DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)

釜山公徳 -Masanori KAMAYAMA-
日本クラウドセキュリティアライアンスクラウドセキュリティWG
リーダー
DevSecOps のユースケースと
DevSecOps がもたらす未来
Copyright © 2019 Cloud Security Alliance Japan Chapter 1

Self-introduction
釜山公徳 (Masanori Kamayama)
CSA Japan クラウドセキュリティWG リーダー
その他所属・活動
日本電気株式会社
テクニカルエバンジェリスト兼クラウドコンサルタント
CompTIA Subject Matter Experts
Fin-JAWS 運営メンバー
JNSA IoTセキュリティログ検討WG、他
著作
NISC (内閣サイバーセキュリティセンター)
「あなたの守りたい「モノ」は何ですか？どうやって守りますか？」、
他

セキュリティについての考え方
セキュリティは
コストではなく
投資！

1st Stepで大事なこと
守るべきモノを
定義する

参考) NISCのコラム
「あなたの守りたい「モノ」は何ですか？どうやって守ります
か？」
参考：https://www.nisc.go.jp/security-site/month/h29/column/20180314.html

クラウドセキュリティWGの成果物
タイトル
CSA ガイダンス v4.0 を用いた
クラウドセキュリティリファレンス（OSS マッピング）
公開日
2019年2月26日
目的
実環境における設計や実装といったフェーズで具体的な
検討をするにあたり、Open Source Software(OSS)とガ
イダンスをマッピングさせることで、具体的な施策のイメー
ジへの一助になると考え作成
ダウンロードURL
https://www.cloudsecurityalliance.jp/site/WG_PUB/cloud
security_WG/CSAguidance_mapping_20190226.pdf

参考) ワーキンググループの参加申込につい
て
興味がある方は是非！

DevSecOps の定義
DevOps に Security を加えた概念
DevOps.com、DevSecOps.com、Gartner等、様々なところで
重要性を叫ばれている
DevOpsとは
Dev(開発) と Ops(運用) を組み合わせ、継続的対応する考
え
主にアプリケーション開発視点
Biz-DevSecOpsといったビジネスの視点を
取り入れた概念も
Sec
Dev Ops

Why DevSecOps?
ビジネスアジリティの向上
コスト最適化
時間対効果
情報漏洩リスク回避

よくある課題
定義が曖昧
DevOpsすらもよくわ
からない
目的がはっきりしな
い
そもそもどうすれば
よいかわからない
DevSecOps以前に
検討すべき多くの事項

3つのセキュリティ領域 (Security X Cloud)
クラウドのセキュリティ領域を3つに
分類
1. Security IN Cloud
利用者側で講じる領域
2. Security BY Cloud
クラウドベンダーやセキュリティベ
ンダーが提供するセキュリティ
3. Security OF Cloud
クラウドベンダー側の責任範囲
BY
IN
OF

Security X Cloud と責任共有モデル
カスタマー側の責任範囲
Security IN Cloud
Security BY Cloud
クラウドベンダー側の責任範囲
Security OF Cloud
https://www.oreilly.com/library/view/practical-cloud-
security/9781492037507/ch01.html

Security by Design の 3 つの視点
アプリケーション開発
• SAST(静的分析)、DAST(動的分析)等
クラウドサービス
• クラウドベンダー、セキュリティベンダーが提供するセキュリティサービス
インフラストラクチャ
• Bastion、ファイアウォール、IDS/IPS、不要ポート閉塞等

アプリケーション開発視点でのDevSecOps
Sec
Dev Ops
プラン
テスト
コーディング
リリース
デプロイ
運用
監視
ビルド
脆弱性分析

クラウドサービス視点でのDevSecOps
Sec
Dev Ops
セキュア・アーキテクティング
テスト
(コーディング) リリース
デプロイ
運用監視・
保守
環境分析・
レポート
(ビルド)
脆弱性分析
脆弱性分析
プラン

インフラストラクチャ視点でのDevSecOps
Sec
Dev Ops
セキュア・アーキテクティング
テスト
(コーディング) リリース
デプロイ
運用監視・
保守
環境分析・
レポート
脆弱性分析
脆弱性診断
プラン
アクセス制御

様々な視点のDevSecOpsをどうするか
守りたいモノにフォーカスし、必要な要素は全て取り入れる
Sec
Dev Ops

セキュリティの脅威を起点に考える
クラウド重大セキュリティ脅威 11の悪質な脅威
https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2019/10/top-threats-to-cloud-computing-
egregious-eleven_J_20191031.pdf

アカウントハイジャックのサマリー
脅威サマリー
• アカウントやサブスクリプションを取得し、不正に操作する
ビジネスインパクト
• 評判の低下、ブランド価値の低下、法的責任の発生、機微な個人情報やビジネス情
報の開示につながるデータ漏洩
想定事例と事例
• 2014年6月、Code Space 社のAWSアカウントが、管理コンソールを多要素認証で防御
していなかったため、全ての情報資産が破壊され、事業が継続不能になった。
• 2018年、Consumer Cloud Services社のデータがダークネット市場で大規模に販売され
た。
• 2017年、特にMicrosoft Office 365のアカウントをターゲットとした攻撃が増加。
• 2010年4月、アマゾンでクロスサイトスクリプティング（XSS）バグが確認された。2009 年
には、非常に多くのアマゾン上のシステムがハイジャックされ、Zeus ボットネットの温床
になった。
https://www.cloudsecurityalliance.jp/site/wp-content/uploads/2019/10/top-threats-to-cloud-computing-
egregious-eleven_J_20191031.pdf

アカウントハイジャックのDevSecOps
アカウントにフォーカス
Sec
Dev Ops
アカウントセキュリティ設計
• 最小権限の原則
• IAMやMFAの設計
• アカウント運用設計
• トレーサブルな設計
• IDaaS利用の検討
セキュリティチェック
リリース
デプロイ
運用監視・保守
診断・テスト
• ぺネトレーションテスト
• 脆弱性診断
アセットマネジメント設計アカウントの棚卸し
インシデント発生時は
適切に処置し追跡

アカウントハイジャックのポイントまとめ
最小権限の
原則を徹底
アカウント
セキュリ
ティ設計
トレーサブ
ルな運用設
計
インシデン
トレスポン
ス体勢整備
定期的な検
査や監査

DevSecOpsの最適利用
視点
Dev だけではダメ、Opsだけでもダメ、Secだけでもダメ
全レイヤーへセキュリティを実装
アプリケーションやシステムを最適化
ビジネスアジリティの向上
売り上げ向上
新領域への挑戦
※DevSecOps をスルーすると成長が望めないどころか衰退の恐
れも!?

今後のDevSecOps
DevSecOps に最適なツールやサービス
DevSecOps に Biz をより適切に取り入れるスタイル
Biz-DevSecOps
エンタープライズレディなアジャイルの採用
エンタープライズアジャイルやハイブリッドアジャイル等
より高度な組織設計
CCoE (Cloud Center of Excellence) の多層化

DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)

More Related Content

What's hot

Similar to DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)

More from Masanori KAMAYAMA

Recently uploaded

DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)