エウレカのDevSecOps

この記事は Eureka Advent Calendar 2022 12日目の記事です。 こんにちは、エウレカの原田です。 セキュリティを測定可能にする技術 でも触れられている通り、今年のエウレカのセキュリティチームは様々な取り組みを進めてきました。この記事ではその中でもいわゆる DevSecOps の取り組みについて、深ぼって紹介したいと思います。 背景 エウレカでは、各チームのエンジニア主導でのセキュリティ改善の取り組みが盛んに行われていたり ( 例: PairsにおけるEKSセキュリティの取り組み ) 、アプリケーションやインフラの開発におけるセキュリティを担保するツール群もいくつか導入されており、今年はこれらの運用をさらに成熟させていく、というタイミングでした。この状況で、セキュリティチームとして担うべき役割はいくつかありました。 セキュリティチームとして担保したいこと 各チーム主導の取り組みは、各技術分野を深く掘り下げたり、それぞれの主担当分野をスコープとするもの、単発のプロジェクト、が多くなる傾向があります。対してセキュリティチームとしては、よりベーシックな脆弱性管理、パッチマネジメントといった取り組みについて、組織全体の状況の可視化や、その継続性を確実に担保していく必要があると考えています。また、細かな部分では各種セキュリティツールが開発のスピードを損なわないようなチューニングであったり、日々の運用やプロセス設計におけるアドバイザーとなる必要もあります。こういった取り組みを整理するために、以下の概念やフレームワークを参考にしました。

エウレカのDevSecOps
エウレカのDevSecOps