こんにちは、菊池です。
AWS re:Inforce 2023参加中です。この記事は、セッション APS201 How AWS and MongoDB raise the security bar with distributed ownershipのレポートです。
セッション概要(公式より引用)
In this session, explore how AWS and MongoDB have approached creating their Security Guardians and Security Champions programs. Learn practical advice on scoping, piloting, measuring, scaling, and managing a program with the goal of accelerating development with a high security bar, and discover tips on how to bridge the gap between your security and development teams. Learn how a guardians or champions program can improve security outside of your dev teams for your company as a whole when applied broadly across your organization.
スピーカーは、AWS CISOオフィスのPaul Hawkins氏と、MongoDBセキュリティエンジニアリングディレクターAmy Berman氏です。
レポート
AWS Paul Hawkins氏
まずは、AWS Paul Hawkins氏のパート。"Service teams own the security of their service(サービスのセキュリティはサービスチームが責任を持つ)"という言葉からはじまります。
現代のセキュリティリーダーから見えるものは何か?それは、ビジネス価値の向上、全ての組織を守り教育すること、ビルダーの時間を返すことです。では、どのようにビルダーの時間を短縮するのかですが、それには発見段階の自動化、必要なアクションの詳細にすることが必要になります。どんな問題を解決しようとしているのか?それは、システムを構築しデータを守り、課題を迅速に特定し、顧客を喜ばせることです。
分散されたセキュリティオーナーシップが重要です。早期の対応がより効果的であり、我々は皆、顧客を喜ばせることに注力しています。また、セキュリティツールとレビューはオーナーシップをサポートします。
ビルダーチームにセキュリティを組み込み、より早期の対応をすることで、時間と検出を短縮することができると話します。
AWSにおける分散されたセキュリティオーナーシップを支える仕組みとして、AWS Guardian Programというものが紹介されました。
AWS Guardiansは訓練を受けたセキュリティ意識の高いAmazonianであり、チーム内で一貫してセキュリティチャンピオンとなるように勤めます。他のビルダーと協力して、情報に基づいたセキュリティ上の決定を促すことで、より安全で予定通りのローンチにつながります。これが、AppSecの拡大のために機能し、セキュリティ意識を拡大し、強力なフィードバックメカニズムを提供するといいます。
AWS Guardiansは設計からプロダクトのリリースまで、開発チームとともに一貫した対応を行います。
AWS Guardiansの活動による評価メトリクスについても紹介されました。Guardiansの活動により、具体的に以下のような成果を生んでいます。 - 中/高レベルの脅威検出が22.5%減少 - レビューにかかる時間が26.9%削減 - 20万人日以上を節約
AWS Guardian に対するフィードバックとして、脅威モデルは正確かどうか、Guardianの調整に役立つ具体的な例、Guardianの評価に対する改善の追跡というものを計測しています。チームに対しては、チームによる脅威の検出、チームごとのエンゲージメントにどれくらいの時間がかかるか、ガーディアンのサポートなしでのエンゲージメントを計測します。また、一般的な問題の特定への貢献として、ソースコードで最も検出されるタイプが何か、最も多い検出結果は何か、レビューごとの検出頻度といったものもメトリクスにしています。さらに、Guardianによる予想外のポジティブな効果として、次に自動化するものに優先順位を付けや、採用の拡大にも繋がっているとのことでした。
MongoDB Amy Berman氏
続いて、スピーカーをAmy Berman氏に交代し、MongoDBにおけるセキュリティチャンピオンプログラムが紹介されます。
なぜこのようなプログラムを導入したのか?グローバルでプロアクティブなセキュリティプログラムを導入することで、セキュリティ文化に、これまでにない洞察が得られプログラムを迅速かつ効果的に強化・改善することができると話します。
導入にあたって必要なのは、学習環境のデザインです。大人が学習するのに重要な5つの要素として、以下を挙げています。
- なぜ学ぶのかという動機
- それぞれの意見を聞くこと
- 新しい知識をどのように応用すればよいか
- 新しいことを楽しく学習する
大人も子供と同じように、心理的に安全な学習環境が必要で、責めることも恥じることもありません。
そして、学習者に選択肢を与えることでモチベーションが高まり、状況に応じた興味や関与を促進することで学習にも影響を与えると話します。
プログラムは以下のような要素で構成されます。
- メンバーシップ:推薦、オンボーディング、オフボーディング、昇格
- 四半期ごとのミーティング:ロードマップ、フィードバック、パイロットテスト
- ワークショップ、ソーシャルイベント:読書会、トレーニングやワークショップ
- 随時のコミュニケーション:Slackやメールでのセキュリティ関連情報の交換
メンバーシップに関しては、マネージャーの承認が必要です。マネージャーはプログラムに参加するための時間を使うことを理解し、チャンピオンがチームを代表することになります。
セキュリティチャンピオンは以下のことをマネージャーと合意します: - 月例会議に出席します。 - 週に約2時間をセキュリティの学習に費やしてください - セキュリティ問題に関してチームのスポークスマンになる - チームに影響を与える可能性のあるセキュリティ問題に注意し、他のセキュリティチャンピオンメンバーに知らせる
誰がセキュリティチャンピオンになるのは、開発者、エグゼクティブ、営業、DevOps、経済アナリスト、マーケターなど、セキュリティに関わる全ての人です。
セキュリティ チャンピオンは、全社的な展開に先立って、新しいセキュリティツールとプロセスに関する重要なフィードバックを提供します
- フィッシングシミュレーション
- ポリシーの更新
- 製品のベータテスト
- ベストプラクティス
- PoC
- 調査協力
実際にプログラムを進めるにあたり直面した課題についても話されました。
第一にメンバーシップです。新型コロナウイルス感染症の影響がありましたが、無事に再スタートを切ると、同じチームからの応募も多くありました。次にコンテンツです。新たな潜在的な脅威が出現するにつれて、セキュリティの状況は常に変化しています。定期的にアンケートを実施して、チャンピオンがどのようなトピックについて学びたいと考えているかを確認しました。そして、コミュニケーション。当初、Slackチャンネルには対処されていない質問がありました。チャンピオンとの継続的なコミュニケーションを確保するために、チャネルを積極的に監視し、適切な個人と結び付けるように働きかけました。
セキュリティチャンピオンは誰でも参加できる自主的なプログラムで、会社にプラスの貢献をすることがでたと話します。
新入社員の「フィーダー」として機能し、結果的にコンサルティング料の節約にもなりました。新しいプログラムやアイデアのためのベータテスターの優れた情報源となります。
さいごに
AWSとMongoDB、それぞれがどのようにして組織のセキュリティレベルを高めてきたのか紹介されました。
社内の特定のチームがセキュリティに責任を負うのではなく、全てのチーム/ロールでセキュリティを高めるよう、Guardiansやチャンピオンという仕組みの重要性が理解できました。開発スピードとセキュリティを維持するために、このような仕組みが今求められているのかと思います。
2
