セキュリティの要素を取り入れつつ、スピードを損なわずにDevOpsを進めます。
DevOpsとは前述のように、開発チームと運用チームが連携しながら、利用可能なシステムを少しずつアジャイルで開発しながら、改良していくという考え方です。
このDevOpsを拡張して、セキュリティの要素を取り入れつつ、スピードを損なわずに開発と運用を一体的に進めていくDevSecOpsという考え方が現在、注目を集めています。
従来型の開発サイクルでは、セキュリティリスクを抱えてしまいます。
システムのセキュリティはかつて、開発サイクルの最後に品質保証チームなどがテストしていました。ソフトウェア更新のタイミングが1年に1回や2回程度であれば、このやり方でもセキュリティを適切に管理できるでしょう。
しかし、DevOpsによる開発では、極めて短期間でソフトウェアを次々と更新していくことが求められます。
そのため、開発サイクルの最後にセキュリティ面をチェックするアプローチでは、DevOpsによる開発にキャッチアップできず、かといって無理にスピードアップすればセキュリティリスクを抱えてしまいます。
DevSecOpsでは、ソフトウェア開発ライフサイクルの全フェーズにセキュリティチェックのプロセスを組み込み、開発チームを開発のラインとセキュリティテストのラインを分けて、開発を進めます。
これにより、セキュリティ上の問題に早く気付きやすく、中長期的に見ると対処コストを抑えられるようになるのです。