One Culture of Security: Sage社がアジャイルセキュアコード学習でセキュリティチャンピオンプログラムを構築した方法

2023年11月22日発行
ケーススタディ

One Culture of Security: Sage社がアジャイルセキュアコード学習でセキュリティチャンピオンプログラムを構築した方法

セージは英国の多国籍企業向けソフトウェア会社で、給与、人事、財務のためのシンプルで使いやすいソフトウェアとサービスを企業に提供している。2017年現在、英国第2位のテクノロジー企業であり、世界第3位の企業資源計画ソフトウェアのサプライヤーであり、全世界で600万以上の顧客を持つ中小企業向け最大のサプライヤーである。

状況 

Sage 社は、Secure Code Warrior と連携する以前から、約10 年間にわたりセキュリティ・チャンピオン・ネットワークの概要を説明してきた。セキュリティに特化した開発者の強固なネットワークがあったにもかかわらず、トレーニングは散発的で、 リスク低減に焦点を当てた構成になっていなかった。 

セイジは、柔軟なアプローチで一定期間をかけて関係を構築し、セキュリ ティを定着させることに時間をかけることが重要だと認識していた。Sage 社のプログラムは、その目標をリスク削減とそのプログラムによる重大な影響に結び付けた。特定の事業部門とプログラムを試験的に実施する際には、開発者や上級管理職の賛同を得るために、リスク削減をどのように測定し、それを事業部門にフィードバックするかに重点を置いた。 

アクション

Sage 社の People-Centered Security Lead である Mads Howard 氏は、セキュリティチャンピオンのペルソナを理解するために開発者と協働した。彼女は、各事業部門の開発者に会ってインタビューを実施し、何が彼らのモチベーションになっているのか、どのように学習するのが好きなのか、仕事にはどのような限界があるのかを理解した。彼女と彼女のチームは、開発者やそのチームリーダーとの関係構築に努め、柔軟なアプローチの重要性を強調した。

マッズは関係構築のアプローチを重視している、

"私たちは、開発チームのリーダー、エンジニアリングチームのリーダー、プロダクトマネージャー(スプリントサイクルで教育に費やす時間をコントロールする人々)との関係構築に多くの時間を費やしました"

マッズによれば、それはセキュリティ・チャンピオン・ネットワークの規模を拡大することにも帰結するという、

「セキュリティ・チャンピオン・ネットワークは、このプログラムの重要なコントロールとみなされてきました。ですから、製品がこのプログラムを通過するためには、誰かがセキュリティ・チャンピオンとなり、また彼らにしっかりとしたセキュリティ・トレーニングを提供するという役割を本当に真剣に考えなければなりませんでした" 

Sage社のグローバル・セキュリティ・チームの目標は、複雑な技術環境における 開発者の学習ニーズを考慮したセキュリティ・コントロール・プログラムを導入し、脆弱性管理を支援する既存のセキュリティ・ツールとともに 機能するパートナーを選択することだった。 

教育が成熟したセキュリティ管理プログラムの重要な側面であると見なされることが重要であった。彼らは、以下を通じたリスク削減の測定に重点を置いていた: 

  • リスク・スコアの改善
  • 脆弱性年齢 脆弱性バックログの削減
  • 解像度時間
  • クローズドな脆弱性なし v. オープンな脆弱性
  • セージが作成したコード(サードパーティ製を除く)1行あたりの問題数

マッズのために、

「ビジネスとしてのセージの次の段階は、開発者のワークフローに組み込まれたセキュアコーディングプログラムによるスキルアップが、測定可能なリスク削減をもたらすことを実証することです。

結果

マッズは、Secure Code Warrior が彼女と彼女のチームに与えてくれたパートナーシップと指導の重要性を強調した、

「正直言って、Secure Code Warrior のサポートがなければ、ここまで到達することはできなかっただろうし、さまざまなレイヤーや開発チームがさまざまなテクノロジーにまたがるという点で、これほど成熟したプログラムを構築することもできなかっただろう。" 

マッズと彼女のチームがインタビューを完了し、開発者の賛同を得ると、彼女はSecure Code Warrior 、より広範なセキュリティ文化プログラムの一部として実装を開始した。 

マッズによれば、結果はこうだ、

「セージには現在、200人を超えるセキュリティチャンピオンが在籍しており、セキュリティチャンピオンが週3.5時間(または自分の時間の10%)をスキル構築に充てていれば、セキュアコーディングプログラムを提唱し、継続的なトレーニングを提唱し、その価値を提唱することができる。 

シニア・リーダーの賛同とリスク削減に関する測定可能な目標によって、マッズは、プラットフォームの利用者数やプレイ時間だけでなく、脆弱性の修正にかかる時間、脆弱性の年齢、そして脆弱性削減に関する全体的な視点を与えるために顧客のために構築された新機能との比較など、成功の測定を開始することができました。あるチームでは、脆弱性の修正にかかる平均時間が82%も短縮され、その影響は非常に大きかった。

しかし、それ以上に重要なのは、数値化できないもの、つまりチームの関与、コミットメント、プログラムへの参加意欲である、とハワードは付け加えた。

要点

Sage社の経験は、綿密に計画され実行されたセキュリティ・トレーニングの妥当性、柔軟で統合されたアプローチの重要性を強調している。マッズ氏によると、セキュリティ管理プログラムを成功させ、セキュリティを企業文化に根付かせるためには、開発者に対抗するのではなく、開発者と協力することが重要であることを忘れてはならない。 

  • セキュリティ文化の構築は一朝一夕にできるものではない。時間をかけて人間関係を構築し、セキュリティを定着させ、そのためにリソースを割くことが重要である。 
  • すべてをリスク低減に結びつけ、セキュアコーディングプログラムの重大な影響に焦点を当てる。
  • 開発者と上級管理職の両方から、プログラムがインパクトのあるものであり、成功したものであるとみなされるように、リスク削減をどのように測定し、ビジネスに還元できるかに焦点を当てる。 

セキュリティ・チャンピオンになりたいと考えている開発者に対して、彼女と彼女のチームは次のようなアドバイスもしている: 

  • セキュリティに関心のある人たちとネットワークを作り、カンファレンスや講演に参加する。興味のあるトピックについて時間をかけて学ぶ。 
  • 組織の文化は一夜にして変わるものではなく、発展し成熟するには時間がかかることを肝に銘じておいてほしい。 

PDFをダウンロード
リソースを見る
PDFをダウンロード
リソースを見る

著者

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

One Culture of Security: Sage社がアジャイルセキュアコード学習でセキュリティチャンピオンプログラムを構築した方法

2024年1月22日発行
By

セージは英国の多国籍企業向けソフトウェア会社で、給与、人事、財務のためのシンプルで使いやすいソフトウェアとサービスを企業に提供している。2017年現在、英国第2位のテクノロジー企業であり、世界第3位の企業資源計画ソフトウェアのサプライヤーであり、全世界で600万以上の顧客を持つ中小企業向け最大のサプライヤーである。

状況 

Sage 社は、Secure Code Warrior と連携する以前から、約10 年間にわたりセキュリティ・チャンピオン・ネットワークの概要を説明してきた。セキュリティに特化した開発者の強固なネットワークがあったにもかかわらず、トレーニングは散発的で、 リスク低減に焦点を当てた構成になっていなかった。 

セイジは、柔軟なアプローチで一定期間をかけて関係を構築し、セキュリ ティを定着させることに時間をかけることが重要だと認識していた。Sage 社のプログラムは、その目標をリスク削減とそのプログラムによる重大な影響に結び付けた。特定の事業部門とプログラムを試験的に実施する際には、開発者や上級管理職の賛同を得るために、リスク削減をどのように測定し、それを事業部門にフィードバックするかに重点を置いた。 

アクション

Sage 社の People-Centered Security Lead である Mads Howard 氏は、セキュリティチャンピオンのペルソナを理解するために開発者と協働した。彼女は、各事業部門の開発者に会ってインタビューを実施し、何が彼らのモチベーションになっているのか、どのように学習するのが好きなのか、仕事にはどのような限界があるのかを理解した。彼女と彼女のチームは、開発者やそのチームリーダーとの関係構築に努め、柔軟なアプローチの重要性を強調した。

マッズは関係構築のアプローチを重視している、

"私たちは、開発チームのリーダー、エンジニアリングチームのリーダー、プロダクトマネージャー(スプリントサイクルで教育に費やす時間をコントロールする人々)との関係構築に多くの時間を費やしました"

マッズによれば、それはセキュリティ・チャンピオン・ネットワークの規模を拡大することにも帰結するという、

「セキュリティ・チャンピオン・ネットワークは、このプログラムの重要なコントロールとみなされてきました。ですから、製品がこのプログラムを通過するためには、誰かがセキュリティ・チャンピオンとなり、また彼らにしっかりとしたセキュリティ・トレーニングを提供するという役割を本当に真剣に考えなければなりませんでした" 

Sage社のグローバル・セキュリティ・チームの目標は、複雑な技術環境における 開発者の学習ニーズを考慮したセキュリティ・コントロール・プログラムを導入し、脆弱性管理を支援する既存のセキュリティ・ツールとともに 機能するパートナーを選択することだった。 

教育が成熟したセキュリティ管理プログラムの重要な側面であると見なされることが重要であった。彼らは、以下を通じたリスク削減の測定に重点を置いていた: 

  • リスク・スコアの改善
  • 脆弱性年齢 脆弱性バックログの削減
  • 解像度時間
  • クローズドな脆弱性なし v. オープンな脆弱性
  • セージが作成したコード(サードパーティ製を除く)1行あたりの問題数

マッズのために、

「ビジネスとしてのセージの次の段階は、開発者のワークフローに組み込まれたセキュアコーディングプログラムによるスキルアップが、測定可能なリスク削減をもたらすことを実証することです。

結果

マッズは、Secure Code Warrior が彼女と彼女のチームに与えてくれたパートナーシップと指導の重要性を強調した、

「正直言って、Secure Code Warrior のサポートがなければ、ここまで到達することはできなかっただろうし、さまざまなレイヤーや開発チームがさまざまなテクノロジーにまたがるという点で、これほど成熟したプログラムを構築することもできなかっただろう。" 

マッズと彼女のチームがインタビューを完了し、開発者の賛同を得ると、彼女はSecure Code Warrior 、より広範なセキュリティ文化プログラムの一部として実装を開始した。 

マッズによれば、結果はこうだ、

「セージには現在、200人を超えるセキュリティチャンピオンが在籍しており、セキュリティチャンピオンが週3.5時間(または自分の時間の10%)をスキル構築に充てていれば、セキュアコーディングプログラムを提唱し、継続的なトレーニングを提唱し、その価値を提唱することができる。 

シニア・リーダーの賛同とリスク削減に関する測定可能な目標によって、マッズは、プラットフォームの利用者数やプレイ時間だけでなく、脆弱性の修正にかかる時間、脆弱性の年齢、そして脆弱性削減に関する全体的な視点を与えるために顧客のために構築された新機能との比較など、成功の測定を開始することができました。あるチームでは、脆弱性の修正にかかる平均時間が82%も短縮され、その影響は非常に大きかった。

しかし、それ以上に重要なのは、数値化できないもの、つまりチームの関与、コミットメント、プログラムへの参加意欲である、とハワードは付け加えた。

要点

Sage社の経験は、綿密に計画され実行されたセキュリティ・トレーニングの妥当性、柔軟で統合されたアプローチの重要性を強調している。マッズ氏によると、セキュリティ管理プログラムを成功させ、セキュリティを企業文化に根付かせるためには、開発者に対抗するのではなく、開発者と協力することが重要であることを忘れてはならない。 

  • セキュリティ文化の構築は一朝一夕にできるものではない。時間をかけて人間関係を構築し、セキュリティを定着させ、そのためにリソースを割くことが重要である。 
  • すべてをリスク低減に結びつけ、セキュアコーディングプログラムの重大な影響に焦点を当てる。
  • 開発者と上級管理職の両方から、プログラムがインパクトのあるものであり、成功したものであるとみなされるように、リスク削減をどのように測定し、ビジネスに還元できるかに焦点を当てる。 

セキュリティ・チャンピオンになりたいと考えている開発者に対して、彼女と彼女のチームは次のようなアドバイスもしている: 

  • セキュリティに関心のある人たちとネットワークを作り、カンファレンスや講演に参加する。興味のあるトピックについて時間をかけて学ぶ。 
  • 組織の文化は一夜にして変わるものではなく、発展し成熟するには時間がかかることを肝に銘じておいてほしい。 

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。