公共サービスWebアプリケーション
デロイト トーマツ リスクアドバイザリー株式会社
DevSecOps支援DX導入支援
迅速な開発を実現するため、従来の開発プロセスでボトルネックとなっていたセキュリティを、
プロセスの各タスクへ組み込む”セキュリティのシフトレフト”を行い、事業の機敏性と俊敏性の向上を支援します。
DevSecOpsウェビナーを公開中!
当社では、Snykを用いたDevSecOpsにより
開発プロジェクトでシフトレフトを実現しています。
ウェビナーでは、実際に開発現場で得られた効果を詳しくご紹介しています。
近年、絶えず変化する市場で事業を成功させ続けるには、変化に適応した新しい商品やサービスを迅速に市場投入する事が重要です。
DWSでは、迅速な開発を実現するため、従来の開発プロセスでボトルネックとなっていたセキュリティを、プロセスの各タスクへ組み込む”セキュリティのシフトレフト”を行い、事業の機敏性と俊敏性の向上を支援します。
企業の抱える課題
セキュリティ対策が開発のボトルネックとなり、事業の機敏性や俊敏性が失われる
市場に新しいイノベーションが出現した場合、安定して成功をしていた既存事業が脅かされるケースは少なくありません。その場合、既存事業は戦略を再考した上で、迅速に価値のあるサービスを生み出す必要に迫られます。
しかし、従来の開発プロセスでは、終盤に行なっているセキュリティ対策がボトルネックとなり、市場変化に機敏に対応することが困難です。
セキュリティを念頭に置いた開発ができておらず、セキュリティ脅威の標的になるリスクがある
ソフトウェアのセキュリティ上の欠陥である脆弱性は、対策を呼びかけるため一般に情報公開されています。ですが、脆弱性情報を悪用し、未対策のソフトウェアへの攻撃を狙うケースが年々増加しています。実際に、脆弱性探索行為と見られるアクセスは、2018年は2,709件/日でしたが、2021年には7,302件/日と2倍以上の件数が観測されています。そのため、開発時にセキュリティ対策を十分に行えない場合、セキュリティ脅威の標的になるリスクがあります。
出典:警察庁広報資料(令和4年4月7日)「令和3年におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/
もしもセキュリティインシデントが発生してしまった場合、様々な損害を被る可能性があります。
例えば、個人情報漏洩が発生した場合は、事故収束のための費用・被害者への損害賠償・個人情報保護法違反の罰金・ブランドイメージ低下など、金銭や社会的信頼の面で大きな損害を被ります。
小さな綻びから大きな問題に発展するセキュリティインシデントを防ぐには、セキュリティを念頭に置きながら開発をすることが重要です。ですが、現状としてリリースを急ぐために開発を優先し、セキュリティは後回しとなっている開発現場は少なくありません。
2つの課題を解決するため、DWSでは”DevSecOps”導入を支援します。
DevSecOpsとは?
開発(Dev)と運用(Ops)が密に連携するDevOpsに、セキュリティを取り入れた開発手法です。DevOpsとの開発プロセスの違いやメリットをご説明します。
DevOpsでは、開発プロセスの終盤にセキュリティの取り組みを行っています。
DevSecOpsでは、開発プロセスの初期段階である左側から各タスクへセキュリティを組み込み、リスクの可視化と対処を早めることで”セキュリティのシフトレフト”を実現します。
DWSの支援
支援の全体像
豊富なDevOpsの導入経験をもとに、お客様に寄り添いながらチーム内のカルチャーの醸成、プラクティスの支援、適切なツール導入をトータル支援いたします。また、クラウドだけでなくアプリケーションの開発・コンサルティングも手掛けておりますので、数多くの開発現場で培ったナレッジをもとに、幅広い知見でサポートいたします。
ツール導入
様々なオープンソースソフトウェアやベンダー製品が存在していますので、お客様自身でツールの選定をすることは非常に困難かつ労力が掛かります。
DWSでは、DevOps支援で活用しているツールから、お客様に最適なツールを選定し導入します。ツールの詳細につきましては『DevOps支援サービス』をご覧ください。
そして、開発プロセスにセキュリティを組み込むシフトレフトを実現するために、セキュリティプラットフォーム ”Snyk”を活用します。
セキュリティプラットフォーム『Synk』の3つの強み
- モダンな開発者ツールと連携が可能
- アルゴリズムによるコードのリアルタイム自動修正
- 業界トップクラスの脆弱性データベースを提供
4つの機能をセキュリティプロセスに組み込み
DWSが選ばれる理由
AWSに認定されたDevOps開発支援およびセキュリティ領域の専門性
DevOpsおよびセキュリティ領域における、卓越した技術力と高い専門性を活かした実績をアマゾン ウェブ サービス(AWS)から高く評価され、2020年に日本国内で3社目となる「AWS DevOpsコンピテンシー」を、2023年には「AWS セキュリティコンピテンシー」を取得しています。これらのシナジーにより、AWSにおける高い技術力を活用したDevSecOpsソリューションの提供が可能です。
セキュリティベンダーであるSnyk株式会社と協業し、開発者ファーストの高度なセキ�ュリティを提供
Snykの中核である脆弱性データベースは、公開されている最大の商用データベースと比較し、441%も多くの脆弱性をカバーしています。また、開発者ファーストで設計されているので、誰でも簡単に使用できます。このSnykを、AWSに認定されたセキュリティの専門知識により最大限に活用します。
AWSでの高い専門性を持つDWSとSnykの専門的なセキュリティの相乗効果
アマゾン ウェブ サービス(AWS)に認定されたDWSのDevOps開発支援およびセキュリティの専門能力を組み合わせたDevSecOpsソリューションに、さらにSnykの脆弱性に特化したノウハウを掛け合わせることで、より速く安全性の高いソフトウェア開発を実現します。
運用までのステップ
1. 現状の把握
- 開発中/運用中のアプリケーション、ライブラリ、IaCに対してセキュリティスキャンを行いリスクを可視化
- リリースまでのプロセスの状況をヒアリング
2. 開発フロー設計・構築
- 開発〜リリース�までの一連のフローを定義
- 最適なツール/クラウドを設計/実装することで、自動化したフローを構築
3. シフトレフト設計・実装
- 構築したフローにセキュリティツール(Snyk)を組み込む
- STEP2で実装したフローにセキュリティ対策を組み込むことで、シフトレフトを実現
4. 運用設計
- 組み込んだセキュリティプロセスの運用設計を立案し、継続したDevSecOpsの運用を実現
費用
| メニュー | 料金 |
|---|---|
| DevSecOpsプロセス設計・実装 | 別途見積 |
| DevSecOps運用支援 | 別途見積 |
CASEDevSecOps活用事例
導入前の課題
シングルページアプリケーション(SPA)とWeb APIで構成されている本システムに対して、月次で脆弱性チェックおよびアップデートの要否をエンジニアが手作業で対応。 スクラム開発における俊敏性向上のボトルネックに。
▶︎ 導入の効果
SPA及びAPIのソースコードリポジトリに対する自動スキャンの実施、及び対応が必要な修正リクエストの自動化によって、年間トータル132時間(月次平均22件のレビュー)を削減。また、これまで対応が難しかったクラウド基盤についても同様のスキャン&対応要否の自動化を実現。
- 脆弱性レビュー及び修正検討時間の削減により、ボトルネックが解消され製品開発への時間を生み出すことが可能に!
- クラウド基盤に対するセキュリティのシフトレフトも新たな付加価値として実現することに成功!
DevSecOpsに関連するサービス
クラウドのスペシャリストが、開発現場のチームビルディングやツール導入を支援します。
DWSはAWSの各種パートナープログラムの認定を受けています
- AWS アドバンストティアサービスパートナー
- AWS DevOps コンピテンシーパートナー
- AWS セキュリティ コンピテンシーパートナー
- AWS Lambda デリバリーパートナー
- Amazon CloudFront デリバリーパートナー
- Amazon ECS デリバリーパートナー
- AWS ソリューションプロバイダー
- AWS Well-Architected パートナー
- AWS 200 APN Certification Distinction
AWS認定エンジニア
DevOpsエンジニア
プロフェッショナル
AWS認定エンジニア
ソリューションアーキテクト
プロフェッショナル
AWS 200 APN Certification Distinction
AWS認定資格所得数200以上