Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

20180214 時空魔法で過去に戻れたら
 ~DevSecOpsがこんなに辛いなんて~

367 views

Published on

総関西サイバーセキュリティLT大会(第7回)(2018/02/14)でのLT資料です。
タイトル:時空魔法で過去に戻れたら
 ~DevSecOpsがこんなに辛いなんて~
#sec_kansai #sosaisec

Published in: Internet
  • Be the first to comment

  • Be the first to like this

20180214 時空魔法で過去に戻れたら
 ~DevSecOpsがこんなに辛いなんて~

  1. 1. 時空魔法で過去に戻れたら ~DevSecOpsがこんなに辛いなんて~ 総関西サイバーセキュリティLT大会(第7回) 2018/02/14 @Typhon666_death
  2. 2. 設計時からDevSecOpsしたかった 時空魔法で過去に戻る的な 絵が見つからず メテオ
  3. 3. 自己紹介 • @Typhon666_death • 仕事:某セキュリティ専門会社にて、 セキュリティエンジニア/コンサルタント/アナリスト • 業務:以前は多種企業向けMSS、今は自社サービスの運用保守 • 活動コミュニティ: • OWASP Japan Promotion Teamメンバー • AISECjp 運営メンバー • Security-JAWS 運営メンバー • X-Tech JAWS 運営メンバー • FinJAWS 運営メンバー • 全脳アーキテクチャ若手の会 運営メンバー https://www.slideshare.net/Typhon666_death
  4. 4. DevSecOpsについて • あなたはDevSecOpsをどう捉えていますか? • DevSecOpsしろと言われたら何をしますか?
  5. 5. 2018年のトレンドらしい • 2018年のトレンドは、DevOpsにセキュリティを融合した「DevSecOps」 (1/2) http://www.itmedia.co.jp/enterprise/articles/1802/14/news009.html
  6. 6. • DevOpsとSecのマリアージュ • オンプレ環境におけるDevOpsは難しいと個人的に実感 (環境は人それぞれなのであくまで個人的に) • 理由: • Dev:作って壊してが容易でない • Ops:バックアップから簡単に戻せない DevSecOps
  7. 7. • 私なりのDevSecOps • DevOpsとSecという言葉が産まれた順で分けない • DevSecとOpsで考えると実は腹落ちしやすい • DevSecOps ≒Secure Development (for Agile) + Ops ≒Securiy by Design + Ops ≒Building in Security + Ops DevSecOps
  8. 8. • 注意:ツール導入することがゴールではない • セキュリティの品質を上げるために現在、取り組ん だこと(取り組もうとしていること) • 脆弱性スキャナの導入 • SASTの導入 • DASTの導入 Security by Design CI導入による 継続的スキャニング/テスティング
  9. 9. • Jenkinsでオーケストレーション • 各種ツールを設計、構築時に実施(自動運用) DevSecOps
  10. 10. • (よくありそうな)日々の運用の一例: • デイリー自動診断と修正後に手動診断 • リリースレビューの中で診断結果レポートを 添付 DevSec"Ops"
  11. 11. • (よくありそうな)日々の開発の一例: • コードを書きながらSAST実施してチェック • デプロイ時にDAST実施してチェック • SeverityがHIGHなものは至急、テスト環境に てアプデ改修し、本番影響がないことを確認 してリリース "DevSec"Ops
  12. 12. しかし
  13. 13. • ツールで違反と出ている • 本当に改修しないといけないかどうかの真偽 • 真→改修工数・予算確保、動確テスト、リリース( 環境の準備が何気に時間かかる) ※予想できる辛さ • 偽→ツールのチューニング(誤検知除外) ※予想できなかった辛さ 設計時からDevSecOpsしたかった
  14. 14. 例:VulsRepo 本当のところ、 サーバとその上のアプリの脆弱性は本当は何件ありますか ?全て対応できますか?検出内容チェックできますか? • ツールで違反と出ている箇所のチェックと誤検知除外対策 • これはさすがに自動化にはならないので辛い。なんかいい方法ないですか? • • 引用:速習vuls https://qiita.com/hogehogehugahuga/items/f18896b6e3d68ad19df5
  15. 15. • 日々の運用が周り初めてようやくDevSecOpsの 有り難さに気づける(だろう) • Security by Designはツールで自動化していなく ても、効果は多いにある。 • 継続は力なり。先に待っているのは、パラダイ ス? DevSecOpsやるならお早めに
  16. 16. _人人人人人人_ > アルテマ <  ̄Y^Y^Y^Y^Y そんな今に時空魔法を唱えるなら
  17. 17. 以上

×