ASOCやってますか?セキュリティで開発を遅らせないオーケストレーションと相関ツールの使い方

Track C 2021/11/04 16:20-17:00

初級者   Application / Development   アーカイブ視聴可  

ASOCというのは“Application security orchestration and correlation”の略ですが、何のためのものかご存知でしょうか?

AppSec、DevSecOpsといった掛け声に合わせて、ASTツールを導入してみても、組織全体で効果的に使えるようになっていないこともあります。それは、セキュリティ・ゲートや品質ゲートが適切に設定されていないか、セキュリティポリシーに基づいた運用ができるようになっていないからです。
ASOCでは、ASTツールの統合だけではなく、ポリシーに基づいた効果的なゲートの設定や運用が可能なインフラを提供します。同時に、マニュアルで実施するペンテストやリスク分析や脅威モデリング、コードレビューの結果なども取り込むことが可能です。

本セッションでは、Orchestration ツールのIntelligent Orchestration、Correlation ツールのCode Dxと各種ASTツールとマニュアルテストとの統合方法について解説します。

Masato Matsuoka
日本シノプシス合同会社
シニア・プロダクト・マーケティング・マネージャ

新潟県立長岡工業高校電気科卒。 組込み含む元ソフトウェア開発者。 主に制御システムや組込みソフトウェア開発を中心に昔ながらのベタな開発現場を経験したのち外資系で組込み開発、サイバーセキュリティビジネスに携わる。 JNSA IoTセキュリティWGリーダー セキュリティ・キャンプ講師 サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース メンバー JNSA 「コンシューマ向けIoTセキュリティガイド」(2016) JNSA 「IoTセキュリティガイド 標準/ガイドライン ハンドブック 2017年度版」(2017) FFPA 「Flexible Factory Security Guidelines」(2019) JPCERT/CC 「IoTセキュリティチェックリスト」(2019)