Makoto Iguchi Security Architect / Scrum Master Kii 株式会社 location_on Japan 220card_membership Member since 4 years Share Presented 1 Session Makoto Iguchi Specialises In scrum-master security ISMSの内部監査責任者をやりつつ、スクラムマスターをやったりしております。 search No submissions found. keyboard_arrow_down セキュリティとアジャイル開発のいい関係について考える / Security and Agile Development favorite_border 8 regional-scrum-gathering-tokyo-2021 thoughts-and-experiments:新しい提案や実験 Accepted Talk 20 Mins Intermediate secure-development Makoto Iguchi Security Architect / Scrum Master Kii 株式会社 schedule 8 months ago Sold Out! 20 Mins Talk Intermediate The presentation will be given in Japanese. I've uploaded the (partially) translated version of my slides at https://www2.slideshare.net/makotoiguchi/how-to-balance-between-security-and-agile-development for your reference. 2018年12月頃に掲載された「アジャイル手法でのセキュリティは困難」というタイトルの記事において、某セキュリティ会社のCTOは「高速のCI/CD(継続的なインテグレーション/デリバリー)においてセキュリティ上の問題が浮上しても、その解決に当たる余裕や時間がないままに事態が進行してしまうようなことが往々にしてあり、現場が混乱する」とした上で、結果として「DevSecOps、NetSecOpsが、現実にはうまく機能しない」という見解を示しました。 これは本当なのでしょうか? もし本当だとしたら、それは悲しいことなのではないでしょうか? 一方、2019年8月に掲載された "Your security team is probably an infuriating obstacle - but it doesn't have to be this way" という記事においても触れられているように、開発者側より「セキュリティは、DevOpsやアジャイルな開発スタイルにブレーキをかける存在である」といった声を聞くことがよくあります。 これは正しい姿なのでしょか? セキュリティとアジャイル開発は、水と油の関係なのでしょうか? このセッションでは、ISMS内部監査責任者とスクラムマスターを兼任している立場の人間から見た、セキュリティとアジャイル開発の「あるべき姿」についてお話します。また、現在行っているセキュアなアジャイル開発の実現へ向けた実験(The Elevation of Privilege: Threat Modeling Card Deck を活用したセキュリティ問題の洗い出しとプラニング)をご紹介します。 参考)The Elevation of Privilege: Threat Modeling Card Deck を日本語化&いらすとや化したもの。こちらの Github レポジトリで公開中です。 0 comments View Details play_arrow No more submissions exist. No submissions found. No more submissions exist.