米国国防総省のDevSecOpsライフサイクルをAWSのセキュリティサービスとOSSで実現

Transcript

1. 米国国防総省の DevSecOps ライフサイクルを AWSの セキュリティサービスと OSSで実現 AWS Summit Japan 2025

   吉江 瞬 株式会社野村総合研究所 セキュリティコンサルタント AWS Security Hero 1

2. 自己紹介 2 吉江 瞬 Shun Yoshie 株式会社野村総合研究所 所属 セキュリティコンサルタント AWS

   Security Hero 主な業務経歴： • - セキュリティサービス運用 • - SOC • - クラウドセキュリティ監査 • - ガイドライン策定 興味： - マルチクラウド - CNAPP 好きなAWSサービス： • - AWS Security Hub • - AWS WAF コミュニティ/タイトル： • - Security-JAWS運営 • - ex-AWS Community Hero • - JAWS PANKRATION 2024実行委員長 • - AWS re:Inforce 2024 Speaker • - APJ Community Leader Award 2024 "Think Big"

3. Topic: 従来のDevSecOpsライフサイクル DoDのDevSecOpsライフサイクル DevOpsフェーズごとの取り組み Secフェーズごとの取り組み DevSecOpsの組織課題 3 セッション概要 米国国防総省（Department of

   Defense; DoD）が策定したDevSecOpsライフサイク ルではどのようなセキュリティプロセスが 必要であるかの記述がされています。 このセッションではセキュリティを取り入れ たCI/CDパイプラインを2025年6月時点の AWSとOSSでどのように実現できるか、取 り上げるサービスの紹介とともに解説しま す。

4. Topic: 従来のDevSecOpsライフサイクル DoDのDevSecOpsライフサイクル DevOpsフェーズごとの取り組み Secフェーズごとの取り組み DevSecOpsの組織課題 従来のDevSecOpsライ フサイクル 4

5. DevSecOps: - DevSecOps = Dev + Sec + Ops を統合し、"セキュリティを最初から最後まで自動化・継

   続的に組み込む" ソフトウェアエンジニアリングの方法論、プラクティス、ツールを組み 合わせたもの - このタイプの図は、Securityのプロセスで何をすることが良いか理解し辛い よく目にする DevSecOps 5 https://mergebase.com/documentation/devsecops-maturity-assessment/

6. Topic: 従来のDevSecOpsライフサイクル DoDのDevSecOpsライフサイクル DevOpsフェーズごとの取り組み Secフェーズごとの取り組み DevSecOpsの組織課題 DoDのDevSecOpsライ フサイクル 6

7. DoDのDevSecOps: - DoDは状況に応じたスピードで回復力のあるソフトウェア機能を提供するために、革新 的なソフトウェアアプローチを採用 (Nicolas Chaillan氏のスライド参考) - DoD Enterprise DevSecOps

   Fundamentalsの中のDevSecOpsが理解しやすい DoDのDevSecOps 7 https://dodcio.defense.gov/Portals/0/Documents/Library/DoD%20Enter prise%20DevSecOps%20Fundamentals%20v2.5.pdf DoDが担うシステム - 業務システム - 兵器システム - 組み込みソフトウェア - 指揮統制システム - 戦闘支援システム - etc それだけこのDevSecOpsが 重要であることがわかる

8. DoDのDevSecOps: - 調達、リスクマネジメントフレームワーク、テスト&評価、その他プロセスは全工程で考 える。 DoDのDevSecOps 8 https://dodcio.defense.gov/Portals/0/Documents/Library/DoD%20Enter prise%20DevSecOps%20Fundamentals%20v2.5.pdf

9. https://dodcio.defense.gov/Portals/0/Documents/Library/DoD%20Enter prise%20DevSecOps%20Fundamentals%20v2.5.pdf DevSecOpsライフサイクルとの統合のためのテスト活動

10. Topic: 従来のDevSecOpsライフサイクル DoDのDevSecOpsライフサイクル DevOpsフェーズごとの取り組み Secフェーズごとの取り組み DevSecOpsの組織課題 DevOpsフェーズごとの 取り組み 10

11. Plan（計画、設計） - 次期リリース・バージョンの内容を最優先に考 慮し、製品の要件と目標を定義 - 脅威モデリング手法などを通じて、セキュリ ティリスクを特定し、開発者は潜在的な脅威 を早期に発見し、計画、設計にて対策検討 Develop（実装） -

    計画フェーズで特定された要件と目標に基づい て、製品の要素を作成 - 脆弱性を組み込まないためのセキュアコー ディング - Security as Code(脅威検出やセキュリティ ポリシー評価をコードとして実装)を取組む DEV 11

12. Build（構築） - 新しい要素をコンパイル、または既存の製品要 素と統合 - ビルド環境に使用するプログラミング言語用 のアプリケーションコードレビューと脆弱性 検出機能を有するSASTを組み込み、脆弱 性の対処、誤検知除外の確認の実施 DEV

    12

13. Test（テスト） - 新しい要素が要件と目標を満たしていることを 確認 - ビルド後の機能テストを実施し、完成済みの 動作中のアプリケーションに対して、セキュ リティの脆弱性検出機能を有するDASTや 脆弱性診断を組み込む -

    一定間隔(例えば年一)でペネトレーションテ ストの実施を行い、脆弱性診断では見つけ られない脅威やリスクの調査を実施 DEV 13

14. Release（リリース） - 製品をパッケージ化し、必要なドキュメントを作 成 - すべてのリスクに対応完了、あるいはリスク は残存するが受容するといった形で、アプリ ケーションのリリースを実施 - コンテナイメージやバイナリをアーティファク

    トとしてリリース - デジタル署名を施し、信頼性を保証 DEV 14

15. OPS 15 Deliver（提供） - 製品を運用環境での利用可能化 - 開発工程で作成されたアーティファクトをセ キュアにリリースするべく、改ざんを防ぐた めに、CI/CDパイプラインやリポジトリにおけ る耐タンパ性を確保

    Deploy（導入） - 運用環境内で製品をインストールおよび/また は構成 - ステージング環境や本番環境へデプロイを 実施 - 問題なくデプロイしてよいか、署名の検証を 行い、安全であること(改ざんされていない こと)を確認

16. OPS 16 Operate（運用） - 製品を運用環境で使用 - クラウドやアプリにおける不適切な設定がな されていないかを確認 - CSPMや脆弱性診断だけでなく、パフォーマ

    ンステストやカオスエンジニアリングなどを 通じて、システム全体の改善点を確認 - アプリケーション・ランタイム・OS・ミドルウェ アなどへのセキュリティ脆弱性に対するパッ チ適用を実施 - その他にも社内ルールに沿った運用が行わ れているか監査を実施

17. OPS 17 Monitor（監視） - 製品の使用状況を観察、測定、および監視 - クラウド環境・アプリケーションの死活監視・ 動作監視だけでなく、セキュリティ監視を実 施 -

    ログを相関的に分析し、セキュリティインシ デント・イベントの発生有無を監視 - 外部脅威・内部脅威イベントの監視 Feed back（フィードバック） - 観察された動作と必要な変更を、ソフトウェア製 品の次期イテレーションで検討するために送信 - 前工程におけるセキュリティ分析や外部脅 威などを開発者に共有し、計画工程にて議 論

18. SEC 18 Continuous Security（継続的セキュリティ） - 各種フェーズにおいて、セキュリティ施策を適切 に対応

19. Topic: 従来のDevSecOpsライフサイクル DoDのDevSecOpsライフサイクル DevOpsフェーズごとの取り組み Secフェーズごとの取り組み DevSecOpsの組織課題 Secフェーズごとの取り 組み 19

20. AWS Cloud Sample Architecture 例えば、以下のようなアーキテクチャ（Pre-prod / Prod）を考える 20 Amazon S3

    Amazon Bedrock ALB VPC Amazon CloudFront AWS WAF AWS Security Hub AWS Signer AWS Secrets Manager Amazon GuardDuty Amazon Inspector AWS KMS Amazon EKS Amazon ECR AWS FIS Amazon CloudWatch AWS Lambda Amazon Bedrock Guardrails AWS Config Gitlab Repository Patch Manager AWS Audit Manager Amazon CodeGuru AWS Security Lake AWS Security Lake Amazon Detective Amazon Q Developper AWS Budgets Amazon Macie AWS Resilience Hub IAM Access Analyzer

21. DevSecOps Dashboard Scanning Tool DevSecOps Lifecycle Architecture 例えば、以下のようなパイプラインを考える 21 AWS

    WAF AWS Secrets Manager Amazon GuardDuty Amazon Inspector AWS KMS Amazon EKS (Pre-prod) Amazon Bedrock Guardrails Git AppCode Git InfraCode Gitlab AWS Security Hub Pipeline init Secret Scanning SAST SCA Container Scanning Deploy Pre-prod DAST Deploy Prod Pipeline init Secret Scanning IaC Scanning Deploy Pre-prod Infra Scanning Deploy Prod Amazon ECR Amazon Inspector semgrep AWS Signer AWS Security Hub AWS Config IAM Access Analyzer Amazon Macie Terraform Code for Security Component Amazon EKS (Prod) No Issue

22. Threat Model 脅威アクターがシステムを危殆化する可能性とその手法を理解し、脅威を定量化するのに 役立つ演習や手法 - 我々は何を作っているか？（What are we working on?）

    - 何が悪いのか？（What can go wrong?） - 我々はその課題に対して何を行うか？（What are we going to do about it?） - 我々の分析はどの程度良かったか？（Did we do a good job?） STRIDEやDREADと言ったフレームワークを用いて、分析・評価 参考） - OWASP Risk Rating Calculator: リスク評価・計算ツール - https://owasp-risk-rating.com/ - OWASP Threat Dragon: 脅威モデル作図のためのツール - https://owasp.org/www-project-threat-dragon/ 22 Shostack's 4 Question Frame for Threat Modeling S: なりすまし (Spoofing) T: 改ざん (Tampering) R: 否認 (Repudiation) I: 情報漏えい (Information disclosure) D: サービス拒否 (Denial of Service) E: 特権昇格 (Elevation of Privilege) D: 損害 (Damage) R: 再現可能性 (Reproducibility) E: 悪用可能性 (Exploitability) A: 影響を受けるユーザー (Affected users) D: 発見可能性 (Discoverability)

23. Threat Model Threat Composer - https://github.com/awslabs/threat-composer 脅威モデリング時に人が価値理解までの時間を短縮 するのに役立つツール、W-AFのSEC01-BP07にも登場 23 DFD化

    仮定 脅威 緩和策 Amazon Bedrockを用いたシス テムの脅威モデリングの例

24. Secure Coding ソフトウェア開発の過程で、脆弱性の作りこみを防ぎ、安全なコードを記述するための技術 参考） - OWASP Secure Coding Practices Quick

    Reference Guide - https://owasp.org/www-project-secure-coding-practices-quick-reference-gu ide/assets/docs/OWASP_SCP_Quick_Reference_Guide_v21.pdf - 各種Linter - Pylint: Python向けLintツール - https://www.pylint.org - ESLint: JavaScript / TypeScript向けLintツール - https://eslint.org/ - Checkstyle: Java向けLintツール - https://checkstyle.sourceforge.io/ 24

25. Secure Coding Amazon Q Developer - https://aws.amazon.com/jp/q/developer/ Amazon Q Developer

    CLI - https://github.com/aws/amazon-q-developer-cli Amazonが開発した生成AIアシスタント でソフトウェア 開発支援のためのツールとそれをCLI利用するためのOSS サポート言語にはIaCなどもある - https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-language-ide- support.html#code-reviews-language-support Amazon Q Developer CLI で MCPサポート開始 25

26. Secure Coding VS CodeやEclipseといったIDEでAmazon Q Developerを使用可能 /review でコードレビュー - 生成AIとルールベースの自動推論の両方

    - Amazon Q Detector Libraryが、AWSとAmazon.comの長年のセキュリティベストプラ クティスに基づいており、ルールベースのセキュリティおよび品質レビューを強化 自然言語プロンプトでテスト用コードも作成 - 生成AIによるユニットテスト作成 - セキュリティ脆弱性のプロジェクト全体スキャン - セキュリティとコード品質を向上させる修復策の生成 26 さて、 生成AIを用いたコードレビュー、 どこまで信用なりますか？

27. Security as Code 脆弱性を組み込まないために、脅威検出やセキュリティポリシー評価をコードとして実装 - IaCを通じて、開発プロセスにセキュリティを統合 - インフラのセキュリティポリシー（検知、防止、実行）をコードとして定義 例）AWS WAFが対象AWSアカウント内のALBにアタッチされていることを検証

    参考） Open Policy Agent (OPA): Policy as Code - https://www.openpolicyagent.org/ checkov: Terraform,CFn,k8s向けIaCスキャナ - https://github.com/bridgecrewio/checkov trivy: IaCスキャナー / tfsecから移行推奨 - https://github.com/aquasecurity/trivy - https://github.com/aquasecurity/tfsec 27 plan policy enforcement terraform plan output apply Rego Policy OPA Regoを用いた Policy as Codeの適用

28. Security as Code AWS Config - https://aws.amazon.com/jp/config/ AWS Security Hub

    (CSPM) - https://aws.amazon.com/jp/security-hub/ Amazon Bedrock Guardrails - https://aws.amazon.com/jp/bedrock/guardrails/ AWS ConfigやCSPMのルールと生成AI向けガードレール機能で コンプライアンスチェック cdk-nag: CDK向けアプリ/セキュリティ/コンプラ管理できるOSS - https://github.com/cdklabs/cdk-nag cfn-nag: CloudFormation向け - https://github.com/stelligent/cfn_nag 28 Amazon Bedrock LLM-as-a-Judge Evaluation Job Amazon S3 bucket to store prepared data Prompt Dataset Automated Compliance reporting Amazon Bedrock Guardrails Evaluator prepare upload JSON file prepared for LLM-as-a-Judge Evaluation Job analysis filter change モデル評価とBedrock Guardrailsの filterアップデートで組織の コンプライアンスに準拠

29. SAST（Static Application Security Testing; 静的アプリケーションセキュリティテスト ） ソースコードを静的に解析して、開発初期に脆弱性を検出する手法 - 自作コードの安全性を担保するための取り組み -

    外部コードの信頼性を担保するSCAやSBOMといった役割と組み合わせるのが効果的 - SCA (Software Composition Analysis): ライブラリや依存関係に含まれる既知の 脆弱性を検出 - SBOM (Software Bill of Materials): ライブラリや依存関係など構成要素を一覧化 参考） - semgrep: 多言語対応の軽量SAST - https://github.com/semgrep/semgrep 29

30. SAST（Static Application Security Testing; 静的アプリケーションセキュリティテスト ） Amazon CodeGuru Security　 （→）

    - https://aws.amazon.com/jp/codeguru/ Amazon Inspector - https://aws.amazon.com/jp/inspector/ Amazon CodeGuru Securityによる静的解析 と修正方法の提案 Amazon Inspectorによるコンテナや AWS Lambdaのコードスキャンが可能 GithubやGitlabと統合して、コードセキュリティやIaCスキャンも可能に git-secrets: AWSのクレデンシャル (アクセスキー、シークレットキー)を検出 - https://github.com/awslabs/git-secrets - Gitだけでなく、ワークロードのディレクトリ配下の検査も可能 30

31. DAST（Dynamic Application Security Testing; 動的アプリケーションセキュリティテスト ） Webアプリケーションの脆弱性を検出する手法 - AWSネイティブのDASTサービスはない 参考）

    - Zed Attack Proxy (ZAP): 脆弱性診断・ペンテストツール - https://www.zaproxy.org/ - Burp Suite: 脆弱性診断・ペンテストツール - https://portswigger.net/burp 31 https://portswigger.net/support/recon-and-analysis-with-bur p-suite

32. Pentest 実際に攻撃者の視点でシステムへ侵入を試み、影響を評価 - アプリだけでなく、ネットワーク、OS、ID管理、設定も対象として診断 - 手動 or ツール併用 - 人間の判断で攻撃を深掘り

    - AWSネイティブのペンテストサービスはない 参考） - Zed Attack Proxy (ZAP): 脆弱性診断・ペンテストツール - https://www.zaproxy.org/ - Burp Suite: 脆弱性診断・ペンテストツール - https://portswigger.net/burp 32

33. Digital Sign 電子署名にて信頼性を担保 - 開発者、チーム、組織など、誰がコードをプッシュまたは公開したかを確認 - サプライチェーンリスクへの対処 参考） Hashicorp Vault:

    OSSのセキュアシークレットストレージ - https://github.com/hashicorp/vault 33 https://aws.amazon.com/jp/blogs/security/best-practices-to-help-se cure-your-container-image-build-pipeline-by-using-aws-signer/

34. Digital Sign AWS Signer - https://docs.aws.amazon.com/signer/latest/developerguide/Welcome.html マネージドなコード署名サービス - AWSでホストされたアーティファクトに署名を適用し、信頼性を提供 -

    Lambda、コンテナイメージなどに対応 34 https://aws.amazon.com/jp/blogs/security/best-practices-to-help-se cure-your-container-image-build-pipeline-by-using-aws-signer/

35. Secure Transfer 署名済みのコンテナイメージやLambda関数コードを安全にリリース 参考） Gitlab CI/CD: Gitlabにてソースコードのビルド・テスト・デプロイを自動化 - https://docs.gitlab.com/ci/ GitHub

    Actions: GitHubから直接コードをビルド、テスト、デプロイ - https://github.co.jp/features/actions Argo CD: Kubernetes 向けの宣言型CD - https://argoproj.github.io/cd/ 35 https://about.gitlab.com/blog/2024/08/26/how-to-choose-the-right-security-scanning-approach/

36. Secure Transfer AWS CodePipeline / AWS CodeBuild / AWS CodeDeploy

    - https://aws.amazon.com/jp/codepipeline/ - https://aws.amazon.com/jp/codebuild/ - https://aws.amazon.com/jp/codedeploy/ AWSのネイティブサービスによる、CI/CDサービス群 - ただし、AWS CodeCommitは新規利用は出来ないため注意 36 https://aws.amazon.com/jp/blogs/devops/how-to-migrate-your-aws-codecommit-repository-to-another-git-provider/

37. Security Config セキュリティに関する構成、設定の実践 参考） Cloud Custodian: リアルタイムに構成修復 - https://cloudcustodian.io/ 37

    https://aws.amazon.com/jp/blogs/opensource/compliance-as-code-and-auto-remediation-with-cloud-custodian/ AWS Lambda Cloud Custodian detected

38. Security Config AWS Config - https://aws.amazon.com/jp/config/ AWS WAF - https://aws.amazon.com/jp/waf/

    AWS Configによる構成の変更監視とAWS WAFによるWebアプリケーションの保護 38 AWS WAF Other WAF AWS Managed Rules Bot control Other WAF Rules Volumetric Attacks Novel and emerging attacks DDoS Attacks Anti DDoS AWS Managed Rules Amazon CloudFront AWS Amplify Application Load Balancer Amazon API Gateway … Regional resources Global resources

39. Security Patch パッチマネジメントを適切に実施 - 自動化 - 継続的な監視 - 迅速な修正 -

    影響の見える化 準本番環境にて影響を確認して、本番環境にて迅速に対応 各種フェーズにおけるセキュリティツールとテストツールを用いて影響有無確認 即時が難しいシステムにはスケジュールを定めること 39

40. Security Patch AWS Systems Manager Patch Manager - https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/patch -manager.html

    Amazon EC2向けであれば、OSやアプリケーション向けのパッチマネジメントを実施するこ とが可能 コンテナやLambdaに対するコードの改修の場合、rebuildを行ってCI/CDパイプラインを走 らせる 40

41. Security Scan 定期的なセキュリティスキャンを実施し、新たな脆弱性やシステム構成不備がないかを確 認 参考） - Zed Attack Proxy (ZAP)

    - https://www.zaproxy.org/ - Burp Suite - https://portswigger.net/burp - trivy: クラウド向け脆弱性スキャナー - https://github.com/aquasecurity/trivy 41

42. Security Scan Amazon Inspector - https://aws.amazon.com/jp/inspector/ Classic (Amazon Inspector v1)でなければ、現在のAmazon

    Inspector v2は様々なセ キュリティスキャンが可能 - コードセキュリティ - コンテナイメージスキャン - Lambdaランタイムスキャン - EC2ベースのWebアプリのソフトウェア コンポーネントに起因する脆弱性のスキャン AWS Security Hubのダッシュボードにも統合が可能なので、画面にて確認 42

43. Security Audit コンプライアンス違反をしてないか等、セルフチェックを行う形でのセキュリティ監査を実施 - 継続的にコンプライアンスチェックの実現 - ベストプラクティスやスタンダードに準拠 - 自動レスポンスによる強化活動 参考）

    - prowler: CIS, NIST 800, NIST CSF, CISA, FedRAMP, PCI-DSS, GDPR, HIPAA, FFIEC, SOC2, ENS など、 様々なコンプライアンスルールを確認可能 - https://github.com/prowler-cloud/prowler 43

44. Security Audit AWS Config - https://aws.amazon.com/jp/config/ AWS Security Hub (CSPM)

    - https://aws.amazon.com/jp/security-hub/ AWS Audit Manager - https://aws.amazon.com/jp/audit-manager/ AWS Resilience Hub - https://aws.amazon.com/jp/resilience-hub/ AWS Config / AWS Security Hubで助言型監査 AWS Audit Managerで監査の証拠収集 AWS Resilience Hubは回復力を可視化 terraform-iam-policy-validator - https://github.com/awslabs/terraform-iam-policy-validator 44 https://aws.amazon.com/jp/blogs/mt/automated-evidence-collection-for-li fe-sciences-continuous-compliance-solutions-using-aws-audit-manager/

45. Security Monitor システム監視やセキュリティ監視を多角的観点から実施 - 脅威モニタリング - Attack Path Management -

    Attack Surface Management - オブザーバビリティ - システムコール監視 参考） - OWASP Amass: ASM - https://github.com/owasp-amass/amass - Falco: Kubernetes内の脅威行動・Syscall監視 - https://falco.org/ - ThreatMapper: Attack Path Management - https://www.deepfence.io/threatmapper 45 https://www.deepfence.io/blog/visualize-attack -paths-in-production-environments-with-threat mapper

46. Security Monitor Amazon GuardDuty - https://aws.amazon.com/jp/guardduty/ Amazon Macie - https://aws.amazon.com/jp/macie/

    IAM Access Analyser - https://aws.amazon.com/jp/iam/access-analyzer/ Amazon CloudWatch - https://aws.amazon.com/jp/cloudwatch/ AWS Distro for OpenTelemetry / Amazon Managed Service for Grafana / Prometheus - https://aws.amazon.com/jp/otel/ - https://aws.amazon.com/jp/prometheus/ Amazon GuardDutyで脅威検知や拡張脅威検出(EKS含む　)、Amazon Macieで機密データの保 護を、IAM Access Analyserで権限監視を、その他監視サービスにてオブザーバビリティの実現を 46 Runtime Monitoring S3 Protection RDS Protection Malware Protection EKS Protection Lambda Protection

47. Security Monitor 47 https://aws.amazon.com/jp/blogs/aws/amazon-guardduty-expands-extended-th reat-detection-coverage-to-amazon-eks-clusters/

48. Security Analysis セキュリティに関するあらゆる分析とインシデントレスポンス - SIEMによるセキュリティ相関分析 - 脅威インテリジェンス - フォレンジック分析 -

    ログ調査 参考） - wazuh: 不審な挙動・攻撃兆候の分析 - https://wazuh.com/ - stratoshark: システムコールとログメッセージの分析＆トラブルシューティング - https://stratoshark.org/ 48

49. AWS Budgets - https://aws.amazon.com/jp/aws-cost-management/aws-budgets/ Amazon Detective - https://aws.amazon.com/jp/detective/ Amazon Route

    53 health check - https://aws.amazon.com/jp/route53/ AWS Fraud Detector - https://aws.amazon.com/jp/fraud-detector/ AWS Security Lake - https://aws.amazon.com/jp/security-lake/ Amazon Q in Quicksight - https://aws.amazon.com/jp/quicksight/q/ 予算予測分析、フォレンジック、公開サーバーのリソースのヘルスチェック、 オンライン不正検出、セキュリティデータを一元化しBIツールで自然言語にて調査 Security Analysis 49 AWS CloudTrail VPC Flow logs AWS Security Hub CSPM Amazon Security Lake Amazon S3 Amazon Athena Amazon QuickSight Amazon Q

50. AWS の Security Events に関する Indicator （指標）： Logs and Monitors

    - Amazon CloudTrail, Amazon S3 access logs, VPC Flow Logs - Amazon GuardDuty, Amazon Detective, AWS Security Hub, Amazon Macie - Amazon Route 53 health checks, Amazon CloudWatch alarms - Windows イベントログ, Linux syslog logs, その他アプリケーション固有ログ Billing Activity - AWS Budgets, Billing Alarms Threat Intelligence - Amazon GuardDuty, AWS WAF, AWS Shield Advanced, AWS Network Firewall Partner Tools - AWS Partner Network Security Competency partners AWS Outreach - AWS Fraud and Abuse, TAM, Concierge Direct / Social Contact - Public feedback forms, Public security Email address, Social media monitoring, Bug bounties Security Analysis 50

51. AWS Cloud Sample Secure Architecture セキュアなアーキテクチャ （最初は簡単に導入&大きな効果のあるものを！） 51 Amazon S3

    Amazon Bedrock ALB VPC Amazon CloudFront AWS WAF AWS Security Hub AWS Signer AWS Secrets Manager Amazon GuardDuty Amazon Inspector AWS KMS Amazon EKS Amazon ECR AWS FIS Amazon CloudWatch AWS Lambda Amazon Bedrock Guardrails AWS Config Gitlab Repository Patch Manager AWS Audit Manager Amazon CodeGuru AWS Security Lake AWS Security Lake Amazon Detective Amazon Q Developper AWS Budgets Amazon Macie AWS Resilience Hub IAM Access Analyzer

52. Topic: 従来のDevSecOpsライフサイクル DoDのDevSecOpsライフサイクル DevOpsフェーズごとの取り組み Secフェーズごとの取り組み DevSecOpsの組織課題 DevSecOpsの組織課 題 52

53. 組織における DevSecOpsの課題 DevOpsを推進するDevOps Frameworkはいくつかある - CALMS Framework - Team Topologies

    - DORA Metrics それでも、DevSecOpsが進まない要因は企業それぞれに課題あり - 意識の問題 - 人の介在は何時のタイミングで必要か理解っていない - 利用サービスの好み - マルチクラウド向けの考慮不足 53 国防に限らず、医療やライフサ イエンスの分野で本気で DevSecOpsに向き合えている米 国事例は参考になります！

54. おわりに 以下についてお話しました - DoD のDevSecOpsライフサイクルによるセキュリティ実施事項の理解 - DevSecOpsフェーズごとに活用できるAWSとOSSの紹介 - DevSecOps組織課題に一助となる（かもしれない） セキュリティはすべてのビジネスの基盤です

    文化として醸成できていないなら、 今の組織において何が足りないか 考えてみるといいかもしれません 54

55. おすすめワークショップ URL • ビルダーのための脅威モデリング ワークショップ ◦ https://catalog.workshops.aws/threatmodel/ja-JP • Security for

    Developers ◦ https://catalog.workshops.aws/sec4devs/ja-JP • CI/CD on AWS ワークショップ ◦ https://catalog.workshops.aws/cicdonaws/ja-JP • カオスエンジニアリングワークショップ ◦ https://catalog.us-east-1.prod.workshops.aws/workshops/1193c2c1-493f- 4ec8-a493-14b913b4f7c1/ja-JP • AWS 環境における脅威検知と対応 ◦ https://scaling-threat-detection.awssecworkshops.jp/ • Integrating AWS IAM Access Analyzer in a CI/CD Pipeline ◦ https://catalog.us-east-1.prod.workshops.aws/workshops/fff8e490-f397-4 3d2-ae26-737a6dc4ac68/en-US 55

56. 参考URL • Nicolas Chaillan OSD DoD Enterprise DevSecOps Platform DAU

    Presentation v1.3 7mar2019 ◦ https://www.scribd.com/presentation/795021320/Nicolas-Chaillan-OSD-Do D-Enterprise-DevSecOps-Platform-DAU-Presentation-v1-3-7Mar2019 • OWASP DevSecOps Guideline ◦ https://owasp.org/www-project-devsecops-guideline/ • AWS Security Maturity Model v2 ◦ https://maturitymodel.security.aws.dev/en/model/ • Gitlab Docs ◦ https://docs.gitlab.com/ • GitLab Self-Managedのインストール ◦ https://about.gitlab.com/ja-jp/install/ 56

57. Thank you! 57