セキュリティ対策の株式会社ラック

お問い合わせ
閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について
お問い合わせ

セキュリティ事故発生時はこちら

  1. DX・システム開発

クラウドインテグレーション

DevSecOps開発環境の導入支援サービス
Modernization with DevSecOps

DX & System Development

アプリ開発およびクラウド運用を近代化する

企業の古いシステムの刷新にお困りのお客様や、クラウド環境を活用したアプリ開発に関心のあるお客様へ、DevSecOpsという開発手法を用い、変化の激しい市場へ迅速なサービスリリースを可能とする開発環境を導入します。

目次
  1. DevSecOpsの実践には何が必要か
  2. 開発環境の近代化により、ビジネスを支えるアプリ開発の実現へ
  3. サービスの流れ
  4. 業務フロー分析とソリューション特定のイメージ
  5. 役割と責任
  6. ユースケースのご紹介
  7. よくあるご質問
  8. 価格

DevSecOpsの実践には何が必要か

具体的なプラクティスと知見を有するアーキテクトの存在

DevSecOpsの実践には「なにから取り組めばいいのか分からない」「取り組むための知見・リソースが不足する」という2つの課題があります。本サービスでは、前者について、お客様の開発環境および運用の流れをヒアリングし、実践すべきDevSecOpsのプラクティスを定義します。次に後者について、ラックの専門的な知見を有するアーキテクトがお客様の開発および運用の最適化を実現します。

開発環境の近代化により、ビジネスを支えるアプリ開発の実現へ

  1. 迅速なアプリリリースの実現
    開発と運用のライフサイクルを一連のものと捉え、各フローを最適化することで、従来の開発手法よりも短い期間でアプリケーションをリリースできます。
  2. ビジネスの継続性を担保
    設計段階からセキュリティを考慮することで、ビジネスが停止する重大なインシデントの発生を未然に防止します。
  3. 組織に最適な近代化
    お客様の開発運用フローの分析を通じて、優先順位の高い課題およびそれに対する最適なDevSecOps手法を特定することで、近代化の費用対効果を高めます。

サービスの流れ

  1. 業務フロー分析
    ラックアーキテクトが、お客様の現在の開発および運用の物と情報の流れを明らかにするためのヒアリングを3回実施し、取り組むべき課題および最適なDevSecOpsの手法を特定します。(約1か月)
  2. 費用対効果の評価
    DevSecOpsの手法導入前後の費用対効果をお客様と共に評価し、近代化の実施についてご判断いただきます。(約2週間)
  3. ツール導入、
    トレーニング実施
    ラックDevSecOpsエンジニアが、手法の実施に必要なツールの導入やお客様の運用メンバーのトレーニングを実施します。(2週間~1か月)
  4. 運用の開始
    ラックのDevSecOpsエンジニアとお客様の開発・インフラチームとで定期的な会議を実施し、運用を支援します。※ ご要望に応じてお客様体制にラックエンジニアが参画します。

業務フロー分析とソリューション特定のイメージ

業務フロー分析

お客様の開発運用に関わるモノと情報の流れを整理し、課題点を洗い出します。

業務フロー分析による課題の洗い出し

ソリューションの特定

課題から解決のソリューション

役割と責任

ラック お客様
プロジェクト
マネージャー		 ソリューション
アーキテクト		 DevSecOps
エンジニア		 IT部門責任者 IT部門担当者 アプリ・
インフラチーム
案件管理 顧客業務分析
ソリューションの特定		 ツールの導入
運用設計および構築		 近代化の実施に関する承認 ラックとお客様社内とのコミュニケーション調整 近代化後の開発および運用
ラック
プロジェクト
マネージャー		 ソリューション
アーキテクト		 DevSecOps
エンジニア
案件管理 顧客業務分析
ソリューションの特定		 ツールの導入
運用設計および構築
お客様
IT部門責任者 IT部門担当者 アプリ・
インフラチーム
近代化の実施に関する承認 ラックとお客様社内とのコミュニケーション調整 近代化後の開発および運用

ユースケースのご紹介

1.Infrastructure as Codeの導入

アプリチームのインフラ要求に対して、インフラチームがクラウド構築作業を手作業で行う場合には下記の問題点があり、開発スピードの低下やセキュリティインシデント発生のリスクがあります。

  • チケットベースの作業により、インフラを提供するまでに時間がかかる
  • レビュー作業が属人化しており、セキュリティプラクティスに反する設計を見逃す可能性がある
  • 手作業よる設定ミスが発生し、意図したインフラの機能が実行できない可能性がある
インフラ担当者が、クラウドの構築作業を行う場合の運用例

この問題に対して、Infrastructure as Code(IaC)の手法を用いてクラウドの構成情報をコードで管理することで、下記のメリットを実現します。

  • アプリチームはオンデマンドにインフラ環境を構築でき、開発スピードが向上
  • 設計段階からセキュリティを考慮した自動レビューを実施し、セキュリティリスクを減少
  • 作業を自動化することで、人の手によるミスを削減し、設計書と環境が一致
インフラ担当者が、クラウドの構築作業を行う場合の運用例

導入したツール

  • Terraform
    HashiCorp社のInfrastructure as Codeのツール。オンプレおよびクラウドのハイブリッドな環境に対応し、また、組織独自のポリシーをコードで定義する機能「Sentinel」を持つ。
  • Snyk
    Snyk社のSASTツール。本事例では、Terraformとの連携機能を活用し、IaCのコードにクラウドのセキュリティプラクティスに違反する実装が存在するか、自動テストを行う。

2.IDベースのアクセスマネジメントの導入

従来アプリケーション開発者が、アプリケーションをデプロイした本番環境のリモートサーバにログインする場合には、下記の課題があり、企業の機密情報の漏洩リスクがあります。

  • 開発者がリモートホストにアクセスするための認証情報等の機密情報を保持
  • 上記機密情報の漏洩に備えた境界防御(IP制限)が必須であり、運用負荷が高い
アプリ開発者が、本番環境にリモートログインする場合

これに対して、IDベースのユーザアクセスとシークレット管理の手法を組み合わせることで、下記のメリットを実現します。

  • 開発者はシークレットを知る必要がなく、漏洩のリスクが減少
  • ロールベースのアクセス制御(RBAC)による、権限のない第三者の不正アクセスの防止
アプリ開発者が、本番環境にリモートログインする場合

導入したツール

  • Vault
    HashiCorp社のシークレット管理ツール。データベースのID・パスワードやクラウドのアクセスキーといったシークレットの発行・更新・廃止を自動で行う。上図では、HCP(HashiCorp Cloud Platform)というHashiCorp社のSaaSにて、Vaultクラスタをホストする(下記、Boundaryも同様)。
  • Boundary
    HashiCorp社のリモートアクセスツール。本事例では、Vaultから取得したシークレットを使用して、アプリ開発者が許可されたリソースへのアクセスを代理する。

よくあるご質問

DevSecOpsとは何ですか?
開発と運用のライフサイクルを一連のものとして捉え最適化し、アプリケーションの迅速なリリースを行う手法にDevOpsがあります。DevSecOpsは、事業継続の観点からDevOpsにセキュリティの要素を加えた開発手法です。
手法には、Infrastructure as CodeやCI/CD、シークレット管理、マイクロサービス等があります。

価格

お客様環境や組織の体制、解決対象となる課題によって異なりますので、個別にお見積もりいたします。お気軽にお問い合わせ下さい。

関連製品
HashiCorp
Snyk
関連記事
5分で分かるTerraform(Infrastructure as Code)
インシデント事例に学ぶ、シークレットの動的管理の必要性
「DevSecOps開発環境の導入支援サービス」に関するお問い合わせ
お問い合わせ

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

登録する

page top