ソフトウェア・インテグリティ

 

スピードのあるセキュリティ:セキュリティプログラムの更新を正当化する

セキュリティへの投資には経営陣の賛同が必要です。セキュリティプログラムの更新を正当化するのに役立つ主要な啓発の動機を学びましょう。

As development speed increases, organizations must devise optimal security programs to match that agile development

開発速度が飛躍的に向上するにつれて、組織はペースを維持できるセキュリティプラクティスを導入または維持するのに苦労することがよくあります。さらに、セキュリティチームは、セキュリティのオーバーホールに必要な経営陣の賛同とサポートを得ることが難しい場合があります。そこで、組織のセキュリティのアップグレードの必要性を正当化するために使える、セキュリティの速度を向上させるための主な推進要因と動機についてご紹介します。

既存のセキュリティプログラムを評価する

既存のセキュリティプログラムの評価から始めます。これにより、セキュリティの必要性と、その優先度を理解することができます。セキュリティプログラムの最も弱い部分を特定すると、変更と、それに関連するコストや必要なリソースをより容易に守ることができます。

次に、既存の問題点を徹底的に特定して分析することで、主要な阻害要因を明らかにし、それらの修正に優先順位を付けることができます。開発とセキュリティの遅延の根本的な原因、既存のプロセスのギャップ、および手作業よって引き起こされた遅延を調べます。開発パイプラインに可能な限りいつでもどこでも統合と自動化を導入することに焦点を当てる必要があります。

コスト、リスク、および手戻りの労力を削減することも重要です。ベースラインを定義し、リワークの量と、チームがリワークチケットを閉じるのにかかる時間を測定することが重要です。 重大なチケットと低リスクのチケットを区別し、定義したリスクポリシーをそれらに適用することで、リスクを判断できます。

主な開発の動機を用いる

弱点を理解したら、組織に固有の動機付けを使用して、それらの弱点に対処するために必要なサポートを受けることができます。会話を進めるために使用できる包括的な動機は3つあります。コンプライアンス要件を満たすこと、顧客と市場の品質基準を満たすこと、品質エンジニアリングを実行することです。

コンプライアンス要件を満たす

セキュリティ・コンプライアンスは、すべての業界の組織にとって法的な懸念事項です。PCI DSSHIPAAISO 27001などの規制基準は、企業レベルでデータを保護し、情報セキュリティ管理を改善するためのルールを定義しています。組織に関連するコンプライアンスと規制の要求を特定することで、セキュリティの実践と改善をトップダウンでサポートできるようになります。経営陣の賛同を得たら、セキュリティプログラムの規制関連のアップグレードを開始しましょう。始めるのに簡単な場所が2つあります。

  • MISRAの調査:Motor Industry Software Reliability Association (MISRA) は、メーカー、コンポーネント・サプライヤー、エンジニアリングコンサルタントの間のコラボレーションであり、安全性とセキュリティに関連する電子システムやその他のソフトウェア集約型アプリケーションを開発するためのベストプラクティスを推進しています。 この目的のために、MISRAは、エンジニアと管理者にアクセス可能な情報を提供するドキュメントを公開しています。 また、仲間同士の意見交換を促進するためのイベントも開催しています。 チームをMISRAの公開情報の調査に参加させ、これらのイベントに参加することで、プログラムの改善を知らせることができます。
  • TISAXに登録する:Trusted Information Security Assessment Exchange(TISAX)は、ドイツ自動車工業会に代わってENX協会が管理する取引所です。これは、自動車のサプライチェーンに貢献するサプライヤ、OEM、およびパートナーの幅広いランドスケープの情報セキュリティを評価するための単一の業界固有のセキュリティ・フレームワークを提供します。TISAXのメンバーシップを使用すると、他のメンバー組織と連携し、定期的な更新を取得し、コンプライアンス要件を適用するようにチームをトレーニングできます。 また、コンプライアンスの問題を監視および追跡するための専用リソースも提供します。
顧客と市場の品質基準を満たす

顧客と市場自体の競争力の両方から、高品質で安全な製品を製造することが求められます。さもないと評判と成功が深刻なリスクにさらされます。 セキュリティ・ギャップの分析に加えて、ISO / IEC 25010:2011標準に従って、特定のコード品質のニーズをさらに正当化する必要があります。

有形で実績のあるモデルに対して品質基準の議論を組み立てることは、利害関係者の疑いを排除するのに役立ちます。 このISOモデルを使用すると、議論を強化し、セキュリティ・プラクティスを改善する必要性を検証するのに役立ちます。

品質エンジニアリングを実行する

質の高いエンジニアリング手法を実装するには、QAを開発プロセスに移行する必要があります。 こうすることで、変更や調整をより簡単に行える段階で、欠点を早期に特定するのに役立ちます。 全体的な品質改善のこの推進力は、組織の評判と成功を保護します。

品質エンジニアリングは以下に焦点を当てるべきです:

  • 開発メンバーの変革:チームは、新しいスキルを向上させ、学ぶための権限を与えられる必要があります
  • アップストリーム・テスト:シフトレフトすることでテストを早期に開始することで、コストとリソースを節約できます
  • フレームワークの自動化
  • エンタープライズ CI/CD
  • 結果に基づいたモデル:適切な変更管理で必要な変更を実装する

議論の進め方

迅速にセキュリティを確保する必要性が高まっているため、セキュリティ改善の検討が引き続き進んでいますが、データと事実を活用して、セキュリティ・プログラムの改善要求を正当化することが重要です。改善のための業界主導の動機付けの理解を武器に、主要な利害関係者との会話は具体的で揉めることのない議論ができるはずです。

 

この著者によるその他の情報