開発現場のあるあるから考察、セキュリティとの「良い関係」とは？

　実装、テスト、リリースといった開発プロセスにおいて、その重要性については理解しているものの、ないがしろにされがちなのがセキュリティだろう。確かに、セキュリティの取り組みは直接利益を生み出すものではなく、特にソフトウェアのリリースが迫っている状況などでは、「セキュリティに取り組む余裕がない」と思うのも自然だ。

　こうした状況から脱するには、セキュリティをビジネスとして意味があるものと捉え直す必要がある。例えば、セキュリティへの取り組みを顧客にアピールして利益を上げることができれば、それはビジネスとして意味があるものだといえる。さらに、開発チーム全員が主体となってセキュリティに取り組むことも重要だ。

　本資料では、ソフトウェア開発プロセスにおける「セキュリティあるある」を通じて、セキュリティと開発プロセスとは全く異なるものというイメージを一掃した方がよい理由や、DevOpsにセキュリティを取り込み一体化するDevSecOpsに少しずつでも近づけることの必要性を解説。併せて、その取り組みにおいて推奨されるソリューションも紹介する。