Upgrade to Pro — share decks privately, control downloads, hide ads and more …

日本経済新聞社のセキュリティチームが推進するDevSecOps

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for dulltz dulltz
April 17, 2025
Technology
0
140

 日本経済新聞社のセキュリティチームが推進するDevSecOps

2025年4月17日 CyLeague Security Tech Forum
DevSecOps最前線 フロントランナーから学ぶ最新トレンドと成功事例
https://offers.cyleague.jp/202504cstf?hsCtaAttrib=187250353332

Avatar for dulltz

dulltz

April 17, 2025
Tweet

More Decks by dulltz

See All by dulltz
GitOpsでJobの
実行と管理どうしてます?
Avatar for dulltz dulltz
0
1.1k
プライベートクラウドのサービス運用環境をK8sで改善する話
Avatar for dulltz dulltz
7
4.3k
ツラくないクラウド運用環境を作る
Avatar for dulltz dulltz
0
1.2k

Other Decks in Technology

See All in Technology
Databricksアシスタントが自分で考えて動く時代に! エージェントモード体験もくもく会
Avatar for Takaaki Yayoi taka_aki
0
320
マルチロールEMが実践する「組織のレジリエンス」を高めるための組織構造と人材配置戦略
Avatar for coconala_engineer coconala_engineer
3
430
AI Agentにおける評価指標とAgent GPA
Avatar for tsho tsho
1
300
Introduction to Sansan Meishi Maker Development Engineer
Avatar for Sansan, Inc. sansan33
PRO
0
360
Datadog Cloud Cost Management で実現するFinOps
Avatar for Taiji HAGINO taiponrock
PRO
0
140
GitLab Duo Agent Platform + Local LLMサービングで幸せになりたい
Avatar for jyoshise jyoshise
0
120
大規模サービスにおける レガシーコードからReactへの移行
Avatar for MagicPod magicpod
1
130
男(監査)はつらいよ - Policy as CodeからAIエージェントへ
Avatar for Kengo Suzuki ken5scal
5
730
Master Dataグループ紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
4.4k
ブラックボックス観測に基づくAI支援のプロトコルのリバースエンジニアリングと再現 ~AIを用いたリバースエンジニアリング~ @ SECCON 14 電脳会議 / Reverse Engineering and Reproduction of an AI-Assisted Protocol Based on Black-Box Observation @ SECCON 14 DENNO-KAIGI
Avatar for chibiegg chibiegg
0
140
「ストレッチゾーンに挑戦し続ける」ことって難しくないですか? メンバーの持続的成長を支えるEMの環境設計
Avatar for SansanTech sansantech
PRO
2
320
マネージャー版 "提案のレベル" を上げる
Avatar for konifar konifar
19
12k

Featured

See All Featured
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.6k
Public Speaking Without Barfing On Your Shoes - THAT 2023
Avatar for David Neal reverentgeek
1
330
Leo the Paperboy
Avatar for Maya Tellez mayatellez
4
1.5k
Exploring anti-patterns in Rails
Avatar for Elle Meredith aemeredith
2
280
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
2
140
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
287
14k
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
Avatar for Katarina Dahlin katarinadahlin
PRO
1
3.5k
So, you think you're a good person
Avatar for Per Axbom axbom
PRO
2
1.9k
Collaborative Software Design: How to facilitate domain modelling decisions
Avatar for Kenny Baas-Schwegler baasie
0
150
Efficient Content Optimization with Google Search Console & Apps Script
Avatar for Katarina Dahlin katarinadahlin
PRO
1
360
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
49
9.9k
Everyday Curiosity
Avatar for Cassini Nazir cassininazir
0
150

Transcript

  1. 日本経済新聞社 CDIO室 鶴田貴大 2025年4月17日 日本経済新聞社のセキュリティチームが 推進するDevSecOps 1

  2. 2 最初に結論 GitHub Advanced Security のような静的解析ツールによる シフトレフトは、開発者のセキュリティ意識向上やセキュ アコーディング実践に直結する しかし、その効果を最大限に引き出すためには、活用を推 進するための継続的な取り組みが不可欠

  3. 3 自己紹介 名前: 鶴田貴大 所属: 日本経済新聞社 CDIO室 セキュリティチーム 主な役割: •

    DevSecOps推進 • BtoBサービスのクラウドアーキテクト 資格: CISSP, CKS 趣味: 写真

  4. 4 日本経済新聞社の理念

  5. 6 日本経済新聞社のDevSecOpsの取り組み一覧

  6. 7 GitHub Advanced Security (GHAS) とは GitHubが提供するセキュリティ機能オプションプラン コードスキャニング CodeQL シークレットスキャニング

  7. 8 GHAS コードスキャニング 概説 CodeQL ベースの静的解析 定義済みルールも豊富: SQLi, XSS, SSRF,

    CSRF, プロトタイプ汚染, etc 対応言語: JS/TS, Java, Python, Go, Ruby, Actions Workflow, etc

  8. 9 GHAS シークレットスキャニング概説 誤ってコミットされた認証情報の検出 • クラウドプロバイダーと連携 • カスタムパターンの追加が可能 ◦ Tips:

    社内APIトークン文字列にはprefixを入れて おくとカスタムパターンに落とし込みやすい • プッシュ保護機能で未然防止

  9. 10 GHAS の強み 一体化: コード・シークレット両機能が集約 シームレスな統合: GitHubでの開発に自然に組み込める 管理の容易さ: 組織全体の設定一括管理が可能

  10. 11 シフトレフト導入の効果 • 実践による知識の定着 (同一アラートの再発ゼロ) • シークレットハードコード対処の規模感の把握 →実例ベースの指摘による開発者のセキュリティ意識向上 と行動変容

  11. 12 シフトレフト導入の難点 投資効果の定量化の難しさ • 目に見える形でのMTTR改善はすぐには現れない • 他のセキュリティテストを代替しない 開発者のコミットメントが必須 • 既存コードのアラート。技術的負債の返済タスク

    • アラートの偽陽性。トリアージの手間

  12. 13 シフトレフト導入の効果と難点 効果 難点 • 実践による知識の定着 • シークレットハードコード対処 の規模感の把握 •

    コードベースにリンクしている ことで開発者のセキュリティ意 識向上と行動変容 • 開発者のコミットメントが必須 • 投資効果の定量化の難しさ

  13. 14 投資効果の説明施策: 利用状況を指標化 • 指標例: ◦ 有効化のカバレッジ ◦ 総アラート数 ◦

    解決済みアラート数 ◦ 放置アラート数 ◦ GHASで発見,修正した脆弱性種類と件数 • 活用: マネージャー層への報告、追加施策 の検討材料として活用

  14. 15 開発者のコミットメント施策: 高意識チームからの導入 施策内容: • セキュリティ意識が高いチームを優先 選定 • GHAS導入の意思・リソース確保可能か 事前確認

    ポイント: 効果が上がりやすい初期導入 グループの形成

  15. 16 開発者のコミットメント施策: オンボーディング 施策内容: • 複数回のオンボーディングセッション • 基本機能、アラート対応の流れを解説 • GitHub

    Flowなど基本プロセス復習 目的: 認識合わせと操作習熟の促進

  16. 17 開発者のコミットメント施策 チャンピオン制度 ポイント: 各チーム内に「GHAS連絡係」 担当者を選出 主な役割:問い合わせ対応、情報共有、 ノウハウ伝達 メリット: 連携強化、コミュニケーショ

    ンパイプラインの明確化

  17. 18 開発者のコミットメント施策: 作業の巻取りと自動化 施策内容: • 初期設定をセキュリティチームが一括実施 • 社内ポリシーに準じたクローズ自動化 • ドキュメントやFAQの整備でトリアージの

    ハードル低減 狙い: 開発者の負担軽減と迅速な対応

  18. 19 開発者のコミットメント施策 定期的なフォローアップ アプローチ: • アラート状況のサマリーと改善提案の フィードバック • ビデオ会議でのディスカッション 目的:

    チームごとの状況に合わせた柔軟 な支援

  19. 20 開発者のコミットメント施策 もくもく会の実施 概要: • もくもく会でGHASアラート対応に 取り組む機会を提供 • リアルタイムサポート、情報交換、 ペアプロの実施

    効果: • 集中できる • 画面共有・通話で早期解決

  20. 21 まとめ • GHASのような静的解析の導入は開発者のセキュリティ意識向上やセ キュアコーディング実践に直結する • しかしツールを入れるだけではなく、組織全体の取り組みが重要。 各チームの文化や状況に合わせた柔軟なアプローチが求められる • GHASの話が中心だったが、あらゆるDevSecOpsの推進が同じ課題に

    ぶつかるはず。他のツールだとしても援用可能