Regional Scrum Gathering Tokyo 2021 Day 1 「セキュリティとアジャイル開発のいい関係について考える / Security and Agile Development」

2021/01/06に開催されたRegional Scrum Gathering Tokyo 2021での発表です。
https://confengine.com/regional-scrum-gathering-tokyo-2021/proposal/14639/security-and-agile-development

チーム参加してきました

aslead Agile のチーム「オキザリス」にて参加してきました。
チーム7人で参加して、その場で実況しつつ、記事も作っています。

今日お話しすること

1. セキュリティとアジャイルが仲良くなるためのコツ
2. 実際にやっていることの紹介

セキュリティチームも開発チームも目標は同じ

• セキュリティの向上
• 機能の追加

仲が悪くなる原因は何か

• チェックリストをパスするように上から目線で言われる

  • 例）情報セキュリティ管理/監査基準
  • 例）チェックリスト

• チェックリストは絶対的？

  • チェックリストは盲目的に従うものではない
  • 対応を要する項目を発見し、取捨選択するもの

いい関係へのコツ

• 「絶対的」思考
  • セキュリティ担当者はこちらが多い
• 「相対的」思考
  • アジャイルプラクティショナーはこちら
• 「絶対的」思考から「相対的」思考に引き込む

職場での実践例

カードゲームを使ったシフトレフトの実現

• シフトレフト
  • 設計→実装→システム運用・保守
  • 設計の段階でセキュリティ対応を行う
• STRIDE による脅威分析
  • 6つの観点からセキュリティ的な脅威をあぶり出す
  • STRIDE分析用カードゲーム
  • 日本語版作って、無償公開中！
  • https://qiita.com/makoto-iguchi/items/485cf71c3d5f8d178818

セキュリティタスクを正しくスプリントバックログに積む

• これが結構難しい
  • セキュリティタスクは後回しにされがち問題
• 価値を高めるものから積む
• セキュリティタスクを積めていないということは価値を高められていないということ？
  • プロダクトの弱点（脆弱性）を修正するためのタスク
  • 脆弱性＝爆弾と考えてみると
  • プロダクトに爆弾がついていても爆発しなければ問題ないが、爆発すると価値は一気に吹き飛ぶ

ということで

プロダクト価値を高めるために効率よく実装タスクを積んでいく
爆弾処理バックログは爆発したらやばそうなものから適宜処理していく

• MVP with MBP

  • MBP：まあ爆発してもプロダクト死なないだろう
  • プロダクトバックログ同様、定期的に爆弾処理バックログのリファイメントを実施することで対応

• 爆弾が溜まりすぎた例：Zoom

  • 新機能開発を90日間停止
  • セキュリティ/プライバシー問題に集中

感想

セキュリティ対策後回しにされがち問題、すごく共感しました。
セキュリティ問題に一気に最後に対処したり、最初からやらなければならないとなると大変なので、MBPを考えて対応すればよいという考え方は良いなと思いました。
「STRIDE分析用カード」日本語版も有り難く使わせていただこうと思います！