日本経済新聞社のセキュリティチームが推進するDevSecOps

日本経済新聞社 CDIO室鶴田貴大 2025年4月17日日本経済新聞社のセキュリティチームが推進するDevSecOps 1

2 最初に結論 GitHub Advanced Security のような静的解析ツールによるシフトレフトは、開発者のセキュリティ意識向上やセキュアコーディング実践に直結するしかし、その効果を最大限に引き出すためには、活用を推進するための継続的な取り組みが不可欠

3 自己紹介名前: 鶴田貴大所属: 日本経済新聞社 CDIO室セキュリティチーム主な役割: •
DevSecOps推進 • BtoBサービスのクラウドアーキテクト資格: CISSP, CKS 趣味: 写真

4 日本経済新聞社の理念

6 日本経済新聞社のDevSecOpsの取り組み一覧

7 GitHub Advanced Security (GHAS) とは GitHubが提供するセキュリティ機能オプションプランコードスキャニング CodeQL シークレットスキャニング

8 GHAS コードスキャニング概説 CodeQL ベースの静的解析定義済みルールも豊富: SQLi, XSS, SSRF,
CSRF, プロトタイプ汚染, etc 対応言語: JS/TS, Java, Python, Go, Ruby, Actions Workflow, etc

9 GHAS シークレットスキャニング概説誤ってコミットされた認証情報の検出 • クラウドプロバイダーと連携 • カスタムパターンの追加が可能 ◦ Tips:
社内APIトークン文字列にはprefixを入れておくとカスタムパターンに落とし込みやすい • プッシュ保護機能で未然防止

10 GHAS の強み一体化: コード・シークレット両機能が集約シームレスな統合: GitHubでの開発に自然に組み込める管理の容易さ: 組織全体の設定一括管理が可能

11 シフトレフト導入の効果 • 実践による知識の定着 (同一アラートの再発ゼロ) • シークレットハードコード対処の規模感の把握 →実例ベースの指摘による開発者のセキュリティ意識向上と行動変容

12 シフトレフト導入の難点投資効果の定量化の難しさ • 目に見える形でのMTTR改善はすぐには現れない • 他のセキュリティテストを代替しない開発者のコミットメントが必須 • 既存コードのアラート。技術的負債の返済タスク
• アラートの偽陽性。トリアージの手間

13 シフトレフト導入の効果と難点効果難点 • 実践による知識の定着 • シークレットハードコード対処の規模感の把握 •
コードベースにリンクしていることで開発者のセキュリティ意識向上と行動変容 • 開発者のコミットメントが必須 • 投資効果の定量化の難しさ

14 投資効果の説明施策: 利用状況を指標化 • 指標例: ◦ 有効化のカバレッジ ◦ 総アラート数 ◦
解決済みアラート数 ◦ 放置アラート数 ◦ GHASで発見,修正した脆弱性種類と件数 • 活用: マネージャー層への報告、追加施策の検討材料として活用

15 開発者のコミットメント施策: 高意識チームからの導入施策内容: • セキュリティ意識が高いチームを優先選定 • GHAS導入の意思・リソース確保可能か事前確認
ポイント: 効果が上がりやすい初期導入グループの形成

16 開発者のコミットメント施策: オンボーディング施策内容: • 複数回のオンボーディングセッション • 基本機能、アラート対応の流れを解説 • GitHub
Flowなど基本プロセス復習目的: 認識合わせと操作習熟の促進

17 開発者のコミットメント施策チャンピオン制度ポイント: 各チーム内に「GHAS連絡係」担当者を選出主な役割：問い合わせ対応、情報共有、ノウハウ伝達メリット: 連携強化、コミュニケーショ
ンパイプラインの明確化

18 開発者のコミットメント施策: 作業の巻取りと自動化施策内容: • 初期設定をセキュリティチームが一括実施 • 社内ポリシーに準じたクローズ自動化 • ドキュメントやFAQの整備でトリアージの
ハードル低減狙い: 開発者の負担軽減と迅速な対応

19 開発者のコミットメント施策定期的なフォローアップアプローチ: • アラート状況のサマリーと改善提案のフィードバック • ビデオ会議でのディスカッション目的:
チームごとの状況に合わせた柔軟な支援

20 開発者のコミットメント施策もくもく会の実施概要: • もくもく会でGHASアラート対応に取り組む機会を提供 • リアルタイムサポート、情報交換、ペアプロの実施
効果: • 集中できる • 画面共有・通話で早期解決

21 まとめ • GHASのような静的解析の導入は開発者のセキュリティ意識向上やセキュアコーディング実践に直結する • しかしツールを入れるだけではなく、組織全体の取り組みが重要。各チームの文化や状況に合わせた柔軟なアプローチが求められる • GHASの話が中心だったが、あらゆるDevSecOpsの推進が同じ課題に
ぶつかるはず。他のツールだとしても援用可能

日本経済新聞社のセキュリティチームが推進するDevSecOps

日本経済新聞社のセキュリティチームが推進するDevSecOps

dulltz

More Decks by dulltz

Other Decks in Technology

Featured

Transcript

日本経済新聞社 CDIO室鶴田貴大 2025年4月17日日本経済新聞社のセキュリティチームが推進するDevSecOps 1

3 自己紹介名前: 鶴田貴大所属: 日本経済新聞社 CDIO室セキュリティチーム主な役割: •

4 日本経済新聞社の理念

6 日本経済新聞社のDevSecOpsの取り組み一覧

7 GitHub Advanced Security (GHAS) とは GitHubが提供するセキュリティ機能オプションプランコードスキャニング CodeQL シークレットスキャニング

8 GHAS コードスキャニング概説 CodeQL ベースの静的解析定義済みルールも豊富: SQLi, XSS, SSRF,

9 GHAS シークレットスキャニング概説誤ってコミットされた認証情報の検出 • クラウドプロバイダーと連携 • カスタムパターンの追加が可能 ◦ Tips:

10 GHAS の強み一体化: コード・シークレット両機能が集約シームレスな統合: GitHubでの開発に自然に組み込める管理の容易さ: 組織全体の設定一括管理が可能

11 シフトレフト導入の効果 • 実践による知識の定着 (同一アラートの再発ゼロ) • シークレットハードコード対処の規模感の把握 →実例ベースの指摘による開発者のセキュリティ意識向上と行動変容

13 シフトレフト導入の効果と難点効果難点 • 実践による知識の定着 • シークレットハードコード対処の規模感の把握 •

14 投資効果の説明施策: 利用状況を指標化 • 指標例: ◦ 有効化のカバレッジ ◦ 総アラート数 ◦

15 開発者のコミットメント施策: 高意識チームからの導入施策内容: • セキュリティ意識が高いチームを優先選定 • GHAS導入の意思・リソース確保可能か事前確認

16 開発者のコミットメント施策: オンボーディング施策内容: • 複数回のオンボーディングセッション • 基本機能、アラート対応の流れを解説 • GitHub

17 開発者のコミットメント施策チャンピオン制度ポイント: 各チーム内に「GHAS連絡係」担当者を選出主な役割：問い合わせ対応、情報共有、ノウハウ伝達メリット: 連携強化、コミュニケーショ

18 開発者のコミットメント施策: 作業の巻取りと自動化施策内容: • 初期設定をセキュリティチームが一括実施 • 社内ポリシーに準じたクローズ自動化 • ドキュメントやFAQの整備でトリアージの

19 開発者のコミットメント施策定期的なフォローアップアプローチ: • アラート状況のサマリーと改善提案のフィードバック • ビデオ会議でのディスカッション目的:

20 開発者のコミットメント施策もくもく会の実施概要: • もくもく会でGHASアラート対応に取り組む機会を提供 • リアルタイムサポート、情報交換、ペアプロの実施