The LinuxFoundationのTimSerewicz著
あまりにも頻繁にささやかれている決まり文句は、ITセキュリティチームが常にノーと言う不要なスタッフの倉庫と見なされていることです。それが起こると、組織全体が苦しみます。プロジェクトに取り組んでいる人々は、障害物を作成し、価値を付加しないと考えているため、セキュリティチームの関与を避けています。プロジェクトが一般提供リリースの準備ができている場合にのみ、セキュリティチームが不愉快に参加します。つまり、それらが含まれている場合です。この段階までに、セキュリティを向上させるために大規模な更新が必要になることがよくあります。その多くは、プロジェクトの早い段階で、より少ない時間と資金で防止または修正できた可能性があります。組織全体が苦しんでいるのは、最も才能のあるチームメンバー、つまりセキュリティリーダーシップの役割で成功する可能性が最も高いメンバーが、評判を傷つけることを恐れてセキュリティチームを避けているためです。セキュリティの必要性が最終的に認識されたとき、唯一の答えは外部のコンサルティングに費用がかかるように思われるかもしれません。
文化の変化と改善は、どの組織にとっても常に困難な作業でしたが、この場合、改善への道があります。まず、セキュリティはセキュリティチームのみの責任であり、製品は製品チームの責任であるという考え方を打ち破る必要があります。セキュリティの問題はライフサイクルのどの時点でも発生する可能性があるため、ソフトウェア開発ライフサイクル全体を理解し、習熟するには、セキュリティチームをトレーニングして装備する必要があります。また、組織全体のトップテクニカルスタッフの一部がセキュリティに専念していることも重要です。それが行き止まりと見なされると、セキュリティチームが不鮮明になり、セキュリティが不鮮明になります。文化が以前の倉庫保管のためにその考え方を受け入れるかもしれないので、最も難しい部分は改善したくない人々を扱うことです。
2番目のフェーズは、「いいえ」が最初の応答にならないようにすることです。すべての問い合わせには、「はい。これが、製品とセキュリティを改善してそれを実現するために私がどのようにお手伝いできるか」のようなもので満たす必要があります。セキュリティチームは、障害物としてではなく、開発チームと運用チームの両方のリソースとして見なされる必要があります。それが発生すると、セキュリティチームは、組織全体の信頼できる内部コンサルタントになります。
次のフェーズは、セキュリティの基本とセキュリティプラクティスの早期実装について組織の他のメンバーをトレーニングすることです。このフェーズは、売上高を処理するためだけでなく、トピックに焦点を当てていない人のためにセキュリティ上の考慮事項を奨励する必要性の両方のために継続されます。タイトルに「セキュリティ」が含まれていなくても、セキュリティのベストプラクティスを念頭に置いて開発および運用活動を確実に実行することは、すべての人の責任であることを理解する必要があります。セキュリティは、プロジェクトの最後に重ねたり、他の人に渡したりするために後から考えるべきではありません。プロセスのすべてのステップでセキュリティを浸透させる必要があります。
外部コンサルタントは特定の問題を修正するのに役立ちますが、問題が発生したとき、またはプロジェクトの終了時にのみそれらを採用すると、組織は悪用されやすくなります。それらを使用することで、内部セキュリティチームの認識される価値を最小限に抑え、倉庫保管の決まり文句を強化することもできます。また、コンサルタントを雇用するコストが高いことを考慮すると、チーム全体にセキュリティのベストプラクティスのトレーニングを提供する時間と費用がお買い得になります。これは、セキュリティのベストプラクティスをすべてに組み込むことによるリスクの軽減のメリットを考慮していません。テクノロジーの開発、展開、および管理の段階。
チームに、最高のコンサルタントがセキュリティチームのコンサルタントであり、組織全体でセキュリティが重要であることを理解させると、アイデアからリリースまでのすべてのステップでチームを喜んで含めることができます。開始するのに最適な場所は、The LinuxFoundationの無料のSecureSoftwareDevelopmentトレーニングシリーズです。これには次のものが含まれます。
- Secure Software Development: Requirements, Design, and Reuse (LFD104x)
- Secure Software Development: Implementation (LFD105x)
- Secure Software Development: Verification and More Specialized Topics (LFD106x)
セキュリティに焦点を当てたさらなるトレーニングには、次のものが含まれます。
- Generating a Software Bill of Materials (LFC192)
- Linux Security Fundamentals (LFS216)
- Kubernetes Security Essentials(LFS260)
- Linux Security (LFS416)
- Linux Kernel Debugging and Security (LFD440)
- Kubernetes Security Fundamentals (LFS460)
これらのコースは、ソフトウェア開発ライフサイクルに関係するすべての人が、セキュリティが重要である理由と、セキュリティをすべての段階で挿入するためのベストプラクティスを学ぶのに役立つように設計されています。チームの全員がセキュリティの基本に注意を払い、専門のセキュリティチームの専門家が必要に応じてより高度なサポートを提供することを信頼できるようにするための措置を講じることで、攻撃のリスクを軽減し、能力を向上させることができます。問題を特定し、システムを大幅に回復します。
この記事はもともとに公開されました TheNewStack.
