DevOps*1

DevOpsとは、ソフトウェア開発チームとIT運用チームの作業を統合して自動化し、高品質なソフトウェアを迅速に提供できるようにすること。 

 

DevSecOps*2

DevSecOpsとは | 開発（development）、セキュリティ（security）運用（operation） を略したもので、ソフトウェア開発ライフサイクルのすべてのフェーズ（初期設計から統合、テスト、実装、ソフトウェア・デリバリーまで）でセキュリティの統合を自動化すること。

まずDevOpsの話。その昔、もう１５年くらい前の話だけど、情報システム部門は開発部署が花形で、運用部署は開発で使えないヒトの異動先との印象があった。着任した運用部署に行っても、どちらかというと半分眠たそうなヒトばかり。システム部門の予算も、開発部門のヒトが大きな割合を抑え、運用部門はコスト削減をすすめるのが当然の部署とされてきた。

それが東日本大震災、その後の計画停電。今ほどリモートワークが発達も理解もしていなかった当時は、新規モノの開発は全部一旦停止。被災した中での安定運用を実現するために全力が注がれた。その時は、あれほど眠そうだったヒトが喜々としてシステムに向かい、頼もしかったことだ。（その後、安定運用になると、また眠そうにしていたが、一旦活躍の場面を目の当たりにすると、眠そうなことが愛らしくもあったりして）

　まあ、DevOpsかどうかに限らず、システムはたくさんあり、平時であってもシステム群から平常・緊急の混在した膨大なシステムメッセージは吐き出されており、AIなどない当時でも、ルールを決めて自動監視を実現しないと現場は回らないし、毎年１割以上を目的にコスト削減は進めてきた。

 

で、DevSecOps。これの導入のベストプラクティスとして以下が挙げられている。

• シフト・レフト　ー　上流段階でセキュリティを考えておけ、は、まあそうかな。
• セキュリティ教育　ー　セキュリティ教育の啓蒙はいつでも大事ですね。ただし、主語が経営者と従業員とセキュリティ推進者でそれぞれ明確にしておかないと、読むヒトが迷うかもしれないけど
• 文化：コミュニケーション、人々、プロセス、テクノロジ　ー　確かに、文化が出来てないと厳しいな。日本であれば「常識でしょ」と言えたとしても、海外であれば、「どこの契約条件に記載がありますか」になりそうだしな。
• 追跡可能性、監査適合性、可視性　ー　構成管理もこれに含まれるだろうな。

 

DevSecOpsの定義で書いてある、「ソフトウェア開発ライフサイクルのすべてのフェーズ（初期設計から統合、テスト、実装、ソフトウェア・デリバリーまで）でセキュリティの統合を自動化」ってなんでしょうね。

ソフトウェア開発ライフサイクルを、運用監視しているシステム基盤の保守開発として捉えることができれば、システム基盤に対するソフトウェア開発ライフサイクルといっても間違いではなさそう。だけど、システム単体として捉えてしまうと、セキュリティに関する部分が矮小化して捉えてしまいそう。

 

DevOpsだって、技術動向の影響は受ける。オンプレで作っていたものがクラウドになったとか、メーカのライブラリからオープンソースになったとか。DevSecOpsについては、それに加えてリモートワークやら、セキュリティ要件の高度化だとか。運用に供する前のテスト範囲の決定が、一番悩ましそうだな・・・

 

どちらの定義も、システム単体として捉えるのではなく、システム群とか、基盤って概念で捉えるのが大事で、この基盤の所有者というか、管理者・意思決定者が居るかどうかどうか、きちんと役職等に紐づけて職位者の権限というか、ミッションとして規定しておくほうが良さそう。

 

＊システム基盤というと、データの暗号化とかを忘れてしまうそうだが、今回はデータ自身もシステム基盤の一部と考えておく。

 

＊＊　そう言えば、某保険会社で、本体のヒトの給与が１０とすると、開発子会社が８、運用子会社のヒトが６なんて話を聞いた（これも１７，８年前かな）。今でも同じルールだったら、すごいなｗｗ