見された後、デベロッパーはその原因と修正方法を見つける必要があります。複雑な本番環境システムの場合、原因が 1 つということはまずありません。多くの場合、一連の要因が相互に作用して、欠陥となっています。セキュリティ、パフォーマンス、可用性に関連する欠陥は、修復にコストと時間がかかります。アーキテクチャの変更が必要になることも少なくありません。欠陥を見つけて解決策を作成し、修正結果のテストを完了するまでにかかる時間は予測不能です。これにより、納期の変更がさらに必要になる可能性があります。 継続的デリバリーでは、プロセス全体を通して製品の品質を向上させるというコンセプトをリーン思考から借用しています。W.

DevOps 技術: セキュリティのシフトレフト | Google Cloud