SEC11-BP08 ワークロードチームにセキュリティのオーナーシップを根付かせるプログラムを構築する
ビルダーチームが、作成するソフトウェアに関するセキュリティの決定を行えるようにするプログラムやメカニズムを構築します。セキュリティチームは、引き続きレビュー中にこれらの決定を検証する必要がありますが、ビルダーチームにセキュリティのオーナーシップを根付かせることで、より迅速でセキュアなワークロードの構築が可能になります。また、このメカニズムは構築するシステムの運用に良い影響を与える、オーナーシップのカルチャーを育みます。
期待される成果: セキュリティのオーナーシップと意思決定をビルダーチームに根付かせるには、セキュリティについての考え方についてビルダーにトレーニングを実施したり、ビルダーチームにセキュリティスタッフを配置または連携させてトレーニングを補強したりします。いずれのアプローチも適切で、チームは開発サイクルの初期にセキュリティに関する質の高い意思決定を行えるようになります。このオーナーシップモデルは、アプリケーションセキュリティのトレーニングを前提にしています。特定のワークロードの脅威モデルから始めると、適切なコンテキストでの設計思考にフォーカスするのに役立ちます。セキュリティにフォーカスしたビルダーコミュニティの構築、またはセキュリティエンジニアグループとビルダーチームを連携させることの別の利点として、ソフトウェアの作成についてより深い理解を得られることが挙げられます。この理解は自動化に関する次の改善領域の特定に役立ちます。
一般的なアンチパターン:
-
セキュリティ設計に関するすべての意思決定をセキュリティチームに委ねる。
-
開発プロセスの十分に早い段階でセキュリティ要件を策定していない。
-
プログラムの運用に関して、ビルダーとセキュリティスタッフからのフィードバックを入手していない。
このベストプラクティスを活用するメリット:
-
セキュリティレビューを完了するまでの時間の短縮。
-
セキュリティレビューのステージでようやく検知されるセキュリティ問題の削減。
-
作成されるソフトウェアの全体的な品質の向上。
-
システム的な問題、または価値の高い改善領域を識別し、理解する機会の創出。
-
セキュリティレビューでの結果に基づく再作業量の削減。
-
セキュリティ機能に関する認識の改善。
このベストプラクティスが確立されていない場合のリスクレベル: 低
実装のガイダンス
SEC11-BP01 アプリケーションのセキュリティに関するトレーニングを実施する のガイダンスから始めます。その後、組織に最も適切と思われるプログラムの運用モデルを識別します。主な 2 つのパターンは、ビルダーのトレーニングの実施、またはビルダーチームへのセキュリティスタッフの配置です。初期アプローチの決定後、組織に適したモデルであるかどうかを検証するために、単一または小規模のワークロードチームに対してテストを実施します。プログラムの実行と成功には、組織のビルダーおよびセキュリティ部門のリーダーシップによるサポートが役立ちます。このプログラムを構築する際は、プログラムの価値を計測できるメトリクスを選択することが重要です。AWS がこの課題にどのようにアプローチしたかを学ぶことは有益です。ベストプラクティスは、主に組織の変化と文化にフォーカスしています。ビルダーとセキュリティのコミュニティ間のコラボレーションをサポートするツールを使用します。
実装手順
-
アプリケーションのセキュリティに関するビルダーのトレーニングから始めます。
-
ビルダーの教育のためのコミュニティとオンボーディングプログラムを作成します。
-
プログラムの名称を決定します。よく使用される名称は、ガーディアン、チャンピオン、アドボケイトなどです。
-
ビルダートレーニング、セキュリティエンジニアの配置、セキュリティスタッフとの連携、という三択から、使用するモデルを選択します。
-
セキュリティ部門、ビルダー部門、および他の潜在的な関連部門からプロジェクトスポンサーを特定します。
-
プログラムへの参加人数、レビューに要した時間、ビルダーやセキュリティスタッフからのフィードバックを計測するメトリクスを追跡します。これらのメトリクスを使用して、改善を行います。
リソース
関連するベストプラクティス:
関連するドキュメント:
-
How to approach threat modeling
(脅威モデリングにアプローチする方法) -
How to think about cloud security governance
(クラウドのセキュリティガバナンスをどのように考えるか)
関連動画:
-
Proactive security: Considerations and approaches
(プロアクティブなセキュリティ: 考慮事項とアプローチ)