デロイトトーマツウェブサービス

デロイト トーマツ
ウェブサービス株式会社

DevSecOps支援DX導入支援

迅速な開発を実現するため、従来の開発プロセスでボトルネックとなっていたセキュリティを、
プロセスの各タスクへ組み込む”セキュリティのシフトレフト”を行い、事業の機敏性と俊敏性の向上を支援します。

DevSecOpsウェビナーを公開中!

当社では、Snykを用いたDevSecOpsにより
開発プロジェクトでシフトレフトを実現しています。
ウェビナーでは、実際に開発現場で得られた効果を詳しくご紹介しています。


▶ 当日寄せられたご質問の回答をブログにて公開しています!

近年、絶えず変化する市場で事業を成功させ続けるには、変化に適応した新しい商品やサービスを迅速に市場投入する事が重要です。
DWSでは、迅速な開発を実現するため、従来の開発プロセスでボトルネックとなっていたセキュリティを、プロセスの各タスクへ組み込む”セキュリティのシフトレフト”を行い、事業の機敏性と俊敏性の向上を支援します。

企業の抱える課題

セキュリティ対策が開発のボトルネックとなり、事業の機敏性や俊敏性が失われる

市場に新しいイノベーションが出現した場合、安定して成功をしていた既存事業が脅かされるケースは少なくありません。その場合、既存事業は戦略を再考した上で、迅速に価値のあるサービスを生み出す必要に迫られます。
しかし、従来の開発プロセスでは、終盤に行なっているセキュリティ対策がボトルネックとなり、市場変化に機敏に対応することが困難です。

セキュリティを念頭に置いた開発ができておらず、
セキュリティ脅威の標的になるリスクがある

ソフトウェアのセキュリティ上の欠陥である脆弱性は、対策を呼びかけるため一般に情報公開されています。ですが、脆弱性情報を悪用し、未対策のソフトウェアへの攻撃を狙うケースが年々増加しています。実際に、脆弱性探索行為と見られるアクセスは、2018年は2,709件/日でしたが、2021年には7,302件/日と2倍以上の件数が観測されています。そのため、開発時にセキュリティ対策を十分に行えない場合、セキュリティ脅威の標的になるリスクがあります。

サイバー空間における脆弱性探索行為等の観測状況のグラフ。2018年から2021年で海外IPアドレスからの脅威が2倍に増加している。

出典:警察庁広報資料(令和4年4月7日)「令和3年におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/


もしもセキュリティインシデントが発生してしまった場合、様々な損害を被る可能性があります。
例えば、個人情報漏洩が発生した場合は、事故収束のための費用・被害者への損害賠償・個人情報保護法違反の罰金・ブランドイメージ低下など、金銭や社会的信頼の面で大きな損害を被ります。

小さな綻びから大きな問題に発展するセキュリティインシデントを防ぐには、セキュリティを念頭に置きながら開発をすることが重要です。ですが、現状としてリリースを急ぐために開発を優先し、セキュリティは後回しとなっている開発現場は少なくありません。

2つの課題を解決するため、DWSでは”DevSecOps”導入を支援します。

DevSecOpsとは?

開発(Dev)と運用(Ops)が密に連携するDevOpsに、セキュリティを取り入れた開発手法です。DevOpsとの開発プロセスの違いやメリットをご説明します。

DevOpsでは、開発プロセスの終盤にセキュリティの取り組みを行っています。

従来の開発ライフサイクルとDevSecOps導入後の開発ライフサイクルを比較すると、手戻りが減って開発効率UP、事業のスピード感UP、十分なセキュリティ対策で従来よりインシデント発生リスクDOWNが魅力です。

DevSecOpsでは、開発プロセスの初期段階である左側から各タスクへセキュリティを組み込み、リスクの可視化と対処を早めることで”セキュリティのシフトレフト”を実現します。

DWSの支援

支援の全体像

豊富なDevOpsの導入経験をもとに、お客様に寄り添いながらチーム内のカルチャーの醸成、プラクティスの支援、適切なツール導入をトータル支援いたします。また、クラウドだけでなくアプリケーションの開発・コンサルティングも手掛けておりますので、数多くの開発現場で培ったナレッジをもとに、幅広い知見でサポートいたします。

事業部・営業部などのビジネスサイドのアイデアをアジャイル開発チームによって具現化し、DWSが技術・運用をトータルサポートします。製品を顧客に届けて市場からのフィードバックを収集し、さらにこの流れを繰り返して開発を進めます。

ツール導入

様々なオープンソースソフトウェアやベンダー製品が存在していますので、お客様自身でツールの選定をすることは非常に困難かつ労力が掛かります。

DWSでは、DevOps支援で活用しているツールから、お客様に最適なツールを選定し導入します。ツールの詳細につきましては『DevOps支援サービス』をご覧ください。

そして、開発プロセスにセキュリティを組み込むシフトレフトを実現するために、セキュリティプラットフォーム ”Snyk”を活用します。

セキュリティプラットフォーム『Synk』の3つの強み

snyk
  1. モダンな開発者ツールと連携が可能
  2. アルゴリズムによるコードのリアルタイム自動修正
  3. 業界トップクラスの脆弱性データベースを提供

4つの機能をセキュリティプロセスに組み込み

DevOpsの工程内に、Snyk Code(統合開発環境(IDE)やGitと連携し、リアルタイムに脆弱性コードを検出・修正提案)、Snyk Open Source(オープンソースに内包されている脆弱性を検出・修正提案)、Snyk Containers(コンテナイメージに対して、継続した脆弱性検出・修正提案)、Snyk Iac(コード化したインフラ管理に対して、脆弱性検出・修正提案)を組み込みます。

DWSが選ばれる理由

AWSに認定されたDevOps開発支援およびセキュリティ領域の専門性

DevOpsおよびセキュリティ領域における、卓越した技術力と高い専門性を活かした実績をアマゾン ウェブ サービス(AWS)から高く評価され、2020年に日本国内で3社目となる「AWS DevOpsコンピテンシー」を、2023年には「AWS セキュリティコンピテンシー」を取得しています。これらのシナジーにより、AWSにおける高い技術力を活用したDevSecOpsソリューションの提供が可能です。

セキュリティベンダーであるSnyk株式会社と協業し、
開発者ファーストの高度なセキュリティを提供

Snykの中核である脆弱性データベースは、公開されている最大の商用データベースと比較し、441%も多くの脆弱性をカバーしています。また、開発者ファーストで設計されているので、誰でも簡単に使用できます。このSnykを、AWSに認定されたセキュリティの専門知識により最大限に活用します。

AWSでの高い専門性を持つDWSと
Snykの専門的なセキュリティの相乗効果

アマゾン ウェブ サービス(AWS)に認定されたDWSのDevOps開発支援およびセキュリティの専門能力を組み合わせたDevSecOpsソリューションに、さらにSnykの脆弱性に特化したノウハウを掛け合わせることで、より速く安全性の高いソフトウェア開発を実現します。

運用までのステップ

1. 現状の把握

  • 開発中/運用中のアプリケーション、ライブラリ、IaCに対してセキュリティスキャンを行いリスクを可視化
  • リリースまでのプロセスの状況をヒアリング

2. 開発フロー設計・構築

  • 開発〜リリースまでの一連のフローを定義
  • 最適なツール/クラウドを設計/実装することで、自動化したフローを構築

3. シフトレフト設計・実装

  • 構築したフローにセキュリティツール(Snyk)を組み込む
  • STEP2で実装したフローにセキュリティ対策を組み込むことで、シフトレフトを実現

4. 運用設計

  • 組み込んだセキュリティプロセスの運用設計を立案し、継続したDevSecOpsの運用を実現

費用

メニュー料金
DevSecOpsプロセス設計・実装別途見積
DevSecOps運用支援別途見積

CASEDevSecOps活用事例

公共サービスWebアプリケーション

デロイト トーマツ リスクアドバイザリー株式会社

導入前の課題

シングルページアプリケーション(SPA)とWeb APIで構成されている本システムに対して、月次で脆弱性チェックおよびアップデートの要否をエンジニアが手作業で対応。 スクラム開発における俊敏性向上のボトルネックに。

▶︎ 導入の効果

SPA及びAPIのソースコードリポジトリに対する自動スキャンの実施、及び対応が必要な修正リクエストの自動化によって、年間トータル132時間(月次平均22件のレビュー)を削減。また、これまで対応が難しかったクラウド基盤についても同様のスキャン&対応要否の自動化を実現

  • 脆弱性レビュー及び修正検討時間の削減により、ボトルネックが解消され製品開発への時間を生み出すことが可能に!
  • クラウド基盤に対するセキュリティのシフトレフトも新たな付加価値として実現することに成功!

その他セキュリティ対策の事例

DWSで実際に行ったセキュリティ事例をご紹介します。

WAFとRASPの違いと当社での導入事例

READ MORE

OWASP TOP10とそれに対応するWAFの導入事例

READ MORE

DX、クラウド、AWSのお困り事はお気軽にご相談ください

※通常1営業日以内にご回答いたします

お問い合わせはこちら

DWSはAWSの各種パートナープログラムの認定を受けています

 AWS Partner Advanced Tier Services, AWS Partner DevOps Services Competency, AWS Partner Solution Provider, AWS Partner AWS Lambda Delivery, AWS Partner Amazon CloudFront Delivery, AWS Partner Security Services Competency, AWS 100 Certified
AWS アドバンストティアサービスパートナー
AWS DevOps コンピテンシーパートナー
AWS セキュリティ コンピテンシーパートナー
AWS Lambda サービスデリバリーパートナー
AWS CloudFront サービスデリバリーパートナー
AWS ソリューションプロバイダー
AWS Well Architected パートナー
AWS 100 APN Certification Distinction

AWS認定エンジニア

DevOpsエンジニア
プロフェッショナル

AWS認定エンジニア

ソリューションアーキテクト
プロフェッショナル