CircleCI、CI/CD エコシステムの拡充に伴いセキュリティとコンプライアンス関連の機能を拡充

現在のソフトウェア開発はペースがきわめて速く、必要なソフトウェアも多岐にわたります。さらに、現代の企業はさまざまな要素と相互につながって成り立っているうえ、ソフトウェアエコシステム内の変更頻度も高まるばかりのため、万全の自信を持ってコードをリリースするのは困難です。そのため、今やソフトウェア開発パイプラインの要となった CI/CD など、各種開発手法の導入が強く求められています。

こうした背景を踏まえ、CircleCI は本日、開発者がソフトウェアの安定性を確実に維持しやすくするためのセキュリティ機能とコンプライアンス機能を新たにリリースしました。

CircleCI CEO の Jim Rose は次のように述べています。「ソフトウェア開発がますます複雑化していることを受け、開発チームでは、登場したての最先端のセキュリティ機能をスムーズに組み込むことが必須となっています。CircleCI では、セキュリティ基準の強化とともに、お客様のビルドパイプラインのセキュリティ強化とリスク管理のスマート化に役立つ機能の開発 ( https://circleci.com/ja/product-roadmap/?utm_medium=PR&utm_source=business-wire&utm_campaign=gitlab ) に絶えず取り組んでいます」

IDC で DevOps・DevSecOps 研究部長を務める Jim Mercer 氏は次のように語っています。「大規模企業のチームにとって、幅広いソフトウェアデリバリーのベストプラクティスを複数のチーム、部門、地域にわたって導入、展開するのは容易ではありません。今回 CircleCI に新しく追加された機能があれば、現在だけでなく将来のソフトウェアデリバリーのセキュリティ要件にも効果的に対応できるでしょう」

この度、CircleCI プラットフォームに追加された機能を以下に紹介します。 

柔軟なコンプライアンス対応を実現する設定ファイルポリシー

エンジニアリングチームにとって、組織全体の規則を管理および制定し、ソフトウェアデリバリーのポリシーへの準拠を徹底するのは難しいものです。そこで、CircleCI では、お客様の管理およびコンプライアンスを支援するため、業界標準のポリシーエンジンである Open Policy Agent を活用して設定ファイルのポリシーを開発しました。このポリシーなら、現時点の有料ツールの中でもきわめて柔軟に組織のガバナンスに対応できます。また、設定ファイルのポリシー ( https://circleci.com/docs/ja/config-policy-management-overview/ ) はセルフサービス形式の Configuration As Code (コードによる設定) であるため、組織全体の整合性を高めると同時に、自由度の向上やチーム単位の権限委譲も実現できます。

CircleCI のポリシー適用機能では、CircleCI Orb の使用許可などの一般的なルールを素早く適用だけでなく、認証情報やリソース、機能へのアクセスを制御する詳細な独自ルールの作成にも対応しています。そのため、コスト管理やコンプライアンスなど、社内ポリシーのさまざまなユースケースを適用できます。適用可能なユースケースの一例を以下に示します。

• パイプラインでセキュリティ関連ジョブの実行を必須にする

• コンテキストの使用を管理する

• Docker コンテナと Executor の使用を管理する

• Orb を管理する

RedMonk 社の Rachel Stephens 氏は次のように語っています。「開発チームは、チームに最適なツールを自分たちで選択したいと考えるものですが、社内の全資産のガバナンスにはセキュリティチームやコンプライアンスチームも関係します。ソフトウェア開発で成果をあげるには、どちらの立場も軽視できません。また、効果的なコラボレーションを実現するには、プロジェクトやチームの垣根を超えてプロセスを標準化できるようにエンジニアリングチームを支援しなくてはなりません。今回 CircleCI からリリースされた設定ファイルのポリシーをはじめとする機能は、ガードレールを備えた選択肢の拡充、開発組織のスピードと品質の両立に役立つことでしょう」

Server 4.1 でのエアギャップのサポート

CircleCI Server 4.1 では、エアギャップサポートが追加されました。これにより、隔離されたネットワーク上に CircleCI Server をインストールし、インターネット接続なしでコア機能を利用できるようになりました。

CircleCI Server 4.1 は、セキュリティ、コンプライアンス、規制に関する最も厳しい制約にも対応できるように設計されています。セルフホスト型のソリューションなので、お客様自身でワークロードに合わせてスケーリングし、一度に複数のサービスを実行できます。あらゆるコードやデータをチーム用の Kubernetes クラスタとネットワーク内に保持でき、機能はクラウド版 CircleCI とまったく変わりません。

シークレット関連の機能の強化

OpenID Connect ID (OIDC) とのインテグレーションが追加されました。このインテグレーションを利用すると、CircleCI システム内への長期シークレット (パスワードや API キー) の保存する必要がなくなります。代わりに、ODIC から提供される一時的なトークンを使用して OIDC 対応システムにアクセスし、CircleCI を信頼できるアクターとして利用できます。この OIDC サポートについては、先日、お客様が利用しているサードパーティツール (AWS など) への CircleCI のアクセスを詳細に制御する機能も追加されました。 

他のシークレット関連の追加機能には以下のようなものがあります。

• プロジェクト制限付きコンテキスト: コンテキストの利用を特定のプロジェクトのみに限定します。

• コンテキスト関連の UI の更新: 「created at (作成日時)」と「updated (更新日時)」のタイムスタンプが追加され、長期シークレットのステータスをひと目で確認できるようになりました。

• シークレット検出スクリプト ( https://github.com/CircleCI-Public/CircleCI-Env-Inspector ): ローテーション用のシークレットリストを作成できます。

CircleCI について

CircleCI は、大規模なソフトウェア イノベーションのための継続的インテグレーション ( https://circleci.com/ja/continuous-integration/ ) & 継続的デリバリー プラットフォームとして市場をリードしています。 インテリジェントな自動化とデリバリー ツールを備えており、世界中の優れたエンジニアリング チームがアイデアを形にするまでの時間を大幅に短縮するために活用されています。 DEVIES、Forbes の Best Startup Employers of the Year や Deloitte の Technology Fast 500™ などの独立調査会社による業界賞において、クラウドネイティブな継続的インテグレーション分野における革新的リーダーとして評価されています。

2011 年に創業した CircleCI は、サンフランシスコのダウンタウンに本社を置き、世界各地にリモート ワークの従業員を擁するグローバル企業です。ベンチャー キャピタルの Base10、Greenspring Associates、Eleven Prime、IVP、Sapphire Ventures、Top Tier Capital Partners、Baseline Ventures、Threshold Ventures、Scale Venture Partners、Owl Rock Capital、Next Equity Partners、Heavybit、Harrison Metal Capital から出資を受けています。 詳細については、公式 HP ( https://circleci.com/ja/ ) をご覧ください。