チャンピオンvs.コーチ。すべての開発チームに両方が必要な理由

2022年02月08日掲載
マティアス・マドゥ博士著
ケーススタディ

チャンピオンvs.コーチ。すべての開発チームに両方が必要な理由

2022年02月08日掲載
マティアス・マドゥ博士著
リソースを見る
リソースを見る

チャンピオン "や "コーチ "という言葉は、スポーツ以外の分野でも関連性が高まっており、ほとんどの文脈で力強い存在感を示しています。ライフコーチ、ウェルネスコーチ、エンパシーコーチ、そして多くの組織で戴冠している「チャンピオン」がいます。「安全性のチャンピオン」や「雰囲気のチャンピオン」といった肩書きが主流となり、ビジネスの精神や文化に溶け込んでいます。困難な状況に陥ったとき、コーチやチャンピオンを味方につけたくない人はいないでしょう。 


サイバーセキュリティ業界の組織は、開発レベルでのセキュリティの普及と、ソフトウェアセキュリティの高い水準の維持を目指して、チャンピオンを活用してきた長い歴史があります。BSIMMは彼らをサテライトグループと呼び、OpenSAMMとAxwayは、コンセプトと正式なプログラムとしてセキュリティチャンピオンをサポートする先駆的なグループです。これらの取り組みは、DevSecOpsムーブメントの主な目的の1つである、ソフトウェア開発プロセスの初期段階からチームや機能を超えてセキュリティに対する責任を共有するという取り組みと交差し、それをサポートしています。


サイバーセキュリティへの取り組みで目標を達成している企業の多くは、公式のセキュリティ・チャンピオン・プログラムを導入しており、チーム間の連絡や一般的な応援、ベストプラクティスの監督など、セキュリティに関する重要な責任を、そのような役割への適性と情熱を持つ個人に与えています。 


しかし、「セキュリティ・チャンピオン」の役割が変化していることはむしろ明らかであり、先進的な企業は、チームを拡大し、主要な担当者が異なる、しかし同様に重要な機能をサポートすることで、スケーラブルなセキュリティ・ベストプラクティスの新たな高みに到達することができます。 


私たちは、セキュリティチャンピオンを再定義し、複製することで、将来を見据えたセキュリティプログラムに本当に影響を与えることができます。次のドリームチームを作る準備はできていますか?

優れたチームには、インスピレーションを与えるコーチが存在します。

ライオネル・メッシ、マイケル・ジョーダン、セリーナ・ウィリアムズなど、彼らのコーチについて知っているのは熱狂的なファンだけだと思いますが、彼らの天性のスキル、才能、そして目標に向かう意欲を支える身近な存在が、スポットライトを浴びるような大成功をもたらしているのです。 


開発者が満塁ホームランを打ったり、アルゼンチンのゴールを決めたりすることを期待している人はいませんし、ましてや開発者がセキュリティの専門家であることを期待している人はいないでしょう(結局のところ、彼らはクールな機能を作るために契約したのであって、セキュリティについて深く考えるために契約したのではありません)。しかし、優れたセキュリティ「コーチ」は、チームにおける彼らの真のチャンピオンです。

開発者側のセキュリティチャンピオンは、私たちがコーチの基本として認識しているものとはるかに一致しています。彼らは、セキュリティに情熱を持ち、知識が豊富で、開発者がセキュリティ問題を解決する際の重要な連絡先となります。彼らは、開発者が問題を修正し、失敗から学ぶのを助けるための実践的なノウハウを持っており、同時に、チームが中核的なセキュリティのベストプラクティスと価値観に沿っていることを確認する。 

AppSecのチャンピオンは立ち上がってくれますか?

AppSecサイド・チャンピオンは、セキュリティ・プログラムのパズルの中で見落とされがちなピースです。開発チームの成功には絶対に欠かせない存在であり、Cレベル、エグゼクティブスタッフと開発者の間の橋渡し役として、積極的に開発者を擁護し、脆弱性の削減、ソフトウェアの安全性、顧客の信頼と満足にプラスの影響を与えるために必要なツールを提供することができます。 


優れた AppSec チャンピオンは、企業内のセキュリティ・リーダーとして認識されており、セキュリティ・コーチを直接トレーニングするという大きな役割を担っています。 

スーパーコーチを召喚する

チャンピオンと優れたコーチは密接に関係しており、共に魔法を生み出します。既存のセキュリティ・チャンピオン・プログラムは、開発者に焦点を当てる傾向がありますが、私たちが明らかにしたように、真のチャンピオンはAppSec側であるべきです。最も情熱的でセキュリティ意識の高い開発者に、ボンネット内でのセキュア・コーディングの偉業達成を支援してもらい、他のチームを高揚させるのです。 


理想的なコーチを見つけるには、やはり従来のチャンピオンと同様のプロセスが必要です。最高のコーチは、単にセキュリティにおいて「最高」の人ではありません。最高のコーチとは、単にセキュリティの「最高」の人ではありません。たまたま、セキュアなコーディングが得意で、高品質で強化されたコードを作成することができる人でも、課外活動に興味がなかったり、才能があるにもかかわらずセキュリティにあまり興味がなかったりする場合があります。 


むしろ、以下のような人を探せば、あなたのコーチは発掘されるかもしれません。

  • サイバーセキュリティに強い関心を持ち、実践的なコーディングから、最新のインシデント、ツール、クールな開発に関する最新情報の入手に努めている。
  • 対人関係のスキルが高く、人を助けることが好きで、自分が頼りになる人(または専属の専門家)であると感じ、親しみやすいチームプレーヤーである。
  • 開発者側の主張を積極的に行うことができる。チームを支援するために何が必要かを理解し、AppSecリエゾン(チャンピオン)と協力してニーズを満たし、相互にセキュリティ上の成果を達成することができる。


コーチのポジションにインセンティブを与える。誰を選んでより多くの責任を負わなければならず、それに応じて彼らの仕事量を評価する必要がある。個人的な興味やキャリアアップがコーチ候補のモチベーションに影響するのは当然ですが、ゴールを蹴ることで他にどのような報酬を得られるかを考えるのは良い方法です。素晴らしい会議に参加させてもらえないか?余分な休暇を取ることはできないだろうか?courses や資格取得のための資金を提供してもらえないだろうか?最初からSDLCのセキュリティを確保するために今費やした時間とお金は、後になってからの方がはるかに節約になりますし、最悪の場合、脆弱性がライブで発見された場合もそうです。意味のある報酬を提供する方法を見つけてください。

次のレベルのセキュリティ・チャンピオン・プログラムです。

最終的には、業界として開発者をサポートし、質の高いコードが安全なコードであることを理解してもらうために、開発者をダークセキュリティ側に引き入れるための努力をしなければなりません。教育と成功を可能にするための時間と努力が行われていない場合、何かに関心を持つことは困難です。悲しいことに、セキュアコーディングの教育においては、そのような傾向があります。関連性のある実践的なスキルアップは、ピア・コーチやAppSecアドボケートと一緒に行うことで、開発チームが防御力を発揮できるようにするために必要なトリプルヒットとなります。

リソースを見る
リソースを見る

著者

マティアス・マドゥ博士

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

チャンピオンvs.コーチ。すべての開発チームに両方が必要な理由

2024年1月22日発行
マティアス・マドゥ博士著

チャンピオン "や "コーチ "という言葉は、スポーツ以外の分野でも関連性が高まっており、ほとんどの文脈で力強い存在感を示しています。ライフコーチ、ウェルネスコーチ、エンパシーコーチ、そして多くの組織で戴冠している「チャンピオン」がいます。「安全性のチャンピオン」や「雰囲気のチャンピオン」といった肩書きが主流となり、ビジネスの精神や文化に溶け込んでいます。困難な状況に陥ったとき、コーチやチャンピオンを味方につけたくない人はいないでしょう。 


サイバーセキュリティ業界の組織は、開発レベルでのセキュリティの普及と、ソフトウェアセキュリティの高い水準の維持を目指して、チャンピオンを活用してきた長い歴史があります。BSIMMは彼らをサテライトグループと呼び、OpenSAMMとAxwayは、コンセプトと正式なプログラムとしてセキュリティチャンピオンをサポートする先駆的なグループです。これらの取り組みは、DevSecOpsムーブメントの主な目的の1つである、ソフトウェア開発プロセスの初期段階からチームや機能を超えてセキュリティに対する責任を共有するという取り組みと交差し、それをサポートしています。


サイバーセキュリティへの取り組みで目標を達成している企業の多くは、公式のセキュリティ・チャンピオン・プログラムを導入しており、チーム間の連絡や一般的な応援、ベストプラクティスの監督など、セキュリティに関する重要な責任を、そのような役割への適性と情熱を持つ個人に与えています。 


しかし、「セキュリティ・チャンピオン」の役割が変化していることはむしろ明らかであり、先進的な企業は、チームを拡大し、主要な担当者が異なる、しかし同様に重要な機能をサポートすることで、スケーラブルなセキュリティ・ベストプラクティスの新たな高みに到達することができます。 


私たちは、セキュリティチャンピオンを再定義し、複製することで、将来を見据えたセキュリティプログラムに本当に影響を与えることができます。次のドリームチームを作る準備はできていますか?

優れたチームには、インスピレーションを与えるコーチが存在します。

ライオネル・メッシ、マイケル・ジョーダン、セリーナ・ウィリアムズなど、彼らのコーチについて知っているのは熱狂的なファンだけだと思いますが、彼らの天性のスキル、才能、そして目標に向かう意欲を支える身近な存在が、スポットライトを浴びるような大成功をもたらしているのです。 


開発者が満塁ホームランを打ったり、アルゼンチンのゴールを決めたりすることを期待している人はいませんし、ましてや開発者がセキュリティの専門家であることを期待している人はいないでしょう(結局のところ、彼らはクールな機能を作るために契約したのであって、セキュリティについて深く考えるために契約したのではありません)。しかし、優れたセキュリティ「コーチ」は、チームにおける彼らの真のチャンピオンです。

開発者側のセキュリティチャンピオンは、私たちがコーチの基本として認識しているものとはるかに一致しています。彼らは、セキュリティに情熱を持ち、知識が豊富で、開発者がセキュリティ問題を解決する際の重要な連絡先となります。彼らは、開発者が問題を修正し、失敗から学ぶのを助けるための実践的なノウハウを持っており、同時に、チームが中核的なセキュリティのベストプラクティスと価値観に沿っていることを確認する。 

AppSecのチャンピオンは立ち上がってくれますか?

AppSecサイド・チャンピオンは、セキュリティ・プログラムのパズルの中で見落とされがちなピースです。開発チームの成功には絶対に欠かせない存在であり、Cレベル、エグゼクティブスタッフと開発者の間の橋渡し役として、積極的に開発者を擁護し、脆弱性の削減、ソフトウェアの安全性、顧客の信頼と満足にプラスの影響を与えるために必要なツールを提供することができます。 


優れた AppSec チャンピオンは、企業内のセキュリティ・リーダーとして認識されており、セキュリティ・コーチを直接トレーニングするという大きな役割を担っています。 

スーパーコーチを召喚する

チャンピオンと優れたコーチは密接に関係しており、共に魔法を生み出します。既存のセキュリティ・チャンピオン・プログラムは、開発者に焦点を当てる傾向がありますが、私たちが明らかにしたように、真のチャンピオンはAppSec側であるべきです。最も情熱的でセキュリティ意識の高い開発者に、ボンネット内でのセキュア・コーディングの偉業達成を支援してもらい、他のチームを高揚させるのです。 


理想的なコーチを見つけるには、やはり従来のチャンピオンと同様のプロセスが必要です。最高のコーチは、単にセキュリティにおいて「最高」の人ではありません。最高のコーチとは、単にセキュリティの「最高」の人ではありません。たまたま、セキュアなコーディングが得意で、高品質で強化されたコードを作成することができる人でも、課外活動に興味がなかったり、才能があるにもかかわらずセキュリティにあまり興味がなかったりする場合があります。 


むしろ、以下のような人を探せば、あなたのコーチは発掘されるかもしれません。

  • サイバーセキュリティに強い関心を持ち、実践的なコーディングから、最新のインシデント、ツール、クールな開発に関する最新情報の入手に努めている。
  • 対人関係のスキルが高く、人を助けることが好きで、自分が頼りになる人(または専属の専門家)であると感じ、親しみやすいチームプレーヤーである。
  • 開発者側の主張を積極的に行うことができる。チームを支援するために何が必要かを理解し、AppSecリエゾン(チャンピオン)と協力してニーズを満たし、相互にセキュリティ上の成果を達成することができる。


コーチのポジションにインセンティブを与える。誰を選んでより多くの責任を負わなければならず、それに応じて彼らの仕事量を評価する必要がある。個人的な興味やキャリアアップがコーチ候補のモチベーションに影響するのは当然ですが、ゴールを蹴ることで他にどのような報酬を得られるかを考えるのは良い方法です。素晴らしい会議に参加させてもらえないか?余分な休暇を取ることはできないだろうか?courses や資格取得のための資金を提供してもらえないだろうか?最初からSDLCのセキュリティを確保するために今費やした時間とお金は、後になってからの方がはるかに節約になりますし、最悪の場合、脆弱性がライブで発見された場合もそうです。意味のある報酬を提供する方法を見つけてください。

次のレベルのセキュリティ・チャンピオン・プログラムです。

最終的には、業界として開発者をサポートし、質の高いコードが安全なコードであることを理解してもらうために、開発者をダークセキュリティ側に引き入れるための努力をしなければなりません。教育と成功を可能にするための時間と努力が行われていない場合、何かに関心を持つことは困難です。悲しいことに、セキュアコーディングの教育においては、そのような傾向があります。関連性のある実践的なスキルアップは、ピア・コーチやAppSecアドボケートと一緒に行うことで、開発チームが防御力を発揮できるようにするために必要なトリプルヒットとなります。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。