owasp-security-champions-guidebook-ja
  • OWASP Security Champions Guide ja
  • OWASP セキュリティチャンピオンガイド 日本語版
    • OWASP セキュリティチャンピオンガイド
    • 宣言
    • 原則
    • 1. セキュリティに情熱を注ぐ
    • 2. プログラムの明確なビジョンから開始する
    • 3. 経営陣の支援を確保する
    • 4. 専任のキャプテンを指名する
    • 5. チャンピオンを信頼する
    • 6. コミュニティを作成する
    • 7. 知識の共有を促進する
    • 8. 責任に報いる
    • 9. チャンピオンに投資する
    • 10. 人事異動を予測する
    • リーダー
Powered by GitBook
On this page
  • 内容 (What)
  • 理由 (Why)
  • 方法 (How)
  1. OWASP セキュリティチャンピオンガイド 日本語版

5. チャンピオンを信頼する

Previous4. 専任のキャプテンを指名するNext6. コミュニティを作成する

Last updated 7 months ago

内容 (What)

セキュリティチャンピオンプログラムの成功には、チャンピオンを信頼することが重要です。彼らは組織の目や耳であり、自部門のセキュリティニーズを正確に把握しています。

理由 (Why)

セキュリティチャンピオンはその作業領域の専門家です。セキュリティチームは運用業務に関与していないため、アプリケーションに関する知識がそのレベルに達することはあり得ません。彼らの専門知識を活用して、セキュリティチャンピオンプログラムをセットアップすることで、成功の可能性が高まります。

人員に責任を負わせる場合、重要なのは、定められた役割を理解し、それに基づいて行動できるようにすることです。そうすることで、スピードが上がるだけでなく、関与も増えます。理想的には、セキュリティチャンピオンがプログラムを共同所有し、方向性と内容に強い影響力を行使します。彼らは欠点を特定し、変更を提案したり、問題についての現実的なフィードバックを与えることができます。

チームは、セキュリティチームからの「部外者」ではなく、「自分たちの仲間」である自分たちのチャンピオンを信頼する傾向があります。彼らは同じ言語を話し、背景を理解しています。このことは、より効果的なコミュニケーション、よりよいコラボレーション、変化に対する抵抗の軽減につながります。

要約すると、信頼はセキュリティチャンピオンプログラムをまとめる接着剤です。

方法 (How)

信頼とは明確な期待を設定することです。セキュリティチャンピオンの役割とその権限が何であるかを関係者全員に明確にすべきです。チャンピオンにさまざまなアプローチを試みてもらうことを恐れてはいけません。彼らが学んだ教訓は他部門への貴重なインプットとなることでしょう。共有することは思いやりです。

セキュリティチャンピオンに、組織のリスク許容度の範囲内でセキュリティに関する意思決定を行う権限を与えます。コントロールして非効率を取り除くことで、チームに大きな価値を付与し、セキュリティの導入と意識を高めることができます。セキュリティチャンピオンが互いから学び、建設的なフィードバックができるように、アプローチと理由を共有するようにしてください。そうすることで、組織はセキュリティに関連する取り組み、意思決定、プロセスを改善できます。

また、セキュリティチャンピオンをコアセキュリティチームのプロセスに参加させます。セキュリティの施策、方針、実務について意見や見解を求め、積極的な貢献者として評価されるようにします。彼らのフィードバックを活用して、プログラム、プロセス、手順を改善します。

セキュリティチャンピオンとプログラムがもたらす影響を評価し、披露します。彼らの取り組みがセキュリティの成果にどのような良い影響を与えたかを示し、組織にもたらす価値を強調します。そうすることで、セキュリティチャンピオンの信頼性を築き上げ、士気を高めます。