DevSecOps
ソフトウェア開発(Development)、セキュリティ(Security)、運用(Operations)の3つの要素を統合し、開発ライフサイクルの最初からセキュリティを組み込み、継続的に運用する開発手法です。
開発・運用のスピードを維持しつつ、セキュリティ・リスクを最小化します。
SAST(ソースコードの脆弱性検査)、DAST(動作中のアプリケーションの脆弱性検査)、SCA(OSSライブラリの脆弱性チェック)などをCI/CDパイプライン に組み込んで自動化します。
※コード変更からリリースまでを自動で流す仕組みセキュリティを開発プロセス全体に組み込むことで、開発の俊敏性(ビジネス・アジリティ)を損なうことなく安全性を高めることができます。
多くのセキュリティ対策が開発サイクルのできる限り早い段階(シフト・レフト)で実施されるため、リリース直前のセキュリティ診断によるタイムラグや手戻りのリスクを軽減します。
システムの「要件定義」から「運用」までの各工程に適切なセキュリティ対策をプロセスとして組み込むことで、開発ライフサイクル全体を通じて脆弱性が組み込まれるリスクを低減します。
最初から完成形を目指すのではなく、小さなサイクルで開発と改善を繰り返し、ユーザーからのフィードバックに基づき、変化に迅速に対応しながら価値を素早く提供する開発手法です。
スクラム開発とは、上記を実現するために開発(スクラム)チームが1~4週間のサイクル(スプリント)で開発~リリースを繰り返すためのチームの開発手法のことです。
実際に動くソフトウェアを素早く提供し実際のユーザーからフィードバックを得ながら改良・改善を繰り返し品質を高める。
提供する側の先入観による無駄な機能開発を防ぎ、ユーザーが必要とする本質的な機能に絞ることで、開発期間とコストを最小化します。
また、常にユーザーのフィードバックを得ることで、開発しているソフトウェア・プロダクトの方向性や次の開発要件を確かめながら進むことができます。
さらに、作り手側には思いつかなかったサービスや機能を、ユーザーからの指摘によって得ることができます。
スクラム開発にDevSecOpsを導入し環境を構築することで、リリース前のセキュリティ診断にかかる時間とコストを大幅に前倒し(シフト・レフト)できます。
また、可能な限りセキュリティ診断の要素をCI/CDパイプラインに組み込むことで自動化を促進し、セキュア・コーディングの品質を上げ、コストを削減した開発/運用サイクルを自走することが期待できます。
『セキュリティ診断をシフト・レフトする』
スクラム開発伴走特化型 DevSecOps支援サービス
Security Lab SeriesⓇ
(MASLab DevSecOps Support Services)
Security Lab Series®:マスラボ独自の知見を活用したセキュリティ・サービス
セキュリティ診断と結果の対応に時間がかかって
プロダクト・リリースが素早くできない
セキュア・コーディングの
品質を向上したい
開発チーム自身にセキュリティ対応の
スキルを付けたい
セキュリティ診断を
自動化したい/内製化したい
※1:本サービスをリードするセキュリティのスペシャリスト
※2:限定的な動的診断が可能かつ有効な場合(ツールのご指定がない場合、弊社推奨のツール購入が必要)
※3:ご要望により別サービスとしてSSグループによる差分診断を実施
お問い合わせ
サービスについてのご相談・ご質問、お見積り依頼など、
お気軽にお問い合わせください。
