ITセキュリティチームとエンジニアリングチームの連携で重要なポイントをご覧ください。
写真:Lipik Stock Media – shutterstock.com
セキュリティチームは主に、運用や規則・ガイドラインの遵守を担当するスタッフで構成されています。一方、ITセキュリティエンジニアリングチーム(いわゆるセキュリティエンジニアリングチーム)は設計者です。彼らはサービスを開発し、プロセスを自動化し、導入を最適化することで、中央のITセキュリティチームやそのステークホルダーを支援します。セキュリティエンジニアリングチームは通常、ソフトウェアやインフラのエンジニア、アーキテクト、プロダクトマネージャーで構成されています。
ITセキュリティエンジニアリング分野の技術的スキル
セキュリティエンジニアリングは本質的に技術的な分野であり、この役割の基本的要素のひとつは当然ながらテクノロジーに根ざしています。CISOがセキュリティエンジニアリングチームに身につけさせ、育成すべき重要なスキルは以下の通りです:
技術環境の理解
技術的な環境を理解し、その中で作業することが極めて重要であるのは言うまでもありません。しかし、たとえば企業がKubernetes上でサービスを提供しているのに、技術チームがコンテナ技術を使った経験がない場合、それは大きな問題です。IT全体の環境に対する高度な技術的理解は、セキュリティチームにも良い影響を与えます。
これに対する対比として、企業内のさまざまな分野におけるスキル、問題解決の視点、経験レベルの多様性を促進することも重要です。チーム内でこの多様性を目指し、推進する方法は多くあります。たとえば、性別や民族的背景、教育歴、過去の職務経験、年齢などです。多様性は、アイデアが問い直され、議論され、繰り返されることで、チームの創造的なエネルギーを大きく高めることができます。
ただし、リーダーは多様な視点や経験を慎重に扱う必要があります。思考や協働の過程で過度なバリエーションや摩擦が生じると、望ましい効果とは逆の結果になることがあります。よくあるのは「分析麻痺」で、チームが行動せずに考え続けてしまう状態です。また、過度に異なるチームからは、相互に依存した複雑な結果や、連鎖的なエラー状態が生まれることもあります。
スタック全体を把握する
ITセキュリティエンジニアリングチームは、自分たちが開発したサービスを構築し、運用できる能力を持つべきです。このようなグループ内での自律性は、技術的な能力や文化的観点からも非常に重要であり、責任感の基準を示します。技術的には、自分たちでサービスを管理できるチームは、インフラ、CI/CDツール、セキュリティツール、アプリケーションコード、デプロイメント、サービスから発生する運用テレメトリデータを適切に管理できます。さらに、チームによるサポートの背後にあるスキルは、他のグループを支援するためにも高い汎用性を持ちます。
開発者体験(DevX)を考慮する
開発者向けツールであるDevXを理解し、受け入れ、最適化できるセキュリティチームは、より良い協働ができる可能性が高いです。さらに、摩擦を減らすことに特に重点が置かれます。摩擦があると、作業に時間やコストがかかり、学習サイクルが長くなり、フラストレーションが生じます。摩擦が少ないほど、物事は全般的にスムーズに進みます。
ただし、時には摩擦が必要であり、意図的に設けるべき場合もあります。たとえば、重要なコードをマージする前に強制的にコードレビューを行うことなどです。このような中断やレビュー、マージが意図的な判断に基づく場合、それは正当な摩擦です。ITセキュリティチームが開発者のリリースプロセスに摩擦を設ける場合、それはたとえばコンプライアンス管理の一環として手動レビューが義務付けられているなど、具体的な要件に基づくべきです。こうしたコントロールは無計画に導入すべきではありません。開発者に生じる摩擦は、ITセキュリティチームが考慮するあらゆる未定義リスクを上回るデメリットとなる可能性があります。
開発者の体験を最優先に考えるITセキュリティチームは、スタックのさまざまなレベルで高品質なソフトウェアを書くために必要なツールやプロセスを理解する必要があります。開発者中心の考え方を取り入れるには、インフラやプラットフォームエンジニアリングの知識が求められる場合もあります。一方で、ITセキュリティエンジニアリングチームの成果物は、ワークフローの自動化やサービス同士の連携、ますます拡大する環境の共通インストルメンテーションに取り組む他の人々にも影響を与える可能性があります。これらすべての作業は、開発者がより速く、摩擦なく作業できるよう支援します。その結果、柔軟性が高まり、デプロイも迅速になります。いずれにせよ、これはセキュリティエンジニアリングチームの生産性を高め、サービスを受ける側の共感力を育て、促進する特性であり指針です。
セキュリティエンジニアリングにおけるリーダーシップと協働のスキル
セキュリティエンジニアリングチームは、その規模やプロジェクト負荷に関係なく、孤立して活動するわけではありません。他者と並んで、または他者のために働くことは、任務の本質的な一部です。それは全体の不可欠な部分であり、他者が成功するための成果を生み出す手助けとなります。
コミュニケーションと協働
セキュリティエンジニアリングチームのメンバーは、チーム内外の関係者とコミュニケーションを取れる必要があります。さらに、共通の目標を達成するためにうまく協働できる能力も必要です。ITセキュリティ開発における課題、摩擦点、制約、可能性を理解することが重要です。最終的には、単に効率的に働くことよりも、正しいことを行うことの方が重要です。
これらすべての課題は、意図的なコミュニケーションと協働によって探求されなければなりません。これは、人間中心の設計原則、マトリックス型リソース、あるいはチームトポロジーに基づくアプローチとして現れることもあります。もちろん、チーム内外でのコミュニケーションや協働に万能薬はありません。どのアプローチであっても、信頼構築、共感、共通目標への関心、そしてミッションのために自分のプライドを抑える姿勢が基盤となります。
リーダーシップと他者への影響力
ベストセラー作家でマーケティングの専門家であるセス・ゴーディンは、「誰もがリーダーになれる。それは肩書きではなく、決断である」と述べています。それは、アイデアの出会い、方向性のギャップ、そして十分に動機付けられた誰かが関与することに関わります。
セキュリティエンジニアリングチームの成功は、他のサイバーセキュリティ分野と同様に、他者に依存しています。しかし、それはチームのパフォーマンスがどれほど最適であっても、独立しているわけではありません。つまり、何かを作って終わり、というわけにはいきません。他者の声に耳を傾け、巻き込み、参加を促し、さらに多くのことを行う必要があります。
これらすべてにはリーダーシップが必要です。より具体的には、権限のないリーダーシップです。高いパフォーマンスを持つチームのメンバーは、ITセキュリティエンジニアリングチーム自体をリードし、グループ外でも影響力を築き、活用できるべきです。それは他の関係者や、サービスの社内顧客との関係でも同様です。権限のないリーダーシップは、チームを成功に近づけます。強い人間関係、組織知識とコンテキスト、技術的専門知識を組み合わせて、他者に影響を与えましょう。
セキュリティエンジニアのためのソフトスキル
セキュリティエンジニアやチーム全体のスキルは、コミュニケーションや協働だけにとどまりません。この文脈で「ソフトスキル」とは、内面的な非技術的能力であり、技術的スキルを補完するものを指します。
時間管理と優先順位付け
セキュリティエンジニアは常に多忙です。技術的スキルがあるため、環境内のソフトウェアの作成、強化、パッチ適用、または一般的な関与について多くのリクエストが寄せられることがよくあります。時間はすべてのチームにとって普遍的な制約です。そのため、個人もチームも、より効果的に優先順位を付ける必要があります。効率的であっても、間違ったことをしていては進歩はありません。作業の優先順位付け、価値と複雑さのバランス、顧客満足度への集中、さまざまな要素の重み付けなど、多くの手法があります。顧客やコンプライアンス要件は、しばしばチームの優先順位の原動力となります。優先順位付けの方法自体はそれほど重要ではなく、むしろ優先順位を徹底的に守り、絶え間ないリクエストの嵐から貴重な時間を守ることが重要です。
適応力
セキュリティエンジニアリングチームは、変化する要件、技術、状況に適応できる必要があります。適応力とは、単にあるタスクを他のタスクより優先すること以上の意味があります。重要なのは、関係者のニーズに基づいて問題へのアプローチを変えることです。ITセキュリティエンジニアリングチームは、チームの成長やステークホルダーの変化するニーズに基づいて自律性を調整し、問題解決プロセスに多様な意見を意識的に取り入れる必要があります。関係者やITセキュリティ組織全体にとってのメリットは、アジリティと柔軟性です。アジャイルなチームは、より強靭なチームとなります。
継続的な学習
常に新しいスキルや組織的な背景、ポリシー、働き方を学び続けられるチームは、今日の変化の激しい時代において不可欠です。セキュリティエンジニアリングチームのメンバーは、常に自己成長し、自らを刷新し、既存のメンタルモデルや経験を基盤に発展させていくべきです。こうしたメンタルモデルの構築により、人は過去に取り組んだことと類似した状況に直面した際、すぐに貢献し、探求し、行動を開始できます。
継続的な学習は、組織文化にも影響を与えます。知識は共有を生み、共有は議論を生み、新しいことについて話し合うことで関心や対話が生まれます。企業全体に浸透するメンタルモデルの集団的な発展や、ITセキュリティへの取り組み方・関わり方の進化は、協働文化を前進させます。
この高度に専門化された分野で働くということは、ハイパフォーマンスなチームがテクノロジーだけに集中できるという意味ではありません。人、問題の探求、人間関係の構築、優先順位の設定は、いずれも優れたセキュリティエンジニアリングチームの不可欠な要素です。チームを構築する際は、これらの要素に投資し、育てることを忘れないでください。(jm)