セキュリティチャンピオンプログラムの構築

開発チームにおけるセキュリティ能力の構築

各開発チームにセキュリティチャンピオンを置くことが推奨されます。この人物はセキュリティチームとの連絡窓口となり、安全な開発方法について定期的にトレーニングを受けます。CEO/CIO からのこのプログラムへの支援は成功の重要な要因です。そうでなければ、開発チームはこのプログラムに一貫して時間を割くことができないでしょう。

セキュリティチャンピオンの人物理想像

セキュリティチャンピオンはどのような人物であるべきか?

  • 情報セキュリティに熱心な人
  • 教えることが好きな人
  • 正直で信頼できる人。遭遇した問題をリスク分析のために報告し、バグへの対応 (リスクの受容、本番環境へのデプロイ停止、リスクの軽減) を決定するために必要な全ての情報を提供できる人

セキュリティチャンピオンへの期待

  • 日常的に開発チームと共にいて、「内部」の視点を提供する
  • セキュリティについて学び、重大なリスクがないことを確認するためのテストケースを作成する
  • チームメンバーを教育する
  • アプリケーションを熟知し、脅威モデルの構築 を支援する
  • チーム内でセキュリティに関する最善の方法や手順が確実に守られるよう見守り、促進する
  • チームが作成したコードに関連する脆弱性の管理をする

利点

これらのセキュリティチャンピオンには追加の仕事を引き受けてもらうため、以下のような利点を与えることが重要です

  • トレーニングセッションへの参加に対する表彰
  • セキュリティコード品質目標の達成に対する表彰
  • セキュリティ質問セッション (オフィスアワー)
  • セキュリティチャンピオンのみが参加できる特別なトレーニングセッションへの参加

ゲーミフィケーション

チーム間の競争を促すために、遊び心のある側面 (ゲーミフィケーション) を取り入れることも推奨されます。

ゲーミフィケーション例:

  • 最も多くのセキュリティ上の欠陥を修正したチームの表彰
  • セキュリティチームによって検出された欠陥が最も少ないコードを作成したチームの表彰
  • AWS Security Game Days への参加。これらは定期的に実施されています。次の利用可能な日程を確認するには、アカウントマネージャーにお問い合わせください。

ウェビナー: AWS Summit ANZ 2022 - セキュリティのスケーリング – 迅速で安全な提供のための最適化 (SEC5)

ウェビナーを見る

Amazon Security Guardian Program

Amazon では Amazon Security Guardians と呼ばれる私たちのプログラムでセキュリティチャンピオンの育成とセキュリティのカルチャーを醸成しています。詳細はこのブログ記事をご覧ください

ワークショップ