生成AI時代だからこそ必要なDevSecOps：概念から実践例まで

Transcript

1. 生成AI時代だからこそ必要な DevSecOps：概念から実践例まで 2025/08/27 Yurie Mori

2. Yurie Mori（森 友梨映） • Avanade Japan(2019-) • Sr.Consultant(DevOps Engineering) •

   ソースコード管理, マルチテナントでのCI/CD構築の支援 • Infrastructure as Code(IaC)のトレーニング提供 • Azure, Azure DevOpsを使用した開発プラットフォーム構築 • GitHub Enterpriseのガバナンス設計、初期環境構築 • GitHub Advanced Securityの初期構築と導入プロセス検 討 • エンタープライズにおけるDevSecOps/DevOps実践支援 • Plus Alpha Consulting .Ltd(2017-2019) • Web Application Engineer • CRMのSaaSプロダクトの開発 • C#, TypeScript, .NET, SQL Server, Azure DevOps Microsoft MVP for DevOps & Cloud Security • MVPとしての活動（抜粋） • Platform Engineering MeetUp 登壇 • 「信頼できる開発プラットフォームをどう作るか？Governance as Codeが導 くPlatform Engineering」 • DevOps Days Tokyo 2025 登壇 • 「生成AI時代のソースコード管理を考える：’X as Code’からGitOpsへの DevOps進化論」 • Microsoft AI Tour Tokyo 2025 登壇 • 「生成AI時代のセキュアCI/CDとソース管理：GitHub Advanced SecurityとCopilotを活用したDevSecOps」 • SRE Magagine寄稿 • 「DevOps, SRE, Platform Engineering: 理想の開発環境をめぐる思 想と実装の旅」 • Zennでの記事執筆 • 書籍執筆

3. Agenda 01 生成AI時代におけるDevSecOpsのありかたと重要性 02 DevSecOpsの実践 03 DevSecOps導入のポイント

4. 生成AI時代における DevSecOpsのありかたと重要性

5. 生成AIによってデリバリーのパフォーマンスは向上する？(1/2) 出典: https://cloud.google.com/devops/state-of-devops?hl=ja&region=JP DORA(DevOps Research and Assessment)のState of DevOps2024のレポートでは、AI導入が25%増えること で、デリバリーのスループットと安定性の両方が若干低下する可能性があると示されている。

   スループットが-1.5% デリバリー安定性が-7.2%

6. 生成AIによってデリバリーのパフォーマンスは向上する？(2/2) • AIの導入により、タスクの完了速度（開発のスピード、リファクタリングスピード）は向上する • しかし、デリバリーのスループット（どれだけ成果物をリリースできるか）と安定性（成果物の品質や信頼性の一 貫性）の両方が若干低下する可能性がある • これは何を意味するのか？ • →「AI導入を増やす＝必ずしも良い成果、品質を保証しない」

   • スループットはむしろAIが作業を支援するから上がりそうなのに、 実際には人やプロセスの調整コストが増える （例：AIツールに合わせた学習・調整が必要）ことで、一時的に成果物の量が減る可能性がある。 • 安定性については、 AIはまだ十分に安定していないツールもあるし、誤動作やヒューマンエラーが入り込みやすい ので、品質の一貫性にマイナスの影響が出やすい。 成果の質や安定性に目を配りながら、AIツールの運用や導入プロセスをしっかり整備する必要がある

7. スピード VS 品質：ソフトウェア開発の歴史の中で の永遠のシーソーゲーム 開発のスピードアップ • CI/CD • 自動化 •

   AIによるコーディング支 援/自動実行 etc. 品質・セキュリティの担保 • テスト駆動開発 • DevSecOps • SAST • DAST etc.

8. WHY DevSecOps NOW? AIによるコード生成品質とセキュリティの担保 • 生成AIによってどんどん生産されるソースコードの安全性をスピーディーにチェックし、セキュリティを担保 する 継続的なセキュリティ • CI/CDパイプラインにセキュリティテストを自動化して、常にセキュリティチェックが行われるようにする

   Found means FIX • AIを活用して、脆弱性の検知と修正をスピードアップする • 検知(found)したら即座に修正(fix) 開発プラットフォームの信頼性の担保 • 開発者のインフラである開発プラットフォームのセキュリティ監視

9. DevSecOpsで対応すべき脅威と対策 攻撃を受けやすいコード シークレットの流出による 不正アクセス 外部パッケージやOSSに含まれる 脆弱性 コンテナイメージに含まれる 脆弱性 ソースコードの静的解析(SAST) シークレット管理、

   シークレットスキャン 依存関係の脆弱性スキャン、 SCA（ソフトウェア構成分析） コンテナイメージのスキャン 対策 ソフトウェア開発中に発生しうる脅威 プラクティス 使用できるツール • GitHub Code Security • Code Scanning • Azure Key Vault/GitHub Secret • GitHub Secret Protection • Secret Scanning • Push Protection • GitHub Code Security • Dependabot • MS Defender for Containers

10. DevSecOpsの実践

11. DevSecOpsの実践事例(1/2) • MetLife(*1-1) • 従業員数：45000人(*1-2) • Azure DevOpsのCI/CDをチーム間で標準化、セキュリティスキャンとコード品質チェックをCI/CDに導入 • テストとビルドの完了時間を約8h→1hに短縮

    • 開発者 1 人あたりビルド 1 回あたり約 15 分が節約 • 「リリースプロセスを継続的に改善することで、顧客情報をより適切に保護することができる」 • FinSecure Corp(*2) • 大規模金融機関 • 厳しい規制への対応と高度化するサイバー脅威に直面 • 従来のセキュリティは組織内にサイロ化しており、アジャイル開発のスピードに追いつかず、ボトルネックとなっていた • CI/CDパイプラインへのセキュリティスキャン導入、IaCにセキュリティチェックを統合 • 開発者へのセキュアコーディング教育の実施SAST（静的解析）／DAST（動的解析）ツールの導入 • 重大な脆弱性が本番に到達する頻度を約60％削減（初年度） • リリースサイクルが月次から隔週へと大幅に短縮 *1-1: https://www.microsoft.com/en/customers/story/21594-metlife-azure-devops *1-2: https://finance.yahoo.co.jp/quote/MET/profile *2: : https://devsecops-integration-guide.pages.dev/case-studies

12. DevSecOpsの実践事例(2/2) • Opcito Technologies(*3-1) • 従業員数：100-249(*3-2) • インド/米国に拠点を置くソフトウェア開発会社 • 脅威モデリングにより設計段階からセキュリティ対策を実装

    • 株式会社ソースネクスト(*4-1) • 従業員数：166名（連結）*4-2 • 社内で最大のECを含むフロントエンドシステムにGitLabを導入 • エラー検知とセキュリティ診断を開発プロセスに組み込んで自動化 • デプロイ工程の9割を自動化、最後の検証作業はパフォーマンスチェックや目視のチェックも含むため、あえて 自動化せず • コールするライブラリの先までを自動検証して、ソフトウェアサプライチェーンのリスクを回避 *3-1: https://opcitotechnologies.medium.com/harnessing-threat-modelling-for-devsecops-success-b30beaa7bf7c *3-2: https://www.designrush.com/agency/profile/opcito-technologies *4-1: https://about.gitlab.com/ja-jp/blog/customers-sourcenext/ *4-2: https://sourcenext.co.jp/business/profile/

13. 脅威モデリングによるセキュリティ戦略の設計 構築しようとしているシステムに対して予測される攻撃、脅威、リスクを特定し、セキュリティ戦略を検討する Design Break Fix Verify • 構築しようとしているシステムの目 的、実行環境、シナリオなどシステ ムに関する情報をベースにデータフ

    ローダイアグラムを作成 • データフローダイアグラムをベースに、 STRIDEフレームワーク等を使用してシ ステムに対する潜在的な脅威を特定 • 特定した脅威に対して、対策を検 討 • 考えた対策がセキュリティ要件をク リアしているかを確認 Step1:データフローの可視化 Step2:脅威の特定 Step3:脅威への対策を識別 Step4:対策の有効性の検証

14. STRIDEによる脅威の分解と特定 システムに対する脅威を5つのカテゴリの頭文字を合わせたもの。各カテゴリごとに脅威を分類し、それに対する対 策を考える 脅威の種類 具体例 対策例 Spoofing （なりすまし） 攻撃者が他のユーザーやシステムになりす ます

    • 多要素認証 • 強力なパスワードポリシー • 証明書の使用 Tampering （改ざん） データが不正に変更される • 通信暗号化 Repudiation （否認） 攻撃者がログの削除や改ざんを行ってユー ザーが行った操作を否認する • ログの監査 Information disclosure （情報漏洩） 個人情報や資格情報などの機密情報が 不正に取得される • データのアクセス制御 • 暗号化による保護 • セキュアな通信プロトコル Denial of service （サービス拒否） サービスに過剰な負荷を与えて利用不可 状態にする • Rate limit • WAF(Web Application Firewall) Elevation of privilege （権限昇格） 攻撃者が不正に強力な権限（管理者権 限など）を取得して操作する • 最小特権の原則 • RBAC

15. SecurityとCopilotをCI/CDに統合 GitHub Repository PR Check • Build • Unit Test

    GitHub Actions Dev • Code Scanning • Dependency Check • Secret Scanning GitHub Actions GitHub Secret Protection GitHub Code Security CI/CD • Code Scanning • Dependency Check • Secret Scanning GitHub Secret Protection GitHub Code Security GitHub Repository Review Provide suggestion for fix Merge to main Create PR Observe Publish build artifacts to Packages GitHub Secrets Refer secrets Dev

16. Defender for CloudとSentinelによる 開発プラットフォームのセキュリティ監視 GitHub GitHubのセキュリティ状況を監視 Organization A Log Analytics

    Defender for Cloud Sentinel Logic Apps Playbooks 推奨事項/アラート Analytics Rules / UEBA / Hunting GitHubAudit_CL 等 通知/自動化 Enterprise owner セキュリティ監視 ・フィードバック 不審なユーザーアクティビティやGitHub上のセキュリティリスクをチケット登録 Enterprise ownerに通知 Organization B ・・・ 認 証

17. セキュリティを開発ライフサイクルに組み込む • セキュリティのシフトレフトにより早期にセキュリティリスクを検知 • Copilot Autofixなど生成AIによる脆弱性修正を活用してFound means fix（検知したら即修正）を実現 • 開発プラットフォーム自体のセキュリティの可観測性(observability)と

    セキュリティフィードバックを実現

18. DevSecOps導入のポイント

19. DevSecOps導入のポイント • ゴールを設定する • DevSecOpsによってどのような状態にしたいかを明確にする • シークレット露出の撲滅/平均復旧時間の短縮/過去におきたセキュリティインシデントを繰り返さない etc. • 組織にとっても最も恐れるセキュリティインシデントはなにか？

    • 開発スピードとセキュリティのバランス • セキュリティスキャンには一定の実行時間がかかるので、すべてのフェーズで「品質ゲート」のように適用するとリリースまでの スピードが著しく落ちる • 既存の開発プロセスのどのポイントがセキュリティ担保のチェックポイントとして重要かを理解して適用する。 • アラート疲労の問題 • セキュリティスキャンで脆弱性が見つかった場合、アラートの重要度に応じて誰がどのように対応するのかのプロセス設計が 重要 • 多すぎるアラートはアラート疲労や認知負荷の問題につながり、結果的に開発体験の低下につながるリスク • ツール以外のプロセス整備も重要 • そもそも開発者が「セキュリティ的に書いてはいけないコード」の共通認識があるか • セキュアコーディングルールの整備 • セキュリティインシデント発見時のプロセス設計

20. • DevSecOps • https://learn.microsoft.com/ja-jp/devops/operate/security-in-devops • 脅威モデリング • https://learn.microsoft.com/ja-jp/training/modules/tm-introduction-to-threat-modeling/1b-threat-modeling-phases?ns-enrollment- type=learningpath&ns-enrollment-id=learn.security.tm-threat-modeling-fundamentals •

    https://learn.microsoft.com/ja-jp/azure/well-architected/security/threat-model • Found Means FIX • https://github.blog/news-insights/product-news/universe-2024-previews-releases/ • Defender for CloudとSentinelによる開発プラットフォームのセキュリティ監視 • https://speakerdeck.com/yuriemori/xin-lai-dekirukai-fa-puratutohuomuwodouzuo-ruka-governance-as-codetoji-sok-de-jian-shi-slash- huidobatukugadao-kuplatform-engineeringnojin-mefang References

21. THANK YOU ☺