多くの企業にとって、「生産性」と「セキュリティ」を両立したアプリケーション開発プロセスの構築は、依然として大きな課題となっています。これは、私と共同創業者が 2020 年に Strong Network を立ち上げて以来、取り組み続けてきた主要なチャレンジでもあります。
「Strong Network(ストロング・ネットワーク)」という社名には、テクノロジーと開発コミュニティにおけるコラボレーションとつながりの力を体現するという思いが込められています。
これは、開発者同士が協力し合い、効率よく連携することで実現される、強固で安全なインフラを象徴しており、優れたIT製品やソリューションの創出を支える「スマートな連携」の重要性を表しています。
近年、開発者はハッカーの標的となるケースが増えており、特に認証情報の窃取を狙った攻撃が多発しています。これにより、重大な情報漏えいや、ソースコード・個人情報の流出といった深刻な被害が発生しています。
長らくこの問題への対策としては、仮想デスクトップが有力な選択肢とされ、データ損失防止(DLP)を目的に活用されてきました。
一方で最近では、エンタープライズ向けブラウザを提供する企業が、仮想デスクトップに代わる Web ベースの選択肢として名乗りを上げています。ただし、彼らの主な焦点は Web アプリケーションや SaaS へのアクセスの保護であり、ローカルのデスクトップ環境の保護は副次的なものにとどまっています。
ここで重要なのは、これら汎用的なテクノロジーは、開発プロセスを守るという観点では、使い勝手やパフォーマンス面で問題を抱える可能性があるという点です。
もし、これらの技術がどのように開発プロセスのセキュリティに使われているのかをより詳しく理解したい場合は、ぜひこちらの投稿をご覧ください。
クラウド開発における「セキュリティ」と「生産性」の両立
私たちは、DevOps サイクルの中でアプリケーション開発の効率性とガバナンスを向上させながら、同時にデータ漏洩から保護するという二重の課題に対応するため、初のセキュアなクラウド開発プラットフォームを開発しました。
他のプラットフォームと同様に、当社の基本的な目的もコンテナベースの開発環境を効率化することですが、私たちはそれに加えて強固なセキュリティ対策も提供することを目指しています。
さらに特筆すべきは、当社のセキュリティ機能や制御は、開発者の生産性を損なうのではなく、むしろそのワークフローに自然に組み込まれるように設計されている点です。
クラウド開発環境(CDE: Cloud Development Environments)は、最近 Gartner によって新たなテクノロジーカテゴリとして定義され、Strong Network はそのベンダーのひとつとして紹介されています。
CDEはまだ Gartner のハイプサイクルにおいて初期段階にありますが、この分野に対する業界の注目度が高まっており、開発環境をオンライン化する明確なインセンティブが存在することが示されています。
Gartner が挙げている CDE の利点には、一元的な管理、環境へのアクセスの容易さ、そしてセキュリティの向上などがあります。
私たちは、特にこの「セキュリティの向上」に強く着目して開発を進めてきました。
別の記事では、セキュアなクラウド環境がもたらす特徴や利点について詳しくご紹介していますが、本記事では、Strong Network と他のプラットフォームとの主な概念的な違いに焦点を当てたいと思います。
セキュアなクラウド開発プラットフォームの違いとは
本記事の中心的なテーマは、セキュアなクラウド開発プラットフォームが、Codespaces、Google Workstation、OpenShift DevSpaces、さらには GitPod や Coder といった他の小規模な競合プラットフォームとどのように異なるのかを明確にすることです。
これらのプラットフォームは、統合開発環境(IDE)を通じて開発環境へアクセスを提供し、コーディング作業を迅速に始めることを目的としています。
言い換えると、主な目的は生産性の向上にあります。
一方で、これらのプラットフォームでは、IDE 内部や外部に存在するデータの漏洩防止を目的とはしていません。
それに対し、セキュアなプラットフォームは「生産性の向上」と「開発ワークフロー全体のデータ保護」を両立させることを目指しています。
この「ワークフロー」は IDE の範囲を超えており、開発者の操作やツールとのやり取りすべてを含みます。
私たちは、この視点をもとにプラットフォームを設計しました。
前述のプラットフォームの中には、セキュリティ対策をうたっているものもありますが、実際に提供されているセキュリティ機能はごく限られています。具体的には、プラットフォームがセルフホスト型であること(ただし、これも本質的にセキュリティ対策とは言えません)、および、開発データが開発者の物理デバイスに保存されず、クラウド環境内にとどまること、の2点です。
これは、ほぼすべてのクラウド開発プラットフォームに共通する特徴です。
しかし、上記のいずれのプラットフォームを使用していても、クリップボードやネットワーク操作を通じてのデータ流出や、環境内でアクセスされたリポジトリの認証情報の窃取などは極めて容易です。
たとえ MFA(多要素認証)が有効になっていても、データを外部に漏えいさせることは十分可能です。
実際に、私たちは現在存在する主要なプラットフォームをすべてテストし、データの持ち出し(情報の外部流出)が簡単にできることを確認しました。
(ご希望があれば、上記ベンダーのいずれかに関するデータ持ち出しのチュートリアル動画もご提供できます。)
Strong Network を生産的かつセキュアなソフトウェア開発プラットフォームにした方法
データ漏洩を防ぐというセキュリティ目標を本当に達成するためには、IDE にデータ損失防止(DLP)を追加するだけでは不十分です。DLP は必要な対策の一つではありますが、それだけでは開発者の操作による情報漏洩を完全に防ぐことはできません。
セキュアプラットフォームの基本的な役割は、コード開発において「生産性」と「セキュリティ」の両立を実現することです。
プロセスの観点では、データの持ち出し(情報流出)を防ぐためのセキュリティ機能をネイティブに備えた開発環境を一元的に管理できるようにしています。
特に重要なのは、多くのセキュリティ機能が「コンテキスト認識型」であり、開発者の作業フローに影響を与えないように設計できるという点です。
具体的なセキュリティ機能の例については、この記事内で紹介しています。
また、**データセキュリティは「開発者のワークフロー全体」を守る視点で設計される必要があります。**そのため、GitHub や GitLab など、開発者が日常的に使用する DevOps アプリケーションへのアクセスも保護対象になります。
これを実現するのが、Secure Platform 上で提供される専用のセキュアブラウザです。このブラウザは、開発者が使用するワークフローアプリケーションへのアクセス専用に設計されています。
このセキュアブラウザを使えば、ソースコード管理、タスク管理などのコラボレーションに必要な Web アプリケーションすべてに、安全な環境からアクセスすることが可能になります。
そのため、セキュアなクラウド開発プラットフォームとは、本質的には「セキュアなIDE」と「セキュアなブラウザ」が連携し、開発ワークフロー全体を保護する仕組みであると言えます。
この考え方により、Strong Network のプラットフォームは、仮想デスクトップインフラ(VDI)や、開発プロセスの保護に特化して活用されるセキュアブラウザなどと同じ領域のソリューションとして位置づけられます。
セキュアクラウド開発の未来は「生産性を生むセキュリティ」
まとめると、セキュアクラウド開発プラットフォームは、開発環境(CDE)、開発者が使用する Web アプリケーション(GitHub、Jira など)、そして開発環境からの組織データへのアクセスといったあらゆる情報経路を保護することに焦点を当てています。
その対策は、フィッシング攻撃やマルウェアによる情報流出、内部不正による情報漏洩リスクなどからの防御にまで及びます。
このプラットフォームの設計により、IDEでのコーディングからWebアプリの利用、クラウド開発環境での作業まで、ワークフロー全体を一貫して制御することが可能です。
また、開発者の体験を損なわないよう、軽量なWeb技術を活用して高い生産性を維持することも大きな特徴です。
結論として、私たちは次のように確信しています:
セキュアクラウド開発の未来は、「生産性を高める透明性の高いセキュリティ」によって実現される。
それは、組織と開発者の双方にメリットをもたらす新たなアプローチです。
