Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

セキュリティとアジャイル開発のいい関係について考える

Regional Scrum Gathering Tokyo 2021 で発表予定のスライドです。
https://2021.scrumgatheringtokyo.org/index.html
https://confengine.com/regional-scrum-gathering-tokyo-2021/

  • Login to see the comments

  • Be the first to like this

セキュリティとアジャイル開発のいい関係について考える

  1. 1. セキュリティと アジャイル開発の いい関係 について考える Regional Scrum Gathering Tokyo 2021 井口 誠 (Kii株式会社)
  2. 2. セキュリティとアジャイル開発の関係、 いいに越したことはないですよね?
  3. 3. しかし現実は… • セキュリティは DevOps やアジャイル開発に ブレーキをかけるのか (2016.12.26) https://www.atmarkit.co.jp/ait/articles/1612/19/news128.html
  4. 4. 今日お話すること 1. セキュリティとアジャイル開発のいい関係を 実現するためのたった1つの小さな「コツ」  「絶対的思考」vs.「相対的思考」 2. いい関係構築へ向けた実験例@私の勤め先  カードゲームを使ったシフトレフト  セキュリティタスクの「価値」再考
  5. 5. 自己紹介 • 井口誠 @ https://jp.kii.com/ • スクラムマスター • セキュリティアーキテクト  プロダクトの セキュリティ向上のためにあらゆることをやる人 • ISMS内部監査責任者 IoTプラットフォーム& ソリューションを提供する クラウドサービスを開発・ 運用している会社です
  6. 6. セキュリティとアジャイル 開発のいい関係を実現する ためのたった1つの小さな 「コツ」
  7. 7. 実際のところ、どう? セキュリティの中の人と開発者との関係は? 1. 良い 2. どちらかと良い 3. どちらかというと悪い 4. 悪い
  8. 8. とある開発者さんのつぶやき
  9. 9. 日本セキュリティ監査協会 2020/1/6 に発表されたアンケート結果 https://www.jasa.jp/seminar/sec_trend2020/
  10. 10. より良い プロダクト 機能の追加 セキュリティ向上 (脆弱性の低減)
  11. 11. 何が問題なのか? 例)情報セキュリティ管理/監査基準 例)チェックリスト … all-too-common model of security as a team, which sits and snipes at the people who actually build things, telling them no and pointing fingers, is in fact fantastically counterproductive. --- Your Security team is probably an infuriating obstacle – but it doesn’t have to be this way (TechCrunch 2019/8/8) チェックリスト項目を 全てパスするように! 優先度が「高」な項目は 必ずクリアせよ!
  12. 12. チェックリストは絶対的?? チェックリストは 盲目的に従うべき もの… 現状と照らし合わせて 活用するべきもの  対応を要する項目の 発見と取捨選択 ではない
  13. 13. 実際、そうなっている 情報セキュリティ管理基準(平成28年改正版) by 経済産業省 「II 本管理基準の位置づけ」に以下の記載 本管理基準は、組織体における情報セキュリティマネジメントの円 滑で効果的な確立を目指して、マネジメントサイクル構築の出発点 から具体的な管理策に至るまで、包括的な適用範囲を有する基準と なっている。当然のことではあるが、組織体が属する業界又は事業 活動の特性等を考慮し、必要に応じて本管理基準の趣旨及び体系に 則って、本管理基準の項目等を取捨選択、追加又は統合することに より、該当する関係機関において独自の管理基準を策定し活用する ことが望ましい。 https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf
  14. 14. いい関係構築へのコツ 「絶対的」思考 「相対的」思考 人月による見積もり ストーリーポイント 仕様・線表至上主義 スプリント単位での 優先順位見直し
  15. 15. お 前 も 鬼 相 対 的 に な ら な い か ?
  16. 16. いい関係実現へ向けた 実験例@私の勤め先
  17. 17. 紹介する実験 スプリントバックログ プロダクトバックログ 脅 威 カードゲームを使った シフトレフトの実現 セキュリティタスクを正しく スプリントバックログに積む工夫
  18. 18. スプリントバックログ プロダクトバックログ セキュリティタスクを正しく スプリントバックログに積む工夫 脅 威 カードゲームを使った シフトレフトの実現
  19. 19. シフトレフト システム設計 システム実装 システム運用・保守 ココ
  20. 20. STRIDEによる脅威分析 • Spoofing (なりすまし) • Tampering (改ざん) • Repudiation (否認) • Information Disclosure (情報漏えい) • Denial of Service (サービス拒否) • Elevation of Privilege (権限昇格) 脅威分析に関する教科書的な本 → (日本語訳なし… 翔泳社さん、訳本だしません?)
  21. 21. STRIDE分析用カードゲーム The Elevation of Privilege Threat Modeling Card Deck https://github.com/adamshostack/eop
  22. 22. 日本語版を作ってみた EoP脅威モデリングカードゲーム https://bit.ly/eop-ja
  23. 23. プロダクトバックログ 脅 威 カードゲームを使った シフトレフトの実現 スプリントバックログ セキュリティタスクを正しく スプリントバックログに積む工夫
  24. 24. これがけっこう難しい アジャイル手法でのセキュリティは困難 – シマンテックのCTOが見解 (2018.12.13) https://japan.zdnet.com/article/35130079/ セキュリティタスク、後回しにしがち問題
  25. 25. 価値の高めるものから積む What is Agile? by Henrik Kniberg
  26. 26. 脅 威 積めていない ということは セキュリティタスクはプロダクトの 価値を高めるものではない ということ?
  27. 27. セキュリティタスク再考 セキュリティタスク 脅威分析などにより見つかったプロダクトの 弱点(脆弱性)を修正するためのタスク • タスク完了までは脆弱性は存在し続ける • タスクが完了すると脆弱性は消える
  28. 28. 脆弱性=爆弾 と考えてみると… プロダクトに爆弾がついて いても爆発さえしなければ プロダクトの価値に影響は ない 一旦爆発してしまうと、 プロダクトの価値は 一気に吹っ飛ぶ
  29. 29. セキュリティタスクとプロダクト価値 プロダクトに潜む爆弾を処理するタスク • それ自体はプロダクトの価値を高めない • 爆弾が爆発してプロダクト価値が木っ端微塵に なるのを防ぐ
  30. 30. ということで… スプリントバックログ プロダクトバックログ 脅 威 爆弾処理バックログ プロダクト価値を高める ために効率よく実装 タスクを積んでいく 爆発しそうなヤバげなもの から適宜処理することで 積み上げたプロダクト価値 が吹っ飛ぶことを防ぐ
  31. 31. 「ときメ○」モデル 女の子からの評価 スクラム アジャ子 インプリ セキュ実 好雄 「こんなとこだな。 爆発しない限り価値=好感度 に影響を及ぼさないが、爆発 すると今まで積んだ好感度が 吹っ飛んでしまう。  適宜爆弾処理が必要 価値=好感度を上げる ために効率よく実装 タスクをこなしていく
  32. 32. M:まあ B :爆発しても P :プロダクト死なんだろ MVP (Minimum Viable Product) with MBP (Manageable Bomb Placement) What is Agile? by Henrik Kniberg
  33. 33. 爆弾のヤバさは相対的 プロダクトバックログ同様、定期的に爆弾処理バックログ のリファインメント(見直し)を実施することで対応 例)「ブレーキがない」という脆弱性 ヤバくない そろそろ ヤバい 完全にアウト
  34. 34. 爆弾が溜まりすぎた例:Zoom A Message to Our Users (April 1, 2020) https://blog.zoom.us/a-message-to-our-users/ • 新機能開発を90日間停止 • セキュリティ/プライバシー問題の解決に集中
  35. 35. セキュリティとアジャイル 開発はいい関係になれる! 絶対なれる!

×