Upgrade to Pro — share decks privately, control downloads, hide ads and more …

先進事例から学ぶ DevSecOpsでセキュリティに取り組むコツ

 先進事例から学ぶ DevSecOpsでセキュリティに取り組むコツ

2024-02-07 GitLab Connect Japan 2024講演資料

https://www.event-info.com/gitlab-connect-japan-2024/

Ryosuke Sekido

February 07, 2024
Tweet

More Decks by Ryosuke Sekido

Other Decks in Technology

Transcript

  1. 先進事例から学ぶ
    DevSecOpsでセキュリティに取り組むコツ
    GitLab Connect Japan 2024
    関戸 亮介
    NRIセキュアテクノロジーズ
    DXセキュリティコンサルティング事業本部
    DXセキュリティ事業三部
    2024年2月7日

    View full-size slide

  2. 1
    本日のトピック
    トピック
    DevOpsでセキュリティに取り組む
    事例1: セキュリティ・バイ・デザイン
    事例2: ワンプラットフォームのセキュリティ
    想定ユーザ
    DevOpsによりサービスの競争力を高める経営者
    DevOpsを推進する事業リーダー(責任者)
    開発チームを牽引するリーダー(プロジェクトマネージャ)

    View full-size slide

  3. 2
    発表者について
    関戸 亮介
    NRIセキュアテクノロジーズ株式会社
    DXセキュリティコンサルティング事業本部
    DXセキュリティ事業三部
    開発チームのシステム開発セキュリティを支援
    組織やシステム特性に応じたセキュリティ設計や開発プロセスの策定支援
    自動化ツールの評価やCI/CDパイプラインへの組み込み支援
    DevSecOpsトレーニングコースの開発および講師

    View full-size slide

  4. 3
    社 名 NRIセキュアテクノロジーズ株式会社(略称:NRIセキュア)
    会 社 所 在 地
    本社 :東京都千代田区大手町 東京サンケイビル
    横浜ベイオフィス :神奈川県横浜市神奈川区 横浜ダイヤビルディング
    サイバーセキュリティハブ大阪:大阪府大阪市北区 中之島フェスティバルタワー・ウエスト
    北米支社 :米国カリフォルニア州アーバイン
    設 立 年 月 日 2000年8月1日 ※サービス提供開始:1995年
    資 本 金 4.5億円
    株 主 株式会社野村総合研究所
    代 表 取 締 役 社 長 建脇 俊一
    専 務 取 締 役 池田 泰徳 常 務 取 締 役 西内 喜一
    取 締 役 大元 成和、能勢 幸嗣、山口 隆夫 監 査 役 坂田 太久仁
    社 員 数 連結:750名、単体:638名
    N R I セ キ ュ ア
    グ ル ー プ 会 社
    株式会社ユービーセキュア:東京都中央区
    株式会社NDIAS :東京都港区
    提 供 実 績 官公庁、金融機関、流通、製造、製薬、通信、マスコミ など
    認 証 取 得 ISO/IEC 27001認証取得
    会社情報
    野村総合研究所(NRI)グループにおける情報セキュリティ専門の中核企業
    (2024年1月現在)

    View full-size slide

  5. 4
    コンサルティング セキュリティ診断
    SOC・マネージド
    セキュリティサービス
    セキュリティ
    製品・ソリューション
    セキュリティ
    教育・研修
    5つの提供サービスカテゴリ
    4コア事業
    コンサルティング
    顧客密着型の問題解決支援
    ストラテジーコンサルティング事業本部
    マネジメントコンサルティング事業本部
    サイバーコンサルティング事業本部
    マネージド
    セキュリティサービス
    24時間365日の
    セキュリティ監視サービス
    マネージドセキュリティサービス事業本部
    マネージドセキュリティサービス開発本部
    ソフトウェア
    日本市場に合わせた自社開発の
    セキュリティソリューション
    ソフトウェア第一事業本部
    ソフトウェア第二事業本部
    デジタルトランスフォーメーション
    をセキュリティで支援
    DXセキュリティコンサルティング事業本部
    DXセキュリティプラットフォーム事業本部
    DXセキュリティ
    研究開発センター 先進技術の探索・評価、およびサービス開発の推進・統括
    戦略ITイノベーション 政策動向やマーケットニーズの洞察によるソリューション創発
    戦略ITイノベーションと研究開発
    サービス・製品提供体制
    社会やニーズの変化、技術動向に応じたサービス・製品を4つのコア事業で提供

    View full-size slide

  6. 5
    野村総合研究所は「GitLab認定プロフェッショナル
    サービスパートナー(PSP )」に認定されております
    https://aslead.nri.co.jp/partner/gitlab.html

    View full-size slide

  7. DevOpsでセキュリティに取り組む

    View full-size slide

  8. 7
    DevOpsでもセキュリティ対策は必要
    DevOpsはアジリティの高い開発プロセス
    継続的にサービス開発へ投資する
    サービスの競争力を高める
    開発したシステムを次々にリリースする
    セキュリティの「不具合」も、
    気付いてから直せば良いのでは?
    「セキュリティ」を欠くことは
    サービスの価値を一瞬にして奪われかねない

    View full-size slide

  9. 8
    DevOpsにマッチしたセキュリティ対策を講じる
    従来のセキュリティ対策はDevOpsを阻害しかねない
    網羅性が高いため、アジリティに影響がある
    アジリティを維持したまま
    セキュリティに取り組む必要がある
    各工程でリスクを「管理」し、
    サービスデリバリを高める
    Security
    Security
    Security Security
    Security
    Security
    DevSecOpsの実践

    View full-size slide

  10. 9
    NRIセキュアの考えるDevSecOpsの鍵
    「自動化」による省力化、
    人にしかできないことに
    注力する
    バランスよく取り組む
    文化
    プロセス
    技術
    ■構成管理
    - GitLab
    - Infra. as Code (IaC)
    ■CI/CD
    - GitLab Runner
    ■コミュニケーション
    - チケット管理
    - チャット
    ■自動検査
    - SAST
    - DAST
    - コンテナスキャナ
    ■モニタリング
    - モニタリング
    etc.
    プロセス
    文化
    技術
    ■アジャイル
    ■カンバン
    ■リーン
    ■フィードバックループ
    etc.
    ■自ら主体的に取り組む意識付け
    ■継続的なチャレンジを後押しする組織体制
    ■アジャイルの文化
    ■DevOpsの4つの原則
    etc.

    View full-size slide

  11. 【事例1】
    MS&ADシステムズ株式会社様
    セキュリティ・バイ・デザインの実践
    本事例の取り組み「セキュリティ・バイ・デザインに基づく
    セキュリティ強化スキームの構築」に関して、
    MS&ADホールディングス様、MS&ADシステムズ様とともに、
    第41回IT賞「IT奨励賞(マネジメント領域)」を受賞しました。

    View full-size slide

  12. 11
    事業会社
    事業会社
    課題
    事業部門が直接開発を外部委託するシステムがある
    各事業会社の要件によりシステム開発
    スピード感を求められる
    セキュリティ診断で不備が発覚するリスクがある
    リリース直前のセキュリティ診断を実施している
    不備が見つかることでリリース期限を守れなくなったり、
    セキュリティ不備を修正することによりコストが増加したりする
    セキュリティを確保する「仕組み」が必要だった
    担当者のセキュリティにかかる専門知識のレベルに依存しない
    全社システム
    事業会社
    事業システム
    課題

    View full-size slide

  13. 12
    解決
    担当者のセキュリティ知識に
    依存しないスキームの確立
    シフトレフト
    上流工程でのセキュリティ対策
    セキュリティ・バイ・デザイン
    セキュリティ要件として明示する
    「システム間接続」「処理フロー」
    「求められる対策」をガイド化した
    「セキュリティ設計資料」を受領し
    確認する仕組み

    View full-size slide

  14. 13
    効果
    事業部門担当者の専門知識レベルに依存せず、
    必要レベルのセキュリティを確保につながった
    守るべきデータのありかを可視化したことで、
    セキュリティを確保する意識につながった
    セキュリティ品質の向上と、
    リリース遅延およびコスト増のリスク減少を感じる

    View full-size slide

  15. 【事例2】
    株式会社ジェーシービー様
    ワンプラットフォームのセキュリティ

    View full-size slide

  16. 15
    課題
    デジタル化により決済事業が急速に変化している
    従来型の開発ではリードタイムが大きな壁になっていた

    View full-size slide

  17. 16
    解決策
    「出島」としてDX推進
    既存ルールや組織から独立した体制を構築
    『逆コンウェイの法則』から組織設計
    Two-pizza teams (10人程度)が
    システムを担当
    ワンプラットフォームとして
    GitLabを中心に構築
    開発チームを支援する各種サービスとして、
    「QA」「SRE」「アーキテクチャ」
    そして「セキュリティ」を置いた

    View full-size slide

  18. 17
    効果
    1つの共通基盤のうえでアジリティの高い開発を実現している
    GitLabはSingle Source of Truthを提供し、GitOpsを担っている
    GitLab Runnerによるソースコードと親和性の高いパイプライン機能が利用できる
    企画フェーズから運用まで、SECチームが寄り添って支援している
    「暗号化」のようなシステム要件を
    要件定義フェーズで理解を深め、
    設計・実装に進められる
    業界規格(PCI DSS)に対する
    コンサルテーションを実施している
    30人で始めた本取り組みは
    現在500人以上の規模に広がっている
    リリース
    実装
    設計
    企画
    半年~1年程度
    SECチーム
    アプリチーム
    プロジェクト
    計画書
    要件定義書
    設計書
    本番稼働
    システム
    適宜対応 適宜対応 適宜対応
    システム開発

    View full-size slide

  19. 19
    まとめ
    DevSecOpsは3つの要素に取り組むことで効果を引き出せる
    文化
    プロセス
    技術
    「文化」の醸成に主導権を握ることが大切
    自ら主体的に取り組む意識付け
    継続的なチャレンジを後押しする組織体制
    省力化できる「技術」の活用
    GitLabはDevOpsの構成要素を幅広く提供している
    プロセス
    文化
    技術

    View full-size slide

  20. 20
    明日から始めるDevSecOpsの実践例
    今月
    スコープとゴールを見極める
    現在の「課題」をどのようにしたいか
    (ゴールの明確化)
    小さく始める、程よいプロジェクト
    体制や開発ツールの検討
    小さく始め、最終的な規模を見極める
    専門家を交えたディスカッションで
    整理する
    上位者の理解と協力を得る
    1年以内
    スモールスタートを切る
    シフトレフトに取り組む
    継続的な学習と改善に取り組む
    3年~5年
    DevOpsが成熟し組織内で拡大する

    View full-size slide

  21. 21
    NRIセキュアによる支援体制 ~SEC Team Services~
    ⚫ システム開発を理解した人材が開発チームに寄り添って支援することが効果的です。
    ⚫ 詳しくは [email protected] にご相談ください。
    委託会社メンバ
    社員メンバ
    セキュリティチーム
    SEC Team Services
    教育
    連携・支援
    連携・支援
    開発チーム

    View full-size slide