開発スピードの速さとセキュリティ基準の高さを同時に実現する開発の裏側【PayPay Growth Tech vol.4】に参加しました

2022/11/29、開発スピードの速さとセキュリティ基準の高さを同時に実現する開発の裏側【PayPay Growth Tech vol.4】にオンライン参加しました。
この投稿はその参加記録です。

高いセキュリティ基準を満たすために、開発・運用各フェーズで行っている取り組みの紹介。
全体としては、開発スピードと高いセキュリティの両立を行うために、(Biz)DevSecOpsの考え方を取り入れ、開発・運用保守のあらゆるフェーズでセキュリティ確保のためのアプローチを取り入れている。
社内にCISO室があり、要件定義段階から満たすべき要件とセキュリティ対策の妥当性を検討。
設計段階では、セキュリティガイドラインに基づいたアーキテクチャ設計を行い、テックリード・CISO室・AWS SAによる多角的なレビューを実施。
開発段階では、IaCツールからセキュリティチェックを呼び出しチェック、また、テックリードによるレビューを実施。
構築段階では、AWS Security Hubを利用し定期的にAWSリソースをチェック
セキュリティ診断の定期的な実施：年1で全システムにセキュリティ診断を実施
CISO室による本番操作ログ等の定期監視を実施

金融系ということで高いセキュリティ基準がありつつ、競争の激しいオンライン決済業界でサービス提供の速さも求められる中、しっかりと社内体制・プロセスを整えてサービスを提供されている印象でした。どういった基盤で構築されているのか等に関しては別途動画も出ていますが、自社である程度の領域をカバーできる技術とリソースを確保しているからこそだとも思いました。