メインコンテンツへ
セキュリティセキュリティ実践

DevSecOpsの説明として最も正しいものはどれか。

ア.セキュリティチームが開発・運用チームの承認なしにシステム変更を行える権限を持つ運用モデル
イ.開発(Dev)・セキュリティ(Sec)・運用(Ops)を統合し、CI/CDパイプラインにセキュリティ自動化を組み込むソフトウェア開発文化正解
ウ.セキュリティ専門家だけで構成するアジャイル開発手法
エ.脆弱性が見つかった際に開発を完全停止してセキュリティレビューを行う厳格なゲートプロセス

解説

DevSecOpsは「3人組バンドの合奏」みたいなもの。以前はDev(ギター)とOps(ドラム)の2人バンドにSec(ベース)を後から加えようとして音がズレた。DevSecOpsは最初から3人で練習して、セキュリティというベースラインを常にリズムに刻み込む。CI/CDパイプラインというリハーサルルームで毎回一緒に演奏!

なぜ イ が正解か

DevSecOpsの実践:①シフトレフト:セキュリティチェックをパイプラインの早期に実施②自動化ツール統合:SAST(SonarQube等)→コードステージ、依存関係スキャン(Snyk/Trivy)→ビルドステージ、DAST(OWASP ZAP等)→テストステージ③チームの「セキュリティ責任の民主化」:全員がセキュリティオーナー④Sec責任者はポリシー策定・教育・ツール選定に注力⑤継続的コンプライアンス(ポリシーをコードとして管理:OPA等)。DevOpsにセキュリティを第一級市民として組み込む文化変革。

なぜ ア は間違いか

セキュリティチームが単独で変更権限を持つという運用はDevSecOpsの逆。DevSecOpsは権限集中ではなく全チームへのセキュリティ責任の分散を目指す。

なぜ ウ は間違いか

セキュリティ専門家だけのアジャイル開発ではない。Dev・Sec・Opsが協力するクロスファンクショナルな文化。専門家だけが担当するのは旧来モデル。

なぜ エ は間違いか

脆弱性ごとに開発完全停止は非効率で現代の高速リリースサイクルに合わない。DevSecOpsは継続的なセキュリティチェックにより問題を小さく早く検出し、停止なく対処することを目指す。

出典: AI生成問題(学習用)