こんにちは、ひろかずです。
今年もre:Inforce 2025が開催されました。
re:Inforceでは、全ての人がセキュリティに係わっていくという文脈で、AWSの文化や考え方、実践していることのアップデートが毎回共有されます。
今年は、セキュリティチャンピオンプログラムという、セキュリティのオーナーシップを分散させるための実証済みの戦略が共有され、それに基づく議論が興味深かったので、一筆書きます。
re:Inforce ってなに ?
AWS (Amazon Web Services) が開催する、クラウドセキュリティ、コンプライアンス、アイデンティティに特化したグローバルな学習型カンファレンスです。
- AWS re:InventがAWS全体の幅広いサービスを扱うのに対し、re:InforceはAWSセキュリティに特化している点が大きな違いです。
- 2019年から今年まで、2020年と2021年を除いて、ボストン・アナハイム・フィラデルフィアで現地開催されてきました。
忙しい人のための要約的な何か
- このセッションでは、参加者が自身の組織でセキュリティチャンピオンプログラムを構築するための具体的な6つのロードマップと、AWSが直面した課題と解決策について議論されました。
- セキュリティを支持していく人の募集と育成、エンゲージメントの維持、そして成功の測定方法について議論され、組織全体でセキュリティプラクティスを拡大するための具体的なステップが提供されました。
- プログラムの前提として、AWSでは「セキュリティは最優先事項である」という全体方針が強力に共有されており、文化や風習、ひいては採用の段階からアプローチされています。
用語解説
本ブログ内で出てくる用語について、いくつか解説しておきます。
セキュリティガーディアンってなに ?
セキュリティガーディアン(以下、ガーディアン)は、知識豊富でセキュリティ意識の高いプロダクト開発者であり、チーム内で一貫してセキュリティの推進役として自発的に活動し、セキュリティプロセスとツールを深く理解しています。開発ライフサイクル全体を通してセキュリティガイダンスを提供し、出荷される製品のセキュリティに関わるステークホルダーとして、チームが情報に基づいた意思決定を行い、より安全で予定通りのリリースを実現できるよう支援します。ガーディアンは、プロダクトチームのセキュリティに関する連絡窓口となります。
https://aws.amazon.com/jp/blogs/security/how-aws-built-the-security-guardians-program-a-mechanism-to-distribute-security-ownership/
セキュリティチャンピオンってなに ?
各開発チームにセキュリティチャンピオンを配置し、セキュリティチームとの連絡窓口としての役割を担わせ、安全な開発プラクティスに関する定期的なトレーニングを実施することをお勧めします。CEO/CIOによるこのプログラムへの経営陣の支援は成功の鍵となります。そうでなければ、開発チームはこのプログラムに継続的に時間を割くことができず、コミットすることができません。
https://maturitymodel.security.aws.dev/en/3.-efficient/security-champions/
セキュリティチャンピオンのあるべき姿
- 情報セキュリティに熱心であること
- 教えることが好きな人であること
- 正直で信頼できる人。リスク分析のために発生した問題を報告し、バグへの対応(リスクを受け入れる、本番環境への展開を停止する、リスクを軽減する)の決定に必要なすべての情報を提供する人
どんなステップで進めるの ?
組織全体でセキュリティプラクティスを拡大するための具体的なステップとして、以下が挙げられました
- 課題の理解
- ビジョンの設定
- イノベーションを起こす人の選択
- 行動の定義
- エンゲージメントの維持
- 成功の測定
1. 課題の理解
1-1. 考え方のベース
- セキュリティチャンピオンプログラムを導入する前に、解決しようとしている根本的な問題を深く理解することが重要である。
- アインシュタインの言葉「問題を解決するために1時間あれば、55分を正しい質問を見つけるために使うだろう」
- 問題の正確な特定が成功の鍵である。
- あなたが解決しようとしている問題を理解し、
- あなたが直面しているビジネスの課題は何か、
- まずは足を使う前にガーディアンの解決策を決定すること
- 課題に対してのリーダーシップとの整合性
- セキュリティは最優先事項である
- 全社員を巻き込むことは、文化変化プログラムである
- 課題の初期設定として、逆算のメカニズムとして5つの質問を設定した。
- 顧客は誰ですか?
- 私たちが解決しようとしている問題は何ですか?
- なぜこれが正しい解決策なのですか?
- 他にどんな解決策がありますか私たちが考えたことは?
- スケーリングについてはどうですか?
2. ビジョンの設定 ( ビジョンステートメント )
- ビジョン設定は、プログラムの成功に不可欠な要素である。
- ビジョンステートメントの策定にあたっては、リーダーシップと連携し、明確な理解を得た上で、意欲的なビジョンステートメントを策定することが重要である。
- ビジョンステートメントは、ビジネス目標に関連していることが重要。
- ビジネス目標と設定したビジョンを書くチームのリーダーに下ろすことは簡単だが、リーダーシップサポートがないと、あまり上手くはいかないだろう。
2-1. 特定された問題
- 開発チームの成長速度にセキュリティチームによるレビューが追いつかず、ボトルネックになっており、セキュリティがビジネスのブロッカーと見なされる傾向がある。
- ISC2によると、セキュリティ人材は約34万人不足している。
- セキュリティを開発プロセスのおわりに考えるのではなく、開発ライフサイクル全体にわたって組み込む必要がある。
- 22.5%%のセキュリティの問題が、開発プロセスの終わりに検出されている。
- セキュリティガーディアンを組み込んでいるチームでも、セキュリティレビューが開発プロセスの26%を占めている。
- 早い段階でのセキュリティレビューは、ビジネスインパクトの観点から、それはより速く、より安全なソフトウェア開発に繋がり、結果としてたくさんのアウトカム(成果や価値)を顧客に届けられる。
- 大きくなりすぎたチームをコミュニケーションが取れる規模にまで分割する
- 2ピザルール:チームの人数は、2枚のピザが行き届く範囲に留めること。それ以上のチームは分割すること。
2-2. 設定されたビジョン
- 大きくなりすぎたチームをコミュニケーションが取れる規模にまで分割し、その中で1~2人のエンジニアにセキュリティの訓練がなされる必要がある。
2-3. 実施してみての共有
セキュリティガーディアンの運用を始めたチームにインタビューをした結果
- セキュリティガーディアンは、チームの中でセキュリティについて声を上げることがし易くなった。
- これまでは、セキュリティの話をしている時にしか、セキュリティのことを語れなかった。
- このサイクルを回すことで、自身をもって進められるようになった。
2-4. このプログラムを進めるリーダーへのアドバイス
- 自信を持ってエスカレーションするために、ダッシュボードを立ち上げた。
- 脅威モデルのスコアをベースラインセキュリティのコントロールに関するフィードバックがわかるもの
- データに基づいてイニチアチブを取れるようにした。
3. イノベーションを起こす人の選択
3-1. 人材育成の取り組み
- 若いガーディアンを育成するにあたって、経験豊富なセキュリティエンジニアを招待し、トレーニングを行った。
- トレーニングを受けた200人が、提供されたトレーニングモジュールを使って、更に他のメンバーをトレーニングした。
- まず、トレーニングは、セルフペースラボで9時間かけて行われ、90%の理解率でPassできる。
- ガーディアンにオンボードには、90日間のシャドーイングやメンタリングを含むプログラムを提供した。
- 参加者へのインタビューの結果、カーディアンを志すモチベーションは3つ挙げられた。
- 安全なエンジニアになりたい。
- アマゾン以外でも使えるスキルである。
- 学びたい。成長したい。
- 学習とトレーニングのプログラムマネージャーとトレーニングを構築する手助けのために、ビデオやコンテンツを制作する人材を雇った。
- セキュリティエンジニアにインタビューをし、ガーディアンとのギャップのある部分(批判的思考)を補う学習モジュールを作った。
- 予算を確保し、脅威モデルの専門家を採用した。
3-2. 人選
- 人選は慎重に行う必要がある。
- スケールしていく際に、他の人を指導する人たちである。
- セキュリティへの適性や関心を持つ人たちを選ぶ。
3-3. パイロットチームの対象となる3つのカテゴリ
ガーディアンプログラムを始めるにあたって、パイロット展開するチームの3つのカテゴリは以下の通り
- クイックウィンチーム
- すでにセキュリティ能力を示しており、早期に良い結果が期待できるチーム
- 高インパクトチーム
- 課題を抱えているが、良い結果が得られれば大きな影響があるチーム
- 高リスクチーム
- 潜在的に機密性の高いデータや重要な業務を担当するチーム
4. 行動の定義
- ビジネス目標に関連する測定可能な行動を明確にすること。
- SMART フレームワークを使って目標設定をすることは有効である。
- チーム、ガーディアン、リーダーシップに目標と期待を伝えるための堅牢なコミュニケーションメカニズムを確立すること
- マインドセットとして、人々が組織内の他者に影響を与えることを許すこと
- 高いパフォーマンスを発揮したチームや個人をどのように認識するかを検討すること
- このように定義された行動は、トレーニングにフィードバックし、行動を実現できるようにトレーニングしていくこと。
- 定義された行動を測定可能にしていくこと。
5. エンゲージメントの維持
- 多くの人がこれを始めたいが、プログラムに参加する人たちは、日中に開発タスクをそれぞれ持っている。
- プロセスの初期段階で、以下のことを考慮する必要がある。
- 参加するエンジニアをどのように維持するのか
- プログラムにどのように参加させるか、参加を促していくか、参加したいと思わせていくか
- エンジニアをどうやってプログラムに引き込んでいくかは、どの組織でも直面する課題である。
6. 成功の測定
- 継続的なフィードバックループを作成し、プログラムを継続的に改善・反復すること
- 定量的データ(指標、ダッシュボード)と定性的データ(調査、会話)の両方を活用すること
- ジェフ・ベゾスの「データと逸話が異なる場合、逸話の側を支持する傾向がある」言葉
- 測定すべき指標を柔軟に変えることの重要性
- AWSのセキュリティチャンピオンプログラムの成功は、「文化的なマインドセット」と「オーナーシップ」に基づいている
- AWSでは、オーナーシップを持つ人を採用している。
QA
QA-1. セキュリティチャンピオンプログラムの運営にはどれくらいの人たちが関わっているか?
- プログラムのPoCはボランティアベースで行われ、成功を確認するとフルタイムのプログラムマネージャとチームが構築された。
- セキュリティチャンピオンプログラムの運営チームの3つの柱
- ガーディアンに対してツールを提供し、活動を手助けしている。
- ガーディアンに対してトレーニングを提供し、新技術が何であるかの理解を促進する手助けをしている。
- ガーディアン達と対面・オンラインのコミュニティイベントを運営し、「何でも聞いてください」セッションをしている
QA-2. 脅威モデリングとの関係
- セキュリティエンジニアが脅威モデルのフィードバックとスコアリングを5つの異なる領域で提供し、継続的な改善を促すメカニズムを実装している
- ガーディアンは、セキュリティエンジニアからのフィードバックを受け、スコアが改善されていく。
- ガーディアンは、フィードバックを開発に反映していく。
- これを繰り返し、設計や開発に織り込んで行くことで、効率が上がっていき、人的資本の向上にも繋がっていく
QA-3. ガーディアンがセキュリティレビューができないのはなぜか?
- ガーディアンは、セキュリティを構築(実装)する側であり、承認する側ではない。
- 承認はセキュリティチームが行っており、役割が区別されている。
QA-4. プログラムの企業内のステークホルダーは誰ですか?
- PoC段階では、パイロット展開する3つのカテゴリのチームの責任者と定期的(月次、四半期)にコミュニケーション(ビジネスレビュー)をし、プログラムがどこに向かっているかわかるようにした。
- 彼らのアイデアやフィードバックを取り入れて、一緒に旅をしていると感じられるようにした。
- 組織によって大事にしているものが異なるので、各組織のニーズに合わせてカスタムできる。
QA-5. プログラムの目的は変化しましたか?
- 変化した。現在は、「持続可能性」と「AIとの連携」がテーマになっている。
- プログラムには批判的思考者が必要であるが、AIとともに機能するものである。
- テーマは常に変化するが、「時間通りに安全に出荷する」という目的は変わってはいない。
QA-6. プログラム参加への動機づけのアイデアは?
- プログラムを維持するために重要な要素は「認識、可視性、学習の機会」である。
- 認識:ガーディアンやチャンピオンが期待を超えて顧客の安全を保つために行っている活動は、リーダーシップ、サポートの中で認識し、祝うことが大切である。
- 大事なのは共感である。
- 人は見られたい、祝われたいと思っている
- 可視性:レビューを行う事で様々な学びが得られる。レビューで他の誰もが見つけられなかったことを見つけた時はアドレナリンが出る。
- このような行動や成果をニュースレターで紹介することもリーダーシップ、サポートである。
- 優れたパフォーマンスレビュー結果をニュースレターで紹介する
- 学習の機会:ガーディアンに適切なトレーニングを提供すること、適切な業界イベントへのアクセスを提供すること。
- ロゴ作成やswag(記念品)、ゲーミフィケーション(ベルトプログラムで階級を上げていく、リーダーボードで順位を競い合う)などの取り組みも効果的である。
- ダッシュボードを作成し、ガーディアンは追加のデータ入力などを行わずに5−6の内部指標にアクセスできるようにした。
- レビューにかかった時間、レビュー対応した本数など
- AIと連携しており、カスタムダッシュボードを作れるようにもしている
- 実際のデータに基づいて、インセンティブを支払っている。
おわりに
かなりコンテキストが高い内容でしたが、セキュリティに対する取り組みとして、どの組織も持っている課題へのAWSのチャレンジと実践が垣間見られるセッションでした。
毎年アップデートがあるので、引き続き追いかけていきたいと思います。
今日はここまでです。
お疲れ様でした。
