こんにちは。エンジニアの @wa6sn です。開発組織を横断した課題を解決する Platform Unit というところに所属し、色々をやっています。
主にエンジニアとして新しく入社された方へ、オンボーディングの一環で「プロダクトセキュリティ」という講義を行っています。その資料を公開します。
なぜ、資料を公開するのか
弊社では、エンジニアバリューの一つに 「知見を贈り合う」 というものを掲げています。この資料を作成するにあたり、私も日経新聞社様のものや、MIXI 様のものをはじめ、たくさんの文献を参考にさせていただきました。公開版ゆえカットした部分がそれなりにあるものの、今回の資料が何らかの形で他の誰かの役に立てば良いなと思い、公開することとしました。
とりわけ小中規模のエンジニア組織では、セキュリティに力点を置いて活動している方は多くなく、それぞれ苦労しながら活動されているという認識です。そうした方の参考になれば良いなと思っています。
この講義の立ち位置とねらい
ギフティでは、新卒採用の方・中途採用の方を問わず、"dev 補講" なるエンジニア向けのオンボーディングコンテンツを受講することになっています。その一コンテンツとして、この講義を行っています。自分が所属している Platform Unit では 多数の AWS アカウントの運用管理および、そのガードレールの構築 も行っていることから、何かと開発組織全体に働きかけることも多く、この講義を行っているという経緯があります。
「プロダクトセキュリティ」なるタイトルですが、実際にはセキュリティの基礎的な概念から入り、平易な内容にまとめています。この資料では、以下の 3 点を伝えることを重視しました。
- セキュリティにまつわる概念・用語と、その必要性を知る
- エンジニアとして開発を行っていくうえで、どのようにセキュリティと向き合うか
- 社内で行われている、セキュリティに関わる業務はどのようなものか
1 はさておき、2, 3 について補足します。
"2. エンジニアとして開発を行っていくうえで、どのようにセキュリティと向き合うか" について
資料の途中にも出てきますが、アプリケーションエンジニアにとっては「プロダクトを開発したいのであって、セキュリティ対策をしたい」のではないと思っています。しかし、セキュリティは重要であり、意識せざるを得ません。実際に脅威に直面した事例をいくつか紹介することで、当然弊社も攻撃に晒されることがあるよ、ということを伝えています(社内事情が含まれるので、公開用スライドではカットしていますが……)。
一方で、際限のない対策が行われることでビジネスのブレーキになってしまうのは考えものです。バランス感覚を持っていただいて、守るべきところをしっかり守れるよう、「ベースとなる考え方」をインプットすることを意識しています。
"3. 社内で行われている、セキュリティに関わる業務はどのようなものか" について
「自分たちが作ったプロダクトが、お客様に安心して使ってもらえる」までに、多くの人が携わっているということは知っておいて損はないと思っています。
サービスを公開したらすぐ使ってもらえるかというと、そうではなく、現実では「あなたたちの作ったものは本当に安全なのか」を問われます。ISMS 認証の取得、セキュリティチェックシートへの回答、営業チームによるお取引先とのやりとりといった営みは、ひとえに "信頼の獲得" と言えます。これをエンジニアだけでこなすことは難しく、会社として対応していかざるを得ないでしょう。そうした連携をスムーズに行うために、相互理解の一環として、さまざまな取り組みの一部を紹介しています。
セキュリティに取り組むメンバーを募集しています
事業領域が拡大していくなかで、「プロダクトセキュリティ」にフォーカスした取り組みはまだまだ発展途上です。より「あるべき姿」に近づけられるよう、セキュリティエンジニアを募集 しています!
