この記事は何?
freee社のDevSecOpsループを紹介する記事です。
◆対象は?
アプリケーションの開発や運用に関わる方
先に結論
DevSecOpsとは、DevOpsにsecurityを埋め込むことです。
セキュリティ対策について、何を、いつ取り組んだら良いかがわかりやすくなります。
知ったきっかけ
「Software Design 2024年6月号」で「成功するPSIRTの極意」という特集がありました。
著者はフリー株式会社の杉浦さんです。
PSIRTとは、「Product Security Incident Response Team」の略で、プロダクトのセキュリティ対応を行う組織です。
CSIRTは会社単位で活動するのに対して、PSIRTはプロダクト単位で活動します。
特集では、PSIRTの発足経緯やPSIRTの活動(DevSecOpsループ)が紹介されていました。
DevSecOpsループは、セキュリティ対策に関するアクティビティを整理できます。
アクティビティの説明
DevSecOpsの左側が「Shift Left」、右側が「Shield Right」です。
「Shift Left」は開発者主導のセキュリティで、「Shield Right」はランタイムセキュリティです。
具体的には次のような活動をします。
◆Shift Leftの活動
- 設計レビュー(SDR)
- 設計段階で、セキュリティレベルに応じたデータ保管、暗号化、アクセス制御が行われていることをレビューする
- 静的解析(SAST)
- Static Application Security Test
- ソースコードの静的解析
- 脆弱性スキャン(SCA)
- Software Composition Security
- 動的解析(DAST)
- Dynamic Application Security Test
- 試験環境での擬似的な攻撃により、脆弱性を探索する
◆Shield Rightの活動
- 脆弱性診断
- 新しいサービスがリリースされる前に擬似的な攻撃を行、未知の脆弱性を探索する
- 構成管理(IaC)
- Infrastructure as Code
- インフラ構成のコード管理
- ポリシー検証
- クラウド設定の監視
- ログを取る/異常検知
- ログをSIEM(Security Information and Event Management)に蓄積する
- SIEMによる異常検知
- インシデント対応
おわりに
この記事では、DevSecOpsループを紹介しました。
様々なセキュリティ対策がありますが、DevSecOpsループと一緒に考えることで、それらをDevOpsループのどこで実施するかを整理できます。
アプリケーションの開発や運用に関わる方の参考になれば幸いです。
参考
「Software Design 2024年6月号」