Upgrade to Pro — share decks privately, control downloads, hide ads and more …

マネーフォワードのセキュアソフトウェア開発ライフサイクルの今 / Secure Softwar...

マネーフォワードのセキュアソフトウェア開発ライフサイクルの今 / Secure Software Development Life Cycle in Money Forward

Money Forward Developers' Storiesの登壇資料です。
This is a presentation material for Money Forward Developers' Stories.

https://moneyforward.connpass.com/event/140296/

https://note.com/akiko_pusu/n/n2ec7437269b7#XDD04

Avatar for Naoki KIMURA

Naoki KIMURA

August 23, 2019
Tweet

Other Decks in Technology

Transcript

  1. ソフトウェア開発ライフサイクル SDLC (Software Development Life Cycle) 要件 (requirem ents) 設計

    (design) 実装 (implemen tation) 検証 (verificatio n) 運⽤・保守 (maintena nce) 18
  2. セキュアソフトウェア開発ライフサイクル S-SDLC (Secure Software Development Life Cycle) 19 要件 セキュリティ

    要件の定義 設計 Security by Design 脅威分析 実装 Secure Coding / Build / Deployment バグ管理 検証 セキュリティ 要件の検証 セキュリティ 検査 運⽤ Security Issue Management 環境の堅牢化
  3. まず、⾏ったのは… プロダクト開発チームへの参加 • 実際にRuby on Railsでプロダクト開発 • コードが読めて直せないと、エンジニア と対等に話できないと思っていたから •

    上から⽬線の⼀⽅的な指摘では、抵抗さ れてうまく受け⼊れてもらえない • マネーフォワードのSDLCを実感するこ とで課題が⾒えてきた 23
  4. Slackに #product_securityを 作成 • 専⽤チャンネルを設けて、プ ロダクト・セキュリティに関 する情報を集約 • 各プロダクトチームのキーマ ンを招待

    • 情報共有と協議の場 • あえてパブリックチャンネル にした 27 この写真 の作成者 不明な作成者 は CC BY-SA のライセンスを許諾されています
  5. Sider × Brakeman • コードレビュー⽀ 援のSaaS • GitHubと連携して PRチェック •

    差分のみを解析 • PRにインラインコ メント • Brakeman以外の 静的解析もワンク リックで設定 30
  6. SCA (Software Component Analysis) • OWASP Top 10 • A9:2017-Using

    Components with Known Vulnerabilities • 依存ライブラリーの把握と脆弱性情 報の収集 • 依存ライブラリーのライセンスも 31
  7. SCA、 めっちゃ⾟い 3 2 • OSSは数多ある • ⽇々やってくる脆弱性情報の精査 • システムは複雑になっていく

    • リポジトリーは増えていく • プログラミング⾔語が違えばパッ ケージ管理も変わってくる • GitHubの Security alertsもあるが、 組織全体の状況を把握できない この写真 の作成者 不明な作成者 は CC BY-SA のライセンスを許諾されています
  8. DASTは⾃動化が難 しい 4 0 • スキャンまでの準備が⼤変 • アプリの実⾏環境 • アプリのクロール

    • クロールのシナリオをメンテ • スキャン結果の精査が⼤変 • False Positive / False Negative の⾒極め • 脆弱性診断スキルが求められる • 要員が必要
  9. VAddy • DASTのSaaS • まずは標準化 • DASTで検査する項 ⽬を絞る • QA担当がクロール

    • CISO室がトリアー ジ • アウトソースも できる体制に 41
  10. マネーフォワードのS-SDLCの今 43 要件 • 情報セ キュリ ティ対策 スタン ダード 設計

    • セキュリ ティ・エ ンジニア や有識者 による⽀ 援 実装 • SASTの⾃ 動化 • GitHub Issues / Jira / Asana 検証 • DAST • 脆弱性診 断 運⽤ • SCA • WAF
  11. マネーフォワードのCulture 45 Speed 意思決定のスピード を上げ、最速で⾏動 に移し、最速でやり 遂げよう。 Pride 絶えず成⻑し、最⾼ の結果を出すために、

    プロとして⾼い意識 をもってやり抜こう。 Teamwork One for all, All for one.の精神を⼤切に、 ひとつのチームと なって⽬標を成し遂 げよう。 Respect 感謝と尊敬を忘れず に、誰に対しても誠 実であり続けよう。 Fun 仕事を楽しみ、成⻑ を楽しみ、⼈⽣を楽 しもう。