CSA at RSA 2017 - Shannon Lietz - 'DevSecOps: What is it? Why is it taking over security?'

Cloud Security Alliance
28 Feb 201719:18

Summary

TLDRこのスクリプトでは、DevOpsとセキュリティの融合が議論されています。DevOpsの世界では、セキュリティの重要性が高まり、すべての開発プロセスに組み込む必要があります。クラウドの進化と、その環境におけるセキュリティの課題が強調されています。また、組織の各レベルでの意思決定の重要性や、セキュリティのスキルセットの拡大、そして敵対勢力に関する情報共有の重要性が語られています。最後に、セキュリティ専門家がDevSecOpsの心構えと能力を身につけるよう呼びかけています。

Takeaways

  • 🚀 「DevOpsは世界を食べている」という言葉が示すように、DevOpsの重要性が増している。
  • 🔒 セキュリティはこれまでの「邪魔者」イメージから、組織のイノベーションと共同で進化する役割を果たす必要がある。
  • 💼 セキュリティの専門家は、開発者と運用チームと協力して、セキュリティの課題を早期に解決することが求められている。
  • 🌐 クラウドの採用が増加するにつれて、セキュリティの取り組みもクラウド中心にシフトしている。
  • 👥 組織内でのスキルセットの多様性とコミュニケーションが、DevSecOpsの成功に不可欠である。
  • 🛠 セキュリティの専門家は、開発者と同様にコードを書く能力や、継続的デリバリーの理解を身につける必要がある。
  • 📈 セキュリティの指標とメトリクスは、組織の目標と合致し、リアルタイムでの対応が求められる。
  • 🐱 「猫の画像」はセキュリティセミナーでの伝統的なものであるが、環境が悪化するにつれてセキュリティ対策も進化する必要がある。
  • 🤝 セキュリティ分野の専門家が他の組織との情報を共有し、共同で脅威に対抗することが重要である。
  • 🌟 CSA(クラウドセキュリティアライアンス)は、DevSecOpsの考え方を組織全体に展開し、自動化とセキュリティの統合を促進する必要がある。

Q & A

  • スピーカーはなぜDevOpsトラックではなくセキュリティに関する講演に参加しましたか?

    -スピーカーはDevOpsトラックにいたはずでしたが、セキュリティに関する講演に興味を持っていたため、道を逸らして参加することにした。

  • スピーカーはなぜクラウドへの移行を決意したと述べていますか?

    -スピーカーが勤務する30年の歴史を持つソフトウェア会社はクラウドへの完全移行を望んでおり、そのためにスピーカーがそのプロジェクトに参加した。

  • スピーカーが立ち上げた「Deborah Cobbs Foundation」とは何ですか?

    -Deborah Cobbs Foundation はスピーカーが立ち上げたもので、セキュリティやDevOpsの分野で女性の参加を促進する目的があります。

  • スピーカーはなぜセキュリティとDevOpsの統合が重要だと述べていますか?

    -スピーカーは、セキュリティがソフトウェア開発のイデーション段階から考慮される必要があり、DevOps文化が普及する中でセキュリティも同様に統合されるべきだと述べています。

  • スピーカーが指摘する「ユニコーンはダメだ」という表現は何を意味していますか?

    -「ユニコーンはダメだ」という表現は、開発者が魔法のようにソフトウェアを作り出し、悪影響をもたらすとセキュリティチームがそれを片付ける必要がある、という現状を批判しています。

  • スピーカーはなぜセキュリティの左シフトが重要だと主張していますか?

    -セキュリティの左シフトは、セキュリティの考慮を開発プロセスの初期段階に組み込むことで、問題を早期に特定し修正する機会を提供し、全体的な開発プロセスの質を向上させるためです。

  • スピーカーがDevSecOpsの定義をどのように述べていますか?

    -スピーカーはDevSecOpsを、コミュニティ主導の取り組みとして定義し、特定の企業が主張するものではなく、広範なコミュニティの努力の結果として見なしています。

  • スピーカーはクラウドセキュリティの取り組みをどのように説明していますか?

    -スピーカーは、セキュリティをクラウドに移行し、セキュリティ担当者がコードを書くこと、継続的デリバリーを行うこと、CI/CDの言語を理解することを通じてスキルを身につけることが重要だと説明しています。

  • スピーカーがDevSecOpsの取り組みで直面した初期の課題とは何でしたか?

    -初期の課題として、スピーカーは、開発、セキュリティ、運用のスキルセットが異なるチームに分かれていたこと、クラウドへの移行におけるソフトウェアサプライチェーンの変化、意思決定プロセスの改革などについて触れています。

  • スピーカーはどのようにして組織のセキュリティのスキルセットを向上させようとしていますか?

    -スピーカーは、開発者、セキュリティ専門家、運用スタッフを一つのチームに組み合わせ、彼らが互いのスキルを学び合いながら議論を深めることで、組織のセキュリティスキルセットを向上させようとしています。

Outlines

plate

Этот раздел доступен только подписчикам платных тарифов. Пожалуйста, перейдите на платный тариф для доступа.

Перейти на платный тариф

Mindmap

plate

Этот раздел доступен только подписчикам платных тарифов. Пожалуйста, перейдите на платный тариф для доступа.

Перейти на платный тариф

Keywords

plate

Этот раздел доступен только подписчикам платных тарифов. Пожалуйста, перейдите на платный тариф для доступа.

Перейти на платный тариф

Highlights

plate

Этот раздел доступен только подписчикам платных тарифов. Пожалуйста, перейдите на платный тариф для доступа.

Перейти на платный тариф

Transcripts

plate

Этот раздел доступен только подписчикам платных тарифов. Пожалуйста, перейдите на платный тариф для доступа.

Перейти на платный тариф
Rate This

5.0 / 5 (0 votes)

Связанные теги
セキュリティDevOpsクラウド統合イノベーションリスク管理チームワーク技術トレンド教育コミュニティ
Вам нужно краткое изложение на английском?