要約
- 国務省の外交保安局は、開発の初めから終わりまでセキュリティを組み込んだ継続的統合/継続的デリバリー(CI/CD)パイプラインの確立に取り組んでいる。
- サイバーセキュリティの専門家は、赤チームと青チームに分かれて協力し、機関のセキュリティを向上させる。
- 青チームは「ブルースコアカード」を作成し、システムの脆弱性や設定ミスに基づいて評価を行う。
- 赤チームのテストはペネトレーションテストに似ているが、特定の目的があり、複数の段階を経るため時間がかかる。
- 国務省は情報資源管理局(IRM)と協力し、コーディングと自動化の未来に取り組む。
- AIはサイバーセキュリティの分野で重要なツールとなっており、Medranoは自動化プロセスでの使用を検討しているが、人間の介入による検証も必要としている。
- 国務省は開発者との関係構築と信頼を築くことを重視しており、技術だけでは問題を解決できないとMedranoは述べている。
感想
国務省がCI/CDパイプラインにセキュリティを組み込む取り組みは、ソフトウェア開発の安全性を高める上で非常に有効だと感じる。特に、AIを活用しつつも人間による検証を維持するバランスの取り方が、今後の技術進化において重要な指標になるだろう。また、赤チームと青チームの協力によるアプローチは、異なる視点からのセキュリティチェックを可能にし、より堅牢なシステム構築を助けることが期待される。