SEC11-BP01 アプリケーションのセキュリティに関するトレーニングを実施する
組織のビルダーに対して、アプリケーションのセキュアな開発と運用のための一般的な手法に関するトレーニングを実施します。セキュリティを重視した開発手法を導入することは、セキュリティのレビューステージでしか検知されない問題が発生する可能性を減らすうえで役立ちます。
期待される成果: セキュリティを考慮したソフトウェアの設計と構築脅威モデルを起点とするセキュアな開発プラクティスについて組織のビルダーをトレーニングすることで、開発されるソフトウェアの全体的な品質とセキュリティを向上させることができます。このアプローチによって、セキュリティレビューステージ後に必要な再作業を削減でき、ソフトウェアや機能をリリースするまでの時間を短縮できます。
このベストプラクティスでは、セキュアな開発は、開発されるソフトウェア、およびソフトウェア開発ライフサイクル (SDLC) をサポートするツールまたはシステムを指します。
一般的なアンチパターン:
-
セキュリティレビューを待ち、その後、システムのセキュリティ特性を考慮する。
-
セキュリティに関するすべての意思決定をセキュリティチームに委ねる。
-
SDLC での意思決定方法に関するコミュニケーションの欠如が、全体的なセキュリティの期待や組織のポリシーに影響を与える。
-
セキュリティレビュープロセスが遅延する。
このベストプラクティスを活用するメリット:
-
開発サイクルの早い段階で、組織のセキュリティ要件に関するより良い理解を得る。
-
潜在的なセキュリティの問題をすばやく識別および修正し、機能リリースまでの時間を短縮する。
-
ソフトウェアとシステムの品質の向上。
このベストプラクティスが確立されていない場合のリスクレベル: 中
実装のガイダンス
組織のビルダーに対してトレーニングを実施します。セキュリティに関するトレーニングについては、脅威モデリング
実装手順
-
良い基盤を築くため、ビルダーのトレーニングを脅威モデリング
のコースから始め、セキュリティをどのように考慮すべきかについてのトレーニングを実施します。 -
AWS トレーニング と認定
、業種、または AWS パートナートレーニングへのアクセスを提供します。 -
セキュリティチーム、ワークロードチーム、および他のステークホルダー間の責任分担を明確にするために、組織のセキュリティレビュープロセスについてのトレーニングを実施します。
-
利用可能な場合、コードの例やテンプレートを含め、セキュリティ要件を満たすためのセルフサービス型のガイダンスを提供します。
-
セキュリティレビュープロセスとトレーニングについて、ビルダーチームからフィードバックを定期的に取得し、得られたフィードバックをもとに改善を行います。
-
ゲームデーやバグバッシュキャンペーンを活用して、問題数の低減やビルダーのスキル向上に役立てます。
リソース
関連するベストプラクティス:
関連するドキュメント:
-
How to think about cloud security governance
(クラウドのセキュリティガバナンスをどのように考えるか) -
How to approach threat modeling
(脅威モデリングにアプローチする方法) -
Accelerating training – The AWS Skills Guild (トレーニングの加速化 – AWS Skills Guild)
関連動画:
-
Proactive security: Considerations and approaches
(プロアクティブなセキュリティ: 考慮事項とアプローチ)
関連する例:
-
Workshop on threat modeling
(脅威モデリングについてのワークショップ) -
Industry awareness for developers
(開発者向けの業界認識)
関連サービス:
