この記事はこんな人へ
・ITエンジニアを目指している方。
・DevOpsとDevSecOpsの違いを知りたい方。
DevOpsとは?
DevSecOpsの前に似た言葉であるDevOpsについて説明していきます。
DevOpsは
・Dev:Development(開発)
・Ops:Operations(運用)
の2つの英単語を合わせた言葉です。
IT業界では分業制が敷かれてることが多く、「アプリやシステムを作る開発者」と「作られたシステムをリリースし運用・保守・監視する運用担当者」が別々ということがよくあります。
ただし、分業体制が敷かれていることにより、開発者が作成したものが本番運用している環境ではうまく動かすことができないといった事態が発生することがありました。
現代のように顧客ニーズの変化が激しい時代において、開発と運用間の連携ができないことによりサービスを提供できないことは、大きな機会損失に繋がってしまします。
このような問題を解決するために考えられたものがDevOpsです。
DevOpsでは基本的にこのように考えます。
・最初から一緒にチームを組む(DevとOpsが協力)
・自動化を活用して、早く安全にリリースする
・失敗を責めずに、すぐに直せる仕組みにする
自動テストやCI/CDといった手法を使用し、できる限りの自動化とできる限りの協力をしていこうって感じです。
| 用語 | 意味 |
|---|---|
| 自動テスト | コードに問題がないか自動でチェック |
| CI/CD | 変更をすぐに本番環境に反映できる仕組み(継続的インテグレーション/継続的デリバリー) |
DevSecOpsとは
DevSecOpsはDevOpsの考え方にSecurity(セキュリティ)も加えた考え方です。
DevOpsでは、システムの発展やそのシステムを正常に動作させるという内側のみに焦点を当ててきました。
しかし、システムにおいて問題が発生することは常に内側のみではありません。
自社の外から攻撃されることも多々あります。
東京商工リサーチの記事では2024年の情報漏洩の件数は189件と過去最多となっており、このうちの6割に当たる114件が「ウイルス感染・不正アクセス」によるものと記載されています。
ウイルスや不正アクセスの手口は年々巧妙化しており、早急な対策を取り続けるということが唯一の対応豊富となります。
そこで、生み出されたものがDevSecOpsという考え方です。
開発や運用だけではなく、最初からセキュリティに関しても考えプロジェクトを推進していくことで、現在もこれからも問題になっていくセキュリティ問題に対して対応していくことができます。
DevOpsとDevSecOpsの違い
DevOpsとDevSecOpsについて説明したところで、両者の違いについて表にしていきましょう。
| 項目 | DevOps | DevSecOps |
|---|---|---|
| 目的 | 開発と運用の連携による迅速なデリバリー | セキュリティも含めた安全で迅速なデリバリー |
| 構成要素 | Development(開発) + Operations(運用) | Development(開発) + Security(セキュリティ) + Operations(運用) |
| セキュリティの扱い | 後工程で実施、別チームが担当することが多い | 開発初期からセキュリティを組み込む、全員が責任を持つ |
| 主な目的 | デプロイの高速化、自動化 | セキュリティと品質の確保 + スピード |
| CI/CDとの関係 | 自動化されたCI/CDパイプラインを使う | CI/CDにセキュリティスキャンやテストを組み込む |
| ツール例 | Jenkins, Docker, Kubernetes など | + Snyk, SonarQube, Trivy, OWASP ZAP など(セキュリティ系) |
| メリット | スピード、柔軟性、運用効率の向上 | セキュリティリスクの低減、品質向上 |
まとめ
DevSecOpsは「開発(Dev)・セキュリティ(Sec)・運用(Ops)を一体化し、セキュリティを開発と運用の全工程に組み込むアプローチ」です。
システムに関わる人間としてDevSecOpsを導入することで得られる効果を考えながら仕事をしていきましょう!
SNS
X(Twitter)のフォローをお願いします。
質問募集中
下記、質問フォームにて募集しています。
最後に
珍しく今週は2記事挙げられてます笑
