DevSecOpsとは？セキュリティを組み込んだ開発手法

はじめに

現代のソフトウェア開発において、セキュリティは開発の最後に考えるものではなく、開発プロセスの最初から組み込むべき要素です。

この記事では、初心者でも分かるように、DevSecOpsについて包括的に解説します。従来の開発手法との違いから、具体的な実装方法、使用するツールまで、実際の開発現場で使える知識を提供します。

DevSecOpsとは？

DevSecOpsとは、「開発（Development）」、「セキュリティ（Security）」、「運用（Operations）」の3つの単語を組み合わせた造語です。これは、ソフトウェア開発のライフサイクル全体にわたって、セキュリティを初期段階から組み込み、自動化し、継続的に改善していくという考え方や文化を指します。

DevSecOpsの定義

開発（Development）・セキュリティ（Security）・運用（Operations）を統合し、ソフトウェア開発のすべての段階でセキュリティを自動化・継続的に実装する手法です。

DevSecOpsのメリット

• セキュリティの向上: 開発の初期段階から継続的にセキュリティチェックを行うことで、脆弱性を早期に発見し、修正できます
• 開発コストと時間の削減: 脆弱性を開発の後期で発見した場合、修正にかかるコストや時間は大幅に増加します。DevSecOpsにより早期に発見・修正することで、手戻りが減り、全体的なコストと時間の削減につながります
• 品質の向上: セキュリティと品質は密接に関連しています。セキュリティが確保されたソフトウェアは、信頼性が高く、ユーザーエクスペリエンスも向上します
• DevOpsチーム間の連携強化: 開発、セキュリティ、運用のチームが協力し、情報を共有することで、よりスムーズで効率的な開発プロセスが実現します
• 市場投入までの時間短縮 (Time-to-Market): セキュリティの問題でリリースが遅れるリスクが減るため、より迅速に製品やサービスを市場に投入できるようになります

従来の開発 vs DevSecOps

従来の開発の問題点

• 開発終了後にセキュリティテスト
• 別々のチームが担当
• 問題発見が遅い
• 修正コストが高い
• リリースが遅延

DevSecOpsの特徴

• 開発と同時にセキュリティテスト
• 全チームが協力
• 早期に問題発見
• 修正コストが低い
• 迅速で安全なリリース

SDLC（ソフトウェア開発ライフサイクル）におけるセキュリティの役割

SDLC、つまりソフトウェア開発ライフサイクルとは、ソフトウェアの企画から開発、テスト、リリース、そして運用・保守に至るまでの一連のプロセスのことです。DevSecOpsの目的は、このSDLCのすべての段階にセキュリティを組み込むことです。

1. 計画・要件定義フェーズ

• 役割: システムがどのような情報を扱うのか、どんなセキュリティ要件が必要なのかを明確にします
• DevSecOpsでの活動: セキュリティに関するリスクアセスメントを行い、脅威モデルを作成します

脅威モデルとは？

脅威モデルとは、システムに対して想定される攻撃やセキュリティリスクを体系的に分析し、対策を検討するためのフレームワークです。

脅威モデリングの4つのステップ（STRIDE法）:

1. システムの理解: アプリケーションのアーキテクチャ、データフロー、信頼境界を明確化
2. 脅威の特定: STRIDE（なりすまし、改ざん、否認、情報漏洩、サービス拒否、権限昇格）の観点から脅威を洗い出し
3. リスクの評価: 各脅威の発生確率と影響度を評価し、優先度を決定
4. 対策の検討: 各脅威に対する具体的なセキュリティ対策を計画

具体例: ECサイトの場合

• 資産: 顧客の個人情報、決済情報、商品データ
• 脅威: SQLインジェクション、クレジットカード情報の漏洩、不正ログイン
• 対策: 入力値検証、暗号化、多要素認証の実装

2. 設計フェーズ

• 役割: セキュリティ要件を満たすような設計を盛り込みます
• DevSecOpsでの活動: セキュアな設計パターンやフレームワークの選定、アクセス制御の仕組み、データの暗号化方式などを検討します

3. 開発・実装フェーズ

• 役割: 実際にコードを書き始める段階で、セキュリティを意識したコーディングを行います
• DevSecOpsでの活動:
  • セキュアコーディング: 一般的な脆弱性（OWASP Top 10など）を避けるようにコードを書きます
  • 静的コード解析 (SAST): コードを書きながら、またはコミットする際に自動的にセキュリティ上の問題がないかスキャンします

4. テストフェーズ

• 役割: 開発されたソフトウェアが正しく動作するか、そしてセキュリティ上の問題がないかを徹底的に検証します
• DevSecOpsでの活動:
  • 動的アプリケーションセキュリティテスト (DAST): 稼働中のアプリケーションに対して、実際に攻撃をシミュレーションして脆弱性を探します
  • 侵入テスト (Penetration Testing): 専門家が実際にハッカーの視点からシステムを攻撃し、脆弱性を見つけ出します
  • 依存関係スキャン: 使用している外部ライブラリやコンポーネントに既知の脆弱性がないかを確認します

5. デプロイ・リリースフェーズ

• 役割: テストが完了したソフトウェアを本番環境に展開し、ユーザーが利用できるようにします
• DevSecOpsでの活動: デプロイプロセス自体がセキュアであることを確認します

6. 運用・保守フェーズ

• 役割: リリースされたソフトウェアが安定して稼働するように監視し、必要に応じてアップデートや改善を行います
• DevSecOpsでの活動:
  • 継続的な監視: システムのログや挙動を監視し、異常がないか常にチェックします
  • 脆弱性管理: 新しい脆弱性が発見された場合、迅速に対応してパッチを適用したり、アップデートをリリースしたりします
  • インシデント対応: セキュリティインシデントが発生した場合の対応計画を立て、実行します

セキュリティテストの種類

静的コード解析（SAST: Static Application Security Testing）

SASTは、アプリケーションの 「静的な」状態、つまりコードが実行されていない状態 で分析を行います。ソースコードやバイナリコードを解析し、プログラムを実行することなく、潜在的な脆弱性やセキュリティ上の問題点を探し出します。

SASTの主な特徴とメリット:

• 早期発見: コードが書かれている最中やコミットされる段階で実施できるため、開発の非常に早い段階で脆弱性を発見できます
• 根本原因の特定: ソースコードを直接分析するため、脆弱性の具体的な場所（ファイル名、行数）や、なぜその脆弱性が発生したのかという根本原因を特定しやすいです
• 開発者向け: 開発者が自分の書いたコードのセキュリティ問題をすぐにフィードバックとして受け取れるため、セキュリティ意識の向上とスキルアップにつながります
• 網羅性: コードの隅々まで分析するため、多くの潜在的な問題を発見できます

よく使われるSASTツール（例）: SonarQube, Checkmarx, Fortify, Snyk など

動的アプリケーションセキュリティテスト（DAST: Dynamic Application Security Testing）

DASTは、アプリケーションが「動いている」状態で分析を行います。実際にアプリケーションを起動し、外部からアクセスして、擬似的な攻撃を仕掛けたり、様々な入力を与えたりすることで、脆弱性を検出します。

DASTの主な特徴とメリット:

• 実行環境での検知: 実際に動作しているアプリケーションをテストするため、設定ミスや環境依存の脆弱性、他のコンポーネントとの連携によって生じる脆弱性など、SASTでは見つけにくい実行時の問題を検出できます
• 外部からの視点: 攻撃者と同じ視点でテストを行うため、外部からどのようにアプリケーションが攻撃されうるかを確認できます
• Webアプリケーションに強い: SQLインジェクション、クロスサイトスクリプティング（XSS）など、Webアプリケーション特有の脆弱性の検出に優れています

よく使われるDASTツール（例）: OWASP ZAP, Burp Suite (Professional), Acunetix など

GitHubにおけるセキュリティツール

GitHubにおけるSASTツール

GitHubでは、主に「GitHub Advanced Security」の一部としてSAST機能を提供しています。

1. CodeQL（GitHub Code Scanning）

   • 概要: GitHubが提供する独自の強力なSASTエンジンです。コードをデータベースのように扱うことで、非常に複雑な脆弱性パターンも検出できます
   • 特徴:
     • リポジトリへの統合: GitHubリポジトリに直接統合され、プルリクエストやプッシュ時など、CI/CDパイプラインの一部として自動的にスキャンを実行できます
     • 高精度な検出: コードのデータフローを追跡するなど、高度な解析を行い、誤検知を減らしつつ多くの種類の脆弱性を検出します
     • 開発者へのフィードバック: 検出された脆弱性はGitHubのインターフェース上でアラートとして表示され、開発者はコードのどこに問題があるか、どのように修正すべきかというガイダンスを得られます

2. GitHub Actionsとの連携（サードパーティ製SASTツール）

   • SonarQube: オープンソースのコード品質・セキュリティ解析ツール
   • Checkmarx, Fortify, Veracode: 商用SASTツール
   • Mend SAST: カスタムコードのセキュリティ分析を行うGitHub向けアクション

GitHubにおけるDASTツール

GitHub自身が直接的なDASTサービスをネイティブで提供しているというよりは、GitHub Actionsを通じて外部のDASTツールをCI/CDパイプラインに組み込む形が一般的です。

• OWASP ZAP: オープンソースで広く使われているDASTツール
• Burp Suite DAST: プロフェッショナル向けのDASTツール
• Checkmarx DAST: CheckmarxもDAST機能を提供
• Beagle Security: DASTスキャンをGitHub Actionsに統合するためのアクションを提供

OWASP Top 10の理解

OWASP Top 10は、Webアプリケーションのセキュリティにおいて最も重大なリスク上位10項目をまとめたリストです。

主な脆弱性と対策

• A01:2021 – 壊れたアクセス制御: 権限のないユーザーがアクセスできてしまう問題

  • 対策: 権限チェックの徹底、最小権限の原則

• A02:2021 – 暗号化の失敗: 機密データが適切に暗号化されていない問題

  • 対策: 機密データの暗号化、強固なアルゴリズムの使用

• A03:2021 – インジェクション: ユーザー入力によって意図しないコマンドが実行される問題

  • 対策: 入力値の検証とエスケープ、プリペアドステートメントの使用

• A04:2021 – 安全でない設計: セキュリティを考慮しない設計上の欠陥

  • 対策: 脅威モデリング、セキュアな設計原則の採用

• A05:2021 – セキュリティ設定の不備: 不適切なシステム設定

  • 対策: デフォルト設定の変更、不要な機能の無効化

• A06:2021 – 脆弱で古くなったコンポーネント: 使用しているライブラリ等に既知の脆弱性がある問題

  • 対策: コンポーネントのバージョン管理、定期的な脆弱性スキャン、迅速なアップデート

• A07:2021 – 識別と認証の失敗: ユーザー認証やセッション管理の不備

  • 対策: 強力なパスワードポリシー、多要素認証、安全なセッション管理

• A08:2021 – ソフトウェアとデータの整合性の不具合: ソフトウェアやデータの改ざんリスク

  • 対策: デジタル署名、ハッシュ値による検証、CI/CDパイプラインの保護

• A09:2021 – セキュリティログとモニタリングの失敗: 攻撃の検知や追跡が困難になる問題

  • 対策: 適切なログ記録、ログ監視とアラート、インシデント対応計画

• A10:2021 – サーバサイドリクエストフォージェリ (SSRF): アプリケーションが意図せず内部リソースにアクセスしてしまう問題

  • 対策: リクエスト送信先の厳密な検証、内部リソースへのアクセス制限

DevSecOps導入の5ステップ

1. 計画・設計段階

主な活動: セキュリティ要件の定義と脅威モデリングを実施

• セキュリティ要件の明確化: 扱うデータの機密性レベル、必要な認証・認可機能、コンプライアンス要件を定義
• 脅威モデリング: STRIDE法を用いてシステムへの潜在的な攻撃を分析し、対策を計画
• セキュアな設計原則の適用: 最小権限の原則、多層防御、フェイルセーフ設計などを採用
• セキュリティアーキテクチャの検討: 認証基盤、暗号化方式、ログ設計などの技術選定

2. 開発段階

主な活動: コード作成時に静的解析ツール（SAST）で脆弱性をチェック

• セキュアコーディング: OWASP Top 10を意識した安全なコーディング実践
• IDE統合SAST: 開発中にリアルタイムで脆弱性を検出（Snyk Code、SonarLintなど）
• コードレビュー: セキュリティ観点を含めたピアレビューの実施
• 秘密情報管理: API キーやパスワードなどの秘密情報をコードに含めない仕組みの構築

3. ビルド・テスト段階

主な活動: CI/CDパイプラインに自動セキュリティテストを統合

• 自動SAST実行: プルリクエストやマージ時に静的解析を自動実行
• 依存関係スキャン: 使用ライブラリの既知脆弱性をチェック（Snyk、GitHub Dependabot）
• コンテナスキャン: Dockerイメージの脆弱性を検査
• 品質ゲート設定: 重要な脆弱性が検出された場合はビルドを停止

4. デプロイ段階

主な活動: 動的解析ツール（DAST）で本番環境類似のテストを実行

• DAST実行: 稼働中のアプリケーションに対する侵入テスト（OWASP ZAP、Burp Suite）
• インフラセキュリティチェック: 設定ミスやセキュリティ設定の検証
• セキュアデプロイ: 暗号化通信、アクセス制御、監査ログの有効化
• 本番前最終検証: セキュリティ設定とポリシーの最終確認

5. 運用・監視段階

主な活動: リアルタイム監視でセキュリティインシデントを検知・対応

• セキュリティ監視: 異常なアクセスパターンや攻撃の兆候を24時間監視
• ログ分析: セキュリティログの収集・分析・アラート設定
• 脆弱性管理: 新たに発見された脆弱性への迅速な対応とパッチ適用
• インシデント対応: セキュリティ事故発生時の対応手順の実行と事後分析

まとめ

DevSecOpsを導入することで、開発の初期段階からセキュリティを組み込むことにより、セキュリティの向上、開発コストと時間の削減、ソフトウェア品質の向上を同時に実現できます。また、開発・セキュリティ・運用チーム間の連携強化により、より効率的な開発プロセスが構築され、市場投入までの時間短縮も可能になります。セキュリティは一度の導入で完了するものではなく、継続的な改善と監視を通じて、組織全体のセキュリティ文化を醸成することが重要です。

重要なポイント

1. 早期からのセキュリティ組み込み: 開発の初期段階からセキュリティを考慮することで、後から修正するコストを大幅に削減できます

2. 自動化による継続的な監視: SASTやDASTツールをCI/CDパイプラインに組み込むことで、24時間365日セキュリティチェックが可能になります

3. チーム間の連携強化: 開発、セキュリティ、運用の各チームが密に連携することで、より安全で効率的な開発プロセスが実現できます

4. OWASP Top 10への対応: 主要な脆弱性パターンを理解し、適切な対策を講じることで、セキュリティリスクを大幅に軽減できます

参考リンク

• OWASP Top 10

---

この記事がDevSecOpsの活用に役立てば幸いです！質問やフィードバックがあれば、コメントでお気軽にお聞かせください。