ピンボール戦車少女

セキュリティ対策の株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談(tan)は予(yu)約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

クラウドインテグレーション

DevSecOps開発環境の導入支援サービス
Modernization with DevSecOps

DX & System Development

アプリ開発およびクラウド運用を近代化する

企(qi)業の古(gu)いシステムの刷新にお困りのお客様や、クラウド環(huan)境(jing)を活用したアプリ開(kai)(kai)発に関心のあるお客様へ、DevSecOpsという開(kai)(kai)発手法を用い、変化(hua)の激(ji)しい市場へ迅速なサービスリリースを可能(neng)とする開(kai)(kai)発環(huan)境(jing)を導入します。

DevSecOpsの実践には何が必要か

具体(ti)的(de)なプラクティスと知(zhi)見を有するアーキテクトの存(cun)在(zai)

DevSecOpsの実(shi)践(jian)には「なにから取(qu)り組めばいいのか分からない」「取(qu)り組むための知(zhi)見(jian)・リソースが不足する」という2つの課題があります。本サービスでは、前者について、お客様(yang)の開(kai)発環境および運用の流れをヒアリングし、実(shi)践(jian)すべきDevSecOpsのプラクティスを定(ding)義します。次に後(hou)者について、ラックの専門的な知(zhi)見(jian)を有(you)するアーキテクトがお客様(yang)の開(kai)発および運用の最適化を実(shi)現します。

開発環境の近代化により、ビジネスを支えるアプリ開発の実現へ

  1. 迅速なアプリリリースの実現
    開発と運用のライフサイクルを一連のものと捉え、各フローを最適化することで、従来の開発手法よりも短い期間でアプリケーションをリリースできます。
  2. ビジネスの継続性を担保
    設計段階からセキュリティを考慮することで、ビジネスが停止する重大なインシデントの発生を未然に防止します。
  3. 組織に最適な近代化
    お客様の開発運用フローの分析を通じて、優先順位の高い課題およびそれに対する最適なDevSecOps手法を特定することで、近代化の費用対効果を高めます。

サービスの流れ

  1. 業務フロー分析
    ラックアーキテクトが、お客様の現在の開発および運用の物と情報の流れを明らかにするためのヒアリングを3回実施し、取り組むべき課題および最適なDevSecOpsの手法を特定します。(約1か月)
  2. 費用対効果の評価
    DevSecOpsの手法導入前後の費用対効果をお客様と共に評価し、近代化の実施についてご判断いただきます。(約2週間)
  3. ツール導入、
    トレーニング実施
    ラックDevSecOpsエンジニアが、手法の実施に必要なツールの導入やお客様の運用メンバーのトレーニングを実施します。(2週間~1か月)
  4. 運用の開始
    ラックのDevSecOpsエンジニアとお客様の開発・インフラチームとで定期的な会議を実施し、運用を支援します。※ ご要望に応じてお客様体制にラックエンジニアが参画します。

業務フロー分析とソリューション特定のイメージ

業務フロー分析

お客様の開(kai)発(fa)運用に関(guan)わるモノと情報の流れを整理(li)し、課題(ti)点を洗い出します。

業務フロー分析による課題の洗い出し

ソリューションの特定

課題から解決のソリューション

役割と責任

ラック お客様
プロジェクト
マネージャー
ソリューション
アーキテクト
DevSecOps
エンジニア
IT部門責任者 IT部門担当者 アプリ・
インフラチーム
案件管理 顧客業務分析
ソリューションの特定
ツールの導入
運用設計および構築
近代化の実施に関する承認 ラックとお客様社内とのコミュニケーション調整 近代化後の開発および運用
ラック
プロジェクト
マネージャー
ソリューション
アーキテクト
DevSecOps
エンジニア
案件管理 顧客業務分析
ソリューションの特定
ツールの導入
運用設計および構築
お客様
IT部門責任者 IT部門担当者 アプリ・
インフラチーム
近代化の実施に関する承認 ラックとお客様社内とのコミュニケーション調整 近代化後の開発および運用

ユースケースのご紹介

1.Infrastructure as Codeの導入

アプリチームのインフラ要求に対して、インフラチームがクラウド構築(zhu)作業を手作業で行う場(chang)合には下(xia)記(ji)の問題点(dian)があり、開発(fa)スピードの低下(xia)やセキュリティインシデント発(fa)生のリスクがあります。

  • チケットベースの作業により、インフラを提供するまでに時間がかかる
  • レビュー作業が属人化しており、セキュリティプラクティスに反する設計を見逃す可能性がある
  • 手作業よる設定ミスが発生し、意図したインフラの機能が実行できない可能性がある
インフラ担当者が、クラウドの構築作業を行う場合の運用例

この問題に対して、Infrastructure as Code(IaC)の手(shou)法を用いてクラウドの構(gou)成(cheng)情報をコードで管理することで、下(xia)記(ji)のメリットを実現します。

  • アプリチームはオンデマンドにインフラ環境を構築でき、開発スピードが向上
  • 設計段階からセキュリティを考慮した自動レビューを実施し、セキュリティリスクを減少
  • 作業を自動化することで、人の手によるミスを削減し、設計書と環境が一致
インフラ担当者が、クラウドの構築作業を行う場合の運用例

導入したツール

  • Terraform
    HashiCorp社のInfrastructure as Codeのツール。オンプレおよびクラウドのハイブリッドな環境に対応し、また、組織独自のポリシーをコードで定義する機能「Sentinel」を持つ。
  • Snyk
    Snyk社のSASTツール。本事例では、Terraformとの連携機能を活用し、IaCのコードにクラウドのセキュリティプラクティスに違反する実装が存在するか、自動テストを行う。

2.IDベースのアクセスマネジメントの導入

従来アプリケーション開(kai)発(fa)者(zhe)が、アプリケーションをデプロイした本番環境(jing)のリモートサーバにログインする場(chang)合(he)には、下記(ji)の課題があり、企業の機密情報の漏洩(xie)リスクがあります。

  • 開発者がリモートホストにアクセスするための認証情報等の機密情報を保持
  • 上記機密情報の漏洩に備えた境界防御(IP制限)が必須であり、運用負荷が高い
アプリ開発者が、本番環境にリモートログインする場合

これに対して、IDベースのユーザアクセスとシークレット管理の手法を組(zu)み合わせることで、下記のメリットを実現します。

  • 開発者はシークレットを知る必要がなく、漏洩のリスクが減少
  • ロールベースのアクセス制御(RBAC)による、権限のない第三者の不正アクセスの防止
アプリ開発者が、本番環境にリモートログインする場合

導入したツール

  • Vault
    HashiCorp社のシークレット管理ツール。データベースのID・パスワードやクラウドのアクセスキーといったシークレットの発行・更新・廃止を自動で行う。上図では、HCP(HashiCorp Cloud Platform)というHashiCorp社のSaaSにて、Vaultクラスタをホストする(下記、Boundaryも同様)。

  • HashiCorp社のリモートアクセスツール。本事例では、Vaultから取得したシークレットを使用して、アプリ開発者が許可されたリソースへのアクセスを代理する。

よくあるご質問

DevSecOpsとは何ですか?
開発と運用のライフサイクルを一連のものとして捉え最適化し、アプリケーションの迅速なリリースを行う手法にDevOpsがあります。DevSecOpsは、事業継続の観点からDevOpsにセキュリティの要素を加えた開発手法です。
手法には、Infrastructure as CodeやCI/CD、シークレット管理、マイクロサービス等があります。

価格

お客様(yang)環境や組(zu)織の体制、解(jie)決対象(xiang)となる課(ke)題によって異なりますので、個(ge)別にお見積もりいたします。お気軽にお問い合(he)わせ下さい。

「DevSecOps開発環境の導入支援サービス」に関するお問い合わせ

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top