2. プログラムの明確なビジョンから開始する
Last updated
Last updated
ビジョンとは「想像力を働かせること」と定義されます。ビジョンを未来に当てはめると、セキュリティの実現に向けて自分や組織の行動を方向づけるために使用できる心象風景を描くことができます。セキュリティチャンピオンプログラムのビジョンは組織でセキュリティを実現する際のガイドとして機能し、セキュリティに携わる IT エンジニアに目的意識を持たせるために使用できます。
ビジョンを持つことは意思決定とプログラムの長期的な成功に不可欠です。これにより、プログラムの目的が決まり、「なぜ」「何を」起こしたいのか、実現したい変化を明確に示します。最初から明確な最終目標や目的地がなければ、意味のある目標や戦略を立てて、効果的な意思決定を行うことが難しくなります。
セキュリティチャンピオンのビジョンを定義するには、いくつかの観点があります。最も一般的な観点には、開発チームのセキュリティ知識の民主化、中央のセキュリティチームへの依存の排除、開発チームでのセキュリティの管理があります。
成功するビジョンは以下でなければなりません。
想像できること (Imaginable): 将来がどのようになるかを明確に伝えます。これをセキュリティチャンピオンプログラムに置き換えると、セキュリティチャンピオン、開発 (運用) エンジニア、IT リーダー、プロダクトオーナー、セキュリティ組織の役割と責任について、セキュリティ運用モデルを描くことが考えられます。
魅力的であること (Desirable): 企業に利害関係を持つ人々に長期的な関心に訴求します。 これをセキュリティチャンピオンプログラムに置き換えると、セキュリティを実行する権限、知識、スキルを備えたセキュリティチャンピオンを通じて、開発チームにセキュリティを組み込むことの利点について説明することを検討する必要があります。
実現できること (Feasible): 現実的で達成可能な目標を記述します。セキュリティチャンピオンプログラムに「チャンピオンがセキュリティに費やす時間」、「チャンピオンのトレーニング目標」、「セキュリティチャンピオンミートアップの回数」、「セキュリティリスクの減少」などの目標を含めます。
焦点を合わせること (Focused): ビジョンは意思決定の指針となるよう十分に明確である必要があります。セキュリティチャンピオンの境界はどこですか?経営陣はこのプログラムにどのようなコミットメントをしますか?セキュリティチャンピオンに対してどのような期待をしますか?セキュリティチャンピオンのスコープは企業全体を保護することですか?開発チーム内でのセキュリティチャンピオンの役割は何ですか?セキュリティ組織の役割と比較して、セキュリティチャンピオンの役割は何ですか?
伝播できること (Communicable): ビジョンは伝播しやすく、迅速に説明できるようにします。ビジョンを何ページも書くことはありません。セキュリティチャンピオンがセキュリティと IT 開発者の目標をどのように実現するかを示す絵があれば大いに役立ちます。
ビジョンを単独で作成することはお勧めできないことに注意してください。できるだけ多くの主要な利害関係者を巻き込むことで、人々がビジョンに対してより主体性を持ち、コミットメントを高めることができます。IT リーダー、プロダクトオーナー、上級開発者、セキュリティリーダーがこのビジョン作成プロセスに参加することを考えてみましょう。ビジョンが優れた草案になったら、組織内 (経営陣、開発コミュニティなど) に説明して売り込んでみてください。
