Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
米軍Platform One / Black Pearlに学ぶ極限環境DevSecOps
Search
jyoshise
November 17, 2025
Technology
850
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
米軍Platform One / Black Pearlに学ぶ 極限環境DevSecOps
Cloud Native Days 2025のキーノートセッションです。
jyoshise
November 17, 2025
More Decks by jyoshise
See All by jyoshise
GitLab Duo Agent Platform + Local LLMサービングで幸せになりたい
jyoshise
0
690
AIがコード書きすぎ問題にはAIで立ち向かえ
jyoshise
14
14k
Nutanix Kubernetes PlatformでLLMを動かす話
jyoshise
0
550
CNDT2023_Nutanix_jyoshise
jyoshise
0
620
クラウドネイティブインフラおじさんがNutanixに入社することになったので以下略
jyoshise
0
1.3k
これは分散KVS? NoSQL? NewSQL? 謎の HarperDBにせまる
jyoshise
0
640
全てがクラウドネイティブで良いのか。その謎を明らかにすべく我々はエンプラの奥地に向かった
jyoshise
8
6k
Kubeadmによるクラスタアップグレード・その光と闇
jyoshise
3
4.8k
Kubernetes Meetup Tokyo #26 / Recap: Kubecon Keynote by Walmart
jyoshise
6
3.5k
Other Decks in Technology
See All in Technology
Foxgloveについて 実際にExtensionを開発して公開するまでの話 / About Foxglove: The Story of Developing and Releasing an Extension
ry0_ka
0
210
公式ドキュメントの歩き方etc
coco_se
0
100
LLM/Agent評価:トップ営業の発言を「正解」にする 〜暗黙的正解による評価を営業資産に変える〜
takkuhiro
1
210
ソニー銀行におけるビジネスアジリティ向上のためのクラウドシフト戦略
srenext
0
140
地域 SRE コミュニティ最前線 / SRE NEXT 2026 Discussion Night Track C
muziyoshiz
0
210
脱金融のフューチャー・デザイン / Future Design Beyond Finance
ks91
PRO
0
150
AI駆動開発におけるQAエンジニアの役割事例 〜AI駆動開発の現場から〜
kobayashiyorimitsu
0
490
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
15
110k
SRE Next 2026 何でも屋からの脱却
bto
0
620
SRE依存からの脱却 運用を開 発チームへ移す、 フルサイ クル開 発体制の実践
joooee0000
0
2.6k
cccccc
moznion
0
1.9k
ゴールデンパスは敷いただけでは道にならない ─ 企画部門のエンジニアが技術標準を事業価値に変えるまで
mhrtech
0
140
Featured
See All Featured
Leo the Paperboy
mayatellez
8
1.9k
We Have a Design System, Now What?
morganepeng
55
8.2k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
Jess Joyce - The Pitfalls of Following Frameworks
techseoconnect
PRO
1
190
Building Adaptive Systems
keathley
44
3.1k
Agile Leadership in an Agile Organization
kimpetersen
PRO
0
190
Building Applications with DynamoDB
mza
96
7.1k
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.3k
Producing Creativity
orderedlist
PRO
348
40k
The Impact of AI in SEO - AI Overviews June 2024 Edition
aleyda
5
1.1k
Heart Work Chapter 1 - Part 1
lfama
PRO
8
36k
Paper Plane
katiecoart
PRO
2
52k
Transcript
GitLab Copyright イージス艦から F35まで ⽶軍Platform One / Black Pearlに学ぶ 極限環境DevSecOps
Cloud Native Days Winter 2025 始まりました! 最初のセッションなので言わせてください
青山くん、結婚おめでとう♡
GitLab Copyright イージス艦から F35まで ⽶軍Platform One / Black Pearlに学ぶ 極限環境DevSecOps
GitLab Copyright Junichi Yoshise Senior Solutions Architect, GitLab
DevSecOps https://about.gitlab.com/topics/devops/#overview
KubeCon + CloudNativeCon 2019 NAでのDoD (米国防総省)の発表 https://youtu.be/YjZ4AZ7hRM0?si=43fLGvBnYRTwutnd
KubeCon + CloudNativeCon 2019 NAでのDoD (米国防総省)の発表 https://youtu.be/YjZ4AZ7hRM0?si=43fLGvBnYRTwutnd
ソフトウェア開発の速度が安全保障環境における優位性を決 定する時代 • ウクライナ戦争ではドローンソフトウェア更新 が3か月に短縮 • イスラエル国防軍AIは目標生成速度を50倍 に加速 • 米国防総省はDevSecOps体制への転換を
進めています
govern 【gʌ́vərn】 (他動) 1. 〔政治的に国・国民などを〕支配[統治]する 2. 〔学校・企業などを〕管理[運営]する 3. 〔義務などを〕規定する 4.
〔原則・法令などが~に〕適用される スピードが重要。でもスピードだけが重要というわけではない。
スピードが重要。でもスピードだけが重要というわけではない。 govern 【gʌ́vərn】 (他動) 1. 〔政治的に国・国民などを〕支配[統治]する 2. 〔学校・企業などを〕管理[運営]する 3. 〔義務などを〕規定する
4. 〔原則・法令などが~に〕適用される • プロセスが規定され、公開されている • プロセスが遵守されていることが検証可能で、保証できる
DoD公式「DevSecOpsの教科書」 • DoD におけるソフトウェア集約型システム(兵器システ ム、コントロールシステム、ビジネスシステム等)に対し て、DevSecOpsを体系的に導入・運用するためのガイ ドライン • 背景:ソフトウェアが戦闘機・艦艇・ミサイル・ C4ISR(指
揮・制御・通信・監視・偵察)においてますます中核的役 割を果たしており、従来のウォーターフォール/長期開 発型モデルでは速度・セキュリティ・柔軟性が追いつか ない • DevSecOps の考え方を、兵器・ミッションクリティカル なシステムにも適用することが求められている ◦ Shift-Left ◦ 継続的な運用/監視/改善 https://dodcio.defense.gov/Portals/0/Documents/Library/DoD%2 0Enterprise%20DevSecOps%20Fundamentals%20v2.5.pdf
DoD Enterprise DevSecOpsでガイドラインが示されている重要なコンセプト • ソフトウェア供給連鎖( Software Supply Chain) ◦ ソフトウェアを構成するあらゆる要素(コンパイラ、ライブラリ、ビルドツール、リポジトリ、クラウド/オ
ンプレ環境など)はサプライチェーン ◦ 「各要素が90%安全だとしても、複数要素を掛け合わせると全体の安全性は劇的に低くなる」 • ソフトウェアファクトリー( Software Factory) ◦ 開発チーム・ツール・プロセスを集めて、継続的に価値を提供するための仕組み →今ふうにいうと Platform Engineering • CI/CD・Infrastructure as Code (IaC)・自動化 ◦ パイプライン中で「人による手作業/人の判断を極力減らし」「セキュリティ/ログ/モニタリング/ ガバナンスがパイプライン中に組み込まれている」ことが重要とされている • 継続監視・運用・セキュリティ (Operate & Monitor) ◦ 単にソフトウェアをリリースして終わりではなく、運用中も継続的にモニタリング/セキュリティ維持/ 改善を行う ◦ 「継続的認可(cATO:Continuous Authority To Operate)」など、変更を継続的に許可しながら運用 を維持する契約形態にも言及 • 段階的/反復的な導入 (Iterative Implementation) ◦ 小さく始めて改善しつつ拡大していく( start small, build up)
Platform One : DoD標準DevSecOpsプラット フォーム https://p1.dso.mil/ • 2024年時点で35,943人の日次ユーザー • 156のアプリケーションチームが利用
Repo One : 公開レポジトリ Big Bang : リファレンスアーキテクチャ Party Bus : DevSecOps Platform as a Service Iron Bank : 強化コンテナレジストリ
https://docs-bigbang.dso.mil/latest/bigbang-training/docs/1_bigbang-101/p1-introduction/
https://csrc.nist.gov/csrc/media/Presentations/2022/oscal-mini-workshop-1-P1_DoD%2BNIST/P1%20OSCAL%20PA%20Approved.pdf
例)Iron Bank : 強化コンテナレジストリ • コンテナイメージをソフトウェアの部品として 再利用するのはもはや常識 • ひとつのコンテナイメージもまた、多くの部 品から構成される(ベースOSイメージ、
OSSライブラリ、新規にビルドされる実行バ イナリ) • 再利用するコンテナイメージが安全なもの であることを継続的に保証する必要がある • GitLab CIによる継続的なビルドとセキュリ ティスキャン/修正で脆弱性を排除すること をセキュリティポリシーにより強制 • 成果物を公開し検証可能とすることで逆に セキュリティを担保
実プロジェクトへの応用: F-35 Lightning II https://www.congress.gov/event/118th-congress/house-event/LC72907/text https://www.aviationtoday.com/wp-content/uploads/2018/05/f35sol.png F-35 Lightning II •
製造:ロッキードマーティン • 運用開始:2015- ◦ 米海兵隊、空軍、海軍 ◦ イギリス、ノルウェー、イタリア、日本、イス ラエル、オランダ、オーストラリア、韓国 • 「超音速のエッジデバイス」 • 「空飛ぶテスラ」 • 機体搭載ソフトウェアのコード:800万行 • その運用を支える地上システム(後方支援・ロジ スティクス、ミッションプランニング、訓練シミュ レータなど)のコード:2200万行
実プロジェクトへの応用: F-35 Lightning II • F-35 Joint Program Office の共通開発基盤(JPO
Cloud)として、DoDのPlatform One (Big Bang, Iron Bank)を採用 https://www.dvidshub.net/news/488824/better-together-f-35-and-platform- one-accelerate-mission-impact-through-reuse とはいえ(チャレンジ) • 「アーキテクチャが2002年ベースで高 度に結合しており、DevSecOps方式に 移行するにはアーキテクチャ変更が必 要」 • デジタルツイン(Digital Twin)をミッショ ンソフトウェア/ハード更新にあたって 使っていく • 「モジュラーオープンシステムアプロー チ (MOSA)/オープンアーキテクチャ」 チームを立ち上げ、将来の更新を容易 にする基盤整備を行っている
20 米海軍の標準Software Factory : Black Pearl - 計画経緯 - 2021年初頭、米国海軍は複数のソフトウェアファクトリーを同時並行で運用していたが、4~5か所の異なる場所で
インフラが重複し、それぞれで全く同じことを行う非効率的な状況だった - 実現経緯 - Sigma Defence社と海軍ITチームの共同により” Black Peal”というDevSecOps環境を構築 - AIを搭載し、エンドツーエンドDevSecOpsを中核にサイロを解体し、ソフトウェア開発を加速することに成功した - ATO承認により、非効率性の解消で「クラウドインフラを統合し、セキュリティの問題に対処し、接続性を提供でき る単一環境を構築してはどうか」と提案。これが「Black Pearl」として具現化された。 - 導入効果 - ソフトウェアファクトリー設置期間が短縮(cATO) 約6ヶ月→3〜5日 - 配備コストの削減:約400万ドル→40万ドル - 脆弱性対応: バグの発見から修正:数ヶ月→数日 https://about.gitlab.com/customers/sigma-defense/
海軍の標準DevSecOpsプラットフォーム:Black Pearl Black Pearlはサイロ解消による非効率性の排除、標準化による効率向上、組織間連携の促進、セキュリティ・コンプライアンスの 簡素化を実現している 統合型ソフトウェア開発環境 独立型垂直統合
まとめ:なぜ米軍は Cloud Native DevSecOpsを推進するのか • 変化のスピードに対応するため ─ 外部環境の変化が速く、従来の開発サイクルでは追いつけない。 • ソフトウェアが組織の競争力を左右する時代だから
─ 新機能提供や改善速度がビジネス価値そのものになる。 • セキュリティを “後付け”できる時代ではないから ─ サプライチェーン攻撃・ゼロデイへの即応が必須。 • 人手作業に依存した運用は限界だから ─ CI/CD・IaC による自動化が品質、再現性、スピードを同時に向上させる。 • 複雑化したシステムを安全に管理するため ─ 分散システム・マイクロサービス・クラウド環境では、可視化・標準化・自動監視が不可欠。 • “止まらずに変わり続けられる ”組織へ進化するため ─ リリースや変更に伴うリスクを最小化し、継続的にアップデートできる体制を作る。
まとめ:なぜ私たちはCloud Native DevSecOpsを推進するのか • 変化のスピードに対応するため ─ 外部環境の変化が速く、従来の開発サイクルでは追いつけない。 • ソフトウェアが組織の競争力を左右する時代だから ─
新機能提供や改善速度がビジネス価値そのものになる。 • セキュリティを “後付け”できる時代ではないから ─ サプライチェーン攻撃・ゼロデイへの即応が必須。 • 人手作業に依存した運用は限界だから ─ CI/CD・IaC による自動化が品質、再現性、スピードを同時に向上させる。 • 複雑化したシステムを安全に管理するため ─ 分散システム・マイクロサービス・クラウド環境では、可視化・標準化・自動監視が不可欠。 • “止まらずに変わり続けられる ”組織へ進化するため ─ リリースや変更に伴うリスクを最小化し、継続的にアップデートできる体制を作る。
GitLab Copyright Thank you