次の方法で共有


ゼロ トラストで DevOps 環境をセキュリティ保護する

DevOps 環境のセキュリティ保護は、開発者にとってもはや取り組むかどうかの選択の余地さえない必須要件になりました。 ハッカーはよりシステムの上流をねらって攻撃を企てるようになっており、明示的な検証、最小限の特権アクセス、DevOps 環境への侵害の想定から成るゼロ トラスト原則を確実に実装する必要があります。

この記事では、ゼロ トラスト アプローチに基づいて DevOps 環境のセキュリティを確保することにより、ハッカーが開発者ボックスに侵入したり、リリース パイプラインを有害なスクリプトに感染させたり、テスト環境を介して本番環境データにアクセスするのを防ぐためのベスト プラクティスを説明します。

Microsoft の eBook エンタープライズ DevOps 環境のセキュリティ保護は、以下のように開発者、DevOps プラットフォーム、アプリケーション環境を可視化することで、それぞれに存在する潜在的なセキュリティ脅威を明確にしています。

上記のリンク済み電子ブックで説明した DevOps 環境とセキュリティの脅威について図示し、ここにリンクされている関連記事についてまとめます。

上の図では、環境と外部統合間の接続によって脅威状況が拡大している点に注意してください。 こうした接続は、ハッカーがシステムを侵害し得るチャンスを増大させます。

攻撃者は企業全体に手を伸ばし、DevOps 環境の侵害、アクセスの獲得、新しい危険要素の放出をねらっています。 攻撃対象は、有害なコードの挿入や、影響力ある開発者 ID へのなりすまし、本番環境コードを盗むなどの通常想定されるサイバー セキュリティ攻撃の範囲を超えて広範囲に拡大しつつあります。

従業員がどこでも仕事できるリモートワークシナリオに安全に移行しつつある現代では、デバイスのセキュリティ強化が必須となります。 サイバー セキュリティ部署は、開発者がコードをどこでどのようにセキュリティ保護しながら構築するべきかについての一貫した理解を持ち合わせていない場合があります。 攻撃者は、リモート接続のハッキングや開発者 IDを盗み出すことでこれらの弱点につけこみます。

パイプラインの自動化からコード検証、コード リポジトリまで、DevOps ツールは、ハッカーにとって重要なエントリ ポイントとなり得ます。 たとえ本番環境に到達する前であっても攻撃者がコードを感染させることに成功した場合、ほとんどのケースではサイバー セキュリティチェックポイントを通過してしまいます。 セキュリティ侵害を防ぐため、開発チームメンバー全員を、ピア レビュー、IDE セキュリティ プラグインを使用したセキュリティ チェック、セキュアなコーディング標準、ブランチ レビュー等に確実にエンゲージメントさせるようにしましょう。

サイバー セキュリティ チームは、攻撃者が本番環境を乗っ取るのを防ぐことを目標と捉えています。 しかし、環境には現在、サプライ チェーン ツールと製品が含まれるようになっています。 オープンソース ツールの侵害は、グローバルなサイバー セキュリティ リスクを高める可能性があります。

開発者向け記事の詳細については、ゼロ トラスト ガイダンス センター開発者向けガイダンスセクション内にある以下の DevSecOps 記事リストを参照してください。

次のステップ

  • クラウド エクスペリエンスに対する最も高速で最も安全なコードを開発者に提供するツールにより、Azure DevOps を使用してコードを高速化し、セキュリティで保護します。
  • Azure で開始するのにかかる時間を短縮するオープンソース ツールである Azure Developer CLI のサインアップをします。
  • GitHub の OIDC をフェデレーション ID として信頼するように Azure を構成します。 OpenID Connect (OIDC) を使用すると、GitHub Action ワークフローから Azure 内のリソースにアクセスできます。このとき、Azure 認証情報を有効期間が長い GitHub シークレットとして格納する必要はありません。
  • DevOps リソース センターは、DevOps プラクティス、アジャイル方式、Git バージョン管理、マイクロソフトでの DevOps 運用、および組織の DevOps 進行状況を評価する方法に関するリソースを提供します。
  • Microsoft DevSecOps ソリューションは、Microsoft DevSecOps ソリューションによりソフトウェア提供ライフサイクルのあらゆる側面にセキュリティを組み込むことで、DevOps を有効化、つまり Azure と GitHub を利用してクラウド上のアプリケーション向けにDevOpsのセキュリティを確立する方法を説明します。
  • Microsoft Entra ID を一元化された ID 管理システムとして運用することで、覚書 22-09 (米国行政命令 14028「国家のサイバーセキュリティの向上」に準拠) に記載されるゼロ トラスト原則を実装します。