[レポート] DevSecOps実現のためのDevOps超入門 #SecurityDaysSpring2023

Security Days Spring 2023 のセッション「DevSecOps実現のためのDevOps超入門」のレポートです。
2023.03.07

最初に

東京で開催された Security Days Spring 2023 に参加してきました!視聴させていただいたセッションは下記です。 DevSecOps実現のためのDevOps超入門 | Security Days Spring 2023

こちらをレポートとして記事にしました。

セッション概要

DevSecOps実現のためのDevOps超入門
開発と運用を一体化させるDevOpsのサイクルにセキュリティ対策を取り入れる「DevSecOps」のニーズが高まりつつあります。しかし開発の現場では、DevOpsへの取り組みもなかなか進まない、というのが現状ではないでしょうか。 本セッションでは、DevSecOpsを見据えた上でDevOpsから取り組みたいと考えている方に、DevOpsとは何か、というところから解説します。

レポート

DevOps とは?

開発担当者(Dev)と運用担当者(Ops)が、緊密に連携することにより、柔軟性と迅速性をもってシステム開発していくということ

DevOps の課題

  • 開発、運用チームが分離している
  • ・実際のところ、プロジェクトごとに体制化が進んでおらず、連携も取れてないことが多い。
    ・特に WF 開発にありがち

  • ノウハウの共有がない
  • ・ソースコードの同期が取れてない
    ・最新のバージョンを把握してない

  • 開発は攻めの姿勢、運用は守りの姿勢
  • ・共有がないチームでは、顧客のニーズに発展しにくい。

DevOps 課題の解決方法

組織改革とツールで、課題を低減

  • Dev + Ops は緊密に連携して、共有できる技術やツールを使用する
  • ・開発、運用が共同で使えるツールを社内展開する(チケット管理、エラー分析などのツール)
    ・テスト、開発の自動化

  • 承認プロセスの明確化
  • ・テスト→デプロイを自動化する
    ・GitOps
    ・チケット管理システム

  • PDCA サイクルを素早く回す
  • ・lean なやり方になる
    ・コミュニケーションが円滑になる
    ・期間に滞りなく、プロジェクトが進む

DevSecOps とは?

DevOps に Security を取り入れていく考え方のこと

DevSecOps の課題

  • DevOps を回すのに精いっぱいで、Security は後回し
  • ・テストの自動化、迅速なリリースが要点

DevSecOps 課題の解決方法

  • 開発 → リリースまでの CICD に SEC ソリューションを導入
  • ・静的(SAST)、動的(DAST)、ソフトウェア構成(SCA、SBOM)

  • インフラのデイリー単位の定期的な検査
  • ・ツール(CircleCI、GitHub Action、jenkins)を使う
    ・脆弱性発見 → 迅速なリリース
    ・とくにミドルウェアは、バグや、脆弱性を日常的に調査する

  • 費用
  • ・各種ツールを導入して省力化
    ・最初は、OSS のソリューションを使用するもの手

まとめ

DevSecOps の入門ということで、まずは Dev Ops の課題感と、Sec を考慮した DevSecOps として、まずは何を進めていくのがいいのかについて説明されておりました。CICD パイプラインでの自動化、脆弱性診断を取り入れつつ、緊密に情報連携するために共通して使用できるツールを使用することで、プロジェクトを円滑に、滞りなく進めていくことが大切だと感じました。