SlideShare a Scribd company logo

How to balance between Security and Agile Development

Download as PPTX, PDF
Makoto Iguchi
Makoto Iguchi

(Partially) translated version of the slide that are presented at Regional Scrum Gathering Tokyo 2021. Original slide: https://www2.slideshare.net/makotoiguchi/ss-240891870

Software
1 of 35
How to balance between Security and Agile Development Regional Scrum Gathering Tokyo 2021 Makoto IGUCHI (Kii Corporation)
The relationship between security and agile development… It’s got to be good, right?
In reality… • Will security put the brakes on DevOps and agile development (2016.12.26) https://www.atmarkit.co.jp/ait/articles/1612/19/news128.html
Today’s talk 1. A small trick to achieve a good relationship between security and agile development  “Absolute” vs. “Relative” thinking 2. Experiment for building a good relationship @ my workplace  “Shift left” using a card game  Rethinking the “value” of security tasks
Self Introduction • Makoto Iguchi@ https://jp.kii.com/ • Scrum Master • Security Architect  Responsible for doing everything possible to improve the security of the product • Head of ISMS Internal auditors A company developing and operating a cloud service for IoT platform and solutions.
A small trick to achieve a good relationship between Security and Agile Development
How is it in your workplace? Relationship between security and development in your workplace is: 1. Excellent 2. Good 3. Fair 4. Poor
A developer’s tweet…
From Japan Information Security Audit Association Result of the survey released on 2020/1/6 https://www.jasa.jp/seminar/sec_trend2020/
Better Product Adding valuable features Improving security (reducing vulnerabilities)
What’s wrong here? Example) Checklists, such as Information Security Management/Audit Standards … all-too-common model of security as a team, which sits and snipes at the people who actually build things, telling them no and pointing fingers, is in fact fantastically counterproductive. --- Your Security team is probably an infuriating obstacle – but it doesn’t have to be this way (TechCrunch 2019/8/8) Make sure to pass all the checklist items! Pass all “high” priority items, or no release is allowed!
Is the checklist absolute?? The checklist should be followed blindly… It should be utilized relative to the current situation  対応を要する項目の発 見と取捨選択 of course not!
Actual example Information Security Management Standards (rev. 2016) by Ministry of Economy, Trade and Industry 「II 本管理基準の位置づけ」に以下の記載 本管理基準は、組織体における情報セキュリティマネジメントの円滑 で効果的な確立を目指して、マネジメントサイクル構築の出発点から 具体的な管理策に至るまで、包括的な適用範囲を有する基準となって いる。当然のことではあるが、組織体が属する業界又は事業活動の特 性等を考慮し、必要に応じて本管理基準の趣旨及び体系に則って、本 管理基準の項目等を取捨選択、追加又は統合することにより、該当す る関係機関において独自の管理基準を策定し活用することが望ましい。 https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf
Trick to build a good relationship “Absolute” thinking “Relative“ thinking Man-month estimate Story point estimate Fixed spec and schedule Priority and schedule refinement per sprint
WHY DON’T YOU BECOME A DEMON? RELATIVE- THINKER?
Experiment for building a good relationship
Experiment @ my workplace Sprint backlog Product backlog 脅 威 Realizing “shift left” using a card game Properly loading security tasks onto the sprint backlog
スプリントバックログ プロダクトバックログ セキュリティタスクを正しく スプリントバックログに積む工夫 脅 威 Realizing “shift left” using a card game
Shift-left security Designing Implementing Operating/maintaining HERE
STRIDE Threat Analysis • Spoofing • Tampering • Repudiation • Information Disclosure • Denial of Service • Elevation of Privilege A good reference on threat analysis →
STRIDE card game (EoP card game) The Elevation of Privilege Threat Modeling Card Deck https://github.com/adamshostack/eop
Japanese version  EoP脅威モデリングカードゲーム https://bit.ly/eop-ja
プロダクトバックログ 脅 威 カードゲームを使った シフトレフトの実現 Sprint backlog Properly loading security tasks onto the sprint backlog
This is quite difficult… Security is difficult with agile methods (2018.12.13) https://japan.zdnet.com/article/35130079/ The problem of putting off security tasks
Piling up items to maximize values What is Agile? by Henrik Kniberg
脅 威 Does it mean that security tasks do not contribute to adding values to the product?
Rethinking security tasks Security Task Tasks for fixing product weaknesses (vulnerabilities) that are found through threat analysis • Vulnerabilities continue to exist until the task is completed • Vulnerabilities disappear when the task is completed
Let’s think vulnerability as a bomb Even if there is a bomb in the product, it does not affect the value of the product as long as it does not explode. Once it explodes, the value of the product is brown away completely.
Security task and product value Task for dismantling bomb in the product • The task itself does not increase the product value • The task prevents bombs from exploding and destroying the product value
Sprint Planing Sprint backlog Product backlog 脅 威 Bomb dismantling backlog Load implementation tasks to efficiently increase product value Load dangerous items that are about to explode to avoid them from blowing up product value
「ときメ○」モデル 女の子からの評価 スクラム アジャ子 インプリ セキュ実 好雄 「こんなとこだな。 爆発しない限り価値=好感度 に影響を及ぼさないが、爆発 すると今まで積んだ好感度が 吹っ飛んでしまう。  適宜爆弾処理が必要 価値=好感度を上げる ために効率よく実装 タスクをこなしていく
MVP (Minimum Viable Product) with MBP (Manageable Bomb Placement) What is Agile? by Henrik Kniberg
Spotting dangerous bombs relatively As with product backlog, the bomb dismantling backlog need to be refined on a regular basis to load the appropriate security tasks on time e.g., Vulnerability = “No Brake” Not dangerous Getting dangerous Completely out of control
“Too much bomb” case: Zoom A Message to Our Users (April 1, 2020) https://blog.zoom.us/a-message-to-our-users/ • Suspended new feature development for 90 days • Focused on solving security/privacy issues
Balancing security and agile development is possible! You can do it!

Recommended

セキュリティとアジャイル開発のいい関係について考える
セキュリティとアジャイル開発のいい関係について考えるセキュリティとアジャイル開発のいい関係について考える
セキュリティとアジャイル開発のいい関係について考えるMakoto Iguchi
 
RSGT2021 Bilingual cross-cultural discussion 日本人と外国人のディスカッション: How to acceler...
RSGT2021 Bilingual cross-cultural discussion 日本人と外国人のディスカッション: How to acceler...RSGT2021 Bilingual cross-cultural discussion 日本人と外国人のディスカッション: How to acceler...
RSGT2021 Bilingual cross-cultural discussion 日本人と外国人のディスカッション: How to acceler...Rochelle Kopp
 
[Regional Scrum Gathering Tokyo 2021] Scrum with OODA loop
[Regional Scrum Gathering Tokyo 2021] Scrum with OODA loop[Regional Scrum Gathering Tokyo 2021] Scrum with OODA loop
[Regional Scrum Gathering Tokyo 2021] Scrum with OODA loopWoohyeok Kim
 
HR-076-如何在全球職場上成功
HR-076-如何在全球職場上成功HR-076-如何在全球職場上成功
HR-076-如何在全球職場上成功handbook
 
Silent Running Prevue Trailer
Silent Running Prevue TrailerSilent Running Prevue Trailer
Silent Running Prevue TrailerShunsaku Kudo
 
田町deナイト 質問集
田町deナイト 質問集田町deナイト 質問集
田町deナイト 質問集Yoji Kanno
 
QM-077-企業導入六標準差之個案研討
QM-077-企業導入六標準差之個案研討QM-077-企業導入六標準差之個案研討
QM-077-企業導入六標準差之個案研討handbook
 
XS Japan 2008 Citrix Japanese
XS Japan 2008 Citrix JapaneseXS Japan 2008 Citrix Japanese
XS Japan 2008 Citrix JapaneseThe Linux Foundation
 

Recommended

セキュリティとアジャイル開発のいい関係について考える
セキュリティとアジャイル開発のいい関係について考えるセキュリティとアジャイル開発のいい関係について考える
セキュリティとアジャイル開発のいい関係について考えるMakoto Iguchi
 
RSGT2021 Bilingual cross-cultural discussion 日本人と外国人のディスカッション: How to acceler...
RSGT2021 Bilingual cross-cultural discussion 日本人と外国人のディスカッション: How to acceler...RSGT2021 Bilingual cross-cultural discussion 日本人と外国人のディスカッション: How to acceler...
RSGT2021 Bilingual cross-cultural discussion 日本人と外国人のディスカッション: How to acceler...Rochelle Kopp
 
[Regional Scrum Gathering Tokyo 2021] Scrum with OODA loop
[Regional Scrum Gathering Tokyo 2021] Scrum with OODA loop[Regional Scrum Gathering Tokyo 2021] Scrum with OODA loop
[Regional Scrum Gathering Tokyo 2021] Scrum with OODA loopWoohyeok Kim
 
HR-076-如何在全球職場上成功
HR-076-如何在全球職場上成功HR-076-如何在全球職場上成功
HR-076-如何在全球職場上成功handbook
 
Silent Running Prevue Trailer
Silent Running Prevue TrailerSilent Running Prevue Trailer
Silent Running Prevue TrailerShunsaku Kudo
 
田町deナイト 質問集
田町deナイト 質問集田町deナイト 質問集
田町deナイト 質問集Yoji Kanno
 
QM-077-企業導入六標準差之個案研討
QM-077-企業導入六標準差之個案研討QM-077-企業導入六標準差之個案研討
QM-077-企業導入六標準差之個案研討handbook
 
XS Japan 2008 Citrix Japanese
XS Japan 2008 Citrix JapaneseXS Japan 2008 Citrix Japanese
XS Japan 2008 Citrix JapaneseThe Linux Foundation
 
Kintone 導入サービス キャンペーン_20140903-1
Kintone 導入サービス キャンペーン_20140903-1Kintone 導入サービス キャンペーン_20140903-1
Kintone 導入サービス キャンペーン_20140903-1denet_tech_tokyo
 
【12-D-6】 Silverlight によるハイグレードなLOB/BI実現のためのコンポーネント活用法
【12-D-6】 Silverlight によるハイグレードなLOB/BI実現のためのコンポーネント活用法【12-D-6】 Silverlight によるハイグレードなLOB/BI実現のためのコンポーネント活用法
【12-D-6】 Silverlight によるハイグレードなLOB/BI実現のためのコンポーネント活用法devsumi2009
 
FPGAによるホームサービスロボットのための組込脳型計算機システム
FPGAによるホームサービスロボットのための組込脳型計算機システムFPGAによるホームサービスロボットのための組込脳型計算機システム
FPGAによるホームサービスロボットのための組込脳型計算機システム直久 住川
 
I show u settings_jp_focusrite
I show u settings_jp_focusriteI show u settings_jp_focusrite
I show u settings_jp_focusriteLucaDaCol1
 
Cloud Computing - クラウドコンピューティング(会津産学懇話会)
Cloud Computing - クラウドコンピューティング(会津産学懇話会)Cloud Computing - クラウドコンピューティング(会津産学懇話会)
Cloud Computing - クラウドコンピューティング(会津産学懇話会)Yusuke Kawasaki
 
CSS Nite In Ginza, Vol.36
CSS Nite In Ginza, Vol.36CSS Nite In Ginza, Vol.36
CSS Nite In Ginza, Vol.36Nobuya Sato
 
Search Engines Chapter 1 Summary
Search Engines Chapter 1 SummarySearch Engines Chapter 1 Summary
Search Engines Chapter 1 Summarysleepy_yoshi
 
文献紹介:Semantic-based information retrieval in support of concept design.
文献紹介:Semantic-based information retrieval in support of concept design.文献紹介:Semantic-based information retrieval in support of concept design.
文献紹介:Semantic-based information retrieval in support of concept design.Shin Sano
 
【13-C-4】 「もう業務はとまらない!オフライン機能を使った業務アプリケーションの実例と最新 Curl 情報」
【13-C-4】 「もう業務はとまらない!オフライン機能を使った業務アプリケーションの実例と最新 Curl 情報」【13-C-4】 「もう業務はとまらない!オフライン機能を使った業務アプリケーションの実例と最新 Curl 情報」
【13-C-4】 「もう業務はとまらない!オフライン機能を使った業務アプリケーションの実例と最新 Curl 情報」devsumi2009
 
【12-C-5】 自律型移動ロボットのソフトウェア技術
【12-C-5】 自律型移動ロボットのソフトウェア技術【12-C-5】 自律型移動ロボットのソフトウェア技術
【12-C-5】 自律型移動ロボットのソフトウェア技術devsumi2009
 
創業家研習營-7分鐘創意簡報技巧,Mr.6劉威麟
創業家研習營-7分鐘創意簡報技巧,Mr.6劉威麟創業家研習營-7分鐘創意簡報技巧,Mr.6劉威麟
創業家研習營-7分鐘創意簡報技巧,Mr.6劉威麟taiwanweb20
 
Seasar Conference2008 Grails(Final)
Seasar Conference2008 Grails(Final)Seasar Conference2008 Grails(Final)
Seasar Conference2008 Grails(Final)Uehara Junji
 
S30
S30S30
S30TH Schee
 
20210119 io t lt atom hub
20210119 io t lt atom hub20210119 io t lt atom hub
20210119 io t lt atom hubShigekiInatama
 
数字から読む信号機の傾向と精度2020
数字から読む信号機の傾向と精度2020数字から読む信号機の傾向と精度2020
数字から読む信号機の傾向と精度2020Jun Sasaki
 
マッシュアップ×エンタープライズ開発 (XDev 2008)
マッシュアップ×エンタープライズ開発 (XDev 2008)マッシュアップ×エンタープライズ開発 (XDev 2008)
マッシュアップ×エンタープライズ開発 (XDev 2008)Yusuke Kawasaki
 
Что такое ASP.NET MVC?
Что такое ASP.NET MVC?Что такое ASP.NET MVC?
Что такое ASP.NET MVC?Dima Pasko
 
Road To Major(?)
Road To Major(?)Road To Major(?)
Road To Major(?)Takeshi Kakeda
 
LT openpear@LL温泉
LT openpear@LL温泉LT openpear@LL温泉
LT openpear@LL温泉Sotaro Karasawa
 
좌충우돌 디지털트윈 구축기
좌충우돌 디지털트윈 구축기좌충우돌 디지털트윈 구축기
좌충우돌 디지털트윈 구축기SANGHEE SHIN
 
Yakiniku(焼き肉) on the Cloud
Yakiniku(焼き肉) on the CloudYakiniku(焼き肉) on the Cloud
Yakiniku(焼き肉) on the CloudTakao Funami
 
Hr 045 職場經驗分享2
Hr 045 職場經驗分享2Hr 045 職場經驗分享2
Hr 045 職場經驗分享2handbook
 

More Related Content

What's hot

Kintone 導入サービス キャンペーン_20140903-1
Kintone 導入サービス キャンペーン_20140903-1Kintone 導入サービス キャンペーン_20140903-1
Kintone 導入サービス キャンペーン_20140903-1denet_tech_tokyo
 
【12-D-6】 Silverlight によるハイグレードなLOB/BI実現のためのコンポーネント活用法
【12-D-6】 Silverlight によるハイグレードなLOB/BI実現のためのコンポーネント活用法【12-D-6】 Silverlight によるハイグレードなLOB/BI実現のためのコンポーネント活用法
【12-D-6】 Silverlight によるハイグレードなLOB/BI実現のためのコンポーネント活用法devsumi2009
 
FPGAによるホームサービスロボットのための組込脳型計算機システム
FPGAによるホームサービスロボットのための組込脳型計算機システムFPGAによるホームサービスロボットのための組込脳型計算機システム
FPGAによるホームサービスロボットのための組込脳型計算機システム直久 住川
 
I show u settings_jp_focusrite
I show u settings_jp_focusriteI show u settings_jp_focusrite
I show u settings_jp_focusriteLucaDaCol1
 
Cloud Computing - クラウドコンピューティング(会津産学懇話会)
Cloud Computing - クラウドコンピューティング(会津産学懇話会)Cloud Computing - クラウドコンピューティング(会津産学懇話会)
Cloud Computing - クラウドコンピューティング(会津産学懇話会)Yusuke Kawasaki
 
CSS Nite In Ginza, Vol.36
CSS Nite In Ginza, Vol.36CSS Nite In Ginza, Vol.36
CSS Nite In Ginza, Vol.36Nobuya Sato
 
Search Engines Chapter 1 Summary
Search Engines Chapter 1 SummarySearch Engines Chapter 1 Summary
Search Engines Chapter 1 Summarysleepy_yoshi
 
文献紹介:Semantic-based information retrieval in support of concept design.
文献紹介:Semantic-based information retrieval in support of concept design.文献紹介:Semantic-based information retrieval in support of concept design.
文献紹介:Semantic-based information retrieval in support of concept design.Shin Sano
 
【13-C-4】 「もう業務はとまらない!オフライン機能を使った業務アプリケーションの実例と最新 Curl 情報」
【13-C-4】 「もう業務はとまらない!オフライン機能を使った業務アプリケーションの実例と最新 Curl 情報」【13-C-4】 「もう業務はとまらない!オフライン機能を使った業務アプリケーションの実例と最新 Curl 情報」
【13-C-4】 「もう業務はとまらない!オフライン機能を使った業務アプリケーションの実例と最新 Curl 情報」devsumi2009
 
【12-C-5】 自律型移動ロボットのソフトウェア技術
【12-C-5】 自律型移動ロボットのソフトウェア技術【12-C-5】 自律型移動ロボットのソフトウェア技術
【12-C-5】 自律型移動ロボットのソフトウェア技術devsumi2009
 
創業家研習營-7分鐘創意簡報技巧,Mr.6劉威麟
創業家研習營-7分鐘創意簡報技巧,Mr.6劉威麟創業家研習營-7分鐘創意簡報技巧,Mr.6劉威麟
創業家研習營-7分鐘創意簡報技巧,Mr.6劉威麟taiwanweb20
 
Seasar Conference2008 Grails(Final)
Seasar Conference2008 Grails(Final)Seasar Conference2008 Grails(Final)
Seasar Conference2008 Grails(Final)Uehara Junji
 
20210119 io t lt atom hub
20210119 io t lt atom hub20210119 io t lt atom hub
20210119 io t lt atom hubShigekiInatama
 
数字から読む信号機の傾向と精度2020
数字から読む信号機の傾向と精度2020数字から読む信号機の傾向と精度2020
数字から読む信号機の傾向と精度2020Jun Sasaki
 
マッシュアップ×エンタープライズ開発 (XDev 2008)
マッシュアップ×エンタープライズ開発 (XDev 2008)マッシュアップ×エンタープライズ開発 (XDev 2008)
マッシュアップ×エンタープライズ開発 (XDev 2008)Yusuke Kawasaki
 
Что такое ASP.NET MVC?
Что такое ASP.NET MVC?Что такое ASP.NET MVC?
Что такое ASP.NET MVC?Dima Pasko
 

What's hot (19)

Kintone 導入サービス キャンペーン_20140903-1
Kintone 導入サービス キャンペーン_20140903-1Kintone 導入サービス キャンペーン_20140903-1
Kintone 導入サービス キャンペーン_20140903-1
 
【12-D-6】 Silverlight によるハイグレードなLOB/BI実現のためのコンポーネント活用法
【12-D-6】 Silverlight によるハイグレードなLOB/BI実現のためのコンポーネント活用法【12-D-6】 Silverlight によるハイグレードなLOB/BI実現のためのコンポーネント活用法
【12-D-6】 Silverlight によるハイグレードなLOB/BI実現のためのコンポーネント活用法
 
FPGAによるホームサービスロボットのための組込脳型計算機システム
FPGAによるホームサービスロボットのための組込脳型計算機システムFPGAによるホームサービスロボットのための組込脳型計算機システム
FPGAによるホームサービスロボットのための組込脳型計算機システム
 
I show u settings_jp_focusrite
I show u settings_jp_focusriteI show u settings_jp_focusrite
I show u settings_jp_focusrite
 
Cloud Computing - クラウドコンピューティング(会津産学懇話会)
Cloud Computing - クラウドコンピューティング(会津産学懇話会)Cloud Computing - クラウドコンピューティング(会津産学懇話会)
Cloud Computing - クラウドコンピューティング(会津産学懇話会)
 
CSS Nite In Ginza, Vol.36
CSS Nite In Ginza, Vol.36CSS Nite In Ginza, Vol.36
CSS Nite In Ginza, Vol.36
 
Search Engines Chapter 1 Summary
Search Engines Chapter 1 SummarySearch Engines Chapter 1 Summary
Search Engines Chapter 1 Summary
 
文献紹介:Semantic-based information retrieval in support of concept design.
文献紹介:Semantic-based information retrieval in support of concept design.文献紹介:Semantic-based information retrieval in support of concept design.
文献紹介:Semantic-based information retrieval in support of concept design.
 
【13-C-4】 「もう業務はとまらない!オフライン機能を使った業務アプリケーションの実例と最新 Curl 情報」
【13-C-4】 「もう業務はとまらない!オフライン機能を使った業務アプリケーションの実例と最新 Curl 情報」【13-C-4】 「もう業務はとまらない!オフライン機能を使った業務アプリケーションの実例と最新 Curl 情報」
【13-C-4】 「もう業務はとまらない!オフライン機能を使った業務アプリケーションの実例と最新 Curl 情報」
 
【12-C-5】 自律型移動ロボットのソフトウェア技術
【12-C-5】 自律型移動ロボットのソフトウェア技術【12-C-5】 自律型移動ロボットのソフトウェア技術
【12-C-5】 自律型移動ロボットのソフトウェア技術
 
創業家研習營-7分鐘創意簡報技巧,Mr.6劉威麟
創業家研習營-7分鐘創意簡報技巧,Mr.6劉威麟創業家研習營-7分鐘創意簡報技巧,Mr.6劉威麟
創業家研習營-7分鐘創意簡報技巧,Mr.6劉威麟
 
Seasar Conference2008 Grails(Final)
Seasar Conference2008 Grails(Final)Seasar Conference2008 Grails(Final)
Seasar Conference2008 Grails(Final)
 
S30
S30S30
S30
 
20210119 io t lt atom hub
20210119 io t lt atom hub20210119 io t lt atom hub
20210119 io t lt atom hub
 
数字から読む信号機の傾向と精度2020
数字から読む信号機の傾向と精度2020数字から読む信号機の傾向と精度2020
数字から読む信号機の傾向と精度2020
 
マッシュアップ×エンタープライズ開発 (XDev 2008)
マッシュアップ×エンタープライズ開発 (XDev 2008)マッシュアップ×エンタープライズ開発 (XDev 2008)
マッシュアップ×エンタープライズ開発 (XDev 2008)
 
Что такое ASP.NET MVC?
Что такое ASP.NET MVC?Что такое ASP.NET MVC?
Что такое ASP.NET MVC?
 
Road To Major(?)
Road To Major(?)Road To Major(?)
Road To Major(?)
 
LT openpear@LL温泉
LT openpear@LL温泉LT openpear@LL温泉
LT openpear@LL温泉
 

Similar to How to balance between Security and Agile Development

좌충우돌 디지털트윈 구축기
좌충우돌 디지털트윈 구축기좌충우돌 디지털트윈 구축기
좌충우돌 디지털트윈 구축기SANGHEE SHIN
 
Yakiniku(焼き肉) on the Cloud
Yakiniku(焼き肉) on the CloudYakiniku(焼き肉) on the Cloud
Yakiniku(焼き肉) on the CloudTakao Funami
 
Hr 045 職場經驗分享2
Hr 045 職場經驗分享2Hr 045 職場經驗分享2
Hr 045 職場經驗分享2handbook
 
UAI seminor at nagoya 20080515
UAI seminor at nagoya 20080515UAI seminor at nagoya 20080515
UAI seminor at nagoya 20080515Masahiro Umegaki
 
Vsug Leaders Summit 2008:A.Fukui
Vsug Leaders Summit 2008:A.FukuiVsug Leaders Summit 2008:A.Fukui
Vsug Leaders Summit 2008:A.FukuiAtsushi Fukui
 
A Matrixed Approach to Designing IT Governance
A Matrixed Approach to Designing IT GovernanceA Matrixed Approach to Designing IT Governance
A Matrixed Approach to Designing IT GovernanceSangmin Cha
 
커리어특강자료_글로벌커리어 및 인공지능 커리어
커리어특강자료_글로벌커리어 및 인공지능 커리어커리어특강자료_글로벌커리어 및 인공지능 커리어
커리어특강자료_글로벌커리어 및 인공지능 커리어IBM HongKong
 
Silent Running Side C
Silent Running Side CSilent Running Side C
Silent Running Side CShunsaku Kudo
 
How To Build A Website And Stay Sane
How To Build A Website And Stay SaneHow To Build A Website And Stay Sane
How To Build A Website And Stay SaneJonathan Oxer
 
Blockchain sharding
Blockchain shardingBlockchain sharding
Blockchain sharding제호 송
 
Design Myths in Enterprise Software
Design Myths in Enterprise SoftwareDesign Myths in Enterprise Software
Design Myths in Enterprise SoftwareGanesh Burle
 
Oracle Cloudで実現できる High Performance Computing 最新情報
Oracle Cloudで実現できる High Performance Computing 最新情報Oracle Cloudで実現できる High Performance Computing 最新情報
Oracle Cloudで実現できる High Performance Computing 最新情報オラクルエンジニア通信
 
“從A到a+”在研華的體會與實踐
“從A到a+”在研華的體會與實踐“從A到a+”在研華的體會與實踐
“從A到a+”在研華的體會與實踐evaread
 
12.2008 Trendbird Monthly Trend Report Sample
12.2008 Trendbird Monthly Trend Report Sample12.2008 Trendbird Monthly Trend Report Sample
12.2008 Trendbird Monthly Trend Report Samplewebtel125
 
20 Ideas On How To Improve Your Agile Board
20 Ideas On How To Improve Your Agile Board20 Ideas On How To Improve Your Agile Board
20 Ideas On How To Improve Your Agile BoardMarcus Hammarberg
 
Linuxユーザーのための Windows 管理入門
Linuxユーザーのための Windows 管理入門Linuxユーザーのための Windows 管理入門
Linuxユーザーのための Windows 管理入門shigeya
 
Migrating off legacy platforms while still delivering value - DNA & SAFe AU...
Migrating off legacy platforms while still delivering value - DNA & SAFe AU...Migrating off legacy platforms while still delivering value - DNA & SAFe AU...
Migrating off legacy platforms while still delivering value - DNA & SAFe AU...Em Campbell-Pretty
 

Similar to How to balance between Security and Agile Development (20)

좌충우돌 디지털트윈 구축기
좌충우돌 디지털트윈 구축기좌충우돌 디지털트윈 구축기
좌충우돌 디지털트윈 구축기
 
Yakiniku(焼き肉) on the Cloud
Yakiniku(焼き肉) on the CloudYakiniku(焼き肉) on the Cloud
Yakiniku(焼き肉) on the Cloud
 
Hr 045 職場經驗分享2
Hr 045 職場經驗分享2Hr 045 職場經驗分享2
Hr 045 職場經驗分享2
 
IA & UCD/UXD
IA & UCD/UXDIA & UCD/UXD
IA & UCD/UXD
 
UAI seminor at nagoya 20080515
UAI seminor at nagoya 20080515UAI seminor at nagoya 20080515
UAI seminor at nagoya 20080515
 
Vsug Leaders Summit 2008:A.Fukui
Vsug Leaders Summit 2008:A.FukuiVsug Leaders Summit 2008:A.Fukui
Vsug Leaders Summit 2008:A.Fukui
 
A Matrixed Approach to Designing IT Governance
A Matrixed Approach to Designing IT GovernanceA Matrixed Approach to Designing IT Governance
A Matrixed Approach to Designing IT Governance
 
커리어특강자료_글로벌커리어 및 인공지능 커리어
커리어특강자료_글로벌커리어 및 인공지능 커리어커리어특강자료_글로벌커리어 및 인공지능 커리어
커리어특강자료_글로벌커리어 및 인공지능 커리어
 
Silent Running Side C
Silent Running Side CSilent Running Side C
Silent Running Side C
 
20081123-web2.0class
20081123-web2.0class20081123-web2.0class
20081123-web2.0class
 
How To Build A Website And Stay Sane
How To Build A Website And Stay SaneHow To Build A Website And Stay Sane
How To Build A Website And Stay Sane
 
Blockchain sharding
Blockchain shardingBlockchain sharding
Blockchain sharding
 
Design Myths in Enterprise Software
Design Myths in Enterprise SoftwareDesign Myths in Enterprise Software
Design Myths in Enterprise Software
 
Oracle Cloudで実現できる High Performance Computing 最新情報
Oracle Cloudで実現できる High Performance Computing 最新情報Oracle Cloudで実現できる High Performance Computing 最新情報
Oracle Cloudで実現できる High Performance Computing 最新情報
 
“從A到a+”在研華的體會與實踐
“從A到a+”在研華的體會與實踐“從A到a+”在研華的體會與實踐
“從A到a+”在研華的體會與實踐
 
S is for Spec
S is for SpecS is for Spec
S is for Spec
 
12.2008 Trendbird Monthly Trend Report Sample
12.2008 Trendbird Monthly Trend Report Sample12.2008 Trendbird Monthly Trend Report Sample
12.2008 Trendbird Monthly Trend Report Sample
 
20 Ideas On How To Improve Your Agile Board
20 Ideas On How To Improve Your Agile Board20 Ideas On How To Improve Your Agile Board
20 Ideas On How To Improve Your Agile Board
 
Linuxユーザーのための Windows 管理入門
Linuxユーザーのための Windows 管理入門Linuxユーザーのための Windows 管理入門
Linuxユーザーのための Windows 管理入門
 
Migrating off legacy platforms while still delivering value - DNA & SAFe AU...
Migrating off legacy platforms while still delivering value - DNA & SAFe AU...Migrating off legacy platforms while still delivering value - DNA & SAFe AU...
Migrating off legacy platforms while still delivering value - DNA & SAFe AU...
 

More from Makoto Iguchi

シフトレフトを頑張っていたらなぜかカードゲームができた話
シフトレフトを頑張っていたらなぜかカードゲームができた話シフトレフトを頑張っていたらなぜかカードゲームができた話
シフトレフトを頑張っていたらなぜかカードゲームができた話Makoto Iguchi
 
The Privacy Policy Landscape After the GDPR from PETS2020
The Privacy Policy Landscape After the GDPR from PETS2020The Privacy Policy Landscape After the GDPR from PETS2020
The Privacy Policy Landscape After the GDPR from PETS2020Makoto Iguchi
 
ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)
ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)
ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)Makoto Iguchi
 
GDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ー
GDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ーGDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ー
GDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ーMakoto Iguchi
 
「みもふたもない」〆切なんかに絶対負けない方法
「みもふたもない」〆切なんかに絶対負けない方法「みもふたもない」〆切なんかに絶対負けない方法
「みもふたもない」〆切なんかに絶対負けない方法Makoto Iguchi
 
「みもふたもない」論文投稿必勝法
「みもふたもない」論文投稿必勝法「みもふたもない」論文投稿必勝法
「みもふたもない」論文投稿必勝法Makoto Iguchi
 
分散開発チームによるAgile開発実践 ~いろいろハマった!よかった
分散開発チームによるAgile開発実践 ~いろいろハマった!よかった分散開発チームによるAgile開発実践 ~いろいろハマった!よかった
分散開発チームによるAgile開発実践 ~いろいろハマった!よかったMakoto Iguchi
 

More from Makoto Iguchi (7)

シフトレフトを頑張っていたらなぜかカードゲームができた話
シフトレフトを頑張っていたらなぜかカードゲームができた話シフトレフトを頑張っていたらなぜかカードゲームができた話
シフトレフトを頑張っていたらなぜかカードゲームができた話
 
The Privacy Policy Landscape After the GDPR from PETS2020
The Privacy Policy Landscape After the GDPR from PETS2020The Privacy Policy Landscape After the GDPR from PETS2020
The Privacy Policy Landscape After the GDPR from PETS2020
 
ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)
ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)
ぜんぜんわからない…俺たちは雰囲気でリスクアセスメントをやっている(た)
 
GDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ー
GDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ーGDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ー
GDPRにおける日本の十分性認定が(ほぼ)採択された今だからこそ発表できるアレな話 ーそんな契約で大丈夫か?ー
 
「みもふたもない」〆切なんかに絶対負けない方法
「みもふたもない」〆切なんかに絶対負けない方法「みもふたもない」〆切なんかに絶対負けない方法
「みもふたもない」〆切なんかに絶対負けない方法
 
「みもふたもない」論文投稿必勝法
「みもふたもない」論文投稿必勝法「みもふたもない」論文投稿必勝法
「みもふたもない」論文投稿必勝法
 
分散開発チームによるAgile開発実践 ~いろいろハマった!よかった
分散開発チームによるAgile開発実践 ~いろいろハマった!よかった分散開発チームによるAgile開発実践 ~いろいろハマった!よかった
分散開発チームによるAgile開発実践 ~いろいろハマった!よかった
 

Recently uploaded

Right Money Management App For Your Financial Goals
Right Money Management App For Your Financial GoalsRight Money Management App For Your Financial Goals
Right Money Management App For Your Financial GoalsJhone kinadey
 
W01_panagenda_Navigating-the-Future-with-The-Hitchhikers-Guide-to-Notes-and-D...
W01_panagenda_Navigating-the-Future-with-The-Hitchhikers-Guide-to-Notes-and-D...W01_panagenda_Navigating-the-Future-with-The-Hitchhikers-Guide-to-Notes-and-D...
W01_panagenda_Navigating-the-Future-with-The-Hitchhikers-Guide-to-Notes-and-D...panagenda
 
why an Opensea Clone Script might be your perfect match.pdf
why an Opensea Clone Script might be your perfect match.pdfwhy an Opensea Clone Script might be your perfect match.pdf
why an Opensea Clone Script might be your perfect match.pdfjoe51371421
 
5 Signs You Need a Fashion PLM Software.pdf
5 Signs You Need a Fashion PLM Software.pdf5 Signs You Need a Fashion PLM Software.pdf
5 Signs You Need a Fashion PLM Software.pdfWave PLM
 
Clustering techniques data mining book ....
Clustering techniques data mining book ....Clustering techniques data mining book ....
Clustering techniques data mining book ....ShaimaaMohamedGalal
 
How To Use Server-Side Rendering with Nuxt.js
How To Use Server-Side Rendering with Nuxt.jsHow To Use Server-Side Rendering with Nuxt.js
How To Use Server-Side Rendering with Nuxt.jsAndolasoft Inc
 
DNT_Corporate presentation know about us
DNT_Corporate presentation know about usDNT_Corporate presentation know about us
DNT_Corporate presentation know about usDynamic Netsoft
 
Shapes for Sharing between Graph Data Spaces - and Epistemic Querying of RDF-...
Shapes for Sharing between Graph Data Spaces - and Epistemic Querying of RDF-...Shapes for Sharing between Graph Data Spaces - and Epistemic Querying of RDF-...
Shapes for Sharing between Graph Data Spaces - and Epistemic Querying of RDF-...Steffen Staab
 
A Secure and Reliable Document Management System is Essential.docx
A Secure and Reliable Document Management System is Essential.docxA Secure and Reliable Document Management System is Essential.docx
A Secure and Reliable Document Management System is Essential.docxComplianceQuest1
 
call girls in Vaishali (Ghaziabad) 🔝 >༒8448380779 🔝 genuine Escort Service 🔝✔️✔️
call girls in Vaishali (Ghaziabad) 🔝 >༒8448380779 🔝 genuine Escort Service 🔝✔️✔️call girls in Vaishali (Ghaziabad) 🔝 >༒8448380779 🔝 genuine Escort Service 🔝✔️✔️
call girls in Vaishali (Ghaziabad) 🔝 >༒8448380779 🔝 genuine Escort Service 🔝✔️✔️Delhi Call girls
 
How To Troubleshoot Collaboration Apps for the Modern Connected Worker
How To Troubleshoot Collaboration Apps for the Modern Connected WorkerHow To Troubleshoot Collaboration Apps for the Modern Connected Worker
How To Troubleshoot Collaboration Apps for the Modern Connected WorkerThousandEyes
 
Reassessing the Bedrock of Clinical Function Models: An Examination of Large ...
Reassessing the Bedrock of Clinical Function Models: An Examination of Large ...Reassessing the Bedrock of Clinical Function Models: An Examination of Large ...
Reassessing the Bedrock of Clinical Function Models: An Examination of Large ...harshavardhanraghave
 
Software Quality Assurance Interview Questions
Software Quality Assurance Interview QuestionsSoftware Quality Assurance Interview Questions
Software Quality Assurance Interview QuestionsArshad QA
 
Hand gesture recognition PROJECT PPT.pptx
Hand gesture recognition PROJECT PPT.pptxHand gesture recognition PROJECT PPT.pptx
Hand gesture recognition PROJECT PPT.pptxbodapatigopi8531
 
Try MyIntelliAccount Cloud Accounting Software As A Service Solution Risk Fre...
Try MyIntelliAccount Cloud Accounting Software As A Service Solution Risk Fre...Try MyIntelliAccount Cloud Accounting Software As A Service Solution Risk Fre...
Try MyIntelliAccount Cloud Accounting Software As A Service Solution Risk Fre...MyIntelliSource, Inc.
 
HR Software Buyers Guide in 2024 - HRSoftware.com
HR Software Buyers Guide in 2024 - HRSoftware.comHR Software Buyers Guide in 2024 - HRSoftware.com
HR Software Buyers Guide in 2024 - HRSoftware.comFatema Valibhai
 
Salesforce Certified Field Service Consultant
Salesforce Certified Field Service ConsultantSalesforce Certified Field Service Consultant
Salesforce Certified Field Service ConsultantAxelRicardoTrocheRiq
 

Recently uploaded (20)

Right Money Management App For Your Financial Goals
Right Money Management App For Your Financial GoalsRight Money Management App For Your Financial Goals
Right Money Management App For Your Financial Goals
 
W01_panagenda_Navigating-the-Future-with-The-Hitchhikers-Guide-to-Notes-and-D...
W01_panagenda_Navigating-the-Future-with-The-Hitchhikers-Guide-to-Notes-and-D...W01_panagenda_Navigating-the-Future-with-The-Hitchhikers-Guide-to-Notes-and-D...
W01_panagenda_Navigating-the-Future-with-The-Hitchhikers-Guide-to-Notes-and-D...
 
why an Opensea Clone Script might be your perfect match.pdf
why an Opensea Clone Script might be your perfect match.pdfwhy an Opensea Clone Script might be your perfect match.pdf
why an Opensea Clone Script might be your perfect match.pdf
 
Vip Call Girls Noida ➡️ Delhi ➡️ 9999965857 No Advance 24HRS Live
Vip Call Girls Noida ➡️ Delhi ➡️ 9999965857 No Advance 24HRS LiveVip Call Girls Noida ➡️ Delhi ➡️ 9999965857 No Advance 24HRS Live
Vip Call Girls Noida ➡️ Delhi ➡️ 9999965857 No Advance 24HRS Live
 
5 Signs You Need a Fashion PLM Software.pdf
5 Signs You Need a Fashion PLM Software.pdf5 Signs You Need a Fashion PLM Software.pdf
5 Signs You Need a Fashion PLM Software.pdf
 
Clustering techniques data mining book ....
Clustering techniques data mining book ....Clustering techniques data mining book ....
Clustering techniques data mining book ....
 
How To Use Server-Side Rendering with Nuxt.js
How To Use Server-Side Rendering with Nuxt.jsHow To Use Server-Side Rendering with Nuxt.js
How To Use Server-Side Rendering with Nuxt.js
 
DNT_Corporate presentation know about us
DNT_Corporate presentation know about usDNT_Corporate presentation know about us
DNT_Corporate presentation know about us
 
CHEAP Call Girls in Pushp Vihar (-DELHI )🔝 9953056974🔝(=)/CALL GIRLS SERVICE
CHEAP Call Girls in Pushp Vihar (-DELHI )🔝 9953056974🔝(=)/CALL GIRLS SERVICECHEAP Call Girls in Pushp Vihar (-DELHI )🔝 9953056974🔝(=)/CALL GIRLS SERVICE
CHEAP Call Girls in Pushp Vihar (-DELHI )🔝 9953056974🔝(=)/CALL GIRLS SERVICE
 
Shapes for Sharing between Graph Data Spaces - and Epistemic Querying of RDF-...
Shapes for Sharing between Graph Data Spaces - and Epistemic Querying of RDF-...Shapes for Sharing between Graph Data Spaces - and Epistemic Querying of RDF-...
Shapes for Sharing between Graph Data Spaces - and Epistemic Querying of RDF-...
 
A Secure and Reliable Document Management System is Essential.docx
A Secure and Reliable Document Management System is Essential.docxA Secure and Reliable Document Management System is Essential.docx
A Secure and Reliable Document Management System is Essential.docx
 
call girls in Vaishali (Ghaziabad) 🔝 >༒8448380779 🔝 genuine Escort Service 🔝✔️✔️
call girls in Vaishali (Ghaziabad) 🔝 >༒8448380779 🔝 genuine Escort Service 🔝✔️✔️call girls in Vaishali (Ghaziabad) 🔝 >༒8448380779 🔝 genuine Escort Service 🔝✔️✔️
call girls in Vaishali (Ghaziabad) 🔝 >༒8448380779 🔝 genuine Escort Service 🔝✔️✔️
 
How To Troubleshoot Collaboration Apps for the Modern Connected Worker
How To Troubleshoot Collaboration Apps for the Modern Connected WorkerHow To Troubleshoot Collaboration Apps for the Modern Connected Worker
How To Troubleshoot Collaboration Apps for the Modern Connected Worker
 
Reassessing the Bedrock of Clinical Function Models: An Examination of Large ...
Reassessing the Bedrock of Clinical Function Models: An Examination of Large ...Reassessing the Bedrock of Clinical Function Models: An Examination of Large ...
Reassessing the Bedrock of Clinical Function Models: An Examination of Large ...
 
Software Quality Assurance Interview Questions
Software Quality Assurance Interview QuestionsSoftware Quality Assurance Interview Questions
Software Quality Assurance Interview Questions
 
Call Girls In Mukherjee Nagar 📱 9999965857 🤩 Delhi 🫦 HOT AND SEXY VVIP 🍎 SE...
Call Girls In Mukherjee Nagar 📱 9999965857 🤩 Delhi 🫦 HOT AND SEXY VVIP 🍎 SE...Call Girls In Mukherjee Nagar 📱 9999965857 🤩 Delhi 🫦 HOT AND SEXY VVIP 🍎 SE...
Call Girls In Mukherjee Nagar 📱 9999965857 🤩 Delhi 🫦 HOT AND SEXY VVIP 🍎 SE...
 
Hand gesture recognition PROJECT PPT.pptx
Hand gesture recognition PROJECT PPT.pptxHand gesture recognition PROJECT PPT.pptx
Hand gesture recognition PROJECT PPT.pptx
 
Try MyIntelliAccount Cloud Accounting Software As A Service Solution Risk Fre...
Try MyIntelliAccount Cloud Accounting Software As A Service Solution Risk Fre...Try MyIntelliAccount Cloud Accounting Software As A Service Solution Risk Fre...
Try MyIntelliAccount Cloud Accounting Software As A Service Solution Risk Fre...
 
HR Software Buyers Guide in 2024 - HRSoftware.com
HR Software Buyers Guide in 2024 - HRSoftware.comHR Software Buyers Guide in 2024 - HRSoftware.com
HR Software Buyers Guide in 2024 - HRSoftware.com
 
Salesforce Certified Field Service Consultant
Salesforce Certified Field Service ConsultantSalesforce Certified Field Service Consultant
Salesforce Certified Field Service Consultant
 

How to balance between Security and Agile Development

  • 1. How to balance between Security and Agile Development Regional Scrum Gathering Tokyo 2021 Makoto IGUCHI (Kii Corporation)
  • 2. The relationship between security and agile development… It’s got to be good, right?
  • 3. In reality… • Will security put the brakes on DevOps and agile development (2016.12.26) https://www.atmarkit.co.jp/ait/articles/1612/19/news128.html
  • 4. Today’s talk 1. A small trick to achieve a good relationship between security and agile development  “Absolute” vs. “Relative” thinking 2. Experiment for building a good relationship @ my workplace  “Shift left” using a card game  Rethinking the “value” of security tasks
  • 5. Self Introduction • Makoto Iguchi@ https://jp.kii.com/ • Scrum Master • Security Architect  Responsible for doing everything possible to improve the security of the product • Head of ISMS Internal auditors A company developing and operating a cloud service for IoT platform and solutions.
  • 6. A small trick to achieve a good relationship between Security and Agile Development
  • 7. How is it in your workplace? Relationship between security and development in your workplace is: 1. Excellent 2. Good 3. Fair 4. Poor
  • 9. From Japan Information Security Audit Association Result of the survey released on 2020/1/6 https://www.jasa.jp/seminar/sec_trend2020/
  • 11. What’s wrong here? Example) Checklists, such as Information Security Management/Audit Standards … all-too-common model of security as a team, which sits and snipes at the people who actually build things, telling them no and pointing fingers, is in fact fantastically counterproductive. --- Your Security team is probably an infuriating obstacle – but it doesn’t have to be this way (TechCrunch 2019/8/8) Make sure to pass all the checklist items! Pass all “high” priority items, or no release is allowed!
  • 12. Is the checklist absolute?? The checklist should be followed blindly… It should be utilized relative to the current situation  対応を要する項目の発 見と取捨選択 of course not!
  • 13. Actual example Information Security Management Standards (rev. 2016) by Ministry of Economy, Trade and Industry 「II 本管理基準の位置づけ」に以下の記載 本管理基準は、組織体における情報セキュリティマネジメントの円滑 で効果的な確立を目指して、マネジメントサイクル構築の出発点から 具体的な管理策に至るまで、包括的な適用範囲を有する基準となって いる。当然のことではあるが、組織体が属する業界又は事業活動の特 性等を考慮し、必要に応じて本管理基準の趣旨及び体系に則って、本 管理基準の項目等を取捨選択、追加又は統合することにより、該当す る関係機関において独自の管理基準を策定し活用することが望ましい。 https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf
  • 14. Trick to build a good relationship “Absolute” thinking “Relative“ thinking Man-month estimate Story point estimate Fixed spec and schedule Priority and schedule refinement per sprint
  • 15. WHY DON’T YOU BECOME A DEMON? RELATIVE- THINKER?
  • 16. Experiment for building a good relationship
  • 17. Experiment @ my workplace Sprint backlog Product backlog 脅 威 Realizing “shift left” using a card game Properly loading security tasks onto the sprint backlog
  • 19. Shift-left security Designing Implementing Operating/maintaining HERE
  • 20. STRIDE Threat Analysis • Spoofing • Tampering • Repudiation • Information Disclosure • Denial of Service • Elevation of Privilege A good reference on threat analysis →
  • 21. STRIDE card game (EoP card game) The Elevation of Privilege Threat Modeling Card Deck https://github.com/adamshostack/eop
  • 24. This is quite difficult… Security is difficult with agile methods (2018.12.13) https://japan.zdnet.com/article/35130079/ The problem of putting off security tasks
  • 25. Piling up items to maximize values What is Agile? by Henrik Kniberg
  • 26. 脅 威 Does it mean that security tasks do not contribute to adding values to the product?
  • 27. Rethinking security tasks Security Task Tasks for fixing product weaknesses (vulnerabilities) that are found through threat analysis • Vulnerabilities continue to exist until the task is completed • Vulnerabilities disappear when the task is completed
  • 28. Let’s think vulnerability as a bomb Even if there is a bomb in the product, it does not affect the value of the product as long as it does not explode. Once it explodes, the value of the product is brown away completely.
  • 29. Security task and product value Task for dismantling bomb in the product • The task itself does not increase the product value • The task prevents bombs from exploding and destroying the product value
  • 30. Sprint Planing Sprint backlog Product backlog 脅 威 Bomb dismantling backlog Load implementation tasks to efficiently increase product value Load dangerous items that are about to explode to avoid them from blowing up product value
  • 31. 「ときメ○」モデル 女の子からの評価 スクラム アジャ子 インプリ セキュ実 好雄 「こんなとこだな。 爆発しない限り価値=好感度 に影響を及ぼさないが、爆発 すると今まで積んだ好感度が 吹っ飛んでしまう。  適宜爆弾処理が必要 価値=好感度を上げる ために効率よく実装 タスクをこなしていく
  • 32. MVP (Minimum Viable Product) with MBP (Manageable Bomb Placement) What is Agile? by Henrik Kniberg
  • 33. Spotting dangerous bombs relatively As with product backlog, the bomb dismantling backlog need to be refined on a regular basis to load the appropriate security tasks on time e.g., Vulnerability = “No Brake” Not dangerous Getting dangerous Completely out of control
  • 34. “Too much bomb” case: Zoom A Message to Our Users (April 1, 2020) https://blog.zoom.us/a-message-to-our-users/ • Suspended new feature development for 90 days • Focused on solving security/privacy issues
  • 35. Balancing security and agile development is possible! You can do it!

Editor's Notes

  1. 話さないこと:開発中のセキュリティ:DAST/SAST、リリース前のセキュリティ:テスト自動化