コース概要
目的
現代のソフトウェア開発ではスピードとセキュリティの両立が必須です。本講座は Dev + Sec + Ops を一体化し、GitHub・Docker・ZAP などを用いて CI/CD パイプラインの全工程にセキュリティを組み込む「シフトレフト」 を体験的に学ぶことを目的とします。
学習ゴール & 到達レベル
- DevSecOps ライフサイクルの全体像を理解し、自社プロジェクトへ適用できる
- GitHub Actions で SAST/SCA/DAST/イメージスキャン を自動化し、プルリク段階で脆弱性を検出
- セキュアな Docker イメージ をビルドし、GHCR などレジストリへ安全にリリース
- ソフトウェアサプライチェーン攻撃に備えた ベストプラクティス (CIS Software Supply Chain Security Guide)を実践で習得
取り扱い技術・ツール
| カテゴリ | 使用ツール・サービス | 主な学習ポイント |
|---|---|---|
| バージョン管理 | GitHub (Branch Protection, Code Scanning 他) | 開発フローとレビューにセキュリティを統合 |
| 静的解析 (SAST) | CodeQL | PR ごとの自動スキャンとクエリ活用 |
| ソフトウェア構成解析 (SCA) | Dependabot, OWASP Dependency-Check | OSS 依存脆弱性の早期発見 |
| 動的解析 (DAST) | OWASP ZAP | Automation Framework & OpenAPI スキャン |
| コンテナセキュリティ | Docker, Trivy | ベストプラクティス Dockerfile & イメージスキャン |
| アーティファクト管理 | GHCR / ECR など | 安全なデプロイ |
学習アプローチ
- レクチャ – DevSecOps の概念・最新動向を図解で理解
- ハンズオン – 各章でミニリポジトリを用意し、実際にワークフローを書いて実行
- ペアレビュー – 受講者同士で Pull Request をレビューし合い、レビュー文化を体験
- ケーススタディ – 実際の攻撃シナリオを基に「どこで防げたか」をディスカッション
主なモジュール概要
- DevSecOps 基礎とシフトレフト – DevOps との違い/早期テストのコストメリット
- GitHub と CI/CD – Branch Protection & セキュリティチェックの自動化
- Docker & コンテナ化 – 非 root・最小イメージ/Compose 演習
- SAST & SCA 導入 – CodeQL・Dependency-Check・Dependabot ワークフロー
- DAST & ZAP Automation – OpenAPI 連携と CI での自動スキャン
- コンテナイメージスキャン & デプロイ – Trivy と安全なレジストリ運用
- 組織導入 & セキュリティカルチャ – セキュリティ・チャンピオン制度と継続的改善
受講形式・時間
- 形式:オンライン(Zoom+GitHub Classroom)/オンサイト選択可(別途費用)
- 標準構成:2 日 × 7 h(計 14 h)
- 教材:スライド、実践テキスト、演習リポジトリ
前提知識
- Web アプリ開発経験
- GitHub の基本操作
対象者
- Web アプリケーション開発者、アプリケーション開発者
- CI/CD パイプラインやソフトウェアサプライチェーンの改善に携わる方
お問い合わせ・お申し込み
ご相談、お申し込みなどについてはこちらまで。