DevSecOps の成功度を測定する方法 ~ 2 つの主要な指標

DevSecOps は、ソフトウェアの開発からデリバリーまで、ライフサイクル全体でセキュリティ対策を統合し、セキュリティ対策はソフトウェアをビルドするすべての人の連帯責任である、という文化的な変化を表しています。すべての段階にセキュリティ対策を組み込むことで、デプロイ中やデプロイ後ではなく、開発プロセスの早い段階でセキュリティの問題を特定して解決できます。

DevSecOps を導入している組織は、しばしば進捗状況を確認することがあるでしょう。これには、セキュリティ体制が、時間の経過とともにどのように改善しているかを明確に把握できる指標の利用が必要です。指標により、進捗状況の追跡や改善すべき領域を特定し、情報に基づいた意思決定でセキュリティ プラクティスの継続的な改善を推進できます。また、主要指標の変化パターンを測定することで、DevSecOps の影響をより深く理解し、データに基づく調整でセキュリティ対策への取り組みを強化できます。 

活用できる DevSecOps の指標は多くありますが、このブログ記事では、DevSecOps の成功度を評価する 2 つの基本的な指標について説明します。 

DevSecOps の主要な指標

1. 時間の経過に伴うセキュリティ脆弱性の数

脆弱性分析は、ソフトウェアのセキュリティ対策を行う上で基本的なプラクティスです。この指標は、システムやソフトウェアの開発プロジェクトで特定した、セキュリティ脆弱性の量を経時的に追跡します。 これは、脆弱性検出と修復の傾向を特定し、セキュリティ ギャップがどの程度迅速に修正または軽減されているかを確認するのに役立ちます。また、サイバー攻撃やデータ侵害のリスクを軽減するために不可欠な、脆弱性管理とその導入の有効性の指標にもなります。

2. セキュリティ ポリシーの遵守

多くの業界は、特定のセキュリティ基準の維持が必要な、サイバーセキュリティのフレームワークと規制の対象となっています。ポリシーは、ソフトウェアのアーティファクトを作成、使用するためのルールを体系化する方法を提供します。ポリシーのコンプライアンスを経時的に追跡することで、確立したセキュリティ要件とベスト プラクティスへの一貫した準拠を検証し、ソフトウェア開発への統一されたアプローチを促進することができます。

上記の指標は、DevSecOps 活動の成功度を測るのであれば、良い出発点です。 次のステップは、これらの指標を実装したら、関係者(例えばセキュリティ エンジニアリング)がそのデータを簡単に利用できるようにするためのブザーバビリティ システムに、資金やリソースを投入しましょう。 

Docker Scout による DevSecOps のインサイト

Docker Scout で、これらの指標に対するコンテナー イメージの評価をすぐに開始できます。Docker Scout の Web インターフェイスは、CISO、セキュリティ チーム、ソフトウェア開発者向けの包括的なダッシュボードを提供し、脆弱性の傾向とポリシー コンプライアンス ステータスの概要を確認できます (図1)。Web インターフェイスにより特定のイメージにドリルダウンして、より詳細な調査を行い、ニーズに合わせてポリシーをカスタマイズできるワンストップ ショップです。

図 1: Docker Scout ダッシュボード

さらに、 Docker Scout メトリクス エクスポーターは、Docker Scout エコシステムへの強力な追加機能であり、脆弱性とポリシー コンプライアンスの指標を既存の監視システムに取り込めます。この HTTP エンドポイントにより、Docker Scout のデータをスクレイピングするように Prometheus に互換ツールを構成できるため、Grafana や Datadog などの一般的なオブザーバビリティ ツールと統合して、一元化されたセキュリティ オブザーバビリティを実現できます。 

図 2 と図 3 は、Docker Scout が提供する脆弱性の傾向とポリシー コンプライアンスの洞察を示す 2 つのサンプルを Grafana ダッシュボード上に示しています。

図 2: Grafana ダッシュボード ~ ポリシーのコンプライアンス

図 2 は、Docker Scout 内に構成した各ポリシーのコンプライアンス体制を示すダッシュボードです。この可視化は、定義されたポリシーに準拠するストリーム内の画像の割合を示します。ダッシュボードの上部には、各ポリシーの現在のコンプライアンス率が表示され、下部のセクションには過去 30 日間のコンプライアンスの傾向が表示されます。

図 3 は、特定のストリーム内の脆弱性の数を重大度別かつ時系列で示す 2 つ目の Grafana ダッシュボードです。この例では、すべての脆弱性で顕著なスパイクが見られ、より詳細な調査と修復の優先順位付けが必要であることを示しています。

図 3: Grafana ダッシュボード ~ 重大度の傾向別の脆弱性

まとめ

Docker Scout メトリクス エクスポーターは、運用効率の高い方法でアプリケーションのセキュリティ体制を改善できるように設計されています。Docker Scout の機能や使い方、ライセンスに関する質問はエクセルソフトまで!


エクセルソフトは Docker の Preferred Reseller として、Docker Business の購入および導入を日本語でサポートしています。詳細は、弊社 Web サイトをご確認ください。


*本記事は、Docker 社が提供している以下の記事から抜粋・転載したものです。

DevSecOpsの成功を測定する方法:主要な指標の説明

Docker の最新情報をお届けするエクセルソフトのメールニュース登録はこちら

タイトルとURLをコピーしました