ストーリー
田
田中VPoE
ここまでの5つのStepで、DevSecOpsに必要なすべての要素を学んだ。最後の総合演習だ
あなた
セキュリティ要件、SAST/DAST/SCA、シークレット管理、ID管理、メトリクス…全部ですね
あ
田
田中VPoE
そうだ。CTOと経営会議に提出する「DevSecOps導入計画書」を完成させる。この文書が承認されれば、セキュリティパイプラインの全社展開プロジェクトが正式にキックオフする
田中VPoEは真剣な表情で続けました。
田
田中VPoE
この計画書は「ツールを入れます」という提案ではない。「なぜDevSecOpsが必要なのか」「何がどう変わるのか」「投資対効果はどうか」。経営層が「これで進めよう」と意思決定できるレベルにしてくれ
あなた
5つのStepで作った個別の成果物を統合し、一貫性と説得力のある計画書にまとめます
あ
ミッション概要
| 項目 | 内容 |
|---|---|
| 演習タイトル | DevSecOps導入計画書 |
| 想定時間 | 90分 |
| 成果物 | DevSecOps導入計画書(経営層承認用) |
計画書の構成
以下の7章構成に従って、DevSecOps導入計画書を作成してください。
第1章: エグゼクティブサマリー
現状の課題と提案する解決策を1ページにまとめてください。
- 現状のセキュリティ状態(ヘルススコアと主要リスク)
- DevSecOps導入で実現すること(3つの目標)
- 投資規模と期待されるROI
解答例
現状: セキュリティヘルススコア60/100。Critical脆弱性5件が未修正、PCI-DSS準拠率78%で不適合リスクあり。セキュリティテストのカバレッジ67%で、検査されないコードが本番に到達するリスク。
提案: DevSecOpsパイプラインの導入により、(1) セキュリティテストの100%自動化、(2) PCI-DSS/SOC 2の継続的準拠、(3) 脆弱性MTTRの50%短縮を12ヶ月で実現する。
投資: 年間約800万円(ツール50万円 + 外部ペンテスト300万円 + 研修150万円 + 人件費増分300万円)。セキュリティインシデント回避コスト(推定3,000万円/年)に対するROIは275%。
第2章: 現状分析
PayConnectの現在のセキュリティ状態を分析してください。
- セキュリティ成熟度評価(OWASP SAMM 6領域)
- 脆弱性の現状(数値データ付き)
- コンプライアンスのギャップ分析
解答例
成熟度評価
| SAMM領域 | 現在のレベル | 業界平均 | ギャップ |
|---|---|---|---|
| Governance | L1 | L2 | 戦略未策定、メトリクス未定義 |
| Design | L1 | L2 | 脅威モデリング未実施 |
| Implementation | L2 | L2 | SAST/SCA一部導入済み |
| Verification | L1 | L2 | DAST手動実行のみ |
| Operations | L1 | L2 | インシデント対応が属人的 |
総合: L1.2(業界平均L2に対して0.8ポイント不足)
脆弱性の現状
| 指標 | 現在値 | 目標値 | ギャップ |
|---|---|---|---|
| Critical脆弱性 | 5件 | 0件 | -5件 |
| MTTR(Critical) | 36時間 | 24時間 | -12時間 |
| パイプラインカバレッジ | 67% | 100% | -33% |
| PCI-DSS準拠率 | 78% | 95% | -17% |
第3章: DevSecOpsアーキテクチャ
導入するセキュリティパイプラインの全体像を設計してください。
- セキュリティテストピラミッド(5層)
- ツール選定と構成図
- セキュリティゲートポリシー
解答例
ツール構成
| レイヤー | ツール | 目的 | コスト |
|---|---|---|---|
| IDE | Semgrep LSP | リアルタイム検出 | 0円 |
| プリコミット | Gitleaks | シークレット検出 | 0円 |
| PR | Semgrep, Trivy, Dependabot | SAST/SCA/依存管理 | 0円 |
| ビルド | Trivy (Image), Syft (SBOM) | コンテナスキャン | 0円 |
| ステージング | OWASP ZAP | DAST | 0円 |
| コンプライアンス | OPA, Checkov | ポリシーチェック | 0円 |
| シークレット管理 | HashiCorp Vault | シークレット一元管理 | 0円(OSS) |
| ID管理 | Auth0 | 認証・SSO | 約500万円/年 |
| ダッシュボード | DefectDojo + Grafana | 可視化 | 約50万円/年(インフラ) |
第4章: シークレット管理とID管理
シークレット管理基盤とID管理基盤の設計を記載してください。
- Vault導入計画(3フェーズ)
- ID管理基盤のアーキテクチャ
- ゼロスタンディング権限の導入計画
解答例
Vault導入3フェーズ
| フェーズ | 期間 | 内容 |
|---|---|---|
| Phase 1 | Month 1-2 | Vaultインフラ構築 + 非Criticalシークレット移行 |
| Phase 2 | Month 3-4 | 動的シークレット導入 + 全Criticalシークレット移行 |
| Phase 3 | Month 5-6 | JITアクセス導入 + ブレイクグラス手順整備 |
ID管理基盤
| コンポーネント | ツール | 機能 |
|---|---|---|
| IdP | Auth0 | ユーザー認証、MFA、エンタープライズSSO |
| 認可エンジン | OPA | RBAC + テナント分離ポリシー |
| テナント分離 | PostgreSQL RLS + OPA | 多層防御 |
| プロビジョニング | SCIM | 自動ユーザー管理 |
第5章: メトリクスとガバナンス
セキュリティメトリクスとガバナンスの設計を記載してください。
- KPIと目標値(SLA付き)
- ダッシュボード設計(3層)
- セキュリティレビュープロセス
解答例
KPIと目標値
| KPI | 現在値 | 6ヶ月後目標 | 12ヶ月後目標 |
|---|---|---|---|
| Critical脆弱性数 | 5 | 0 | 0 |
| MTTR(Critical) | 36h | 24h | 12h |
| パイプラインカバレッジ | 67% | 100% | 100% |
| PCI-DSS準拠率 | 78% | 90% | 95% |
| ヘルススコア | 60 | 75 | 85 |
セキュリティレビュープロセス
| 頻度 | 内容 | 参加者 |
|---|---|---|
| 毎日 | セキュリティダッシュボード確認 | セキュリティチーム |
| 週次 | 脆弱性対応ステータス確認 | セキュリティ + 開発リード |
| 月次 | セキュリティメトリクスレビュー | セキュリティマネージャー + VPoE |
| 四半期 | 成熟度評価 + 改善計画更新 | CTO + セキュリティチーム |
第6章: 導入ロードマップ
12ヶ月の導入計画を策定してください。
- 四半期ごとのマイルストーン
- 各フェーズのリスクと対策
- 必要なリソース(人員、予算、インフラ)
解答例
12ヶ月ロードマップ
| 四半期 | マイルストーン | 成果物 |
|---|---|---|
| Q1 | パイプライン基盤構築 | SAST/SCA/Secret Scan 100%展開、セキュリティゲート運用開始 |
| Q2 | シークレット管理 + DAST | Vault本番稼働、DAST自動化、Critical脆弱性ゼロ達成 |
| Q3 | ID管理 + メトリクス | Auth0本番稼働、エンタープライズSSO対応、ダッシュボード構築 |
| Q4 | 最適化 + 成熟度評価 | L4達成確認、次年度計画策定、PCI-DSS 95%達成 |
リソース計画
| リソース | Q1 | Q2 | Q3 | Q4 | 年間合計 |
|---|---|---|---|---|---|
| セキュリティエンジニア | 2名 | 2名 | 2名 | 2名 | — |
| DevOpsエンジニア(兼務) | 1名 | 1名 | 0.5名 | 0.5名 | — |
| ツールコスト | 50万円 | 50万円 | 175万円 | 175万円 | 450万円 |
| 外部ペンテスト | 0 | 75万円 | 75万円 | 75万円 | 225万円 |
| 研修 | 50万円 | 0 | 50万円 | 50万円 | 150万円 |
第7章: 投資対効果(ROI)
DevSecOps導入の投資対効果を算出してください。
- 3年間のTCO
- 定量的な効果(インシデント回避コスト、工数削減等)
- リスク調整ROI
解答例
3年間TCO
| 項目 | Year 1 | Year 2 | Year 3 | 合計 |
|---|---|---|---|---|
| ツール/インフラ | 450万円 | 500万円 | 500万円 | 1,450万円 |
| 外部ペンテスト | 225万円 | 300万円 | 300万円 | 825万円 |
| 研修 | 150万円 | 100万円 | 100万円 | 350万円 |
| 人件費増分 | 300万円 | 200万円 | 200万円 | 700万円 |
| 合計 | 1,125万円 | 1,100万円 | 1,100万円 | 3,325万円 |
3年間効果
| 効果 | 年間効果 | 3年合計 |
|---|---|---|
| インシデント回避(1件あたり3,000万円 × 確率20%削減) | 600万円 | 1,800万円 |
| セキュリティレビュー工数削減(自動化) | 500万円 | 1,500万円 |
| コンプライアンス監査工数削減 | 300万円 | 900万円 |
| 開発者生産性向上(セキュリティ差し戻し削減) | 800万円 | 2,400万円 |
| PCI-DSS不適合罰金の回避 | 1,000万円 | 3,000万円 |
| 合計 | 3,200万円 | 9,600万円 |
ROI
- 標準ROI: (9,600 - 3,325) / 3,325 = 189%
- リスク調整ROI(係数0.5): 189% × 0.5 = 94%
- 回収期間: 約14ヶ月
達成度チェック
| 観点 | 達成基準 |
|---|---|
| エグゼクティブサマリー | 課題・解決策・ROIが1ページにまとまっている |
| 現状分析 | 成熟度評価と脆弱性データに基づいた分析 |
| アーキテクチャ | ツール選定、パイプライン設計、ゲートポリシーが設計されている |
| シークレット/ID管理 | Vault導入計画とID管理基盤が設計されている |
| メトリクス | KPI、ダッシュボード、レビュープロセスが定義されている |
| ロードマップ | 四半期ごとのマイルストーンとリソース計画がある |
| ROI | 3年間のTCO、効果、リスク調整ROIが算出されている |
推定所要時間: 90分