本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。

同意する
閉じる
お問い合わせ
検索
セキュリティナレッジ
ニュース
採用
ソリューション
企業情報
ニュース
採用
お問い合わせ

DevSecOps対応診断(セキュリティチャンピオン)




― 開発スプリントにセキュリティを組み込み、チームの自律的な成長を支援する伴走型支援 ―

背景

近年、IT/DX領域ではプロダクトのリリーススピードが企業競争力を左右する要素となり、アジャイル開発やCI/CDを前提としたDevOpsが普及しています。
一方で、専門性の高いアプリケーションセキュリティが開発スピードに追いつかず、DevSecOpsを導入しても定着しないという課題が多くの企業で顕在化しています。
MBSDでは、こうした課題に対応するため、アジャイル開発に最適化した診断サービスとして「DevSecOps対応診断サービス(セキュリティチャンピオン)」を提供しています。


経営・組織の課題

開発スピードと安全性 開発スピードと安全性のトレードオフ
開発スピードと安全性の両立が求められる中、
リリース直前のセキュリティ診断がボトルネックになっている
リリース判断 リリース判断の責任が不明確
開発・運用・セキュリティの組織間で、
リリース可否やリスク判断の責任・決定権が曖昧
人材不足 DevSecOpsを進められない
DevSecOpsを進めたいが、
セキュリティ人材が不足し内製化が進まない

開発・現場の課題

手戻り セキュリティ後回しによるコスト増
セキュリティ検証が後工程に回り、
手戻りや修正コストが増大
CI/CD セキュリティチェックが高速リリースに追いつかない
CI/CDの高速なリリースサイクルに、
セキュリティチェックが追随できていない
判断不足 判断できる人材がいない
テスト結果を評価・判断できる
セキュリティ知見を持つメンバーがいない

サービス内容


本サービスは、セキュリティチャンピオンがスクラムチームに参画し、脅威モデリング、設計・コードレビュー、動的診断をスプリント単位で実施する伴走支援型サービスです。
リリースを止めることなく安全性を継続的に高めるとともに、フィードバックを通じて、開発チームが自らリスクを判断・改善できる開発体制の構築を支援します。
各フェーズでは、脅威モデリング図やレビューシート、DASTレポートなどの具体的なアウトプットを提供し、実践的な改善サイクルを促進します。
セキュリティチャンピオンが開発チームの一員としてスプリントに参画し、以下の4つの機能を提供します。

1. 脅威モデリング支援

開発初期からリスクの洗い出しを行い、実装前に潜在的な脅威を明確化します。

2. 設計レビュー

アーキテクチャ、認証・権限設計、API設計などをセキュリティの観点から精査します。

3. コードレビュー/テストケース支援

セキュアコーディング基準に基づき、脆弱性の早期発見と安全なテスト設計を支援します。

4. 動的テストによるリリース前診断

スプリント単位での動作確認時に動的診断(DAST)を実施し、リリース前の安全性を検証します。

サービスの特長

伴走型セキュリティ支援

セキュリティチャンピオンがスプリントプランニングでのアドバイスやセキュリティレビュー時のファシリテーションを担います。
これにより、課題の早期共有と脆弱性予防を促進し、開発スピードを落とさず、セキュアな開発を実現します。

DevSecOpsへの自然な統合

Jira、GitHub、CI/CD環境など、開発チームが利用している既存ツール群への融合を前提にテスト運用を支援します。
具体的には、考慮すべき観点をもとにテスト作成支援を行い、その内容を既存自動化ツールに組み込むことでその後自動実行できるようサポートします。

スプリント単位の反復診断

アジャイル開発特有の反復サイクルに合わせ、開発者の負担とならないよう最適化したレビューおよびテストを実施します。

ナレッジ共有と内製化支援

診断結果や改善内容をチームのナレッジとして蓄積し、将来的な内製化に繋げます。
診断サービスを「外部からのフィードバック」で終わらせず「開発部門の経験値」へと転換します。

提供フロー

本サービスは、内製化の実現を最終目標に以下のフローで支援を実施します。
開発規模やセキュリティ成熟度に応じて柔軟にカスタマイズ可能です。

1. 現状把握・ヒアリング

開発体制、セキュリティ対策状況、開発部門の構成や規模を把握し、支援の方向性と粒度を整理します。
開発部門の文化やパフォーマンスを考慮し、最適なトライアルプランと基本方針を策定します。

2. 特定スクラムでのトライアル導入

選定したスクラムチームに弊社のセキュリティチャンピオンが参画し、実運用を通じて支援手法の有効性を検証します。
トライアル結果をもとに、以降に向けた展開方針と中長期的なロードマップ案を策定します。

実務支援内容

  • 1. スプリントプランニング支援
    脅威モデリングおよびテスト設計を行い、開発項目ごとのセキュリティ観点を定義します。

  • 2. 実装中レビュー
    設計・コード・Pull Requestレビューを並行して実施し、セキュリティリスクを早期に検知します。

  • 3. 動的診断・結果共有
    開発中またはテスト環境に対して軽量な動的診断(DAST)を実施し、検出結果を即時フィードバックします。

  • 4. スプリントレトロスペクティブ(振り返り)
    検出傾向や改善ポイントを共有し、次スプリントに向けた教育・改善提案を行います。
security_champion

3. 全社適用

トライアルで得られた知見をもとに、標準化した支援プロセスを全社開発チームへ展開します。
チームごとの成熟度に応じて支援レベルを調整し、実行可能なペースで定着を図ります。

4. 内製化/自走体制構築

各チームで実施された脅威モデリング、設計レビュー、動的診断の結果をもとに、内製化実現に向けた分析と自動化構築支援を行います。
成熟度に応じてスコープを調整しながら、最終的にはセキュリティを開発文化の一部として定着させ、自走を目指します。

関連コラム

devsecops_column
サービス資料のお申込みはこちら


本サービスに関するお問い合わせはこちら

お問い合わせ