ガイドライン、ツール、
セキュリティキックオフ、
教育機会などの提供
株式会社デンソー様 │ SecuriST 実践的DevSecOps入門講座
~多様な開発現場におけるDevSecOps実践とセキュリティ品質保証への挑戦~
自動車部品のみならず、ファクトリーオートメーション、ヘルスケアなど多角的なサービスを提供しているデンソー様ではアジャイル開発の取り組みが進んでおり、SecuriST実践的DevSecOps入門講座などの受講を通じて開発スタイルの変革に取り組んでいます。
株式会社デンソー様は先進的な自動車技術、システム・製品を提供する、グローバルな自動車部品メーカーで、売上高連結 7兆1,618 億円(2024年4月1日~2025年3月31日)を誇る日本を代表する企業です。その事業範囲は自動車部品の製造に留まらず、自動車部品づくりで培ったものづくりの技術を活かし、ファクトリーオートメーション、農業の工業化、家庭用空調機器などの生活関連機器と多岐に渡ります。いずれのサービスにおいてもITが密接にかかわっており、中でもセキュリティ対策の重要性は年々高まっています。進化のスピードが速いITトレンドの中、迅速にサービスをリリース、改善していくために、同社ではアジャイル開発に取り組む中、「実践的DevSecOps入門講座」を受講いただきました。受講の背景や活用への展望、セキュリティ対策を進める仲間づくりまで、講座監修者でもあり講師を務めた株式会社トライコーダー代表取締役上野宣氏を交え、幅広くお話をお伺いしました。
目次
導入サービス
対談者プロフィール(※所属・役職は取材時現在のものです)
情報セキュリティ推進部 製品セキュリティ室 監査・アセスメント課 課長
境目 真一郎氏
デンソーで設計・生産されるコネクテッド製品のセキュリティ保証にかかるガバナンス対応に従事。特に製品そのもののセキュリティに関する戦略/企画、監査・アセスメント、技術者向け教育講師・啓蒙活動などを担当。
情報セキュリティ推進部 製品セキュリティ室 監査・アセスメント課 担当係長
高木 康平氏
非車載製品のセキュリティ品質評価・脆弱性対応支援に従事。新法規対応にかかる企画や社内調査から、実運用中の製品に対するセキュリティ統制推進を担当。
情報セキュリティ推進部 製品セキュリティ室 プロセス推進課 担当係長
新出 純一氏
車載製品のセキュリティプロセス企画/アセスメント業務を担当した後、非車載製品のセキュリティプロセス推進/評価業務に従事。セキュリティ品質向上/統制のための仕組み作りから運用までを担当。
株式会社トライコーダー
代表取締役 上野 宣 氏
セキュリティの第一人者であり、GSXの社外取締役も務める。SecuriST認定脆弱性診断士など講座の監修を担い、DevSecOPS講座も立ち上げ講師も行う。
サイバー攻撃の高度化と頻発により、製品やサービスのセキュリティ品質保証は企業にとって避けて通れない課題となっています。特に、開発現場においては「セキュリティは後付け」から「セキュリティ・バイ・デザイン」への転換が求められ、DevSecOpsに対する注目が高まっています。本稿では、デンソー様の開発現場におけるDevSecOpsの導入とセキュリティ品質保証体制の整備や課題、セキュリティ対策推進に向けた仲間づくりの手法、今後の展望について幅広く紐解いていきます。
製品やサービスごとの特性に合わせて開発プロセスや手法を最適化し、セキュリティを実装していく
上野氏)デンソー様では幅広いサービスを展開していらっしゃいます。どのような開発体制を取っていらっしゃいますでしょうか?
境目氏)デンソーでは、「世界中のお客様に安全で信頼性の高い製品を届ける」というミッションを持ち、自動車部品はもちろんのこと、これまで培ったノウハウを活用し、例えば農業や工場用製品、Webサービスの提供まで幅広いソリューションを提供しています。製品セキュリティは、もはや品質保証の一部ではなく、命を守るための必須条件です。また、お客様からお預かりしている情報資産をセキュリティの脅威から保護することも大きなミッションです。そのような背景の中、情報セキュリティ推進部 製品セキュリティ室では開発部門に対し、ガイドラインの策定、ツールの提供、教育機会などの提供、セキュリティ監査などの役割を担っています。
製品セキュリティ室
開発部門
製品開発
サービス開発
サービス開発
製品セキュリティ室
成果物に対する
セキュリティ監査
セキュリティ監査
自動車系に代表される重要製品群と、Webサービスを含むITサービス系では、いずれも品質保証を組み込むことは当然のことながら、開発プロセスもセキュリティ体制も大きく異なります。ITサービス系では、製品セキュリティ室が「セキュリティ・バイ・デザイン」として、開発プロセスに従い、セキュリティ審査を行っています。また、PSIRTとして出荷後・サービス提供後のセキュリティ保証にも取り組んでいます。ルール策定などを通じてガバナンスを効かせることを製品セキュリティ室が担っています。
上野氏)多様なサービスに対しセキュアな開発を実現していくにあたってはどのような課題感をお持ちでしょうか?
境目氏)2017年から製品セキュリティ推進が始まり、自動車以外の製品でも2019年から本格的に対応を開始、2020年には設計フェーズでセキュリティ対応を必須とするルールが導入されました。ルール策定や体制変更、ツール導入などを担い、全社的なガバナンス強化を目指しています。しかし、開発形態は製品・サービスごとに多様化しています。ウォーターフォール型、アジャイル型、外部委託比率の高い製品など、開発スタイルは多岐にわたるため、ツールの全社統一や同一タイミングでの適用は現実的ではありません。そのため、製品、開発規模、開発体制を鑑み、個別最適を重視しつつ、ガバナンスを保つというバランスが求められます。また、セキュリティチェックを人手だけで行うことには限界があり、SAST(静的解析)とDAST(動的解析)を導入し、定着に約2年を要しました。CI/CDとの連携も検討しましたが、共通基盤の構築は断念し、各プロジェクトごとの最適化を選択する方針となりました。CI/CDが適しているのは、継続的に機能追加が行われるITサービス系であり、量産型の物理製品では運用に馴染みにくく、製品ライフサイクルの違いが、DevSecOpsの適用可否に大きく影響すると考えています。
開発手法とセキュリティ実装手法の認識GAPは丁寧な説明で解消していく
上野氏)DevSecOpsはまだ日本には浸透しきっていない中、御社でのDevSecOpsに関する取り組みについてお聞かせください。
境目氏)DevOps、CI/CDについて以前から認識しており、CI/CDの中にセキュリティを組み込んでいくことをイメージしていました。DevSecOpsはデンソーの中でもまだ認知が限定的ですが、効率化の一環として検討されることがあります。DevOpsをやっていないとDevSecOpsに至ることはできないと考えています。アジャイル開発をやっている人、アジャイル開発が向いている製品を担っている人に向けて浸透を図っていくことを考えています。ITサービス系ではおよそ25%の人がアジャイル開発に取り組んでおり、個別最適を目指す中で、導入可能な箇所を探っている段階です。今後はさらに活用が広がっていくと考えています。
上野氏)セキュリティ実装を推進していくにあたってはどのような苦労がありますか?
境目氏)セキュリティ施策は現場にとって「追加コスト」として受け止められることがあります。セキュリティの重要性は認識されつつも、方法論で食い違いは起こります。ガバナンス側が汎用手順を設計しても、現場からは「非効率」との声が上がることも正直あります。アジャイル開発と監査の相性といった点では、スプリントごとに監査が必要となる運用は現実的ではありません。ガチガチにルールを作ってしまうと開発現場にとっては現実的ではないため、背景をしっかりと説明し、現場に寄り添いながら個別最適化とセットでセキュリティ実装の手法を構築していくなど、各現場にあった手法を探って、丁寧なフォローを行っています。
仕組みやルールだけでは、セキュアな製品は作れない
上野氏)DevSecOps入門講座を導入したきっかけについてお聞かせください。
境目氏)チェックリストやガイドラインを配布しても、現場の開発者が背景を理解しなければ、形骸化してしまいます。ルールや仕組みだけではセキュアな製品は作れないため、開発者のセキュリティリテラシーと技術知見が不可欠と考え、「教育」と「啓蒙」を二本柱として据えました。キックオフでの事前説明の場では、新プロジェクト開始時に最低限のセキュリティ教育を徹底し、監査でのフォローアップ時にもガイドライン遵守だけでなく、背景理解を促すよう工夫しています。加えて、開発の後工程で問題対応する負担を避けるため、開発の早い段階でセキュリティを組み込む「シフトレフト」を重視しています。ガイドライン提供(前工程)、プロジェクト開始時のキックオフ、成果物へのセキュリティ監査(後工程)など、複数の接点を設けることで、ルールの意図伝達や啓蒙活動、追加教育といった多角的なフォローアップ体制を構築しています。これらを実現するためには、セキュリティ文化を根付かせることが重要で、ISOや各種規格にも記載されるこの理念を、現場レベルで実現するための工夫が続いています。設計段階でセキュリティを織り込むには、DevSecOpsの考え方が不可欠と考え、DevSecOps入門講座の採用を決めました。SecuriST脆弱性診断士講座やSecuriSTWebアプリ設計講座は、監査や管理側のスキル強化に有効でした。一方で、設計者には別のアプローチが必要と考え選んだのがDevSecOps入門講座です。
共通のセキュリティ文化を醸成する
上野氏)DevSecOps入門講座には多くの部門の方が受講いただきました。どのようにお声がけしたのでしょうか?
高木氏)手を挙げて頂いた方と、声をかけた方が半々でした。募集時にセキュリティスキルを強化したい人を事務局側で選定したり、所属部門の責任者の方に推薦いただくなど、事前のすり合わせを行いました。DevOps未経験者にも参加いただいています。講座の満足度は高く、技術に対する理解だけではなく、セキュリティ文化の醸成に関する考え方を現場開発者が共通認識として持ち帰ることができた点がよかったです。
上野氏)過去に開発会社向けにセキュリティ文化を根付かせたいという要望を受けて作ったプログラムがあり、どの会社でも共通に持っている課題と認識しています。
境目氏)セキュリティ推進者とプロジェクト内の管理者による二段構えの体制が整備されつつありますが、ミッションやロールの定義や受け取り方にばらつきがあり、セキュリティチャンピオン的な動きをしてもらえるか、バランスや底上げに課題感を感じています。内製でも教育を実施していますが、聞いているだけになっていることも少なからずあり、DevSecOps入門講座のように環境が提供され、手を動かすことでスキルを身に着けることができる機会は貴重です。
上野氏)DevSecOps入門講座を受講され、どのようなことが得られましたでしょうか?
境目氏)前述の通り、DevOpsの知見が少ないメンバーも受講しており、「ハンズオンで実際に手を動かせたのが良かった」受講者の声で最も多かったのはこの言葉です。リモート講義だけでは定着しない知識も、実践を伴えば記憶に残すことができます。
さらに、現地開催による部署間交流も大きな成果でした。「他部署の質問を聞いて、自分たちの遅れを痛感した」「同じ課題を抱える仲間がいると分かった」こうした気づきが、セキュリティ文化の醸成につながっています。上野さんが語った「文化の重要性」も印象的でした。単なるスローガンではなく、実践に落とし込むための考え方を示したことで、受講者の意識は確実に変わりました。
セキュリティ対策の実現は日々の仲間探しから
上野氏)今後DevSecOpsなど新たな手法を根付かせていくための取り組みについてお聞かせください。
境目氏)どこかのチームで成功事例を作って横展開していくことを目指しています。仲間づくりを日々行っていくことがとても重要です。常にアンテナを立て、セキュリティ意識が高い人を巻き込んでいくことを意識して取り組んでいます。監査などのタイミングで様々な部署の人と接する機会があることから、都度積極的にコミュニケーションを取り、キーマンや意思決定ができる人を見つけ、巻き込んでいくことで、様々な取り組みを前進させることができます。DevSecOpsは、開発効率が高まり、品質のボトムラインを高めることができる手法として期待しており、活用範囲を広げていきたいと考えています。ツールによるCI/CDに対するアウトプットが定型的に提供される点は有用です。1人でも多くの人にセキュリティを好きになって欲しいと考えており、セキュリティを好きになってもらうツールとしてもDevSecOpsが活用できると考えています。
上野氏)DevSecOpsはシステマティックな点が多く、CI/CDに準じてセキュリティ実装がされていくため、システム開発者にとっても楽しんでいただけると感じます。
境目氏)DevSecOpsは短サイクルで改善を行うスマホアプリや、クラウド連携するIoT製品との親和性が高いと感じます。特にIoT製品は、出荷後の法規制対応(CRAなど)や継続的なセキュリティ対応が必須であり、DevSecOpsのエッセンスを組み込むことが品質向上とリソース効率化の鍵です。また、DevSecOpsをそのまま導入するのではなく、「エッセンス」をウォーターフォール開発を含む様々な開発プロセスにも適用できるのではないかとも考えています。開発から運用まで一貫してセキュリティを効率的に担保するという考え方は応用可能であり、手動チェックの限界を超えるための仕組み化・ツール化といった活用方法も模索していきたいと考えています。
役割の違いによる様々な「差異」を埋める
上野氏)DevSecOpsの実装に向けて今後の展望をお聞かせください。
新出氏)受講後、ツールはどれが最適であるか、などといった質問を受けて対応しています。事業目線に立って寄り添いながら支援しています。また、活動を進めるためには各部門における文化の醸成が重要であると感じています。
境目様)DevSecOpsは一つの方法論であり、幅広く方法論を知っておくことが重要です。知らなければ選ぶことができません。DevSecOpsは効率化よりもガバナンスを効かせる、抜け漏れなくセキュリティ対策を実装していく手法としての活用を期待しています。受講を通じ、インフラとアプリ、開発と運用といった役割の違いに起因する考えの相違に対し統一見解を持ったり、セキュリティに対する知識や課題認識を同一にできたり、共通言語を持つことができたりといった効果を感じています。また、セキュリティ監査の観点では、攻撃手法をイメージし設計に反映することができると感じています。ただし、各自が有している知識や経験をしっかりと考慮していくことが求められます。
上野氏)今後の人材育成の方針についてお聞かせください。
境目様)教育は終わりのない旅です。人材育成にあたっては、内製による教育と、外部の教育を、対象者の役割に応じた研修プログラムを選択しています。「DevSecOps入門講座」は開発プロセスの設計者向け、「脆弱性診断士講座」や「Webアプリケーション設計士講座」は成果物をチェックする監査者や管理側のメンバー向けに活用しています。これらにより、監査能力の向上や監査可能な人員の拡大の実現を目指しています。
また今後は、裾野拡大という観点ではSecuriST脆弱性診断士レベルで入門層を強化、ベテラン育成という観点では高度スキルを持つ監査者や設計者の増加、ホワイトハッカー育成という観点では攻撃者視点を持つ人材を社内に増やす、ということにも取り組んでいこうと考えています。新しい技術領域が出てきたら、既存教育に織り込むか、新たにカリキュラムを立ち上げるという考え方を持っており、今回のDevSecOps講座も、そうした挑戦の一環でした。今後もGSXをはじめ、外部との連携を視野に入れながら進化を続けていきたいと考えています。
デンソー様のDevSecOpsの取り組みは、単なる技術導入にとどまらず、組織文化の変革と人材育成を伴う長期的な挑戦でもあります。開発の多様性や心理的抵抗、ツール運用の難しさなど、課題は多岐にわたります。セキュリティを「好きになってもらう」ことを目指し、仲間づくりや教育、成功事例の横展開を通じて着実に前進しているデンソー様は、今後の日本企業におけるDevSecOps推進のモデルケースとして多くの学びを得ることができます。ガバナンスと現場の最適化のバランスを取りながら、共通言語を育み、セキュリティを自分事として捉える人材を増やしていくことが、持続可能なセキュリティ品質保証の鍵です。GSXはデンソー様の人材育成を今後もご支援して参ります。
ポイントの整理
- 開発手法に合わせた技術の選択と丁寧な説明 開発手法に合わせて技術を選択するだけにとどまらず、その背景や理由などを丁寧にコミュニケーションすることで、納得感が高まります。
- セキュリティに対する文化の醸成 セキュリティに対する意識を文化レベルで高め、当事者間での共通認識を持てるかどうかが、セキュリティ人材の育成ならびに体制構築に欠かすことができません。
- 仲間づくりは日々のコミュニケーションの中から 常にアンテナを張り、あらゆるコンタクトポイントでセキュリティを一緒に推進してくれる仲間づくりが重要です。
- DevSecOps入門講座は若手からベテランまで有用な講座 若手にとっては新たな学びを得ることができ、ベテランにとっては振り返りや追加の知識習得に役立っています。
導入会社プロフィール
会社名
株式会社デンソー
本社所在地
愛知県刈谷市昭和町1-1
設立
1949年12月16日
資本金
1,875億円
従業員数
連結 158,056人
単独 43,781人
代表取締役社長
林 新之助
>> SecuriST 実践的DevSecOps入門講座 DevSecOpsは、開発(Dev)・運用(Ops)にセキュリティ(Sec)を統合することで、開発スピードを保ちながらセキュリティを確保する新しい開発手法です。各フェーズにセキュリティ対策を実施することでスピード向上・生産性の向上・信頼性の向上につながります。実践的DevSecOps入門講座は、DevSecOpsの知識や技術を習得する認定資格講座です。アジャイル開発やDevOpsのスピードを維持しながら、セキュリティを開発プロセスの初期段階から組み込む「シフトレフト」戦略を実践する方法を学びます。
本記事のシェアはこちらから
