佐々木です。re:Inventの興奮冷めやらぬまま帰ってきて、積みあがった仕事の多さに急速に現実が見えてきました。また、今日はJapan AWS Partner Ambassadorのアドベントカレンダーの担当ということをすっかり忘れていました。ということで、参加したセッションの紹介の一つをしたいと思います。本日のテーマは、セキュリティと組織作りです。
セッション概要
ご紹介するのは、『Shipping securely: How strong security can be your strategic advantage』というセッションです。概要については、次の通りで現在多くの企業はDXに取り組んでいて、その中でアジャイルさやイノベーションの推進が重要になっていますと。その中で組織としてのセキュリティは重要なのだけど、取り組めていないという現状があります。ではどうやって行けば、スピードと実行力を確保しつつセキュリティとコンプライアンスを担保できるのか。その組織戦略の話です。
Shipping securely: How strong security can be your strategic advantage
Organizations turn to digital transformation initiatives and use the AWS Cloud to increase agility, drive innovation, and improve efficiencies. However, they often overlook a strong security program’s strategic business advantage. Designed for line of business, information technology, and security leaders, this session covers how high-performing organizations, including AWS, develop the culture, mechanisms, and organizational constructs that allow for increased velocity and execution while maintaining a high bar for security and compliance.
re:Inventには、セキュアなシステムの作り方という具体的なセッションも沢山ありますが、このような経営やリーダー目線での考え方を示唆してくれるセッションも沢山あります。最近の私の仕事のレイヤーは、どうやって強い組織を作っていくかにフォーカスしているので、こういうセッションは非常にありがたいです。聞きながらTwitterでも呟いていますので、臨場感を得たい方はこちらも参照ください。
セキュリティの戦略の話をきく#reInvent pic.twitter.com/upC6u3pXzY
— Takuro SASAKI (@dkfj) 2022年12月1日
2022年12月7日追記: セッション動画が公開されました。 www.youtube.com
製品開発とセキュリティを取り巻く課題
まず初めに現在デジタルトランスフォーメーション(DX)で必要とされている事について、まとめられています。どれも納得の内容ですよね。DXに対応する手法や組織作りの議論も進んでいます。
- 製品のデプロイをより速く
- 不測の事態に対応する
- お客様の信頼
- オペレーションを拡大する
- イノベーションのスピードアップ
これに対してセキュリティインシデントの発生件数は顕著に増えてきています。背景としては、システムが巨大になり複雑になっているために人間のミスを誘発しやすいことや、攻撃側が自動化して24時間365日侵入の機会をうかがっていることがあります。これらを従来の延長線上で対応するのは不可能になりつつあるとのことです。セキュリティとコンプライアンスも組織としての対応と仕組みづくりが必要です。そのための取り組み方についての話が主題です。
DXに対応するセキュアな組織の観点整理
それでは、アジャイルとセキュリティの両立をどのように実現したら良いのでしょうか?次のような観点で整理されていました。
| 従来 | 現状 | 到達点 | |
|---|---|---|---|
| 防御ポイント | ネットワークベースの防御 | アイディンティティベースの制御と定期的な見直し | ゼロトラスト・アーキテクチャ |
| アクセスコントロール | 手作業による直接操作 | システムと手作業の混在 | 作業者によるデータの直接アクセスをゼロに |
| 問いかけ | 何が起こった? | 何が起こっていたの? | どうやったら再発防止できる? |
| カルチャー(セキュリティの受け止め方) | セキュリティチームの仕事 | プロダクト・オーナーの仕事 | 関係者全員の仕事 |
| 反応の仕方 | 受動的(発生ベース) | 監視と受動的対応 | 先を見越した対応 |
| 能力開発の方法 | 研修 | セキュリティチームの雇用 | チーム横断型の知識共有 |
| ツール | コンソール | エンジニアのマインドセット | 自動化ツール |
セッション中では、それぞれについて色々なケースを紹介しながら解説していました。聞いていて特に印象に残ったのが、組織とカルチャーについての言及が多い事です。ここからは、少しセッションと離れて私見も交えて語ります。
自分ごと化と権限移譲
自分が開発者の一人として動いている時や、一つのプロジェクトのリーダーとして動いていた時は、まさにアジャイルの勃興期でした。この時代はわりと牧歌的な時代・立場で、いかに個人やチームの生産性を高めれられるかを考えていればよかったです。そして、どうやったらビジネス上の価値を提供できるか、顧客とよく話していれば評価されました。一方現在は、開発の第一線を離れ少し引いた立場から開発組織を支えています。そうなると俯瞰して見ることが多いのですが、これがまぁ大変な局面に直面しているのが解ります。
個々の機能の開発自体は、様々なサービスの登場で簡単になりつつあります。一方で、クラウドの台頭でアーキテクチャの在り方も変わっているし、リリース間隔の超短期化も進んでいます。そのためには自動化も必須になってくるし、開発・リリースへのサイクル全体を通してのパイプラインの構築も必要になってきます。また、セキュリティについても冒頭で説明した通り、複雑化や自動攻撃への対応など、従来以上に対応が困難になっています。つまりシステム開発全体の難易度は、どんどん上がっています。これを従来の延長線上で対応しようとすると、早晩破綻するのではないかと懸念していました。そんな中で、今回のセッションを受けたことにより、その懸念は間違いではないと確信しました。
では、どうすれば良いのでしょうか?私は最近いろいろな研修で、デジタル・トランスフォーメーションの移行について学んでいます。その中で共通しているのが、カルチャーの醸成とそれを実現するための組織作りです。カルチャーについては、いろいろな要素を含んでいますが、その中で特に重要なのがオーナーシップです。従来は上意下達のピラミッド組織で、トップの指令を末端まで効率的に届けられるかが重要でした。しかし、今のように変化の激しい時代では、そんなやり方ではとてもじゃないですが対応できません。チームメンバーの一人一人がリーダーとして主体的に行動する必要があります。仕事を自分事として捉え、能動的に行動することですね。
それを実現するには、組織構造自体を変えていく必要があります。より現場に近い部署への権限移譲も必要ですし、逆に組織横断の組織(CoE)も編成も必要です。この辺りの必要性を認識していち早く動いている組織もいますが、多くの企業はそうではない所の方が多いでしょう。個人として手っ取り早い手段は、そういった企業に移るというのも一つの選択肢です。しかし、より主体的に対応するには自分自身がリーダーシップを発揮して自身の所属する組織を変えていく事だと思います。そのための手法は、組織の規模・成熟度・個々のスキルによって、一つではないでしょう。そんな訳で私自身も、少しづつ手探りではありますが取り組んでいます。自身の取り組みも一つのケースとして、今後もう少し言語化していく予定なので乞うご期待!!
まとめ
セキュリティがテーマですが、非常に抽象度が高いセッションでした。セキュリティをテーマにしながら、具体論は一切ないです。昔であれば、具体的な手法のみにフォーカスしていましたが、今の自分にとっては抽象度が高いものも必要ということが改めて認識できてよかったです。開発者の個々の資質と、組織としての設計。この両輪が必要ということがよく解りました。ちなみにAWSのre:InventのLeadership Sessionには、組織育成に対するヒントが沢山散りばめられています。YouTube等で動画でも配信されているので、興味があるものについては是非みてください。
