皆様、こんにちは。NITLABOデボープスウェビナーシリーズ 開催していただきます。この度はシリーズにご参加いただき、誠にありがとうございます。デボープスウェビナーシリーズ、今回3回目で最終回となってまいります。今までAzure Planning Team Collaborationと開催してまいりましたが、それにつきましては、弊社YouTubeチャンネルにアップロードしております。まだご視聴されていない方や、改めてご覧いただきたい方、ぜひご選択いただけますでしょうか。YouTubeチャンネルのですね、チャンネルの中にJapan Needsという代名がございますので、そちらが1回目、2回目のウェビナーになっております。さて、本日はですね、アプリケーションセキュリティに関して開催していただきます。アスタリスクサーチの岡田さま、アプリケーションセキュリティの大臣者として、サービスなどのトップ企業のアプリケーションセキュリティチームをリードしておられ、また、オアフスムについてですね、Japan Chapterのリーダーでございます。岡田さまより、アプリケーションセキュリティのシフトレクトを効果的に実践する方向についてお話いただきます。また、後半はGITラボのセキュリティチェック機能及びその適応方法について、弊社、伊藤からデモをまじでご説明させていただく予定でございます。また、この度も9月の絵の時間を模型させていただきました。切損中で問題がございませんので、テキストの入力なり大変お手伝いを申し上げませんが、画面下の9月の絵機能にてどうしようしご質問の方をご記入いただけますと、幸いでございます。なお、公園途中でスピカの方から各質問をご用意させていただけれます。随時、投票機能を立ち上げさせていただきますので、ご協力のほどよろしくお願い申し上げます。また、後日、アンケートの方、ご協力の方をお願いする形になるんですが、今回は最終回ということもありまして、ささやかでございますが、中線で2名様へバックパックのプレゼントをご用意させていただいております。ぜひ、アンケートへのご協力をいただきますと、ありがとうございます。それではまず、岡田さんのご公園よりご視聴ください。岡田さん、よろしくお願い致します。本日はよろしくお願いします。共有はさせていただいていいでしょうか。では、皆さんお疲れ様です。今日はシフトレフトの話をさせていただくんですけれども、普段は目の前に皆さんの顔を見ながら、インタラクティブに話をするのが好きなわけなんですが、こういうご時世ですので、ズームごしということになります。それで、もしよろしければ、普通のリアクションに関しても、チャットの方でどしどしやっていただければ嬉しいなと思っています。何か面白いこと言ったなとか、あるいは良いこと言ったなと思ったら、数字の8をですね、888と入れていただきますと、リア受けたなとかですね、返事があったなというような感じで、こちらも嬉しいのでですね、そんなふうに、いいですね。早速入れてくださいって。ありがとうございます。ぜひ、そのような感じでリアクションしていただければなと思います。また後ですね、この後Q&Aのセッションなんかもありますので、森田さんがご案内くださいましたように、ぜひですね、Q&Aの方も入れていただければなと思っています。今、スライドも私の方も見えていますか?大丈夫ですね。では、進めたいと思います。アスタリスクリサーチの岡田と申します。会社のウェブサイトにもですね、シフトレフトでビジネスセキュリティを実現とか書いていますけど、最近、メディアに出たところでいきますと、パイプドビッズさんの事例ですね、使ってる企業多いと思うんですけども、いろいろのメールのデリバリーですとか、あるいはアンケートのデリバリーですとか、情報の銀行とメールって一生懸命頑張っていらっしゃるとこです。この企業は、セキュリティインシデントをきっかけにですね、セキュリティに関しては、特にアプリケーションセキュリティのシフトレフトに関しては、本語詞を入れて頑張っていらっしゃる企業でございます。そこでの事例なので、ぜひまたご覧になってみてください。私の本業はですね、このようにアプリケーションのセキュリティを実現する企業の支援をさせていただいているというところでございます。今日のシフトレフトの話ですが、短い30分弱くほどの時間ですので、およそ概要をお知らせするんですけれども、それでも何から手をつけたらいいのかというようなところは、ぜひ持って帰っていただきたいなと思っています。必要な理由、シフトレフトって何みたいなところもありますが、シフトレフトって聞いたことないけど、今日参加してくださっている方もおられるんでしょうか。ちょっとお聞きしてみましょう。Q&Aの機能を使ってですね、ちょっとお聞きしたいと思います。あの、差し遣いない範囲でぜひお答えください。まあ、どれが一番手はまるかなというところでクリックしてください。色々な人がセキュリティについて考えています。セキュリティの問題がたきに渡っているので、そうした問題を解決するための手立てが必要だからですね。およそ書いていただきましたでしょうか。はい。それぞれの立場が終わりかと思いますけれども、ちょっと結果表示していただいていいですか。ありがとうございます。ソフトフェアに関して言うと、間接的に支援をするポジションの方々が約半分、そしてまた半分ぐらいが、ソフトウェア、設計や開発を担当されている方ということですね。お忙しいのに手を止めて参加してくださってありがとうございます。さて、そのような問題意識の中ですね、進めていきますが、まずやっぱり背景的に、ウェブにしろ、スマホにしろ、APIだけのシステムにしろですね、それを狙って悪用するということで、犯罪が成立するということが非常に大きな問題になってきています。ですから、この問題は見逃せ、見過ごせないという、そういった問題、ところがあると思います。もう一つ、IPAが出しているものの中でも、重大脅威のうちですね、アプリケーションの脆弱性だけじゃないんですけども、システムが悪用可能な状況であるということによる企業に人材の影響を及ぼすものというのは、この赤字で塗っているとおりなんですよね。技術的な問題というのもあります。これはマイターのアタックといって、技術的にどういう最初、ちょっと調査をされて、そして最後、情報接種まで行くのかというところですが、キーワードとか、使っている技術だとか、保護の技術などを詳細見ることができるアプリケーションなんですが、そこで、オワスプトップ10ですね。オワスプトップ10の、深刻な脆弱性トップ10に関わるような技術のところに色塗りしただけで、やっぱりこんだけあるんですよね。ですから、結構その脆弱性を防ぐための方法というのは、そこそこ知られているんじゃないかなと思っていたんですけれども、やっぱりそういったものがフル活用された事案というものが増えているという情勢ではあります。最初、このページはですね、ここ数ヶ月に報道されたアプリケーションセキュリティに関係するニュースだけを絞ったものにしたんですが、ちょっともうマスクをかけさせていただきました。どっちかというと、やっぱり自分の会社の名前とか出てくると嬉しくないというのもあるかなと思いました。ただ、見ていくとアプリケーション脆弱性、実装ミス、設計ミスの問題、コンポーネント、オープンソースとかのコンポーネントを使った脆弱性。あとはクラウドサービスですね。自分が連携するクラウドサービスがの問題で握用されて報道されているというのもありますし、クラウド設定ですね、AWS、あるいはGoogleのものにして設定が甘いためにアプリケーションを一生懸命作ったんですけれどもデータベースぶっこ抜かれるみたいな問題も起きたりとかしています。そして今回のスコープ会ではあるんですけども意図的なバックドアを仕掛けられてみたいな問題も起きたりしています。このような情勢のもと、シフトレフトって何?というとものことがどんどん進んでいきますよね。例えばその要件定義して設計して実装して検証してリリースト。だいたい左から右にこうずっと変えてくもんだと思うんですけどその左から右に行くと最終的に運用している人たちが大変な目に合うわけですよね。ですからその運用している人たちの問題ではなくもう一つ前ですね、例えば検証の人たちはもっと効果を上げられないか実装の人たちは効果を上げられないかみたいな感じで発生原因のフェーズに遡ってそうした問題の軽減に向けて一緒に取り組むことをシフトレフトって言います。左手を出してこういうシフトレフトなんて言うようなことで僕は2016年ぐらいから日本で肩金のシフトレフトという言葉、合い言葉にどうやって確かなウェブあるいはソフトウェアをリリースしていくことができるのかということを啓発したり研究したりしているのですが一言で言うとバータリ的な解決ではなく本質的な課題解決をこのソフトウェアの開発モデルの中にも入れていくというところが狙いです。例えばですよ、カード情報路営事件が起きて偉い問題になったとこれドリルダウンをしていきましょうと言った時にシステムの原因とか状況を調べなさいというところがまずこれビジネスから落ちてくる話ですね。でもよく調べたらクラウドのデービー設計がおかしかったというと当然ながらその仕組みの設計を考えないといけない。これはもう実装の問題というよりはもう基盤設計の問題だよねと。あるいは他には実装担当のやり方を見直さないといけないということが分かったりもします。そうすると実装担当は例えばワースプザップとかいろんな通路を使って一生懸命見てたんですけれどもそれでもクロスサイトスクリプティングとかエースケールインジェクションとかのそういった悪用可能な問題がワンサート出てきましたみたいなことがあります。そうするとまたドリルダウンすると情報がそもそも足りてなかったと例えばサンプルコードですとか新しいアーキテクチャーに対応するための注意点とかそうした情報がなかったのでとにかくその場でできる最前を尽くしたんですけどやっぱり脆弱性が出てしまったということかもしれない。さらにドリルダウンするとエンジニアのスキルを確保したりあるいは向上させたりするというような組織的な取り組みはどちらかというと現場任せになっていてそこの部分は組織が担保しようとしていないのに後でこういう問題が起きたら現場の制御されるなんていうところが問題だということが分かったとしましょう。そうした時にシフトリフトというのはその問題に臭いものに蓋でパッとその場でアドホックに直しちゃうんじゃなくてドリルダウンしたそれぞれの問題に対して手を入れていく、あるいは一緒になってそういった問題を解決するということがシフトリフトというパターンの非常に重要なポイントということになります。ですからシフトリフトというと多くのセキュリティベンダーの方々が例えば動的診断とか脆弱性診断というものを何回もできるようにしようというシンプルにそれだけのことを言ってみたりソースコードを見ることができるとこれはシフトリフトですと言ってみたりとかあるいは設計レビューをするとシフトリフトですとかそういうことをいろいろおっしゃるんですけどそれぞれパーシャリー正しいんですけど本当はそのシフトリフトというのは起きている問題そのものをその前の工程の人たちにと一緒に考えて本質的な問題解決につながる活動をしようということです。ですからここに書かしていただいているとおりいくつかのシノニムと言いますか類合がありますがそれぞれアプローチだとか生まれた由来みたいなものが変わってきていますけれども基本的に同じ目的のものということができますシフトリフトの歴史というスライドもちょっと作ってみたんですけど今日時間の関係で始まりますまたまたの機会にありますがシフトリフトという言葉が生まれてからこれこれ20年ぐらい経っているんですねですからこうしたやはりものづくりのための苦労というものの果てに出来上がった概念だということを覚えておいていただければと思いますそこでセキュリティ確保をしろというようなことなんですけれどもそれを後付けで何とかしようと思っても結局無理なんですよねであともう一つシフトリフトが必要な理由というのは生産性の向上じゃないでしょうかこれだけ扱わなければならない問題とかあるいは取り扱う技術のコンポーネントとかガラガラとか変わっていたりとかあるいは作りたいものもう結構も卓に渡りますよねですからそうした問題がありますからセキュリティをしっかりさせようということが例えば5年前にしっかりさせることができていたとしても2021年ただいま現在でセキュリティをしっかりさせるというのはもう使う材料からも作らないといけないものからまるっきり違ってきているわけですからそのために全体でできることからあるいは注意すべきことからを後工程に押し付けるというような方式の開発はもう無理だよねといったところが大きなポイントになると思いますまたあと布図でコンプライアンスって書かせて書いていますけどコンプライアンスの問題なんてそれこそ早く言ってよって話ですよねここに法上先生が書いた本を持ってますけれどもここにも書いていますけどこういう法律これだけIT社会に依存するような社会になっていますね一般の人々もそうだと思いますがそれですから起きる問題のインパクトがでかいんですよね不正倉金もそうだしあるいは決済の悪用とかもそうですしですからきちんとものづくりをするということについて法整備が進んでいるとそうすると暗号化についてだとかあるいはどういうデータをどのように保護するかについてですねコンプライアンスがうるさくなってきているとこれって後付けできないんですよねシステムでき上がってからこの法令対応のためにこのモジュールをバチンと入れたらできますみたいなそういうソリューションなかなかないとそれでセキュアバイデザインの中にコンプライアンスどうしようかっていう頭の痛い問題もあります逆に言うとこれを理由にシフトレフトすることができるかもしれないそのものをきちんと折り込んでいくにはどうしたらいいかという議論ができるということですさてじゃあどこでどのようにやるかというところをもうちょっと詳しく話したいと思いますこれは今お話しざっとしたことが一言で言うとこうなりますとアプリケーションセキュリティのシフトレフトとはその発生している問題のところでできるだけその問題を小さくするということが必要です特にアプリケーションセキュリティなのでやはりソースコードとかそのソースコードがどのように変化していくのかなぜ変化するのかというところにウォッチポイントを入れるのはこれが頭の良い方法ですよねできあがって出荷前にソースコードなんか誰も見てない動いているシステムをただ外形的に眺めているだけなのでそこで出た問題を解決するというのはもうコーディングする人にとっても設計する人にとってもペインでしかないですがそもそも問題なんか作り込もうと思っていないわけですからその時に自分に必要な情報をくれようという話になりますよねそこで不足している情報って何だっけっていったところの全体像が必要になってくるということですサラサラっと書いてますけど割と大事なことを書いてますこのようにアプリケーション構築フローこれも皆さん見開けていると思うんですけどロッチャケどうですか自分のところの生産性と言いましょうかそういったところも含めた品質ですねスムースなデリバリーをしていこうと思った時に当然スムースでないデリバリーのところにはセキュリティ問題につながるようなそういうコーディング上の問題と言いましょうか作り込みの問題というのは購入しやすいわけですよもう本当誰がどう見ても再現性が高いような行動ここにセキュリティ問題を発見することは結構難しいわけですねですからセキュリティ重点でどういうイレジーをしてくれたらいいんだっけというところは結構大事なポイントだと思いますここでサンズが2015年もう6年も前になるんですかねセキュリティ重点フェーズはどこですかこれセキュリティのソフトウェアを作っている会社に訪ねたんですね全世界そうすると要件定義のところが50%以上になってるんですよね少なくともこの時点で日本はリリース前っていうちょっとだったんじゃないかなと思うんですがあうち未だにだみたいなそんなようなこともありますがですがリリース前のチェックというところが重点フェーズだと答えた企業はなんと10%にもならなかったんですねなんでなんだろうっていうとやっぱり要件定義のところでこれ後々伸べていくことではあるんですが要件定義のところで結局設計では交渉しましょうまたその他運用とかですねそういったところでどういうセキュリティを作り込みましょうみたいなことが決まってくるとつまりどの段階を強化するにしてもですねやっぱりガバナンスって大事だよねみたいなことが反映されていたんではないかと思いますところがですねこの要件定義の要件もいろいろですこのモノリシックデザインでいろいろ作れた時というのは割とシンプルでなおかつフロントをぶち抜けば奥まで取って手が届くみたいな構成になっていましたですからその時はその時なりの従来の脆弱性というのがありますそれがですねマイクロサービス時代になると避動機で繋がるようになってくるのでスケールインジェクションというのはどちらかというとモノリシックな作り方をしているところでぶち抜けちゃうんですけれどももちろん関節的にやる方法もありますがその辺の細かいことを置いといてもっと重大でなおかつ攻撃のコストが低いような問題というのはもう変わってきましたサーバーサイドリクエストフォーゼリーとかねコードインジェクションこの間もありましたよねマイニングのコードを入れられちゃってインジェクションされちゃってそれでぶん回されちゃってですねなんですかAWSのお金もすごくたくさんかっちゃったみたいな問題が報道されたとかしてましたけどそういうコードインジェクションみたいなそうやって言いました改ざんされたりとかですねジャバスクリプト部分を改ざんされてカード番号抜かれるみたいなところもあったりとかしましたこういうのが総結合でいろいろなサービスと連携するようになってくると出てきた問題ですサーバーレスになってですねやった リナックスとかねそういったところの変なサービスの脆弱性をつかれてなくていうことは開放されたのかと思いきややっぱりですねそのデータが放出されたいとかあるいはDNSを書き換えられちゃったりとかそういったようなどっちかというと環境に依存するような問題あるいはデータが結局今どこにあるのかということをあんまり詳しく考えなくなっちゃったためにデータが盗まれたってなると調査がめちゃくちゃ大変みたいなことが起きたりとかしているというような感じですですからもうそうですねこのスライドを見た瞬間出ちゃったかもしれませんけど ウォーターフォールというプロセスが良くないっていうことを言いたいというよりはですねあの今までの方法というものそのまま投収してとにかくこういうものを作ろうって決める段階で 全てあの実装しないといけない機能だとかあるいは検証するべきプランとかということがフィックスするかというとなかなかそうはいかなくなっちゃったと限界だよねっていうようなことが起きているわけですね そこで開発手法が変革されてこれフルー結構もう長くかかってんですよねあのアジャイルだとかデブオップスだとか言われますけれどもあの割と長く開発手法やっぱり変革して 行きましょうということになりました基本的に段階的に完成させていきましょうとということは何かというとやっぱりその検証してセキュリティ問題が分かるまでの その実装してからの距離がグッド短くなってる短くないとこの処方なりたたないんですよね ですからアジャイルとかでも未だにですね リリースというかまあ毎回毎スプリントことをリリースするんですけれどももういよいよこのプロジェクトの終わりですという時にセキュリティテストスプリントみたいなことをやっている 人はですねちょっとやめた方がいいですねセキュリティテストリーリー最終検証という あのやっぱりちょっといいかよかな最終検証というスプリントはあるかもしれませんけれどもでもやっぱり毎回自分たちが作ってこう 完成させていってるものがセキュリティの観点から見てもまあ機能の観点から見ても完成であるとそのずそのつどそのつど完成であるというのがこのアジャイルの手法ということになりました そこで今までこう要件定義からどんぶらこどんぶらこどんぶらこやっとリリースみたいなこう大きな vg 曲線のですねあの開発というのはまあほとんどもそのvg というよりはもうなんかこうなちっちゃい波々がずっとあるっていうような あの方法を取らないといけないと品質管理の人たちはもっと寄り添って開発により沿って一緒に考えないといけないし まあはたまたですねモダンなところで行くと s re の人たちもあの要件定義だとか設計だとかにも関わっていくというところが今今のモダンな開発というような姿になってるんでしょう なってると言えるでしょうこれはね開発手法のシフトレフトと言ってもいいと思うんですねもう根本的な問題はどこにあるのかというともう要件っていうものが 要件定義がですねや設計が万弱のものを100%理解して 実装に渡せるっていう仮説はもうこれ幻想でしかないということをがわかったのでまあこういう繰り返し リリースするという方法に変化するというような手だ手だったと言えるんではないでしょうかまあ昨日今日ちょっとしょっぱいニュースがね流れていたりとかするとで あのちょっと言及具体例を言及するとですねその時点でまた長くなっちゃいそうなんですがけれどもこういったあの 一つ一つのコンポーネントその開発にはいたるですね一つ一つのプロセスというのがここまげれになおかつワンチームでやるというふうな流れになっているというところです自動車ってどうしてるんだっけあれはさすがにウォーターホールなんじゃないだろうかと思うかもしれませんが自動車の世界はですね これ非常に興味深いのはあの開発いわゆるソフトウェア開発ってここでいう生産なんですよね自動車の世界では開発というのは一体何をプランニングしてこれを使う作ると 人々の社会はどうなるのか人々のライフスタイルはどうなるのかということを考え抜くことを開発と言いますむしろソフトウェアでいうところの開発というのは自動車の世界では生産と言います その間に生産技術というのがあるんですね生産技術はプレスというのはどのような目標でどういう視点で検査してどのように改善すべきか どいたところはもう次の工程に渡してはいけないかということを一生懸命考えるどのように作るかなぜ作るのかみたいなところをしっかり考えるのが なぜその技術を採用するのかみたいなことを考えるのが生産技術の仕事ですこれがソフトウェアの世界でも起きていますつまり開発のチームが 常に現場でゼロから考えるのではなくていつでも使えるコンポネントが用意されていたりあるいはリスクとかコンプライアンスについてはいつでも相談する相手がいたりとかっていうような 快適な開発環境を作るんですねつまり開発のためのプラットフォームを作るということですねこれを生産技術の人間がやります そうすると開発つまりここでいう生産の人たちはそれに乗っ取ってシュクシュクとあの自分たちのベストを尽くすことができるんですね どのようにやるのかなぜやるのかということはよくわかっているので確信を込めてやっていくことができると なので自動車でいう検査最終検査というのは本当に最終的な品質検査なんですその時点でそれまでのすべての工程の問題を洗い出すためにそこにいるのではなく 計画通り物事が行われていてあるいはその予測したことからとどれだけ違うものができたかみたいなところをしっかり調べる まあそういったインプットも得られるのかもしれませんがただ基本的には検査というのはその検査があるところで品質を守るんじゃなくて最終的に出来上がったということを 第三者的に確認するための手立てですからアプリケーションセキュリティもそうなってほしいですよね つまり最終的な検査そのものに全体重乗っけるんじゃなくてそれぞれでやらないといけないことからにちゃんとばらしてほしいわけですよねそれをシフトレフトしましょうっていう感じです 実際問題ですね問題の解決原因っていうのは何かというとその前に問題の原因解決べき原因というものがあるわけです問題という そしてできたらそういった問題が起きているということは後工程になって初めて分かるんじゃなくてその場で分かりたいそれがまあ別の担当だったからといってなんて言うんでしょうかね その組織のサイロを超えるすごいコストをかけるのではなくてできるわけすぐ分かるようにしたいというようなところですあのこれ僕が考えたキャッチフレーズなんですけど あのやっぱりサイロ化ってやっぱり厳しいなというところがありますそこでやっぱりサイロ化していない業界からのスタディという意味では例えば f 1ですね運用していてこうどんどんものものも作りながら運用していくデブセックデブオプスってそういう考え方だと思うんですけど そうしたときに運転手だけで解決できる問題というものはその場では問題が起きているって分かるから運転手だけで解決できるわけですねでどうしてもやっぱりリペアしないとっていうとそこのところに瞬時にできるだけ短い時間でパッチを当てるというようなことをやっているわけですですから1つの鍵シフトレフトの1つの鍵というのはそれぞれ担当している業務というものをいつでも検証することができていつでも改善提案を得られるような仕組みにするということが1つのポイントではないかとつまり自分の手が離れてずいぶん立ってからですね そうしたなんてなんていうんでしょうか最終試験みたいなもので初めてそこで問題が指摘されるというような状況をやめましょうよということですはいですからセキュリティをどこでやるかというとですね例えばコードレビューだけでもないし運用だけでもないしもちろん最終チェックというものもこれ必要ないと言ってるんじゃないんですねあのそうしたものももちろん必要なんですけど全プロセスにの必要だということです前日プロセスで同じものが必要なのではなくてそれぞれフィットして必要な情報あれが必要な検査まあ検査ってんでしょうかね目標というものがあるはずだということですあの c iso ハンドブックという本を出したんですけどその c iso ハンドブックの中にですね第8章あの dx とセキュリティという書があります僕担当させていただいたんですけどここであのウーダとかジャエルとかデブオープスっていう言葉のそれぞれの役割について述べていますこのあの担当 箇所ですね執筆するのは結構いろいろ勉強になりましてただ1つ言えることはですねやっぱりアドフックになんかこうばあたり的にやっていくというより本当は計画的にしっかり目標を持って長いプロジェクトでも進めていくんですけれどもでも小さな成果を積み重ねていく できるだけ早くフィードバックをもらうっていう手立てという共通点があるんですねでこれに結局その具体的な手立てとしての c ic d というものがあるということがわかりましたそれから考えるとですねまあなんか今 c ic で流行ってるからやっとくかというようなものではなくやっぱりできるだけそれも例えば検査して分かったこと柄をどう生かしていくかっていうところに結局エンジニアの同僚と言いますかあれプロフェーショナリゼーションっていうのはかかってくるのかなというふうに思う次第ですぜひ参考にしてみてくださいじゃあちょっと皆さんにはお尋ねしたいと思いますあの 特命ですのでねこの質問はチャットではなくですねq&a のせあの機能を使いたいんですけど まっというところまで聞いてみてその自分ところの現場の問題箇所ってcta はどれだなって選べますかまあ選んでみてくださいどれか一つ もらいたさんお願いしますあのこれはまあこの言葉がぴったり当てはまるかどうかではなくおよそまあここのところを改善するとうちのチームは強くなれるようなと思うような そういったところでも大丈夫ですちょっと選んでみてください はいまあこの質問そのものがね結構しょっぱいんですけれどもあの選んでいただけましたでしょうか はいでは程よいところで結果を出してください そうですねいいですかそろそろいけますか はいはいお願いしまーすなるほどなるほどまあ非常に雇用ユニークと言いますかあの興味深いですねまあどれもね本当あると思うんです選ぶの結構難しかったんじゃないかと思うんですけどはいちょっと記録させていただきました でもやっぱりできるだけいいもの作っていきたいなという気持ちがすごく現れているような気がしますはい あのでそこでまあ何から手をつけるかをどうやって決めたらいいのかというところ最後ちょっとだけお話しします皆さんオアスプって知ってますよね あの知ってていただきたいんですけどはいあのオープンウェイブアプリケーションセキュリティプロジェクトです あのオープンソースなプロ取り組みですのでどなたでも自分の現場に持ち込んでですね自由に使っていただくことができます そしてギットハブでほぼいろいろなドキュメントが開発されていますのであの誰でもそこに対してフィードバックすることができます ギットハブではオアスプー配分j aっていうレポジトリーにあのいくつかあの活発な日本語翻訳プロジェクトが置いてありますのでぜひウォッチしてみてください あの僕に声かけていただいてももちろん喜んでという感じですがそこにあのいくつかのガイドラインがありますあのピンポイントでもここだって思う直球でねここだっていうものがあるようであればもう直行していただいて大丈夫です 全体像やっぱり考えないといけないっていうタイプの人もいると思います例えば先ほどの8クエスチョンによりますとですね えっと要件が目標とするセキュリティを決められないっていうところのあのパーセンテージが一番多かったです約40%ぐらいの人たちが 要件が目標とするセキュリティを決められないっていうなんかはいそういう選択をしていらっしゃいます難しいポイントだと思いますね ですがこのデブをそれぞれのそのどの問題があるにしてもこのオワスプのサムというドキュメントがありますサムというドキュメントでは およそどの部分をどのように強化していったらいいかというガイドとかスコアリングするための手立てがありますただちょっと赤い線塗ってますけどもセキュリティテスティングって書かれてますね これはまああるよねと例えば検証が開発プロセスにマッチしていないと答えた人は非常に少ないですね ですかセキュリティテストは多分あるんでしょうただまあ同じ問題はこのセキュリティテストをするというのがいろいろレイヤーがありますよね 例えばその要件に対してテストするとかアーキテクチャーをどうやってテストするのかとかまあそういったところもありますが実装の人たちが このセキュアな構築をしていくために役に立つテストができているのかみたいなところなんかは一つ大きなポイントと言えるかもしれません ですから例えば実装がセキュリティの作り方の情報を不足していると言った場合ですねこれはですねまあよくあるあるなんですよねセキュリティー ソースコードアナリシス入れてみたんだけどあの一体何が指摘されているのかいまいちよくわからないとかどれぐらい深刻なのかもよくわからないみたいなところがあると結果は動いてるからイッカーみたいなことになるそっとじみたいなことになっちゃうわけなんですね ですからそこでツールを使いこなしていくって言った時にはやはりその意味を把握しそれをどのように取り扱うかについてやっぱりしっかり ディスカッションしていく必要がありますあるいはそこでこういった問題が起きている時にはどこに相談したりエスカレーションしたらいいかということを決めていく必要があるということですそれ誰が決めるのかというと自分たちで決められるんだったらもちろんいいんですけどやっぱり 先ほどから申し上げている通りワンチームでやっていくということを考えないといけないのでどのように決めるのかつまりガバナンスですねガバナンスのことを考えないといけない この一番左に書いてあるがバナンスっていうところなんですけどそこに書かれているようにこれをどのように扱うのか考え方とかあるいは方向性とかあるいは エスケーションとかそうしたものをもらいたいあるいはみんなで作らないというようなことになるということですね はいでまあその c i c d そうですね作ったものがさっと動いてなおかつそれがみんな要件にかなっているかどうかということをチェックするというこのアジャエルというかデブオプス的な あのプロセスこれを手段に落とし込んだものが c i c d ですね手段手段に落とし込んだときに さてじゃあこれそれで一体何を目指したらいいんだっけというときにこのドキュメント非常に参考になりますまあですから様々なですね出来事が起きていくわけなんですけど あのそのそれぞれの役割の中で一体何が大事なのかということを決めていくにも角論だけでなく全体像全体像だけでなく角論も 抑えていく必要があるというアニメーションでしたで最近のいろいろなですね現場あるんですけれどもあのの中で割と共通して出てきた問題というのがありましてそれがこの生産技術とか開発セキュリティのベンチマークを見直すということです ぜひですねまあ例えばipa のあのウェブの安全な作り方というやつがベンチマークだと言われているかもしれませんけどあのは別にディスるわけじゃないんですけどもうダメなんじゃないかなと思いますねつまり あの自分たちが作らないといけないものに対してうまく適したフィットしたベンチマークを持っているかどうかということベンチマークおてこんのことです 思っているかどうかでリファレンス持ってるかということをぜひ確認してくださいということでえっとステップ by ステップということでファーストステップとして是非ですねこうしたものをリファーしてくださいということをお伝えしするとともにですね今日 マシンガンのように喋りましたけれども何か刺さるものがあったら嬉しいです最後の質問ですが シフトレクト早速から何をやってみたいですかとやってみたいことがらとマッチした質問じゃないかもしれませんけれどもこの中から選ぶとしたら皆さんどれからやってみたいですかちょっとぜひ選んでみてください おっはいじゃあ程よいところで結果を見せてください教えてくださいおありがとうございますあいろいろとこう入れていただきましたね はいついてきてくださってありがとうございますもっとね他のところにもあるんだっていう方はぜひそこからでもスタートしていただければと思います 結果からするとですねやっぱりリーダーシップアジャイル開発検証ワンセットで行えるようにしたいというようなことですね シアエースをハンドブックもぜひご覧になってみてくださいこの中にいろんなベンチマークについてとかそれの使い方についても記載されていますもしヘルプが必要でしたらぜひ個人的に僕にコンタクトいただければ喜んでお手伝いさせていただきたいと思っておりますはいということでちょっと押しましたけれども押しましたか森田さんごめんなさいね はいということであの私のプレゼントでしよう一旦ここまでとさせていただきますありがとうございます1点だけまさにちょっと押しましたので休館で時間がちょっと取れそうに変な可能性ありますのでもしご質問ございましたらあの特命ではなくてあの前ネームでいただけるとすごくありがたいございます まだちょっと2点しかないも皆さんご質問いただければと思いますよろしくお願いしますはい良かったありがとうございましたじゃあ井戸さん引き続きよろしくお願いしますはいえーよろしくお願いしますはいえっとまあ私のパートは今のシフトレフトの話を踏まえてまあギッドアブあの全部のセキュリティのシフトレートはできないまあそんなツールはないんですけどギッドアブではどういうふうにそれを 実現して試合踏み込むかというところをご説明したいと思いますはいでまあちょっと私の自己紹介はもう3回目ですね活哀してただえっと ソリューションアキセクトやってますけど前職はそのアプリケーションセキュリティのベンダーにいましたねまあその経験も捧えて ご説明したいというふうに思いますはいあとギッドアブについてまあここもえっとまあここも繰り返しであるんですけど ギッドアブは8ソースコードマネージメントのツールではなくまだけのツールではなくこのデブアップ全体を ササイプラットフォームでしてま上流のあのプロジェクト計画のところからまあ8 コーディングしてリーダーしてテストしてリリースするっていうところまでサポートしますで今日はあのセキュリティの話題というところがねここの下の被害者のまあ えっとセッキュアな部分というところで8中心話したいというふうに思っていますはいで a まあ主にその ソフトやセキュリティと言っても aウェブアプリケーションのセキュリティ中心にはなってくるんですけどなぜえっとこの ウェブアプリケーションセキュリティが8いわゆるそのネットワークのセキュリティをやっていても8需要かということを考えています まあここいろいろ会話あるとは思うんですけど私なりには8まあやっぱりそのウェブアプリケーションてはまああの基本的にはまあインターネット公開しようがその 8丸か8443ポートが8まあ外部公開されているまあそこはもう8 どちらでも入ってくださいって言うと穴があるような状態ですねまあファイオルもそうわざわざ強化していますしまあちょっと前の概念を dm z でそこへ8公開しているような8まあサーバーだったりしますのでまあここは a 公開されているという認識はまず重要かなというふうに思っています特にジャバースクイプとのプログラムなんていうのは8もう クライアントがグラウザーで実行するようなレベルで8公開してますのでまあここはかなり気をつけなきゃいけないと入り口だというふうに認識しています はいであとセキュリティのシフトレットについてま岡田さんがいろいろお話を会いたい て8まあ究極にはあの設計段階での8セキュリティの考慮ですとか 急く言うと多分トレーニングですね8まあセキュアプログラムのことトレイングだったりまああの軽装としてのセキュリティの考え方のトレイングというのは重要なんですけど まただあのこうまあシフトレフト試合 cd というコンテクストの中ではやれることは8 まあそこでもやることは言いまして結局その最終的にセキュリティの問題を修正する方針であればもし修正したいんではセクションシフトレフトやらす ようないんですけどするのであれば8機械的にチェックできるところから8それを早期に自動的に検出するというのが重要かなというに 思っていますはいでまぁここも8まあよくあるような図の a まあ従来のセキュリティの考え方とマシフトレフトの考え方を比べていくんですけどまあ従来だればまあソースコードがあってまあそれを教えのコミットをして修正して aまああのマジクエスト等を使ってブランチ えっとまあターゲットバンチマジしてその後8アプリケーションの環境として a デップを終えしてまあその a 本番に近いような環境のところで aセキュリティのスキャンスの一般的だったと思いますでまぁこの大きなループを見ていただくとまあこのこのループが大きい大きいほど手元が大きいということが分かるかなというふうに思っていますでギターが考えているのは8もちろんその最後のゲートエティなセキュリティというのは 8を書かせないですし8まあそこは例えばビジネスロクジックに気にしたセキュリティの問題だった今こんな変な専用するとパスワード 実は簡単にリセットできましたみたいなそんなようなことはあの自動的にスキャンで 検出ことはできないまあその最後のゲート言ってのはセキュリティチームはしっかり人間でやる必要がまだあるような領域なんですけど機械的にできるところはもうこの ci えっとまあ ci っていうものは徐々に皆さん使われてきてますのにその中で8実行して まあどちらとその機械的にできるできるところはこのセキュリティチームに負担をかけずにと早めにつづしておけばいいっていうような 考えをしていますのでまあこのギットブランチ的な考え方でもマージする前にやるということになってきますはいちょっと私も一つあのアンケートをやっていただきたいんですけど えっとまあ今回あのまあどの段階でセキュリティスキャンをやっているかっていうとこの8ちょっと確認まあ調査という したくてちょっとあの時が多くて見づらいんですけどまあポイントとしてはそのどの段階ですねあのマージ マージリクエストを出す前えっとごめんなさいえっとまあフューチャーブランチだったりトピックバンチの段階で8やっているか えっとそのマージターゲットバンチにマージした後の段階でやってるかっていうのは3番4番でまあリリース前リリース後あと何申しないということもあるかと思うんですけどこのあたりについて ぜひあの投票してくださいあとあの cr やっているかとか8州でやっているかというとこの1番2番3番4番の知り合いだったりしますはいもしかしたあのブランチの話が出てきてとよくわかんないということであれば8番をしていただけばというに 思いますはい8少し増しますかね まあもともあのシフトレクトできてるというのは1番のものあのまあタイプかなというふうに思っていますまあ ci で8まあターゲットブランチにマージする前の段階で まどんどん自動的にスキャンしていくっていうようなイメージですねはいもっと途中段階ですけどまだ投票されてますねちなみに何もしていないというのも8を一部ありますねはい ここはぜひあのいろいろプロセスの検討化した方がいいのかなというふうに思っています はい質問の意味が分からないもいらっしゃいましたはいこのあたりではい8一端そうですね8やはり 結構多いのがまあそのマジした後ですねマジした後で8 ci で実行してるというまあ開発チームによってここで言うと8まあ3番のところですここが一番 多いですねはいなのでまあ結構1番か4番それぞれ均等に並んでいてただ8リリース前の段階でっていうところまあ8ここが一番多いですねはいというような状況ではい ありがとうございましたはいというところで8まあこれに a 関連してまあこれはリットアブンの8まあサービー8調査が2020年行われていたんですけどまあそのシフェシフトレフトに関する調査についてちょっと一部共有したいというふうに思いますはい まあここはあのそうですまず一つ目の質問としてまあサスト実施しないと回答した開発者まあ60%ので結構あのサストですら8実施しないということは分かっていますまあこれに対してはもうあの まあサストは一番やりやすいセキュリティスキャンダーとは思いますのでまあ壊し合いパイプラインに組み込めば まず第一歩を進めるのかなというふうに思っていますで2つ目のところで8声はすであのセキュリチャートあのセキュリティ担当者の立場で a まあそのセキュリ担当者があのアセスメントするんですけどその結果をまあ会社が見えるかどうかというとで819%しか8その直接見えなくてまあ多分これはエクセルかないかでこう送ってきてここを出ましたよというような連携の仕方だと思うんですけど まそういうような連携の仕方が大半ということが分かりますまあここもえっとまもに開発とセキュリティのチームですそこが同じ結果を共有できるな仕組みというのがかなり重要というふうに思っていますはい最後ちょっとあの長くてこれ頑張ってまとめたんですけどまとめられなくて8まあどの段階で8まあセキュリティがセキュリティ問題が発見されるかというとこで861%のセキュリティ担当者がまあテスト環境まあマージされた後の8ブランチですねテスト環境を2枚された後に8セキュリティ担当者によって発見されという意味でまあ先ほどリリース前の段階にというところに近いような経済かなというふうに思っていますここも8まあ最後のセキュリティスキャンというのはまあアセスメントは必要ですけどまあその前にまあブランチにそろそろマジするするのかとかっていうとこのプロセスを組み込んでまあブランチを守っていくという考えが重要かなというふうに思っていますでまあここまあギットワークが考えるセキュリティのシフトレフトというところと火も付けていきますまず1つ目の組み込みのところですねまあまあ重要なのはやっぱり組み込みが簡単でないてやっぱり定着しないですしまあ奥になってしまうのでまあそこ簡単に追加できるという仕組みは重要かなというふうに思っていますあとは幅広い言語の対応ですとかまあテストタイプちょっとこれさすどの例だけを見せしたいと思うんですけどまあこんなにギターはいろんなテスト言語に対応していましてまあこれ自体もすごいとは思うんですけど ちゃんとこれが全てギターが管理してまあこのエンジンがバージョンアップしたらそれに対応したスキャンする 仕組みだったりあの試合の天ぺーと用意してまつねにこれがマネージで動かせるというところが ギターの価値観というふうに思っていますはい2つ目のまあ共有する仕組みですねまあここも重要でまあここも極余エクセルでこう一体していると時間のロスになってしまってまあどれが最新からわからなくなってしまいますのでまあこの後ギターでお見せするようなスキャン結果の管理画面まあここで一元管理できるというような仕組みですねあとはそこでそこからまたさらに8一周マギターの一周を発行してまあそれ自体のステータスをちゃんと一周として管理してまあまたマージークエストとして 対応してくるというようなことは需要かなというように持っていますで3点目のまあブランチを守るという観点ですね ここについてはまあセキュリティの問題が含んだこう含んだマージークエストが存在した場合にはその まあそもそもマージはできないしますしもしマジする場合も承認が必要にするにするっていうことが えっと上というふうに考えていますはいというところでまあちょっと後はどういうふうに8ギター部のまさけど簡単にできるっていうご紹介したんですけどまあどういうふうにあるかっていうとこの前この2番ですね まあこんななイメージでこれさすとの前なんですけどまあインクルド部のまあ2行12行を追加して するだけで8さすとの実行が勝手に試合パイパイの中にされますのでかなり簡単にできますこのスキャナによってはちょっと言われる私たいとかいろいろ 与えるパラメーターあったりするんですけどまあ多くのスキャナーはここ1行テンペートを追加するだけまこの右のようにねこの内容な感じで簡単にできますので今既存のパイパイを活かしつつスキャンを実行できるということはかなりクイックに手前にできるかなというふうに思ってますであとできるスキャンとしてはちょっとここ一つ一つはご説明するのを活用させていただきたいです まあ殺頭はじめいろんなことできるんですけどまああの主に3種類ありましてまあムラスキー部分は部分は性的なスキャンでまあソースコード1ポジトリがればできるところでオレンジアスの実際にその実行しないと できないなスキャンでまあちょっと変わったカバレージとガイディートファズっていうセキュリティのスキャン方法があったりします まあ c 言語で言うとバッフはオーバーフローのようなものを無理やりだすっていうようなスキャンホールになりますでオレンジの部分はダストだったり 後はファジング系のダストですねまあここも組み組まれていますのでまあこういったスキャンがいろいろ活用できような状況になっています はいというところでちょっとデモに入っていきたいと思うんですけど今回パイソンのウェブアップイケーションをベースのパイソンベースのウェブアップイケーションを使ってセキュリのスキャンを実施済みです でまあ実際にそのパイパイになったり試合のテイクファイルを見て今回あの セキュリティーの脆弱性を治していきたいというふうに思っていますはい ちょっとその流れを見ていただくというふうに思っていますはい ところで8まずどんなアプリケーションかと言いますまあこいつをデポイされていてまあ単純な8ノート 簡単ノートアプリですねまあ8ノートを追加してまあ削除もできるっていうのはそんなようなアプリケーションをデポイしていますはい リポージというの感じはこんな感じで8ファイソンベースのアプリケーションになっています はいでパイパイン見てパイパイの定義ですね見てみますとはいちょっといろいろあのテンペートを使っていてまくそこは結構ごじわがちゃしてます けれどもあのフォアの部分の一番初のインクルドを分をいっぱいインクルドしてだけですねまあここビルドをテストも含めて全部 インクルドしてるんですけどこんなようなイメージでパイパインが組まれています実際にはそのインクルド先の 定義を見るとより細かい制御というとは見ることができますで実際のパイパインと言いますと こんなようなイメージではい いっぱいインクルドしましたのでこのテストフェイズのところでかなりいろんなセキュリティスキャンが実行されていますでサスト 1つをとっても今回パイソン用のサストですとかジャバースクイップと hml 系のサストとあとはクバネティスの定義マニフェストですねマニフェストの まずセキュリティの予約性も含めて3種類のサストが 実行されていますあとパイソン新しいあのエンジンも導入してますね実際4種類ですね4種類走っていたりですとか 先ほどのカバレージファズっていうところはこのあたりにあったりですとかあとはダスト系ですねダスト系とあとファズラスト系のファズテストでここも実際に レビュー関係にでぼいした後にそれぞれ職業が実行されるようなそんなような組み方になっています実際にどういう結果になっているかを見ていきたいんですけどまあ検出の結果こんなようなレポートがいまして実際にここで 結果を見ていきながらまあそれぞれ問題に対処していく必要があります で今回はここのフィルターを使っていくつかピックアップして見ていきたいんですけど まず上からコンテナスキャンはいコンテナスキャンで今高い8 ジョードのもが出ていましてちょっと見てみますとはいアルパインの8ベースイメージが3.7っていうまあ少し古いものを使っていることによってま出ているそれに関連しているモジュールm usl モジュールが中途の高い製薄性として検出されていますまああの詳細ここを見る必要があると思うんですけど 基本的にこういうライブライン系のものは見てもなかなか分かり在庫が多いですのでアップゲードできるのならば アップゲードするそれはリリース前であれば簡単にアップゲードできるとは思いますのでそういう方針で進めるのがいいかなというふうに思ってますあとはいえとディペンデン c 決戦依存関係の場合は例えばこのリクエストファイソンの8 ctp のを発行するためのまあウェブアイピー pa とかたた時に使う時のライブアイナスけまあこれもと高いで逆線が出ていまして2.2.2.2.20っていうところ以上にしないといけないというところでそういうようなマコが cp ヘッダーによって8認証情報のローエーがされる可能性があるような 逆線問題ですねもう一つさすとを見ていきますとはいえ これではなくですねですかはい8具体でいいその sq エンジェクションまあ分かりやすいよね sq エンジェクションの例を出しているんですけどまあこの書き方をするとまあ実際にあの sq エンジェクション可能性があるってところでここもと指摘されていますで実際にまあこれをそれぞれまぁこんなに出ると大変ですけど一見ずつ出た場合を想定してまあそれをどれをまあ確認したいですとかもしあのご検出あればあの解除にして 次は表示させないするということを取り味していくような必要がありますいうところでまぁ今回は えっとまぁここからせっかくなんであの先ほどの リペンデンシースキャン系のセキュリティの結果を使って一周を作っていきたいと思います でまぁここもえっと簡単に一周化することができるのはこのまあ1円管できるメリットかなというふうに思っていますまあこのあのそのまま英語の えっと説明文を内容に記載したような一周ができてでかつまあ実際にはこれソースコードはリポジトに修正を しないといけないのですのでマージクエストの作成ボタンをやっていきたいと思いますはいというところで今回ウェブアイディで ひょっとすいません時間は数分過ぎてしまおうと思いますけど修正していきたいと思いますまず先ほどまああの サストデータエスクエイジェクションの件ですまあここにあの安全な s ケール分を用意していましたそれを直接コピーしてやるとこれ書き方ですね えっと最後この前エッゼキュートのところでこの編数を与えるというような方をするとマイスクエイジェクションを 過ぎるというような書き方になりますまあこれパイソンの場合こういう書き方ですあとはパイソンのモジューの話ですねさっき2.20以上であればこのリクエストが えっとまで逆されないという話であったのでそこも修正してあとどっか使ってどっかファイルのどっかのベースイメージのここも アルパイの3.13にすると解消されるはずなのでまあこのあたりを修正していきたいと思いますちょっとメッセージはそのままでコミットをしていきたいと思います はいというような感じで今マージークエストで83箇所を修正してまあ修正内のこんなようなイメージですねはい先ほど修正したどうになっていて この後また8色んなスキャンがと走っていってまあこれが解消されるかどうかというとこを見ていく必要がいます実際に修正済みのものを見ていきますと はいこのマージークエストの下の方にえっと概要の状況が書いてありますので sq インジェクション解消されたいですとかそのリクエストモジューに関する まず屈いしているものも一緒にこうフィックされたいですとかまあコンテナースキャンえっとコンテナイメージの出雑生もいくつか解消されて逆にまあ新しい手というのが発生していますけどまあそんなような8状況で修正することができます はいであともう1つ最後にお見せしたいのが今度はじゃ逆に 出雑生増やしてしまったらどういうふうになるかというとこなんですけどはいまあ増やしたらまあこれはあのプロジェクトの方針にもよると思うんですけどまあ基本的にあのその次のブランチにはマジさせたくないという方針であればまあこんなように まあこれは8またサスト系の問題出ているんですけど問題が出ている場合にこのボナー wt チェックの8問題が出ているので必ずあの承認者によって 承認しないといけないまあそもそも承認するべきではないと思うんですけどまあ仮に特集特別な8事情があってこれ承認する必要があるんであればそのセキュリティ担当者の人が 同じマジクエストを見てまこれは現在8あのまあこのアプリケーション影響ない 弱勢ってことであれば少年ボタンを押していただいてこれによってやっとマジすることができるっていうようなプロセスになっていきます はいというところが8私からの以上 1円の長いでもでまあこのあたりのギター部の シフトウェフタに考えに対応する考え方に対応するデモをさせていただきましたはい今日は8私のデモとしては以上となりますありがとうございました 伊藤さんお方さんありがとうございましたありがとうございます 時間なりましたちょっと時間が過ぎてしまったので取れないと思うんですが1点だけ質問の方がちょっと特命の方でいらっしゃいますのでこちらだけあの くらんだけれどあの回答できればと思いますギットラムの ci チェックで自社やまあ皆さん見えてますかねえっとワースポのジャップのやつチェックする使うことができますかっていうところでえっとこれ伊藤さんになりますかね 使える場合はいからも提供する はいえっとあの独自のエンジンを使うことも可能です一株でいろいろ用意はしているんですけどまあ既存のツールもしを使いだれ ばえっとキャベルジェストファイルを特定のここにえっと吐き出すことによって先ほどのデポートに えっとリポートあった今のマージークエストで表示することができますねそこのフォーマットを合わせていただけばあのどんなツールを使っていただいても大丈夫です ありがとうございますもう最後思ってんだけギットラブではいろんなタイプのセキュリティスキャンができるってことですがあのどこから始めればいいんでしょうっていう 質問が来てますが先一覧があったとはそうですねやっぱりあの動的なスキャンでデポーしないとできなかったりしますのでちょっと 柱は高いのでまあサストだったりディペンデンシースキャンが一番あのどれが重要だってことはないんですがやりやすいという意味ではそこからやり始めた方がいいのかえっとそこはぜひコミントさせていただきたいとこなんですけどあのやっぱりセキュリティの 原理からいってソースコードを見る時点で改善できるっていう一番効くのはやっぱりサストとディペンデンシーだと思います その後の工程ではですねその部分チェックするものすごくコストかかるんですよねですからそこのところはレポジトリーと密でやったほうがいいと思いますはい ありがとうございますましたはいちょっと9時時間あの短くなりましたがはいあのこちらの方で えー時間終了させていただければと思いますはいありがとうございましたはいえっとフォームがいかがでございましたでしょうかはいあの今回ちょっとギッドラボデブオープスウェーナー シリーズは今回で最終回って形となってまいりますえま次のですねえギッドラボデブオープスウェーナーシリーズの方のあのデブオープスというんですか 次のウェビナーシリーズをですね企画させていただこうと思っておりますそのためにちょっと皆様のご意見というものがあの必要になってまいりますので あのアンケートの方を後日あの送信の方を予定しておりますのでご協力いただけますでしょうかあの先ほど冒頭でもご案内させていただきましたとおりですね あの今回さかやかではあるもののあの抽選で2名様の方へバックパックのプレゼントを用意させて頂きます 明日にはあのメールの方あのビデオのリンクとともにですねあの送信可能かなと思いますのでぜひご協力のほどよろしくお願い申し上げます はいえーとまたですね今回ちょっと質問の方あのこのセッションの中で頂けなかった場合8このメールアドレス表示させていただいてメールアドレスの方にですねあのご要請いただけましたら随時回答させていただきますしあの今回のセキュリティだけではなくてそもそもディットラボとは何かですねあのアジャイル開発をするためにはどんなことをすればいいですとかそういった形でもこう質問を受け付けさせていただいておりますぜひメールの方をいただけますと幸いでございますそうしましたですね次回またウェビナシリーズ企画してまいりますのでまたお会いできることを楽しみに申し取りますそれではこれを持ちましてギットラボデブオプスなシリーズを終了させていただきます 本日ご視聴誠にありがとうございました