「シフトレフト」でソフトウェア開発にセキュリティを組み込むべし：組み込み開発 インタビュー（2/2 ページ）

製造業でもより迅速なソフトウェア開発が求められるようになっているが、それと同時にセキュリティも満足させる必要がある。IT業界で広くうたわれてきたDevOpsやアジャイルといった開発手法にセキュリティを組み込んだ「DevSecOps」が求められているのだ。日本シノプシスの松岡正人氏は、DevSecOpsに向けて「シフトレフト」が必要になると説く。

[鈴木恭子，MONOist]

開発とセキュリティテストのパイプラインを分離するメリット

　シノプシスは2021年6月、迅速なDevSecOpsの実現を支援するソリューションとして「Intelligent Orchestration」を発表した。CI／CDパイプラインの効率化を実現するセキュリティテスト自動化ワークフローを提供するもので、開発パイプラインからセキュリティテスト専用のパイプラインを切り離し、両者を同時並行で実行できる。

　事前に定義されているリスク管理ポリシーやアプリケーションに加えられた変更に基づいて、SASTやSCA、DAST、IASTなどの主要なセキュリティテストから、最適なものを適切なタイミングで自動的に実行する。松岡氏は「開発者はソフトウェアのセキュリティ解析をDevOpsパイプラインに統合できる。そのため、各サイクルのフェーズで脆弱性対応に忙殺されることがない」と説明する。

「Intelligent Orchestration」の導入の概念図（クリックで拡大） 出典：日本シノプシス

　対応する脆弱性は、あらかじめ設定したセキュリティポリシーと実際のコード変更、動的に計算されたリスクスコアで優先順位を判断する。そのため、開発者は重要度の高い脆弱性や欠陥の修正に注力できる。「セキュリティポリシーを決定すれば、後はIntelligent Orchestrationが適切なタイミングでスキャンを自動的に実行する。順守すべき基準に基づいて分析結果をフィルターし、優先順位付けをする。そのため（セキュリティ検証の手戻りで）開発速度を阻害することはない」（松岡氏）という。

　一方、セキュリティチームは、構成可能な基準に基づいてセキュリティゲートや品質ゲートを実装できる。特定された重大な問題は、脆弱性トラッキングや課題管理ソフトウェアである「JIRA」などに自動的通知される。これにより、セキュリティ結果の継続的なフィードバックと可視性が開発チームに提供できるわけだ。

　またシノプシスは、グローバルパートナープログラムを拡張した「Technology Alliance Partner（TAP）プログラム」を開始した。これにより、「CloudBees」や「GitHubActions」といったテクノロジーパートナーツールとIntelligent Orchestrationの連携も可能となった。

　TAPプログラムには現在40社を超すDevOpsエコシステムベンダーが参加しており、Intelligent Orchestrationやシノプシスの各種アプリケーションセキュリティソリューションへの各社のツールの迅速な統合を実現している。

TAPプログラム参加企業のツールもシームレスに統合が可能だ（クリックで拡大） 出典：日本シノプシス

⇒その他の「組み込み開発 インタビュー」の記事はこちら