Upgrade to Pro — share decks privately, control downloads, hide ads and more …

マネーフォワードのセキュアソフトウェア開発ライフサイクルの今 / Secure Software Development Life Cycle in Money Forward

マネーフォワードのセキュアソフトウェア開発ライフサイクルの今 / Secure Software Development Life Cycle in Money Forward

Money Forward Developers' Storiesの登壇資料です。
This is a presentation material for Money Forward Developers' Stories.

https://moneyforward.connpass.com/event/140296/

https://note.com/akiko_pusu/n/n2ec7437269b7#XDD04

Naoki KIMURA

August 23, 2019
Tweet

Other Decks in Technology

Transcript

  1. ソフトウェア開発ライフサイクル SDLC (Software Development Life Cycle) 要件 (requirem ents) 設計

    (design) 実装 (implemen tation) 検証 (verificatio n) 運⽤・保守 (maintena nce) 18
  2. セキュアソフトウェア開発ライフサイクル S-SDLC (Secure Software Development Life Cycle) 19 要件 セキュリティ

    要件の定義 設計 Security by Design 脅威分析 実装 Secure Coding / Build / Deployment バグ管理 検証 セキュリティ 要件の検証 セキュリティ 検査 運⽤ Security Issue Management 環境の堅牢化
  3. まず、⾏ったのは… プロダクト開発チームへの参加 • 実際にRuby on Railsでプロダクト開発 • コードが読めて直せないと、エンジニア と対等に話できないと思っていたから •

    上から⽬線の⼀⽅的な指摘では、抵抗さ れてうまく受け⼊れてもらえない • マネーフォワードのSDLCを実感するこ とで課題が⾒えてきた 23
  4. Slackに #product_securityを 作成 • 専⽤チャンネルを設けて、プ ロダクト・セキュリティに関 する情報を集約 • 各プロダクトチームのキーマ ンを招待

    • 情報共有と協議の場 • あえてパブリックチャンネル にした 27 この写真 の作成者 不明な作成者 は CC BY-SA のライセンスを許諾されています
  5. Sider × Brakeman • コードレビュー⽀ 援のSaaS • GitHubと連携して PRチェック •

    差分のみを解析 • PRにインラインコ メント • Brakeman以外の 静的解析もワンク リックで設定 30
  6. SCA (Software Component Analysis) • OWASP Top 10 • A9:2017-Using

    Components with Known Vulnerabilities • 依存ライブラリーの把握と脆弱性情 報の収集 • 依存ライブラリーのライセンスも 31
  7. SCA、 めっちゃ⾟い 3 2 • OSSは数多ある • ⽇々やってくる脆弱性情報の精査 • システムは複雑になっていく

    • リポジトリーは増えていく • プログラミング⾔語が違えばパッ ケージ管理も変わってくる • GitHubの Security alertsもあるが、 組織全体の状況を把握できない この写真 の作成者 不明な作成者 は CC BY-SA のライセンスを許諾されています
  8. DASTは⾃動化が難 しい 4 0 • スキャンまでの準備が⼤変 • アプリの実⾏環境 • アプリのクロール

    • クロールのシナリオをメンテ • スキャン結果の精査が⼤変 • False Positive / False Negative の⾒極め • 脆弱性診断スキルが求められる • 要員が必要
  9. VAddy • DASTのSaaS • まずは標準化 • DASTで検査する項 ⽬を絞る • QA担当がクロール

    • CISO室がトリアー ジ • アウトソースも できる体制に 41
  10. マネーフォワードのS-SDLCの今 43 要件 • 情報セ キュリ ティ対策 スタン ダード 設計

    • セキュリ ティ・エ ンジニア や有識者 による⽀ 援 実装 • SASTの⾃ 動化 • GitHub Issues / Jira / Asana 検証 • DAST • 脆弱性診 断 運⽤ • SCA • WAF
  11. マネーフォワードのCulture 45 Speed 意思決定のスピード を上げ、最速で⾏動 に移し、最速でやり 遂げよう。 Pride 絶えず成⻑し、最⾼ の結果を出すために、

    プロとして⾼い意識 をもってやり抜こう。 Teamwork One for all, All for one.の精神を⼤切に、 ひとつのチームと なって⽬標を成し遂 げよう。 Respect 感謝と尊敬を忘れず に、誰に対しても誠 実であり続けよう。 Fun 仕事を楽しみ、成⻑ を楽しみ、⼈⽣を楽 しもう。