文化はツーリングを朝飯前にしてしまう。世界最高のスキャナーを持っていても、「セキュリティ」が話題に上るたびにチームが目を丸くするようでは、何も定着しない。セキュアな開発文化とは、トップダウンの命令や終わりのないトレーニングセッションのことではない。重要なのは、信頼、オーナーシップ、そして勢いである。このセクションは、セキュリティが単なる仕事の一部となるような開発文化を構築するためのプレイブックである。セキュリティのチャンピオンを見つける方法、セキュリティをチームスポーツにする方法、重要な勝利を祝うことによって士気を高く保つ方法について学ぶことができる。

プレースホルダ画像 画像の説明セキュリティダッシュボードを共有し、チームメンバーの一人が「セキュリティチャンピオン」バッジを付けている。

セキュリティ・チャンピオン開発チームの秘密兵器

デベロッパーの選び方（ヒント：必ずしも最上級のデベロッパーではない）

優れたセキュリティ・チャンピオンは、必ずしも声の大きい人であったり、肩書きに「校長」がついている人であったりするわけではない。品質に気を配り、コードレビューで質問し、他の誰も気づかないような問題にすでに目をつけている開発者を探してください。彼らは好奇心が強く、尊敬され、学ぶ意欲がある。彼らはすべてを知っている必要はなく、赤信号を見つけ、"おい、これを再チェックすべきか？"と尋ねるだけの気遣いがあればいいのだ。

いかにエンパワーメントするか

チャンピオンを獲得したら、彼らをバックアップすること。学ぶ時間、リードするスペース、そして実際に役立つツールを与えよう。セキュアなデフォルトの共有、新しいチームメンバーのオンボーディングの指導、新しいツールの最初のテストなどを任せる。彼らの仕事を評価する。早期に製品企画に参加させる。チャンピオンは、パートタイムのセキュリティ警官のように扱われるのではなく、信頼されていると感じることで成長する。

セキュリティをみんなの仕事に

セキュリティは別の仕事ではない。良いソフトウェアを作るための一部なのだ。PRにおける認証ロジックのチェックを標準化する。スプリントプランニング中に、大雑把なAPIコールにフラグを立てることを標準化する。セキュリティタスクを、別のバックログではなく、通常のチケットに組み込む。目標は、セキュリティの可視化と共有化である。埋め込めば埋め込むほど、セキュリティは自然に身につく。

積極的強化：セキュリティの勝利を祝う

もう誰もインシデント・レビューなど望んでいない。しかし、セキュリティの勝利を祝うことはできる。それは文化の転換である。誰かがバグに早期にフラグを付けたり、高リスクのチケットをプロッドに到達する前にクローズしたりしたときは、賞賛の言葉を贈る。スプリントのデモにセキュリティへの貢献を加える。社内で「ヴァルンスレイヤー」リーダーボードを作成する。ゲーミフィケーション的な仕掛けは必要ない。セキュアな仕事が良い仕事であることを明確にし、それが注目されるようにするだけでよい。

洞察セキュアな開発文化は、義務によって築かれるものではなく、勢いによって築かれるものだ。チームがオーナーシップを感じ、影響力を実感し、正しいことをすることで賞賛を受けるようになれば、セキュアな習慣がオーバーヘッドに感じられなくなる。今回は、虚栄的な測定基準に陥ることなく、その影響を測定する方法について話そう。