Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
先進事例から学ぶ DevSecOpsでセキュリティに取り組むコツ
Search
Ryosuke Sekido
PRO
February 07, 2024
Technology
0
200
先進事例から学ぶ DevSecOpsでセキュリティに取り組むコツ
2024-02-07 GitLab Connect Japan 2024講演資料
https://www.event-info.com/gitlab-connect-japan-2024/
Ryosuke Sekido
PRO
February 07, 2024
Tweet
Share
More Decks by Ryosuke Sekido
See All by Ryosuke Sekido
ライブラリとの上手な付き合い方
sekido
PRO
0
290
Other Decks in Technology
See All in Technology
Android Target SDK 35 (Android 15) 対応の概要
akkie76
0
200
Dungeons and Dragons and Rails
joelq
0
170
M5と自作基板をくっつけてみた〜M5 Japan Tour 2024 Spring 福冈 (Fukuoka|福岡)〜
keropiyo
1
260
BPStudyの200回を中心にIT業界を振り返る。そしてこれから
haru860
3
480
「知的単純作業」を自動化する、地に足の着いた大規模言語モデル (LLM) の活用
nrryuya
8
7k
Zero Data Loss Autonomous Recovery Service サービス概要
oracle4engineer
PRO
0
1.9k
コードファーストの考え方。 Amplify Gen2から学ぶAWS次世代のWeb開発体験
yoshiitaka
2
560
Real World Type Puzzle and Code Generation
yukukotani
3
470
Babylon.jsと色々なものを組み合わせる:ブラウザのAPIやガジェットや2D描画ライブラリなど / Babylon.js 勉強会 vol.3
you
PRO
0
200
本当のガバクラ基礎
toru_kubota
0
240
データベース03: 関係データモデル
trycycle
0
120
QAエンジニアが伝えたい品質保証の羅針盤 / Compass for Quality Assurance
mii3king
1
230
Featured
See All Featured
How to Ace a Technical Interview
jacobian
273
22k
Large-scale JavaScript Application Architecture
addyosmani
504
110k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
245
20k
Web development in the modern age
philhawksworth
203
10k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
358
22k
Writing Fast Ruby
sferik
622
60k
Designing on Purpose - Digital PM Summit 2013
jponch
111
6.5k
The Cost Of JavaScript in 2023
addyosmani
21
3.9k
RailsConf 2023
tenderlove
9
570
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
126
32k
Debugging Ruby Performance
tmm1
70
11k
How GitHub (no longer) Works
holman
305
140k
Transcript
先進事例から学ぶ DevSecOpsでセキュリティに取り組むコツ GitLab Connect Japan 2024 関戸 亮介 NRIセキュアテクノロジーズ DXセキュリティコンサルティング事業本部
DXセキュリティ事業三部 2024年2月7日
1 本日のトピック トピック DevOpsでセキュリティに取り組む 事例1: セキュリティ・バイ・デザイン 事例2: ワンプラットフォームのセキュリティ 想定ユーザ DevOpsによりサービスの競争力を高める経営者
DevOpsを推進する事業リーダー(責任者) 開発チームを牽引するリーダー(プロジェクトマネージャ)
2 発表者について 関戸 亮介 NRIセキュアテクノロジーズ株式会社 DXセキュリティコンサルティング事業本部 DXセキュリティ事業三部 開発チームのシステム開発セキュリティを支援 組織やシステム特性に応じたセキュリティ設計や開発プロセスの策定支援 自動化ツールの評価やCI/CDパイプラインへの組み込み支援
DevSecOpsトレーニングコースの開発および講師
3 社 名 NRIセキュアテクノロジーズ株式会社(略称:NRIセキュア) 会 社 所 在 地 本社
:東京都千代田区大手町 東京サンケイビル 横浜ベイオフィス :神奈川県横浜市神奈川区 横浜ダイヤビルディング サイバーセキュリティハブ大阪:大阪府大阪市北区 中之島フェスティバルタワー・ウエスト 北米支社 :米国カリフォルニア州アーバイン 設 立 年 月 日 2000年8月1日 ※サービス提供開始:1995年 資 本 金 4.5億円 株 主 株式会社野村総合研究所 代 表 取 締 役 社 長 建脇 俊一 専 務 取 締 役 池田 泰徳 常 務 取 締 役 西内 喜一 取 締 役 大元 成和、能勢 幸嗣、山口 隆夫 監 査 役 坂田 太久仁 社 員 数 連結:750名、単体:638名 N R I セ キ ュ ア グ ル ー プ 会 社 株式会社ユービーセキュア:東京都中央区 株式会社NDIAS :東京都港区 提 供 実 績 官公庁、金融機関、流通、製造、製薬、通信、マスコミ など 認 証 取 得 ISO/IEC 27001認証取得 会社情報 野村総合研究所(NRI)グループにおける情報セキュリティ専門の中核企業 (2024年1月現在)
4 コンサルティング セキュリティ診断 SOC・マネージド セキュリティサービス セキュリティ 製品・ソリューション セキュリティ 教育・研修 5つの提供サービスカテゴリ
4コア事業 コンサルティング 顧客密着型の問題解決支援 ストラテジーコンサルティング事業本部 マネジメントコンサルティング事業本部 サイバーコンサルティング事業本部 マネージド セキュリティサービス 24時間365日の セキュリティ監視サービス マネージドセキュリティサービス事業本部 マネージドセキュリティサービス開発本部 ソフトウェア 日本市場に合わせた自社開発の セキュリティソリューション ソフトウェア第一事業本部 ソフトウェア第二事業本部 デジタルトランスフォーメーション をセキュリティで支援 DXセキュリティコンサルティング事業本部 DXセキュリティプラットフォーム事業本部 DXセキュリティ 研究開発センター 先進技術の探索・評価、およびサービス開発の推進・統括 戦略ITイノベーション 政策動向やマーケットニーズの洞察によるソリューション創発 戦略ITイノベーションと研究開発 サービス・製品提供体制 社会やニーズの変化、技術動向に応じたサービス・製品を4つのコア事業で提供
5 野村総合研究所は「GitLab認定プロフェッショナル サービスパートナー(PSP )」に認定されております https://aslead.nri.co.jp/partner/gitlab.html
DevOpsでセキュリティに取り組む
7 DevOpsでもセキュリティ対策は必要 DevOpsはアジリティの高い開発プロセス 継続的にサービス開発へ投資する サービスの競争力を高める 開発したシステムを次々にリリースする セキュリティの「不具合」も、 気付いてから直せば良いのでは? 「セキュリティ」を欠くことは サービスの価値を一瞬にして奪われかねない
8 DevOpsにマッチしたセキュリティ対策を講じる 従来のセキュリティ対策はDevOpsを阻害しかねない 網羅性が高いため、アジリティに影響がある アジリティを維持したまま セキュリティに取り組む必要がある 各工程でリスクを「管理」し、 サービスデリバリを高める Security Security
Security Security Security Security DevSecOpsの実践
9 NRIセキュアの考えるDevSecOpsの鍵 「自動化」による省力化、 人にしかできないことに 注力する バランスよく取り組む 文化 プロセス 技術 ▪構成管理
- GitLab - Infra. as Code (IaC) ▪CI/CD - GitLab Runner ▪コミュニケーション - チケット管理 - チャット ▪自動検査 - SAST - DAST - コンテナスキャナ ▪モニタリング - モニタリング etc. プロセス 文化 技術 ▪アジャイル ▪カンバン ▪リーン ▪フィードバックループ etc. ▪自ら主体的に取り組む意識付け ▪継続的なチャレンジを後押しする組織体制 ▪アジャイルの文化 ▪DevOpsの4つの原則 etc.
【事例1】 MS&ADシステムズ株式会社様 セキュリティ・バイ・デザインの実践 本事例の取り組み「セキュリティ・バイ・デザインに基づく セキュリティ強化スキームの構築」に関して、 MS&ADホールディングス様、MS&ADシステムズ様とともに、 第41回IT賞「IT奨励賞(マネジメント領域)」を受賞しました。
11 事業会社 事業会社 課題 事業部門が直接開発を外部委託するシステムがある 各事業会社の要件によりシステム開発 スピード感を求められる セキュリティ診断で不備が発覚するリスクがある リリース直前のセキュリティ診断を実施している 不備が見つかることでリリース期限を守れなくなったり、
セキュリティ不備を修正することによりコストが増加したりする セキュリティを確保する「仕組み」が必要だった 担当者のセキュリティにかかる専門知識のレベルに依存しない 全社システム 事業会社 事業システム 課題
12 解決 担当者のセキュリティ知識に 依存しないスキームの確立 シフトレフト 上流工程でのセキュリティ対策 セキュリティ・バイ・デザイン セキュリティ要件として明示する 「システム間接続」「処理フロー」 「求められる対策」をガイド化した
「セキュリティ設計資料」を受領し 確認する仕組み
13 効果 事業部門担当者の専門知識レベルに依存せず、 必要レベルのセキュリティを確保につながった 守るべきデータのありかを可視化したことで、 セキュリティを確保する意識につながった セキュリティ品質の向上と、 リリース遅延およびコスト増のリスク減少を感じる
【事例2】 株式会社ジェーシービー様 ワンプラットフォームのセキュリティ
15 課題 デジタル化により決済事業が急速に変化している 従来型の開発ではリードタイムが大きな壁になっていた
16 解決策 「出島」としてDX推進 既存ルールや組織から独立した体制を構築 『逆コンウェイの法則』から組織設計 Two-pizza teams (10人程度)が システムを担当 ワンプラットフォームとして
GitLabを中心に構築 開発チームを支援する各種サービスとして、 「QA」「SRE」「アーキテクチャ」 そして「セキュリティ」を置いた
17 効果 1つの共通基盤のうえでアジリティの高い開発を実現している GitLabはSingle Source of Truthを提供し、GitOpsを担っている GitLab Runnerによるソースコードと親和性の高いパイプライン機能が利用できる 企画フェーズから運用まで、SECチームが寄り添って支援している
「暗号化」のようなシステム要件を 要件定義フェーズで理解を深め、 設計・実装に進められる 業界規格(PCI DSS)に対する コンサルテーションを実施している 30人で始めた本取り組みは 現在500人以上の規模に広がっている リリース 実装 設計 企画 半年~1年程度 SECチーム アプリチーム プロジェクト 計画書 要件定義書 設計書 本番稼働 システム 適宜対応 適宜対応 適宜対応 システム開発
まとめ
19 まとめ DevSecOpsは3つの要素に取り組むことで効果を引き出せる 文化 プロセス 技術 「文化」の醸成に主導権を握ることが大切 自ら主体的に取り組む意識付け 継続的なチャレンジを後押しする組織体制 省力化できる「技術」の活用
GitLabはDevOpsの構成要素を幅広く提供している プロセス 文化 技術
20 明日から始めるDevSecOpsの実践例 今月 スコープとゴールを見極める 現在の「課題」をどのようにしたいか (ゴールの明確化) 小さく始める、程よいプロジェクト 体制や開発ツールの検討 小さく始め、最終的な規模を見極める 専門家を交えたディスカッションで
整理する 上位者の理解と協力を得る 1年以内 スモールスタートを切る シフトレフトに取り組む 継続的な学習と改善に取り組む 3年~5年 DevOpsが成熟し組織内で拡大する
21 NRIセキュアによる支援体制 ~SEC Team Services~ ⚫ システム開発を理解した人材が開発チームに寄り添って支援することが効果的です。 ⚫ 詳しくは
[email protected]
にご相談ください。 委託会社メンバ 社員メンバ セキュリティチーム SEC Team Services 教育 連携・支援 連携・支援 開発チーム
None