Zenn
GLOBIS TechPublicationへの投稿
🐙

セキュリティ シフトレフトへの取り組み

sho_naga
2024/12/20に公開
Security
セキュアコーディング
idea

はじめに

この記事は、GLOBIS Advent Calendar 2024の13日目の記事です。

こんにちは!グロービス デジタルプラットフォーム部門(以下、GDP)で部門情シス兼セキュリティチーム(以下、GDP IS)を担当しています nagamine です。
今回は担当部門でのプロダクトセキュリティへの取り組みからセキュリティシフトレフトに向けた活動についてご紹介します。

チームの役割

グロービス GDPには「品質」「信頼性」「開発生産性」「セキュリティ」といった非機能要件の側面から
プロダクトの顧客価値の最大化を牽引するProduct Successという横串の機能組織が存在します。

GDP ISはその組織に属するチームで主に以下の2つの役割をになっています。

  • セキュリティ推進機能:グロービスセキュリティ規程に沿った運用プロセスの整備、装着、浸透を牽引
  • 情シス機能:部門横断ITツールの運用管理、コスト管理、利活用の促進を通じた業務生産性向上への貢献

セキュリティシフトレフトへの取り組み

今回はGDPのプロダクト開発におけるセキュリティシフトレフトに向けた取り組みについて、これまでの歩みと今後の展望について書いてみます。

セキュリティシフトレフトとは

IPA発行のセキュリティ・バイ・デザイン導入指南書では以下のように定義されています。

後⼯程で⾏っていたセキュリティに関する問題について発⽣原因まで遡り、その
発⽣原因に対して根本的な解決を⾏うことで、従来よりも早い段階にセキュリティ対策を
組み込むこと

またその実践としてはCI/CDパイプラインにセキュリティツールを組み合わせることで以下の効果が得られるとされています。

  • セキュリティツールの実施漏れの防止
  • スキルや知識が低い開発メンバーでも同じように実行できる
  • 自動化により開発効率化に繋がる

課題の全貌と着任後の初動

着任当時、部門全体の課題として「統一的な管理基準が存在せず、各プロダクトが個別に脆弱性対応を行う状況」がありました。
この状況では部門全体の脆弱性対応状況の可視化や改善推進が難しく、
結果的にリスク管理に遅れが生じる可能性がありました。

そこでまずは部門としての脆弱性管理基準を策定し、
その基準に基づいたモニタリング体制を構築するため以下のことに着手しました。

  • 運用基準の整備
    • 各チームが迅速に対応できるよう、脆弱性情報の通知フローを構築。
  • 開発チームへの情報発信
    • 定期的なアラート共有や、対応期限の優先順位付けのガイドライン化。
  • SBOM(Software Bill of Materials)を活用した脆弱性診断ツールの導入

これにより各プロダクトの脆弱性対応状況が可視化され、
共通の基準に基づく管理のもと緊急度の高い脆弱性について一通り対応が完了し、
現在は新たな脆弱性の検出と対処をモニタリングしています。

Github Advanced Securityの導入

部門横断での基準が整い、対応プロセスの標準化が進む中で、さらなるセキュリティ強化を目指し、直近では Github Advanced Security(以下、GHAS)を導入しました。

導入の背景
既存のツールとしてBrakemanを活用していましたが、カバー範囲が限定的となりRuby以外(特にJavaScript)の脆弱性管理の強化が必要でした。

セキュア実装のさらなる強化
GHASでのCode ScanningによりRubyコードにおいてBrakemanでは検出できていなかった脆弱性が検出されたことに加え、
JavaScriptでこれまで検出できていなかった多数の脆弱性を捕捉することができました。
これらの検出結果を元に開発チームと連携しながら優先順位を設定し、効果的に対応を進めています。

今後の展望:さらなるセキュリティ基準の向上へ

現在、以下の取り組みを進行中です:

  • QAチームとの連携
    GHASでの検出結果を含むセキュリティ要件をクライテリアに組み込み、製品リリースの段階でのセキュリティ強化。
  • CI/CDパイプラインへの統合
    CI/CDパイプラインにセキュリティ要件を組み込むことで、より早い段階での脆弱性対処を可能に。

これらの取り組みにより、プロダクト開発において「より速く、より安全」なサイクルの実現を目指していければと思います。

最後に

最後まで読んで頂きありがとうございました。
今回は部門でのプロダクトセキュリティへの取り組みの一部をご紹介させて頂きました。
同じような課題に取り組むチームの参考になれば幸いです。

グロービスではセキュリティ態勢の強化に向け、セキュリティエンジニアを積極採用中です!
世界をリードするEd-techカンパニーを目指す組織でセキュリティの課題解決に挑戦したい方、一緒に取り組んでみませんか?

チームにご興味持って頂けましたらぜひカジュアル面談しましょう!
https://recruiting-tech-globis.wraptas.site/

GLOBIS Tech
GLOBIS TechPublication

日本発・世界をリードするEdTechカンパニーを目指す、株式会社グロービス デジタル部門のエンジニアが運営するPublicationです。 X(Twitter)でも情報発信中!

Discussion