Upgrade to Pro — share decks privately, control downloads, hide ads and more …

先進事例から学ぶ DevSecOpsでセキュリティに取り組むコツ

 先進事例から学ぶ DevSecOpsでセキュリティに取り組むコツ

2024-02-07 GitLab Connect Japan 2024講演資料
https://www.event-info.com/gitlab-connect-japan-2024/

オンデマンド配信しています。
https://www.nri-secure.co.jp/video/devsecops/gitlab_connect_japan2024

Ryosuke Sekido

February 07, 2024
Tweet

More Decks by Ryosuke Sekido

Other Decks in Technology

Transcript

  1. 3 社 名 NRIセキュアテクノロジーズ株式会社(略称:NRIセキュア) 会 社 所 在 地 本社

    :東京都千代田区大手町 東京サンケイビル 横浜ベイオフィス :神奈川県横浜市神奈川区 横浜ダイヤビルディング サイバーセキュリティハブ大阪:大阪府大阪市北区 中之島フェスティバルタワー・ウエスト 北米支社 :米国カリフォルニア州アーバイン 設 立 年 月 日 2000年8月1日 ※サービス提供開始:1995年 資 本 金 4.5億円 株 主 株式会社野村総合研究所 代 表 取 締 役 社 長 建脇 俊一 専 務 取 締 役 池田 泰徳 常 務 取 締 役 西内 喜一 取 締 役 大元 成和、能勢 幸嗣、山口 隆夫 監 査 役 坂田 太久仁 社 員 数 連結:750名、単体:638名 N R I セ キ ュ ア グ ル ー プ 会 社 株式会社ユービーセキュア:東京都中央区 株式会社NDIAS :東京都港区 提 供 実 績 官公庁、金融機関、流通、製造、製薬、通信、マスコミ など 認 証 取 得 ISO/IEC 27001認証取得 会社情報 野村総合研究所(NRI)グループにおける情報セキュリティ専門の中核企業 (2024年1月現在)
  2. 4 コンサルティング セキュリティ診断 SOC・マネージド セキュリティサービス セキュリティ 製品・ソリューション セキュリティ 教育・研修 5つの提供サービスカテゴリ

    4コア事業 コンサルティング 顧客密着型の問題解決支援 ストラテジーコンサルティング事業本部 マネジメントコンサルティング事業本部 サイバーコンサルティング事業本部 マネージド セキュリティサービス 24時間365日の セキュリティ監視サービス マネージドセキュリティサービス事業本部 マネージドセキュリティサービス開発本部 ソフトウェア 日本市場に合わせた自社開発の セキュリティソリューション ソフトウェア第一事業本部 ソフトウェア第二事業本部 デジタルトランスフォーメーション をセキュリティで支援 DXセキュリティコンサルティング事業本部 DXセキュリティプラットフォーム事業本部 DXセキュリティ 研究開発センター 先進技術の探索・評価、およびサービス開発の推進・統括 戦略ITイノベーション 政策動向やマーケットニーズの洞察によるソリューション創発 戦略ITイノベーションと研究開発 サービス・製品提供体制 社会やニーズの変化、技術動向に応じたサービス・製品を4つのコア事業で提供
  3. 9 NRIセキュアの考えるDevSecOpsの鍵 「自動化」による省力化、 人にしかできないことに 注力する バランスよく取り組む 文化 プロセス 技術 ▪構成管理

    - GitLab - Infra. as Code (IaC) ▪CI/CD - GitLab Runner ▪コミュニケーション - チケット管理 - チャット ▪自動検査 - SAST - DAST - コンテナスキャナ ▪モニタリング - モニタリング etc. プロセス 文化 技術 ▪アジャイル ▪カンバン ▪リーン ▪フィードバックループ etc. ▪自ら主体的に取り組む意識付け ▪継続的なチャレンジを後押しする組織体制 ▪アジャイルの文化 ▪DevOpsの4つの原則 etc.
  4. 11 事業会社 事業会社 課題 事業部門が直接開発を外部委託するシステムがある 各事業会社の要件によりシステム開発 スピード感を求められる セキュリティ診断で不備が発覚するリスクがある リリース直前のセキュリティ診断を実施している 不備が見つかることでリリース期限を守れなくなったり、

    セキュリティ不備を修正することによりコストが増加したりする セキュリティを確保する「仕組み」が必要だった 担当者のセキュリティにかかる専門知識のレベルに依存しない 全社システム 事業会社 事業システム 課題
  5. 16 解決策 「出島」としてDX推進 既存ルールや組織から独立した体制を構築 『逆コンウェイの法則』から組織設計 Two-pizza teams (10人程度)が システムを担当 ワンプラットフォームとして

    GitLabを中心に構築 開発チームを支援する各種サービスとして、 「QA」「SRE」「アーキテクチャ」 そして「セキュリティ」を置いた
  6. 17 効果 1つの共通基盤のうえでアジリティの高い開発を実現している GitLabはSingle Source of Truthを提供し、GitOpsを担っている GitLab Runnerによるソースコードと親和性の高いパイプライン機能が利用できる 企画フェーズから運用まで、SECチームが寄り添って支援している

    「暗号化」のようなシステム要件を 要件定義フェーズで理解を深め、 設計・実装に進められる 業界規格(PCI DSS)に対する コンサルテーションを実施している 30人で始めた本取り組みは 現在500人以上の規模に広がっている リリース 実装 設計 企画 半年~1年程度 SECチーム アプリチーム プロジェクト 計画書 要件定義書 設計書 本番稼働 システム 適宜対応 適宜対応 適宜対応 システム開発
  7. 21 NRIセキュアによる支援体制 ~SEC Team Services~ ⚫ システム開発を理解した人材が開発チームに寄り添って支援することが効果的です。 ⚫ 詳しくは [email protected]

    にご相談ください。 委託会社メンバ 社員メンバ セキュリティチーム SEC Team Services 教育 連携・支援 連携・支援 開発チーム