owasp-security-champions-guidebook-ja
  • OWASP Security Champions Guide ja
  • OWASP セキュリティチャンピオンガイド 日本語版
    • OWASP セキュリティチャンピオンガイド
    • 宣言
    • 原則
    • 1. セキュリティに情熱を注ぐ
    • 2. プログラムの明確なビジョンから開始する
    • 3. 経営陣の支援を確保する
    • 4. 専任のキャプテンを指名する
    • 5. チャンピオンを信頼する
    • 6. コミュニティを作成する
    • 7. 知識の共有を促進する
    • 8. 責任に報いる
    • 9. チャンピオンに投資する
    • 10. 人事異動を予測する
    • リーダー
Powered by GitBook
On this page
  • 内容 (What)
  • 理由 (Why)
  • 方法 (How)
  • アーティファクト (Artifacts)
  1. OWASP セキュリティチャンピオンガイド 日本語版

4. 専任のキャプテンを指名する

Previous3. 経営陣の支援を確保するNext5. チャンピオンを信頼する

Last updated 6 months ago

内容 (What)

セキュリティチャンピオンプログラムの開発、導入、継続的な成功をリードする専任のキャプテンを確保します。

理由 (Why)

セキュリティチャンピオンプログラムに専任のキャプテンを置くことは、プログラムに明確な戦略とロードマップがあり、継続的に適切に組織化されていることを確保するために重要です。このタスクを担当する専任の役割がないと、人員が「兼業」でこのタスクを行うことになるかもしれませんが、私たちの経験と調査によると、セキュリティチャンピオンプログラムの構築と維持には継続的な注意が必要です。

専任のキャプテンの焦点は以下のとおりです。

  • セキュリティチャンピオンプログラムの明確な戦略とロードマップを設定すること: 専任のキャプテンはプログラムの戦略を策定し、それが組織の目標や目的と合致することを確保します。さらに、専任のキャプテンはセキュリティチャンピオン、他の部門、経営陣の間の協力を促進して、現実的で達成可能なロードマップを構築できます。

  • 経営陣の支援を獲得すること: 専任のキャプテンは経営陣と協力して、プログラムの成功に不可欠な支援とリソース (金銭的リソース、セキュリティチャンピオンの時間など) を獲得します。キャプテンは (上級) 経営陣に対するプログラムの顔としての役割を果たし、その成功について経営陣に報告します。

  • コミュニティを構築して維持すること: 専任のキャプテンは組織内にセキュリティチャンピオンのコミュニティを構築して維持します。このコミュニティはセキュリティ意識とベストプラクティスの文化を促進し、知識と経験を共有する貴重なリソースを提供するのに役立ちます。さらに、コミュニティが成熟したレベルに達すれば、独立したセキュリティタスクを引き受けることができ、専任のセキュリティスタッフにかかる負担の一部を解放します。

  • 成功を推進すること: 専任のキャプテンはイベントを企画し、セキュリティチャンピオンに指導と支援を提供し、プログラムが組織全体で効果的に推進されるようにすることで、プログラム全体の成功を推進できます。

  • 最新のセキュリティプラクティスに取り組むこと: 専任のキャプテンは情報セキュリティに関する最新のプラクティスとトレンドを常に把握して、セキュリティチャンピオンプログラムが業界のベストプラクティスと合致し、これがプログラムロードマップに組み込まれていることを確保します。これにより、組織は発生する可能性があるセキュリティ脅威に対処するための十分な準備が整っていることを確保します。

方法 (How)

プロジェクトチームの個人的な経験や、セキュリティチャンピオンプログラムを実施している組織とのインタビューから、セキュリティチャンピオンプログラムを主導するのはフルタイムの仕事であることがわかりました。大規模な組織では、これは小規模なチームが必要になるかもしれません。成功するには、この役割に情熱を持ち、推進に適切なスキルセットを備えている専任の人員を「指名」するか雇用することをお勧めします。これを「兼業」としてしまうと、プログラムを成功させるために必要な勢いや専念が失われてしまいます。同様に、セキュリティの知識はあっても、そのようなプログラムを推進するための適切なコミュニケーションスキルや組織的スキルがかけている人も、そのプログラムが成功しない要因となる可能性があります。

アーティファクト (Artifacts)

は専任のセキュリティチャンピオンキャプテンを雇用する場合に使用できます。

この求人情報