アジャイルは、ITの流行語と同じくらい話題になっている。ソフトウェアの品質と納品スピードを向上させるという善意の取り組みから、過去20年間、アジャイルはあらゆるITの病気を治す万能薬として、ますます誤った宣伝がされてきた。この方法論は、自律性、納品スピード、そして「速く動いて、速く失敗する」という倫理観を優先しており、CISOなら誰でも苦笑するほどだ。
アジャイルのドグマが広がり続けるなか、冷静なセキュリティリーダーとして反撃するのが私たちの仕事だ。
変革の代理人か、破滅の代理人か?
アジャイルには使い道がある。ソフトウェア開発に対する反復的なアプローチとして、アジャイルは、チームが市場投入までの時間を短縮し、障害物を取り除くのに役立つ。小規模な組織やチームには特に効果的だ。しかし、拡張性は低く、複雑な異種混在環境は苦手だ。失敗したデリバリーチームを効果的なチームに変えることはできないだろう。
しかし、アジャイルは、ヘルプデスクからデータセンターまで、あらゆる場所で変革を推進するためのテクノロジー全体の運用モデルとして、ますます採用されるようになっている。CIOは、アジャイルのニュアンスを理解していないビジネスに後押しされている。企業の約半数が、少なくとも3年間は変革のためにアジャイルプラクティスを利用していると言われている。しかし、それは常に適切なのだろうか?
ノーと言おう
私はこれまで、FTSE100のCIOチームと数多く仕事をしてきたが、彼らはこう言う:「我々はアジャイル化を進めている。彼らの本音はこうだ:「我々は自律的なので、セキュリティとやり取りする必要はない。
もうひとつの古典的なリクエスト:"リスク受容/セキュリティの例外を認めてくれませんか?" これは、より正確に訳すとこうなる:「アジャイルデリバリーの目標を達成するために、セキュリティを妥協してくれませんか?
CISOからの適切なレスポンス :「もちろん、問題が起こったときに全責任を負う覚悟があればの話ですが。」
セキュリティは、どのようなプロジェクトにおいても必須の機能要件として受け入れられなければならない。私たちは皆、最初に設計によって組み込むことが、後付けするよりも安くて簡単で安全であることを知っている。しかし、多くのアジャイルプロジェクトが、「セキュリティの承認」をスプリントの最後のタスクにしていることに驚かされる。
基本的な規制遵守は、今日の脅威の状況では事実上無意味である。その代わりに、有能なツールと、適切な場合には独立したレッドチームによるテストが必要だ。CISOは、リスクを効果的に軽減するために、環境、ミス、設定ミスを綿密に監視できるツールを必要としている。セキュリティ要件がすべて満たされるまでは、製品は完成していないことを、より広いビジネス部門が認識しなければならない。
現実問題として、CISOとして私たちは組織の良心である。アジャイルプロジェクトを成功させるためには、少しペースを落とし、難しい質問をする必要があるかもしれない。時には、多くのCIOやそのチームの独断的な信念に疑問を投げかけることも必要だ。
悪者になってもいい。より良い常識的なアプローチが存在するときには、アジャイルにノーと言おう。
https://www.theregister.com/2021/12/16/move_fast_break_security_why/