セキュリスト(SecuriST)®

セキュリスト|実践的DevSecOps入門講座

実践的DevSecOps入門講座は、DevSecOpsの知識や技術を習得する認定資格講座です。アジャイル開発やDevOpsのスピードを維持しながら、セキュリティを開発プロセスの初期段階から組み込む「シフトレフト」戦略を実践する方法を学びます。

実践的DevSecOps入門講座は、DevSecOpsの知識や技術を習得する認定資格講座です。アジャイル開発やDevOpsのスピードを維持しながら、セキュリティを開発プロセスの初期段階から組み込む「シフトレフト」戦略を実践する方法を学びます。

DevSecOpsは、開発(Dev)・運用(Ops)にセキュリティ(Sec)を統合した新しい開発手法です。開発スピードを保ちながらセキュリティを確保することが、DevSecOpsを取り入れるメリットです。これらを実現するため、各フェーズにセキュリティ対策を実施し、セキュリティ品質を担保します。つまり、スピード向上・生産性の向上・信頼性の向上につながります。

急速なビジネス環境の変化や技術革新に応じたDXを実現するため、従来のウォーターフォール開発から、より短い開発ライフサイクルと柔軟性を備えたアジャイル開発、さらにはDevOpsへと新たなITシステムの開発手法への転換が求められます。一方、スピードが重視される開発手法においては、セキュリティ対策が後回しにされるリスクをデジタル庁は発信しています(*1)。そこで、セキュリティを開発段階から組み込む「シフトレフト」の考え方が重要になってきており、開発(Dev)・運用(Ops)にセキュリティ(Sec)を統合した新しい開発手法「DevSecOps」に注目が集まっています。

*1:2022(令和 4)年 6 月 30 日 デジタル庁『政府情報システムにおける セキュリティ・バイ・デザインガイドライン』P5:「2.2 セキュリティ・バイ・デザインの導入メリット」
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/2a169f83/20220630_resources_standard_guidelines_guidelines_01.pdf

しかし、日本ではアジャイル開発やDevSecOpsといった新たな開発手法への転換が進んでいない実態があります。「IPA DX白書2023」によると、「アジャイル開発手法やDevSecOpsを活用・検討している」と答えた企業の割合が、IT技術先進国の米国は7割を超えている中、日本は2~4割にとどまっています(*2)。日本に普及しない要因として、体系的に学習できる環境の不足と、それに伴う専門人材の不足などが考えられます。

アジャイル開発の利用状況についてのグラフ
DevSecOpsの利用状況についてのグラフ
グラフ詳細

「*2:「IPA DX白書2023」第一部 第5章 頁028 [2] 図表1-29「ITシステムの開発手法・技術の活用状況(開発手法):
https://www.ipa.go.jp/publish/wp-dx/gmcbt8000000botk-att/000108041.pdf

日本では数少ない、DevSecOpsに特化した講座です。短期間(2日間)でDevSecOpsの開発手法を学習します。本講座はシステム開発者を対象とし、CI/CDパイプラインにセキュリティを組み込む「シフトレフト」戦略に基づき、DevSecOpsの基本概念~開発スピードとセキュリティの両立を学ぶ構成となっています。CI/CD環境の構築とセキュリティツールの統合を演習形式で体験することにより、実践的なDevSecOpsによる開発力を育成します。さらに、DevSecOpsを組織に根付かせるためにはセキュリティ専門チームだけではなく、組織全体での取り組みと、そのセキュリティ文化の醸成が必要です。この講座では、DevSecOpsの重要性や、組織に定着させるための理解すべき課題やベストプラクティスも深く掘り下げます。受講者が学びを活かし、組織を先導し、DevSecOpsの文化や体制を構築いただくことを目指します。

この「実践的DevSecOps入門講座」を受講された後に認定資格を取得する*ことで、スキルの証明にご活用頂けます。この認定資格は日本のサイバーセキュリティ第一人者である上野宣氏が監修をしています。
*認定資格の詳細は後日発表いたします。

コース概要

  1. DevSecOpsの基礎
  2. CI/CD基礎​
  3. GitHubによるバージョン管理
  4. GitHub Actions基礎
  5. CIでの自動テスト
  6. Dockerとコンテナ化
  1. 静的解析(SAST)とソフトウェア構成解析(SCA)
  2. 動的解析(DAST)
  3. GitHubのセキュリティ機能
  4. CIS Software Supply Chain Security Guide の実践
  5. DevSecOpsの組織への導入

実践的DevSecOps入門講座の強み

セキュリティを「開発の障害」ではなく「品質の向上」として捉え、開発チームとセキュリティチームが協力して安全なソフトウェアを継続的に提供する体制を構築することが、この講座の目的であり、強みです。

アイコン画像

DevSecOpsを知るだけでなく、定着させるまでをカバー

本講座では、DevSecOpsによる開発テクニックを学ぶだけでなく、DevSecOpsによる開発文化を定着させることまでが講座のテーマとなっています。そのため、身に付けた技術を知識だけで留めるのではなく、実際の開発プロジェクトに活用するまでが学習範囲となります。

アイコン画像

セキュリティのプロフェッショナルによる開発講座​

本講座は、日本のサイバーセキュリティ第一人者で、セキュリティエンジニアとしても第一線で活躍する上野宣氏が監修しており、開発観点だけでなくDevSecOpsにおけるセキュリティの観点をしっかりと押さえたCI/CD開発プロセスを体系的に学ぶことができます。​

アイコン画像

ハンズオン環境による実践力を鍛える​

座学での知識をつけるだけでなく、GitHub、Docker、ZAPを使ったCI/CD環境の構築とセキュリティツールの統合を演習形式で体験することにより、実践的なDevSecOpsによる開発力を育成します。

上野宣氏からのコメント:

講座を開講した背景:
近年、変化するビジネスニーズに迅速に対応するため、従来のウォーターフォール開発から、より短い開発ライフサイクルと柔軟性を備えたアジャイル開発、さらにはDevOpsへと移行する企業が増えています。しかし、この加速する開発プロセスにおいて、セキュリティ対策が後回しにされるリスクが顕在化しています。

アジャイル開発は、スピーディーなリリースを可能にする一方で、適切なセキュリティ対策が組み込まれていない場合、脆弱性が見過ごされ、開発の最終段階で深刻なセキュリティ問題が発覚することがあります。その結果、手戻りが発生し、スケジュールの遅延や修正コストの増大につながります。特に、脆弱性やサプライチェーン攻撃が増加する現代において、セキュリティは開発と同様に最優先事項であるべきです。

講座のポイントと目的:
本講座では、アジャイル開発やDevOpsのスピードを維持しながら、セキュリティを開発プロセスの初期段階から組み込む「シフトレフト」戦略を実践する方法を学びます。これにより、脆弱性の早期発見・修正を可能にし、セキュリティ対策のボトルネック化を防ぎます。また、DevSecOpsの考え方とその具体的な実装手法を学ぶことで、セキュリティを開発プロセスにシームレスに統合し、継続的な脅威への対応力を強化します。

さらに、本講座では単なる技術的な対策にとどまらず、DevSecOps文化を組織内に定着させるためのベストプラクティスについても深く掘り下げます。セキュリティを「開発の障害」ではなく「品質の向上」として捉え、開発チームとセキュリティチームが協力しながらセキュアなソフトウェアを継続的に提供する体制を構築することが、本講座の目的です。

受講者へのメッセージ:
この講座での学びを活かし、従来の開発手法から脱却し、DevSecOpsを組織の文化として根付かせることで、安全な製品・サービスを迅速に提供できる継続的な開発ライフサイクルの実現を目指してください。

上野 宣 氏

講師:上野 宣 氏

プロフィール
株式会社トライコーダ 代表取締役
OWASP Japan 代表
GSX 社外取締役

JNSA ISOG-J セキュリティオペレーションガイドラインWG (WG1) リーダー、情報処理安全確保支援士 集合講習講師、一般社団法人セキュリティ・キャンプ協議会理事・顧問、情報セキュリティ専門誌 ScanNetSecurity 編集長、Hardening Project 実行委員、SECCON 実行委員、NICT 実戦的サイバー防御演習 CYDER 推進委員、GMO Flatt Security 株式会社 社外取締役 など

トレーニング

2日間

受講場所

オンデマンド配信

講座概要

DevSecOpsの基礎、CI/CD基礎、GitHubによるバージョン管理、GitHub Actions基礎、CIでの自動テスト、Dockerとコンテナ化、静的解析(SAST)とソフトウェア構成解析(SCA)、動的解析(DAST)、GitHubのセキュリティ機能、CIS Software Supply Chain Security Guide

料金

220,000円/名 (税込み)

対象者

アプリケーション開発者、ウォーターフォール開発から前に進めたい方
アジャイル・DevOps開発実施中の方、CI/CDパイプラインの改善に興味がある方
※ 何等かの開発言語でアプリケーションの開発経験がある方を前提とします。GitHubの基礎知識(推奨)

効果
(達成目標)

セキュリティを意識したCI/CDプロセスとして、DevSecOpsの実践及びその文化を企業内に根付かせる方法について学ぶ

講座提供方式

日本語によるオンラインライブ又はオンデマンド配信での講義

お問い合わせはこちら

お問い合わせ

セキュリティに関するどのようなご支援をご希望ですか?
ご質問・ご相談・お見積りなど、お気軽にお問い合わせください。