Makoto Iguchi
Security Architect / Scrum Master
Kii 株式会社
location_on Japan
Member since 4 years
Share
Makoto Iguchi
Specialises In
ISMSの内部監査責任者をやりつつ、スクラムマスターをやったりしております。
-
keyboard_arrow_down
セキュリティとアジャイル開発のいい関係について考える / Security and Agile Development
20 Mins
Talk
Intermediate
The presentation will be given in Japanese. I've uploaded the (partially) translated version of my slides at https://www2.slideshare.net/makotoiguchi/how-to-balance-between-security-and-agile-development for your reference.
2018年12月頃に掲載された「アジャイル手法でのセキュリティは困難」というタイトルの記事において、某セキュリティ会社のCTOは「高速のCI/CD(継続的なインテグレーション/デリバリー)においてセキュリティ上の問題が浮上しても、その解決に当たる余裕や時間がないままに事態が進行してしまうようなことが往々にしてあり、現場が混乱する」とした上で、結果として「DevSecOps、NetSecOpsが、現実にはうまく機能しない」という見解を示しました。
これは本当なのでしょうか?
もし本当だとしたら、それは悲しいことなのではないでしょうか?一方、2019年8月に掲載された "Your security team is probably an infuriating obstacle - but it doesn't have to be this way" という記事においても触れられているように、開発者側より「セキュリティは、DevOpsやアジャイルな開発スタイルにブレーキをかける存在である」といった声を聞くことがよくあります。
これは正しい姿なのでしょか?
セキュリティとアジャイル開発は、水と油の関係なのでしょうか?このセッションでは、ISMS内部監査責任者とスクラムマスターを兼任している立場の人間から見た、セキュリティとアジャイル開発の「あるべき姿」についてお話します。また、現在行っているセキュアなアジャイル開発の実現へ向けた実験(The Elevation of Privilege: Threat Modeling Card Deck を活用したセキュリティ問題の洗い出しとプラニング)をご紹介します。
参考)The Elevation of Privilege: Threat Modeling Card Deck を日本語化&いらすとや化したもの。こちらの Github レポジトリで公開中です。
-
-
No more submissions exist.
