アジャイル開発におけるセキュリティ

2016 年 12 月 1 日 - Microsoft Secure Blog スタッフ - マイクロソフト

このポストは「Security in agile development 」の翻訳です。

執筆者: Talhah Mir - WWIT CP ISRM ACE、プリンシパル PM マネージャー

今日の大半の企業のセキュリティ戦略は多面的になっており、IT 環境のさまざまな要素 (ID、アプリケーション、データ、デバイス、インフラストラクチャなど) の保護が含まれています。これには、よりセキュアな企業を実現するためのセキュリティに関するトレーニングおよび文化と行動の変革の推進やサポートも含まれます。とはいえ、セキュリティの真の開始地点は、基本の中核部分 (ソフトウェア開発レベル) に存在します。アプリケーションが今日の企業のセキュリティ要件を満たし、包括的なエンドツーエンドのセキュリティ戦略と整合するよう徹底するためにセキュリティを「組み込む」ことできるのがこの場所です。

マイクロソフトは、最新のエンジニアリングをサポートする過程で得られたセキュリティに関するベスト プラクティスや知識の一部の概要を記した「Security for Modern Engineering」というタイトルのホワイト ペーパーを最近公開しました。差別化における競争圧力が増し、顧客の需要が進化し続ける中で、あらゆるソフトウェア エンジニアリング チームが効果と効率性の強化を図ろうとしています。このため、ソフトウェア アプリケーションやサービスの品質を犠牲にすることなく、市場化までの期間を大幅に短縮することが必要になっています。マイクロソフトの IT 部門のチームをはじめとする最新のエンジニアリング チームは、この需要に対応するために、アジャイル開発の手法を採用し、DevOps (開発と運用の組み合わせ) を採り入れ、継続的統合/継続的提供をサポートする開発インフラストラクチャを維持管理しています。今日、アプリケーションのユーザーのセキュリティに関する意識や関心が高まっているため、よりセキュアなアプリケーションは差別化要因となり得ます。

エンジニアリング チームが最新のエンジニアリング環境での運用を検討する中で、セキュリティの自動化を推進し、エンジニアリング チーム向けの統合セキュリティ サービスを開発するのにこれほどいいタイミングはありません。開発、テスト、および運用の役割が融合されて現在の新しいエンジニアが誕生した経緯と同様に、マイクロソフトは、さまざまなプロセスがエンジニアリング プロセスにシームレスに融合された場合、ソフトウェア セキュリティ保証プログラムが従来よりもはるかに優れた結果をもたらすと信じ続けています。これは、今日に至るまで最新のエンジニアリング プラクティスの優先事項となっている Microsoft Security Development Lifecycle (SDL) の策定においてマイクロソフトが主張していたことです。セキュリティ チームは、自動化のモメンタムを利用して、組織内の基幹業務アプリケーション ポートフォリオのセキュリティ体制をさらに強化する必要があります。これによって、効果、効率性、および競争力を兼ね備えたビジネスを推進することができます。