エンタープライズ企業におけるDevSecOps導入事例 (Intro to DevSecOps in Enterprise)

schedule Apr 9th 01:00 - 01:20 PM place Hall A people 28 Interested

最近は日本でも「DevSecOps」というキーワードがよく聞かれるようになりました。弊社はシステムインテグレーター企業ですが、開発プロジェクトではDevOpsを導入したり、アジャイル手法を取り入れるプロジェクトが増えてきました。しかし、DevSecOpsのSecの部分でいうといまだに迅速な変化に対応できていません。

そこで昨年からDevSecOps導入に向けて動き始めました。そこで、本プレゼンテーションでは実際にどのような壁に当たったのかなどを含めて、実践した内容を共有したいと思います。

Today the term "DevSecOps" has started to come up more recently in Japan. In our company, a system integrator, some development teams are changing to DevOps, but security rules and policies are still for "waterfall" development.

So now we are trying to start implementing DevSecOps. In this presentation, I want to share an case study of starting DevSecOps in Japanese Enterprises.

 
 

Outline/Structure of the Talk

  1. 自己紹介と会社紹介:About me and NTT COMWARE
  2. なぜDevSecOpsを始めたのか。Why we started DevSecOps?
    • Our DevSecOps
    • Bottlenecks: Security rules and policies for waterfall
    • Goal of our DevSecOps:
      • Reducing release cycle time
  3. どのような取り組みを行ったのか。What did we do?
    • Developers use tools of SAST/IAST/DAST on our development platform (DevaaS 2.0)
    • Case study: result of a project (success and fails)
  4. 何を学んだのか。また今後の展開について。What did we learn? & What do we do next? (*This section might be change.)
    • DevSecOps is not only tools, but tools can shorten release cycle time.
      • Education is important.
    • Challenge in enterprise:
      • Move to DevSec in the entire company
        • Bottom up : tools should be "developer-friendly"
        • Bottom down : change rules and policies with security department

Learning Outcome

Share experiences about getting started with DevSecOps in enterprise.

Target Audience

Developers, Managers

Prerequisites for Attendees

No prerequisites.

schedule Submitted 6 months ago

Public Feedback

comment Suggest improvements to the Speaker

  • Liked Hikita Keiichi
    keyboard_arrow_down

    Hikita Keiichi - Terraform で自社サービスを便利に! Custom Provider開発におけるDevOpsへの取り組みのご紹介 〜かゆいところに手を届かせたい人へ〜

    45 Mins
    Talk
    Intermediate

    NTTコミュニケーションズでは自社クラウドとして "Enterprise Cloud 2.0(以下ECL2.0)" というサービスを提供している。

    私達のチームでは、現在上記サービス向けのオーケストレーション機能の開発を行っており、具体的には "Terraform" に対するプラグイン(Terraformの用語でCustom Providerと呼ぶ)の開発によりこれを実現しようとしている。

    Terraform自体はHashiCorp社により開発されたDevOpsツールであり、クラウド上のリソースを定義ファイルの状態に合致するように生成・操作が可能である上、APIを保有するシステム(ECL2.0も同様)であればCustom Providerを開発することでこのツールに組み込むことができ、利便性・拡張性が非常に高い。

    一方で、Custom Provider開発を通じたCI、特にリグレッションの観点で見ると、いくつか考え無くてはならない課題があるとも感じており、私達のチームではそれに対して各種の工夫を交えながら開発を進めてきた。

    本プレゼンテーションでは、Terraformのご紹介、Custom Provider開発におけるDevOpsの取り組みに関するご説明、Custom Provider開発の過程を通じて感じた課題や具体的な改善点やTips(実は意外とかゆいところに手が届く使い方がちゃんとできる!)等について、ツール/コードの紹介やデモを交えてご紹介させて頂く。

  • Liked Takashi Takebayashi
    keyboard_arrow_down

    Takashi Takebayashi - そろそろおまえらのdevopsについて一言いっておくか(ver. 2019)

    45 Mins
    Talk
    Beginner

    タイトルから分かる通り、ネタ枠ですよ!

    一時期 devops がバズワードと化し、猫も杓子も devops、devops と言葉だけが先行していました。そういったことがなくなり、ほっと胸を撫で下ろしていると、

    NoOps「devops は短サイクル開発なだけ! SRE は devops の進化したもの! NoOps は アーキテクチャ設計 に SRE と devops を内包したもの!」
    devops やっているぞヒューマン「devops やっているって言うため、足りないときは空コミットしたりして、毎日 10 deploy してますが大変ですよね!」
    devops わかってるぞヒューマン「私はビジネスを考えているので、devops なんていう dev と ops のことは開発だけでやってください!」

    ということがここ最近よく起きるようになりました。というわけで、devops に対しての誤解を解くとともに、実際 devops をどういう風にしたのか、どういった成果、業績がでたのかを複数の事例でご紹介します。

    タイトルから分かる通り、ネタ枠ですよ!

    大事なことなので 2 回書きました。