チャンピオンvs.コーチ。すべての開発チームに両方が必要な理由
チャンピオン "や "コーチ "という言葉は、スポーツ以外の分野でも関連性が高まっており、ほとんどの文脈で力強い存在感を示しています。ライフコーチ、ウェルネスコーチ、エンパシーコーチ、そして多くの組織で戴冠している「チャンピオン」がいます。「安全性のチャンピオン」や「雰囲気のチャンピオン」といった肩書きが主流となり、ビジネスの精神や文化に溶け込んでいます。困難な状況に陥ったとき、コーチやチャンピオンを味方につけたくない人はいないでしょう。
サイバーセキュリティ業界の組織は、開発レベルでのセキュリティの普及と、ソフトウェアセキュリティの高い水準の維持を目指して、チャンピオンを活用してきた長い歴史があります。BSIMMは彼らをサテライトグループと呼び、OpenSAMMとAxwayは、コンセプトと正式なプログラムとしてセキュリティチャンピオンをサポートする先駆的なグループです。これらの取り組みは、DevSecOpsムーブメントの主な目的の1つである、ソフトウェア開発プロセスの初期段階からチームや機能を超えてセキュリティに対する責任を共有するという取り組みと交差し、それをサポートしています。
サイバーセキュリティへの取り組みで目標を達成している企業の多くは、公式のセキュリティ・チャンピオン・プログラムを導入しており、チーム間の連絡や一般的な応援、ベストプラクティスの監督など、セキュリティに関する重要な責任を、そのような役割への適性と情熱を持つ個人に与えています。
しかし、「セキュリティ・チャンピオン」の役割が変化していることはむしろ明らかであり、先進的な企業は、チームを拡大し、主要な担当者が異なる、しかし同様に重要な機能をサポートすることで、スケーラブルなセキュリティ・ベストプラクティスの新たな高みに到達することができます。
私たちは、セキュリティチャンピオンを再定義し、複製することで、将来を見据えたセキュリティプログラムに本当に影響を与えることができます。次のドリームチームを作る準備はできていますか?
優れたチームには、インスピレーションを与えるコーチが存在します。
ライオネル・メッシ、マイケル・ジョーダン、セリーナ・ウィリアムズなど、彼らのコーチについて知っているのは熱狂的なファンだけだと思いますが、彼らの天性のスキル、才能、そして目標に向かう意欲を支える身近な存在が、スポットライトを浴びるような大成功をもたらしているのです。
開発者が満塁ホームランを打ったり、アルゼンチンのゴールを決めたりすることを期待している人はいませんし、ましてや開発者がセキュリティの専門家であることを期待している人はいないでしょう(結局のところ、彼らはクールな機能を作るために契約したのであって、セキュリティについて深く考えるために契約したのではありません)。しかし、優れたセキュリティ「コーチ」は、チームにおける彼らの真のチャンピオンです。
開発者側のセキュリティチャンピオンは、私たちがコーチの基本として認識しているものとはるかに一致しています。彼らは、セキュリティに情熱を持ち、知識が豊富で、開発者がセキュリティ問題を解決する際の重要な連絡先となります。彼らは、開発者が問題を修正し、失敗から学ぶのを助けるための実践的なノウハウを持っており、同時に、チームが中核的なセキュリティのベストプラクティスと価値観に沿っていることを確認する。
AppSecのチャンピオンは立ち上がってくれますか?
AppSecサイド・チャンピオンは、セキュリティ・プログラムのパズルの中で見落とされがちなピースです。開発チームの成功には絶対に欠かせない存在であり、Cレベル、エグゼクティブスタッフと開発者の間の橋渡し役として、積極的に開発者を擁護し、脆弱性の削減、ソフトウェアの安全性、顧客の信頼と満足にプラスの影響を与えるために必要なツールを提供することができます。
優れた AppSec チャンピオンは、企業内のセキュリティ・リーダーとして認識されており、セキュリティ・コーチを直接トレーニングするという大きな役割を担っています。
スーパーコーチを召喚する
チャンピオンと優れたコーチは密接に関係しており、共に魔法を生み出します。既存のセキュリティ・チャンピオン・プログラムは、開発者に焦点を当てる傾向がありますが、私たちが明らかにしたように、真のチャンピオンはAppSec側であるべきです。最も情熱的でセキュリティ意識の高い開発者に、ボンネット内でのセキュア・コーディングの偉業達成を支援してもらい、他のチームを高揚させるのです。
理想的なコーチを見つけるには、やはり従来のチャンピオンと同様のプロセスが必要です。最高のコーチは、単にセキュリティにおいて「最高」の人ではありません。最高のコーチとは、単にセキュリティの「最高」の人ではありません。たまたま、セキュアなコーディングが得意で、高品質で強化されたコードを作成することができる人でも、課外活動に興味がなかったり、才能があるにもかかわらずセキュリティにあまり興味がなかったりする場合があります。
むしろ、以下のような人を探せば、あなたのコーチは発掘されるかもしれません。
- サイバーセキュリティに強い関心を持ち、実践的なコーディングから、最新のインシデント、ツール、クールな開発に関する最新情報の入手に努めている。
- 対人関係のスキルが高く、人を助けることが好きで、自分が頼りになる人(または専属の専門家)であると感じ、親しみやすいチームプレーヤーである。
- 開発者側の主張を積極的に行うことができる。チームを支援するために何が必要かを理解し、AppSecリエゾン(チャンピオン)と協力してニーズを満たし、相互にセキュリティ上の成果を達成することができる。
コーチのポジションにインセンティブを与える。誰を選んでもより多くの責任を負わなければならず、それに応じて彼らの仕事量を評価する必要がある。個人的な興味やキャリアアップがコーチ候補のモチベーションに影響するのは当然ですが、ゴールを蹴ることで他にどのような報酬を得られるかを考えるのは良い方法です。素晴らしい会議に参加させてもらえないか?余分な休暇を取ることはできないだろうか?courses や資格取得のための資金を提供してもらえないだろうか?最初からSDLCのセキュリティを確保するために今費やした時間とお金は、後になってからの方がはるかに節約になりますし、最悪の場合、脆弱性がライブで発見された場合もそうです。意味のある報酬を提供する方法を見つけてください。
次のレベルのセキュリティ・チャンピオン・プログラムです。
最終的には、業界として開発者をサポートし、質の高いコードが安全なコードであることを理解してもらうために、開発者をダークセキュリティ側に引き入れるための努力をしなければなりません。教育と成功を可能にするための時間と努力が行われていない場合、何かに関心を持つことは困難です。悲しいことに、セキュアコーディングの教育においては、そのような傾向があります。関連性のある実践的なスキルアップは、ピア・コーチやAppSecアドボケートと一緒に行うことで、開発チームが防御力を発揮できるようにするために必要なトリプルヒットとなります。
サイバーセキュリティへの取り組みで目標を達成している企業の多くは、公式のセキュリティ・チャンピオン・プログラムを導入しており、チーム間の連絡や一般的な応援、ベストプラクティスの監督など、セキュリティに関する重要な責任を、そのような役割への適性と情熱を持つ個人に与えています。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
チャンピオン "や "コーチ "という言葉は、スポーツ以外の分野でも関連性が高まっており、ほとんどの文脈で力強い存在感を示しています。ライフコーチ、ウェルネスコーチ、エンパシーコーチ、そして多くの組織で戴冠している「チャンピオン」がいます。「安全性のチャンピオン」や「雰囲気のチャンピオン」といった肩書きが主流となり、ビジネスの精神や文化に溶け込んでいます。困難な状況に陥ったとき、コーチやチャンピオンを味方につけたくない人はいないでしょう。
サイバーセキュリティ業界の組織は、開発レベルでのセキュリティの普及と、ソフトウェアセキュリティの高い水準の維持を目指して、チャンピオンを活用してきた長い歴史があります。BSIMMは彼らをサテライトグループと呼び、OpenSAMMとAxwayは、コンセプトと正式なプログラムとしてセキュリティチャンピオンをサポートする先駆的なグループです。これらの取り組みは、DevSecOpsムーブメントの主な目的の1つである、ソフトウェア開発プロセスの初期段階からチームや機能を超えてセキュリティに対する責任を共有するという取り組みと交差し、それをサポートしています。
サイバーセキュリティへの取り組みで目標を達成している企業の多くは、公式のセキュリティ・チャンピオン・プログラムを導入しており、チーム間の連絡や一般的な応援、ベストプラクティスの監督など、セキュリティに関する重要な責任を、そのような役割への適性と情熱を持つ個人に与えています。
しかし、「セキュリティ・チャンピオン」の役割が変化していることはむしろ明らかであり、先進的な企業は、チームを拡大し、主要な担当者が異なる、しかし同様に重要な機能をサポートすることで、スケーラブルなセキュリティ・ベストプラクティスの新たな高みに到達することができます。
私たちは、セキュリティチャンピオンを再定義し、複製することで、将来を見据えたセキュリティプログラムに本当に影響を与えることができます。次のドリームチームを作る準備はできていますか?
優れたチームには、インスピレーションを与えるコーチが存在します。
ライオネル・メッシ、マイケル・ジョーダン、セリーナ・ウィリアムズなど、彼らのコーチについて知っているのは熱狂的なファンだけだと思いますが、彼らの天性のスキル、才能、そして目標に向かう意欲を支える身近な存在が、スポットライトを浴びるような大成功をもたらしているのです。
開発者が満塁ホームランを打ったり、アルゼンチンのゴールを決めたりすることを期待している人はいませんし、ましてや開発者がセキュリティの専門家であることを期待している人はいないでしょう(結局のところ、彼らはクールな機能を作るために契約したのであって、セキュリティについて深く考えるために契約したのではありません)。しかし、優れたセキュリティ「コーチ」は、チームにおける彼らの真のチャンピオンです。
開発者側のセキュリティチャンピオンは、私たちがコーチの基本として認識しているものとはるかに一致しています。彼らは、セキュリティに情熱を持ち、知識が豊富で、開発者がセキュリティ問題を解決する際の重要な連絡先となります。彼らは、開発者が問題を修正し、失敗から学ぶのを助けるための実践的なノウハウを持っており、同時に、チームが中核的なセキュリティのベストプラクティスと価値観に沿っていることを確認する。
AppSecのチャンピオンは立ち上がってくれますか?
AppSecサイド・チャンピオンは、セキュリティ・プログラムのパズルの中で見落とされがちなピースです。開発チームの成功には絶対に欠かせない存在であり、Cレベル、エグゼクティブスタッフと開発者の間の橋渡し役として、積極的に開発者を擁護し、脆弱性の削減、ソフトウェアの安全性、顧客の信頼と満足にプラスの影響を与えるために必要なツールを提供することができます。
優れた AppSec チャンピオンは、企業内のセキュリティ・リーダーとして認識されており、セキュリティ・コーチを直接トレーニングするという大きな役割を担っています。
スーパーコーチを召喚する
チャンピオンと優れたコーチは密接に関係しており、共に魔法を生み出します。既存のセキュリティ・チャンピオン・プログラムは、開発者に焦点を当てる傾向がありますが、私たちが明らかにしたように、真のチャンピオンはAppSec側であるべきです。最も情熱的でセキュリティ意識の高い開発者に、ボンネット内でのセキュア・コーディングの偉業達成を支援してもらい、他のチームを高揚させるのです。
理想的なコーチを見つけるには、やはり従来のチャンピオンと同様のプロセスが必要です。最高のコーチは、単にセキュリティにおいて「最高」の人ではありません。最高のコーチとは、単にセキュリティの「最高」の人ではありません。たまたま、セキュアなコーディングが得意で、高品質で強化されたコードを作成することができる人でも、課外活動に興味がなかったり、才能があるにもかかわらずセキュリティにあまり興味がなかったりする場合があります。
むしろ、以下のような人を探せば、あなたのコーチは発掘されるかもしれません。
- サイバーセキュリティに強い関心を持ち、実践的なコーディングから、最新のインシデント、ツール、クールな開発に関する最新情報の入手に努めている。
- 対人関係のスキルが高く、人を助けることが好きで、自分が頼りになる人(または専属の専門家)であると感じ、親しみやすいチームプレーヤーである。
- 開発者側の主張を積極的に行うことができる。チームを支援するために何が必要かを理解し、AppSecリエゾン(チャンピオン)と協力してニーズを満たし、相互にセキュリティ上の成果を達成することができる。
コーチのポジションにインセンティブを与える。誰を選んでもより多くの責任を負わなければならず、それに応じて彼らの仕事量を評価する必要がある。個人的な興味やキャリアアップがコーチ候補のモチベーションに影響するのは当然ですが、ゴールを蹴ることで他にどのような報酬を得られるかを考えるのは良い方法です。素晴らしい会議に参加させてもらえないか?余分な休暇を取ることはできないだろうか?courses や資格取得のための資金を提供してもらえないだろうか?最初からSDLCのセキュリティを確保するために今費やした時間とお金は、後になってからの方がはるかに節約になりますし、最悪の場合、脆弱性がライブで発見された場合もそうです。意味のある報酬を提供する方法を見つけてください。
次のレベルのセキュリティ・チャンピオン・プログラムです。
最終的には、業界として開発者をサポートし、質の高いコードが安全なコードであることを理解してもらうために、開発者をダークセキュリティ側に引き入れるための努力をしなければなりません。教育と成功を可能にするための時間と努力が行われていない場合、何かに関心を持つことは困難です。悲しいことに、セキュアコーディングの教育においては、そのような傾向があります。関連性のある実践的なスキルアップは、ピア・コーチやAppSecアドボケートと一緒に行うことで、開発チームが防御力を発揮できるようにするために必要なトリプルヒットとなります。
チャンピオン "や "コーチ "という言葉は、スポーツ以外の分野でも関連性が高まっており、ほとんどの文脈で力強い存在感を示しています。ライフコーチ、ウェルネスコーチ、エンパシーコーチ、そして多くの組織で戴冠している「チャンピオン」がいます。「安全性のチャンピオン」や「雰囲気のチャンピオン」といった肩書きが主流となり、ビジネスの精神や文化に溶け込んでいます。困難な状況に陥ったとき、コーチやチャンピオンを味方につけたくない人はいないでしょう。
サイバーセキュリティ業界の組織は、開発レベルでのセキュリティの普及と、ソフトウェアセキュリティの高い水準の維持を目指して、チャンピオンを活用してきた長い歴史があります。BSIMMは彼らをサテライトグループと呼び、OpenSAMMとAxwayは、コンセプトと正式なプログラムとしてセキュリティチャンピオンをサポートする先駆的なグループです。これらの取り組みは、DevSecOpsムーブメントの主な目的の1つである、ソフトウェア開発プロセスの初期段階からチームや機能を超えてセキュリティに対する責任を共有するという取り組みと交差し、それをサポートしています。
サイバーセキュリティへの取り組みで目標を達成している企業の多くは、公式のセキュリティ・チャンピオン・プログラムを導入しており、チーム間の連絡や一般的な応援、ベストプラクティスの監督など、セキュリティに関する重要な責任を、そのような役割への適性と情熱を持つ個人に与えています。
しかし、「セキュリティ・チャンピオン」の役割が変化していることはむしろ明らかであり、先進的な企業は、チームを拡大し、主要な担当者が異なる、しかし同様に重要な機能をサポートすることで、スケーラブルなセキュリティ・ベストプラクティスの新たな高みに到達することができます。
私たちは、セキュリティチャンピオンを再定義し、複製することで、将来を見据えたセキュリティプログラムに本当に影響を与えることができます。次のドリームチームを作る準備はできていますか?
優れたチームには、インスピレーションを与えるコーチが存在します。
ライオネル・メッシ、マイケル・ジョーダン、セリーナ・ウィリアムズなど、彼らのコーチについて知っているのは熱狂的なファンだけだと思いますが、彼らの天性のスキル、才能、そして目標に向かう意欲を支える身近な存在が、スポットライトを浴びるような大成功をもたらしているのです。
開発者が満塁ホームランを打ったり、アルゼンチンのゴールを決めたりすることを期待している人はいませんし、ましてや開発者がセキュリティの専門家であることを期待している人はいないでしょう(結局のところ、彼らはクールな機能を作るために契約したのであって、セキュリティについて深く考えるために契約したのではありません)。しかし、優れたセキュリティ「コーチ」は、チームにおける彼らの真のチャンピオンです。
開発者側のセキュリティチャンピオンは、私たちがコーチの基本として認識しているものとはるかに一致しています。彼らは、セキュリティに情熱を持ち、知識が豊富で、開発者がセキュリティ問題を解決する際の重要な連絡先となります。彼らは、開発者が問題を修正し、失敗から学ぶのを助けるための実践的なノウハウを持っており、同時に、チームが中核的なセキュリティのベストプラクティスと価値観に沿っていることを確認する。
AppSecのチャンピオンは立ち上がってくれますか?
AppSecサイド・チャンピオンは、セキュリティ・プログラムのパズルの中で見落とされがちなピースです。開発チームの成功には絶対に欠かせない存在であり、Cレベル、エグゼクティブスタッフと開発者の間の橋渡し役として、積極的に開発者を擁護し、脆弱性の削減、ソフトウェアの安全性、顧客の信頼と満足にプラスの影響を与えるために必要なツールを提供することができます。
優れた AppSec チャンピオンは、企業内のセキュリティ・リーダーとして認識されており、セキュリティ・コーチを直接トレーニングするという大きな役割を担っています。
スーパーコーチを召喚する
チャンピオンと優れたコーチは密接に関係しており、共に魔法を生み出します。既存のセキュリティ・チャンピオン・プログラムは、開発者に焦点を当てる傾向がありますが、私たちが明らかにしたように、真のチャンピオンはAppSec側であるべきです。最も情熱的でセキュリティ意識の高い開発者に、ボンネット内でのセキュア・コーディングの偉業達成を支援してもらい、他のチームを高揚させるのです。
理想的なコーチを見つけるには、やはり従来のチャンピオンと同様のプロセスが必要です。最高のコーチは、単にセキュリティにおいて「最高」の人ではありません。最高のコーチとは、単にセキュリティの「最高」の人ではありません。たまたま、セキュアなコーディングが得意で、高品質で強化されたコードを作成することができる人でも、課外活動に興味がなかったり、才能があるにもかかわらずセキュリティにあまり興味がなかったりする場合があります。
むしろ、以下のような人を探せば、あなたのコーチは発掘されるかもしれません。
- サイバーセキュリティに強い関心を持ち、実践的なコーディングから、最新のインシデント、ツール、クールな開発に関する最新情報の入手に努めている。
- 対人関係のスキルが高く、人を助けることが好きで、自分が頼りになる人(または専属の専門家)であると感じ、親しみやすいチームプレーヤーである。
- 開発者側の主張を積極的に行うことができる。チームを支援するために何が必要かを理解し、AppSecリエゾン(チャンピオン)と協力してニーズを満たし、相互にセキュリティ上の成果を達成することができる。
コーチのポジションにインセンティブを与える。誰を選んでもより多くの責任を負わなければならず、それに応じて彼らの仕事量を評価する必要がある。個人的な興味やキャリアアップがコーチ候補のモチベーションに影響するのは当然ですが、ゴールを蹴ることで他にどのような報酬を得られるかを考えるのは良い方法です。素晴らしい会議に参加させてもらえないか?余分な休暇を取ることはできないだろうか?courses や資格取得のための資金を提供してもらえないだろうか?最初からSDLCのセキュリティを確保するために今費やした時間とお金は、後になってからの方がはるかに節約になりますし、最悪の場合、脆弱性がライブで発見された場合もそうです。意味のある報酬を提供する方法を見つけてください。
次のレベルのセキュリティ・チャンピオン・プログラムです。
最終的には、業界として開発者をサポートし、質の高いコードが安全なコードであることを理解してもらうために、開発者をダークセキュリティ側に引き入れるための努力をしなければなりません。教育と成功を可能にするための時間と努力が行われていない場合、何かに関心を持つことは困難です。悲しいことに、セキュアコーディングの教育においては、そのような傾向があります。関連性のある実践的なスキルアップは、ピア・コーチやAppSecアドボケートと一緒に行うことで、開発チームが防御力を発揮できるようにするために必要なトリプルヒットとなります。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
チャンピオン "や "コーチ "という言葉は、スポーツ以外の分野でも関連性が高まっており、ほとんどの文脈で力強い存在感を示しています。ライフコーチ、ウェルネスコーチ、エンパシーコーチ、そして多くの組織で戴冠している「チャンピオン」がいます。「安全性のチャンピオン」や「雰囲気のチャンピオン」といった肩書きが主流となり、ビジネスの精神や文化に溶け込んでいます。困難な状況に陥ったとき、コーチやチャンピオンを味方につけたくない人はいないでしょう。
サイバーセキュリティ業界の組織は、開発レベルでのセキュリティの普及と、ソフトウェアセキュリティの高い水準の維持を目指して、チャンピオンを活用してきた長い歴史があります。BSIMMは彼らをサテライトグループと呼び、OpenSAMMとAxwayは、コンセプトと正式なプログラムとしてセキュリティチャンピオンをサポートする先駆的なグループです。これらの取り組みは、DevSecOpsムーブメントの主な目的の1つである、ソフトウェア開発プロセスの初期段階からチームや機能を超えてセキュリティに対する責任を共有するという取り組みと交差し、それをサポートしています。
サイバーセキュリティへの取り組みで目標を達成している企業の多くは、公式のセキュリティ・チャンピオン・プログラムを導入しており、チーム間の連絡や一般的な応援、ベストプラクティスの監督など、セキュリティに関する重要な責任を、そのような役割への適性と情熱を持つ個人に与えています。
しかし、「セキュリティ・チャンピオン」の役割が変化していることはむしろ明らかであり、先進的な企業は、チームを拡大し、主要な担当者が異なる、しかし同様に重要な機能をサポートすることで、スケーラブルなセキュリティ・ベストプラクティスの新たな高みに到達することができます。
私たちは、セキュリティチャンピオンを再定義し、複製することで、将来を見据えたセキュリティプログラムに本当に影響を与えることができます。次のドリームチームを作る準備はできていますか?
優れたチームには、インスピレーションを与えるコーチが存在します。
ライオネル・メッシ、マイケル・ジョーダン、セリーナ・ウィリアムズなど、彼らのコーチについて知っているのは熱狂的なファンだけだと思いますが、彼らの天性のスキル、才能、そして目標に向かう意欲を支える身近な存在が、スポットライトを浴びるような大成功をもたらしているのです。
開発者が満塁ホームランを打ったり、アルゼンチンのゴールを決めたりすることを期待している人はいませんし、ましてや開発者がセキュリティの専門家であることを期待している人はいないでしょう(結局のところ、彼らはクールな機能を作るために契約したのであって、セキュリティについて深く考えるために契約したのではありません)。しかし、優れたセキュリティ「コーチ」は、チームにおける彼らの真のチャンピオンです。
開発者側のセキュリティチャンピオンは、私たちがコーチの基本として認識しているものとはるかに一致しています。彼らは、セキュリティに情熱を持ち、知識が豊富で、開発者がセキュリティ問題を解決する際の重要な連絡先となります。彼らは、開発者が問題を修正し、失敗から学ぶのを助けるための実践的なノウハウを持っており、同時に、チームが中核的なセキュリティのベストプラクティスと価値観に沿っていることを確認する。
AppSecのチャンピオンは立ち上がってくれますか?
AppSecサイド・チャンピオンは、セキュリティ・プログラムのパズルの中で見落とされがちなピースです。開発チームの成功には絶対に欠かせない存在であり、Cレベル、エグゼクティブスタッフと開発者の間の橋渡し役として、積極的に開発者を擁護し、脆弱性の削減、ソフトウェアの安全性、顧客の信頼と満足にプラスの影響を与えるために必要なツールを提供することができます。
優れた AppSec チャンピオンは、企業内のセキュリティ・リーダーとして認識されており、セキュリティ・コーチを直接トレーニングするという大きな役割を担っています。
スーパーコーチを召喚する
チャンピオンと優れたコーチは密接に関係しており、共に魔法を生み出します。既存のセキュリティ・チャンピオン・プログラムは、開発者に焦点を当てる傾向がありますが、私たちが明らかにしたように、真のチャンピオンはAppSec側であるべきです。最も情熱的でセキュリティ意識の高い開発者に、ボンネット内でのセキュア・コーディングの偉業達成を支援してもらい、他のチームを高揚させるのです。
理想的なコーチを見つけるには、やはり従来のチャンピオンと同様のプロセスが必要です。最高のコーチは、単にセキュリティにおいて「最高」の人ではありません。最高のコーチとは、単にセキュリティの「最高」の人ではありません。たまたま、セキュアなコーディングが得意で、高品質で強化されたコードを作成することができる人でも、課外活動に興味がなかったり、才能があるにもかかわらずセキュリティにあまり興味がなかったりする場合があります。
むしろ、以下のような人を探せば、あなたのコーチは発掘されるかもしれません。
- サイバーセキュリティに強い関心を持ち、実践的なコーディングから、最新のインシデント、ツール、クールな開発に関する最新情報の入手に努めている。
- 対人関係のスキルが高く、人を助けることが好きで、自分が頼りになる人(または専属の専門家)であると感じ、親しみやすいチームプレーヤーである。
- 開発者側の主張を積極的に行うことができる。チームを支援するために何が必要かを理解し、AppSecリエゾン(チャンピオン)と協力してニーズを満たし、相互にセキュリティ上の成果を達成することができる。
コーチのポジションにインセンティブを与える。誰を選んでもより多くの責任を負わなければならず、それに応じて彼らの仕事量を評価する必要がある。個人的な興味やキャリアアップがコーチ候補のモチベーションに影響するのは当然ですが、ゴールを蹴ることで他にどのような報酬を得られるかを考えるのは良い方法です。素晴らしい会議に参加させてもらえないか?余分な休暇を取ることはできないだろうか?courses や資格取得のための資金を提供してもらえないだろうか?最初からSDLCのセキュリティを確保するために今費やした時間とお金は、後になってからの方がはるかに節約になりますし、最悪の場合、脆弱性がライブで発見された場合もそうです。意味のある報酬を提供する方法を見つけてください。
次のレベルのセキュリティ・チャンピオン・プログラムです。
最終的には、業界として開発者をサポートし、質の高いコードが安全なコードであることを理解してもらうために、開発者をダークセキュリティ側に引き入れるための努力をしなければなりません。教育と成功を可能にするための時間と努力が行われていない場合、何かに関心を持つことは困難です。悲しいことに、セキュアコーディングの教育においては、そのような傾向があります。関連性のある実践的なスキルアップは、ピア・コーチやAppSecアドボケートと一緒に行うことで、開発チームが防御力を発揮できるようにするために必要なトリプルヒットとなります。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード始めるためのリソース
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
