エンジニアリング組織でセキュリティ重視の文化を構築するための、人間関係を中心に据えた4つのヒント

エンジニアリング組織でセキュリティ重視のマインドを構築するということは、それを可能にする文化を構築するということです。適切な価値観なしには、開発チームとセキュリティチームの間に連携が成り立たず、これがプロジェクトの実施やビジネス推進の妨げになります。

最近行われた座談会では、Global Head of Security Product Strategy の Zane Lackey と Chief Product Architect の Sean Leach が、デジタルトランスフォーメーションが急速に進む今、DevSecOps 文化を構築するメリットとその課題について、Forrester の Sandy Carielli 氏と語りました。一言で言うと、最終的に組織全体が DevSecOps 文化の価値を認める必要があり、それを達成するには、まずスタッフを信頼し、権限を与えることから始まるということです。ここでは、彼らの座談会のハイライトをご紹介します。

1. 開発チームとセキュリティチームの信頼関係の構築

開発チームとセキュリティチームは、常に見解が一致するとは限りませんが、人間関係という観点から考えると、開発者や DevOps チームはセキュリティチームの技術だけでなく、共に働くセキュリティチームの同僚たちも信頼できるようでなければなりません。そこで Fastly では信頼関係を築くため、セキュリティ担当者を開発チームに、開発者をセキュリティチームに組み込み、全員が同じ目標に向かって業務に当たれるようにしています。こうすることで仲間意識が生まれ、自然と信頼関係が築かれていきます。そしてチームは、可観測性や保護、可視性など、アプリケーションのライフサイクルにセキュリティがもたらす価値を享受できるようになります。

Sean は、ROI の最大化に最も有効なのは、他のチームとの交流会、例えばビデオチャットでのランチやバーチャルでの飲み会だと考えています。このような交流を通じてチーム間での会話が弾み、セキュリティと、それがビジネスにおける自分たちの役割にどのように影響するかということへの関心が高まります。

社内の信頼関係を築くことは、お客様にもメリットをもたらします。より密な協働体制を組むことで、エンジニアとセキュリティ担当者がチームとして機能し、迅速なスケールアップが必要なお客様にシームレスなサービスを提供することが可能になります。

2. 共に「イエス」と言える関係の構築

セキュリティチームは「ノー」と言うことで知られています。Zane 曰く、「ノー」という発言はオフィス内に設置された火災報知器のようなものであり、それ自体には意義があります。ただし、火災報知器は毎日鳴らすものではありません。

他のチームがセキュリティを避けてプロジェクトを進めることがないようにするためには、まず共に「イエス」と言える関係を構築する方法を見つける必要があります。セキュリティはビジネスを前進させるものでなければなりません。同僚が必要としている機能やスペックを把握し、彼らの業務遂行に必要なものは何かを考えます。そして何を必要としているのかを理解したら、その邪魔にならないようにしましょう。出来る限り「ノー」と言ってダメ出しするのを避け、代わりに代替案を提供するようにします。チームがより安全に必要な機能やスペックを利用できる方法を構築するのです。業務を遂行するより優れた方法があるのであれば、彼らも実際にそれを採用するようになるでしょう。 

チーム間で協力し、ポリシーやテクノロジー、アーキテクチャ、全体のフローなどを共に考慮することで、開発とセキュリティが連携し、よりセキュアなアプリケーションの展開が可能になります。

3. エンジニアリング組織全体でセキュリティの視点による採用

Sean と Zane は、セキュリティチームと開発チーム間の軋轢を無くすには、DevSecOps においてどのチームに属するかに関わらず、面接の過程で候補者のセキュリティに対する考え方を探っておくことが重要だと考えています。適切なセキュリティマインドを持つ候補者であれば、オープンマインドの姿勢を維持しながらセキュリティチームとの共同作業にも意欲的に取り組み、共通の目標に向かって努力することが可能だからです。

過去に、社内のセキュリティと開発チーム間の対立にどう対処したか尋ねてみましょう。共感力はチームの文化の中核となるものです。仲間が日々直面している問題を理解し、共感することができれば、チームはより強い絆で結ばれ、長期的により大きな成功を収めることができます。 

繰り返しになりますが、すべては信頼に帰結します。組織の全体的な目標を理解し、信頼できるチームメイトがいれば、セキュリティ文化は強化されます。

4. 社内マーケティングで全員がセキュリティに参画

高度なスキルを持つセキュリティ担当者は、ほとんどの時間をセキュリティエンジニアリングのプロジェクトに費やしています。彼らに不足しがちなのは、自分たちのサービスを社内でいかに売り込むかというノウハウです。彼らが自分たちの業務やプロジェクトの内容を、組織内の他メンバーにより良く理解してもらうことができれば、コラボレーションと信頼の文化の構築に大いに役立ちます。また、セキュリティチームの信頼性を DevOps 環境全体に広げることもできます。

セキュリティ推進者プログラムの真価がここで発揮されます。セキュリティ推進者や、セキュリティを推進する開発者が先頭に立って、企業全体でセキュリティ教育を推進していくのです。最新のセキュリティツールやプラットフォームについて、それらがどのように使用され、なぜ重要なのかを説明します。Fastly では、セキュリティに関する最新の研究やテクノロジー、ツールに特化した Slack チャンネルを設けています。このチャンネルを通じて、私たちが説くセキュリティがどのように実装・実践されているかを理解できるため、スタッフの間で非常に人気があります。 

緊密に連携し、DevSecOps の実現を可能にするチームの構築方法についての詳細は、こちらをご覧ください

Kevin Rollinson
Product Marketing Manager
投稿日

この記事は1分で読めます

興味がおありですか?
エキスパートへのお問い合わせ
この投稿を共有する
Kevin Rollinson
Product Marketing Manager

Kevin は、Fastly のセキュリティプロダクトマーケティングチームのメンバーとして、Fastly のセキュリティポートフォリオの市場投入戦略と実行を担当しています。2014年からセキュリティ業界に従事し、ネットワーク、クラウド、Web アプリケーションセキュリティ関連分野での経験を有します。Fastly 入社前は、Cisco (OpenDNS) で DNS セキュリティプロダクトのプロダクトマーケティングリーダーを務めました。