21
26

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

この記事は何?

freee社のDevSecOpsループを紹介する記事です。

◆対象は?
アプリケーションの開発や運用に関わる方

先に結論

devsecops.png

DevSecOpsとは、DevOpsにsecurityを埋め込むことです。

セキュリティ対策について、何を、いつ取り組んだら良いかがわかりやすくなります。

知ったきっかけ

「Software Design 2024年6月号」で「成功するPSIRTの極意」という特集がありました。
著者はフリー株式会社の杉浦さんです。

PSIRTとは、「Product Security Incident Response Team」の略で、プロダクトのセキュリティ対応を行う組織です。

CSIRTは会社単位で活動するのに対して、PSIRTはプロダクト単位で活動します。

特集では、PSIRTの発足経緯やPSIRTの活動(DevSecOpsループ)が紹介されていました。

DevSecOpsループは、セキュリティ対策に関するアクティビティを整理できます。

アクティビティの説明

DevSecOpsの左側が「Shift Left」、右側が「Shield Right」です。

「Shift Left」は開発者主導のセキュリティで、「Shield Right」はランタイムセキュリティです。

具体的には次のような活動をします。

◆Shift Leftの活動

  • 設計レビュー(SDR)
    • 設計段階で、セキュリティレベルに応じたデータ保管、暗号化、アクセス制御が行われていることをレビューする
  • 静的解析(SAST)
    • Static Application Security Test
    • ソースコードの静的解析
  • 脆弱性スキャン(SCA)
    • Software Composition Security
  • 動的解析(DAST)
    • Dynamic Application Security Test
    • 試験環境での擬似的な攻撃により、脆弱性を探索する

◆Shield Rightの活動

  • 脆弱性診断
    • 新しいサービスがリリースされる前に擬似的な攻撃を行、未知の脆弱性を探索する
  • 構成管理(IaC)
    • Infrastructure as Code
    • インフラ構成のコード管理
  • ポリシー検証
    • クラウド設定の監視
  • ログを取る/異常検知
    • ログをSIEM(Security Information and Event Management)に蓄積する
    • SIEMによる異常検知
  • インシデント対応

おわりに

この記事では、DevSecOpsループを紹介しました。

様々なセキュリティ対策がありますが、DevSecOpsループと一緒に考えることで、それらをDevOpsループのどこで実施するかを整理できます。

アプリケーションの開発や運用に関わる方の参考になれば幸いです。

参考

「Software Design 2024年6月号」

21
26
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
21
26

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?