野原峰彦氏

DevSecOpsという考え方が世の中にでてきてから数年が経過しました。DevSecOpsでよく言われる[Shift-Left]の考え方に基づいて、 CIツールに脆弱性やコンプライアンス違反を自動検知する仕組みを導入する開発チームが少しずつ増えてきています。 しかし、運用のシーンでは属人化、履歴の管理、作業工数、ヒューマンエラーの対処など、多くの課題を残す企業様がまだまだ多数派です。 本セッションでは、Kubernetes上で動作するコンテナ化されたアプリケーションの環境を前提に、開発工程におけるDevSecOpsの実現アプローチと、運用におけるGitOpsを活用したDevSecOpsの実現アプローチについて解説します。

昨今、ソフトウェア等の運用において、発見される脆弱性は増え続けています。その中でDevSecOpsの実現を進めるためには、コンテナの保護に加え、『トリアージ』という優先度付けの観点を取り入れることで、サイクルをよりスムーズに回す工夫が必要です。 本セッションでは、大量の脆弱性のトリアージを自動化するソリューションLeanSeeksを、Prisma Cloudと併用し、実現可能なDevSecOpsのシフトレフト方法をデモを交えてご紹介します。

企業によるクラウドアダプションが一般的になり、テック企業や金融業界を中心にコンテナやサーバーレスといったクラウドネイティブな技術もコモディティ化したといえます。 アプリケーションのコンテナ化によって依存関係問題を削減することで、DevOpsのサイクルをよりスムーズに回すことができるようになりましたが、DevSecOpsはどうでしょうか？ Shift-Leftによる開発サイクルでは、昨今増え続ける脆弱性の多さに対処できないのが実情で、ここに対処をしないとDevSecOpsサイクルを回すことは非常に困難です。 本セッションではクラウド上のDevSecOpsの障壁となっている大量の脆弱性に対するトリアージのアプローチと、トリアージから漏れた脆弱性に対する2重対策を、デモを交えて紹介します。