採用が進むコンテナ／サーバーレス環境　セキュリティ対策は万全か？

「サーバーレス」の環境は既存の対策では守れない

　デジタルトランスフォーメーション（DX）を進める上では、システム開発の手法も見直すことが望ましい。DXを継続的に成功させていくには、要件定義から開発、テスト、実装を経てリリースに至る、従来のウォーターフォール型開発は適さないからだ。重要なのは、テストリリースを迅速に行い、ユーザーの反応を見ながら改善を高頻度に繰り返すこと。そのために近年採用が増えているのが「DevOps」である。

　DevOpsは開発（Development）と運用（Operations）が積極的に連携することで、開発～運用～フィードバックのサイクルを高速に回すソフトウエアの開発・運用手法である。「継続的インテグレーション（Continuous Integration：CI）」と「継続的デリバリー（Continuous Delivery：CD）」を組み合わせた「CI／CDパイプライン」を作り上げ、それを自動化するアプローチが一般的だ。

　このDevOpsと連動して採用が進むのがコンテナ技術である。サーバーインフラに依存せず、開発からデプロイまでを一貫して行えるコンテナ環境はDevOpsと相性が良い。現在は、既存システムの移行先として多くの企業が採用するIaaSに加え、コンテナ環境やサーバーレス環境を提供するPaaSの利用も増加。今後は、IaaSとPaaSが混在した環境で企業システムを構築するケースが、より一般的なものになっていくだろう。

　こうした状況のもと、システムを守るセキュリティ対策にも変化が求められるようになっている。IaaSと異なり、ユーザーから見るとコンテナやサーバーレスなどのクラウドネイティブ環境にはサーバーそのものが存在しないため、「セキュリティソフトをインストールする」というこれまでの手法が適用できない。つまり、DevOpsの採用に当たっては、セキュリティ対策も新たな発想でとらえ直さなければ、ビジネスリスクを低減できないのである。

　今求められるセキュリティ対策のアプローチと、具体的な仕組みとはどのようなものなのか。