先進事例から学ぶ　DevSecOpsでセキュリティに取り組むコツ

Transcript

1. 先進事例から学ぶ DevSecOpsでセキュリティに取り組むコツ GitLab Connect Japan 2024 関戸 亮介 NRIセキュアテクノロジーズ DXセキュリティコンサルティング事業本部

   DXセキュリティ事業三部 2024年2月7日

2. 1 本日のトピック トピック DevOpsでセキュリティに取り組む 事例1: セキュリティ・バイ・デザイン 事例2: ワンプラットフォームのセキュリティ 想定ユーザ DevOpsによりサービスの競争力を高める経営者

   DevOpsを推進する事業リーダー（責任者） 開発チームを牽引するリーダー（プロジェクトマネージャ）

3. 2 発表者について 関戸 亮介 NRIセキュアテクノロジーズ株式会社 DXセキュリティコンサルティング事業本部 DXセキュリティ事業三部 開発チームのシステム開発セキュリティを支援 組織やシステム特性に応じたセキュリティ設計や開発プロセスの策定支援 自動化ツールの評価やCI/CDパイプラインへの組み込み支援

   DevSecOpsトレーニングコースの開発および講師

4. 3 社 名 NRIセキュアテクノロジーズ株式会社（略称：NRIセキュア） 会 社 所 在 地 本社

   ：東京都千代田区大手町 東京サンケイビル 横浜ベイオフィス ：神奈川県横浜市神奈川区 横浜ダイヤビルディング サイバーセキュリティハブ大阪：大阪府大阪市北区 中之島フェスティバルタワー・ウエスト 北米支社 ：米国カリフォルニア州アーバイン 設 立 年 月 日 2000年8月1日 ※サービス提供開始：1995年 資 本 金 4.5億円 株 主 株式会社野村総合研究所 代 表 取 締 役 社 長 建脇 俊一 専 務 取 締 役 池田 泰徳 常 務 取 締 役 西内 喜一 取 締 役 大元 成和、能勢 幸嗣、山口 隆夫 監 査 役 坂田 太久仁 社 員 数 連結：750名、単体：638名 N R I セ キ ュ ア グ ル ー プ 会 社 株式会社ユービーセキュア：東京都中央区 株式会社NDIAS ：東京都港区 提 供 実 績 官公庁、金融機関、流通、製造、製薬、通信、マスコミ など 認 証 取 得 ISO/IEC 27001認証取得 会社情報 野村総合研究所（NRI）グループにおける情報セキュリティ専門の中核企業 （2024年1月現在）

5. 4 コンサルティング セキュリティ診断 SOC・マネージド セキュリティサービス セキュリティ 製品・ソリューション セキュリティ 教育・研修 5つの提供サービスカテゴリ

   4コア事業 コンサルティング 顧客密着型の問題解決支援 ストラテジーコンサルティング事業本部 マネジメントコンサルティング事業本部 サイバーコンサルティング事業本部 マネージド セキュリティサービス 24時間365日の セキュリティ監視サービス マネージドセキュリティサービス事業本部 マネージドセキュリティサービス開発本部 ソフトウェア 日本市場に合わせた自社開発の セキュリティソリューション ソフトウェア第一事業本部 ソフトウェア第二事業本部 デジタルトランスフォーメーション をセキュリティで支援 DXセキュリティコンサルティング事業本部 DXセキュリティプラットフォーム事業本部 DXセキュリティ 研究開発センター 先進技術の探索・評価、およびサービス開発の推進・統括 戦略ITイノベーション 政策動向やマーケットニーズの洞察によるソリューション創発 戦略ITイノベーションと研究開発 サービス・製品提供体制 社会やニーズの変化、技術動向に応じたサービス・製品を4つのコア事業で提供

6. 5 野村総合研究所は「GitLab認定プロフェッショナル サービスパートナー（PSP ）」に認定されております https://aslead.nri.co.jp/partner/gitlab.html

7. DevOpsでセキュリティに取り組む

8. 7 DevOpsでもセキュリティ対策は必要 DevOpsはアジリティの高い開発プロセス 継続的にサービス開発へ投資する サービスの競争力を高める 開発したシステムを次々にリリースする セキュリティの「不具合」も、 気付いてから直せば良いのでは？ 「セキュリティ」を欠くことは サービスの価値を一瞬にして奪われかねない

9. 8 DevOpsにマッチしたセキュリティ対策を講じる 従来のセキュリティ対策はDevOpsを阻害しかねない 網羅性が高いため、アジリティに影響がある アジリティを維持したまま セキュリティに取り組む必要がある 各工程でリスクを「管理」し、 サービスデリバリを高める Security Security

   Security Security Security Security DevSecOpsの実践

10. 9 NRIセキュアの考えるDevSecOpsの鍵 「自動化」による省力化、 人にしかできないことに 注力する バランスよく取り組む 文化 プロセス 技術 ▪構成管理

    - GitLab - Infra. as Code (IaC) ▪CI/CD - GitLab Runner ▪コミュニケーション - チケット管理 - チャット ▪自動検査 - SAST - DAST - コンテナスキャナ ▪モニタリング - モニタリング etc. プロセス 文化 技術 ▪アジャイル ▪カンバン ▪リーン ▪フィードバックループ etc. ▪自ら主体的に取り組む意識付け ▪継続的なチャレンジを後押しする組織体制 ▪アジャイルの文化 ▪DevOpsの4つの原則 etc.

11. 【事例1】 MS＆ADシステムズ株式会社様 セキュリティ・バイ・デザインの実践 本事例の取り組み「セキュリティ・バイ・デザインに基づく セキュリティ強化スキームの構築」に関して、 ＭＳ＆ＡＤホールディングス様、ＭＳ＆ＡＤシステムズ様とともに、 第41回IT賞「IT奨励賞（マネジメント領域）」を受賞しました。

12. 11 事業会社 事業会社 課題 事業部門が直接開発を外部委託するシステムがある 各事業会社の要件によりシステム開発 スピード感を求められる セキュリティ診断で不備が発覚するリスクがある リリース直前のセキュリティ診断を実施している 不備が見つかることでリリース期限を守れなくなったり、

    セキュリティ不備を修正することによりコストが増加したりする セキュリティを確保する「仕組み」が必要だった 担当者のセキュリティにかかる専門知識のレベルに依存しない 全社システム 事業会社 事業システム 課題

13. 12 解決 担当者のセキュリティ知識に 依存しないスキームの確立 シフトレフト 上流工程でのセキュリティ対策 セキュリティ・バイ・デザイン セキュリティ要件として明示する 「システム間接続」「処理フロー」 「求められる対策」をガイド化した

    「セキュリティ設計資料」を受領し 確認する仕組み

14. 13 効果 事業部門担当者の専門知識レベルに依存せず、 必要レベルのセキュリティを確保につながった 守るべきデータのありかを可視化したことで、 セキュリティを確保する意識につながった セキュリティ品質の向上と、 リリース遅延およびコスト増のリスク減少を感じる

15. 【事例2】 株式会社ジェーシービー様 ワンプラットフォームのセキュリティ

16. 15 課題 デジタル化により決済事業が急速に変化している 従来型の開発ではリードタイムが大きな壁になっていた

17. 16 解決策 「出島」としてDX推進 既存ルールや組織から独立した体制を構築 『逆コンウェイの法則』から組織設計 Two-pizza teams (10人程度)が システムを担当 ワンプラットフォームとして

    GitLabを中心に構築 開発チームを支援する各種サービスとして、 「QA」「SRE」「アーキテクチャ」 そして「セキュリティ」を置いた

18. 17 効果 1つの共通基盤のうえでアジリティの高い開発を実現している GitLabはSingle Source of Truthを提供し、GitOpsを担っている GitLab Runnerによるソースコードと親和性の高いパイプライン機能が利用できる 企画フェーズから運用まで、SECチームが寄り添って支援している

    「暗号化」のようなシステム要件を 要件定義フェーズで理解を深め、 設計・実装に進められる 業界規格（PCI DSS）に対する コンサルテーションを実施している 30人で始めた本取り組みは 現在500人以上の規模に広がっている リリース 実装 設計 企画 半年～1年程度 SECチーム アプリチーム プロジェクト 計画書 要件定義書 設計書 本番稼働 システム 適宜対応 適宜対応 適宜対応 システム開発

19. まとめ

20. 19 まとめ DevSecOpsは3つの要素に取り組むことで効果を引き出せる 文化 プロセス 技術 「文化」の醸成に主導権を握ることが大切 自ら主体的に取り組む意識付け 継続的なチャレンジを後押しする組織体制 省力化できる「技術」の活用

    GitLabはDevOpsの構成要素を幅広く提供している プロセス 文化 技術

21. 20 明日から始めるDevSecOpsの実践例 今月 スコープとゴールを見極める 現在の「課題」をどのようにしたいか （ゴールの明確化） 小さく始める、程よいプロジェクト 体制や開発ツールの検討 小さく始め、最終的な規模を見極める 専門家を交えたディスカッションで

    整理する 上位者の理解と協力を得る 1年以内 スモールスタートを切る シフトレフトに取り組む 継続的な学習と改善に取り組む 3年～5年 DevOpsが成熟し組織内で拡大する

22. 21 NRIセキュアによる支援体制 ～SEC Team Services～ ⚫ システム開発を理解した人材が開発チームに寄り添って支援することが効果的です。 ⚫ 詳しくは [email protected]

    にご相談ください。 委託会社メンバ 社員メンバ セキュリティチーム SEC Team Services 教育 連携・支援 連携・支援 開発チーム
23. None