ストーリー
佐
佐藤CTO
これまでの知識を使って、組織のセキュリティレビュー体制を一から設計してほしい
佐
佐藤CTO
コードレビュー、コンプライアンス、インシデント対応、そして文化醸成 — この4つの柱で体制を構築するんだ
ミッション概要
| ミッション | テーマ | 目安時間 |
|---|---|---|
| Mission 1 | セキュリティコードレビューチェックリスト | 10分 |
| Mission 2 | インシデント対応計画の策定 | 15分 |
| Mission 3 | コンプライアンスマッピング | 10分 |
| Mission 4 | セキュリティチャンピオンプログラム設計 | 15分 |
前提シナリオ
企業: SaaS企業「CloudServe」(従業員200名、エンジニア50名)
事業: BtoB向けプロジェクト管理SaaS
状況:
- 開発チーム5つ(各10名)
- セキュリティ専任チーム3名
- SOC2 Type II取得を目指している
- 過去1年で2件のセキュリティインシデント発生Mission 1: セキュリティコードレビューチェックリスト(10分)
要件
CloudServeのプルリクエストレビュー用セキュリティチェックリストを作成してください。最低10項目、カテゴリ別に整理すること。
解答例
| カテゴリ | チェック項目 | 重要度 |
|---|---|---|
| 入力検証 | 全ての外部入力にバリデーションが適用されているか | Critical |
| 入力検証 | SQLクエリにパラメータバインディングを使用しているか | Critical |
| 認証・認可 | 全APIエンドポイントに認証チェックがあるか | Critical |
| 認証・認可 | テナント間のデータアクセス制御が適切か | Critical |
| データ保護 | PIIがログに出力されていないか | High |
| データ保護 | シークレットがソースコードにハードコードされていないか | Critical |
| エラー処理 | エラーレスポンスに内部情報が含まれていないか | High |
| 依存関係 | 新規依存パッケージに既知の脆弱性がないか | High |
| 暗号化 | 通信がTLS 1.2以上で暗号化されているか | High |
| セッション | セッションの有効期限とログアウト処理が適切か | Medium |
| ファイル | アップロードファイルの種類・サイズ制限があるか | Medium |
| ログ | セキュリティイベント(ログイン失敗等)が記録されているか | Medium |
Mission 2: インシデント対応計画の策定(15分)
要件
P1(Critical)インシデント発生時の対応計画を策定してください。役割、タイムライン、コミュニケーション計画を含めること。
解答例
対応体制
| 役割 | 担当者 | 責任 |
|---|---|---|
| インシデントコマンダー | CTO or セキュリティリード | 全体統括、意思決定 |
| テクニカルリード | シニアエンジニア(オンコール) | 技術調査の指揮 |
| コミュニケーションリード | PM or カスタマーサクセス | 顧客・社内連絡 |
| スクライブ | 任意のエンジニア | タイムライン記録 |
対応タイムライン
| 時間 | アクション |
|---|---|
| 0-15分 | アラート確認、IC任命、War Room設置 |
| 15-30分 | 影響範囲調査、封じ込め開始、初回ステータス更新 |
| 30-60分 | 原因調査、対応策の実行 |
| 1-4時間 | 修正適用、段階的復旧 |
| 4-24時間 | 完全復旧、監視強化 |
| 1週間以内 | ポストモーテム実施 |
コミュニケーション計画
| 対象 | チャネル | 頻度 |
|---|---|---|
| 対応チーム | Slack #incident-xxx | 随時 |
| 経営層 | メール + Slack DM | 30分ごと |
| 全社 | メール | 解決後 |
| 顧客 | ステータスページ + メール | 影響確認後速やかに |
Mission 3: コンプライアンスマッピング(10分)
要件
SOC2 Type IIの主要な要件と、CloudServeの現状の対応状況をマッピングしてください。
解答例
| SOC2原則 | 要件例 | 現状 | ギャップ | 対応策 |
|---|---|---|---|---|
| セキュリティ | アクセス制御 | RBAC実装済み | MFA未対応 | 全ユーザーにMFA強制 |
| セキュリティ | 脆弱性管理 | 手動スキャン | 自動化不足 | CI/CDにSAST/DAST組込 |
| 可用性 | バックアップ | 日次バックアップ | DR訓練なし | 四半期DR訓練実施 |
| 処理の完全性 | 入力バリデーション | 主要APIで実装 | 一部APIで不足 | 全API対応 |
| 機密性 | データ暗号化 | 通信暗号化済み | 静止データ未暗号化 | RDS暗号化有効化 |
| プライバシー | データ保持 | ポリシーなし | 保持期間未定義 | データ保持ポリシー策定 |
Mission 4: セキュリティチャンピオンプログラム設計(15分)
要件
5つの開発チームにセキュリティチャンピオンプログラムを導入する計画を作成してください。
解答例
プログラム概要
| 項目 | 内容 |
|---|---|
| 目的 | 各チームのセキュリティ意識と対応力の向上 |
| 対象 | 各チームから1名(計5名) |
| 活動時間 | 業務時間の15%(週6時間) |
| 任期 | 1年(更新可) |
選定基準
- セキュリティに興味・関心がある
- チーム内での技術的信頼がある
- 1年以上の開発経験
育成ロードマップ
| フェーズ | 期間 | 内容 |
|---|---|---|
| 基礎 | 1-2ヶ月 | OWASP Top 10、セキュアコーディング研修 |
| 実践 | 3-4ヶ月 | セキュリティレビュー実践、CTF参加 |
| 自立 | 5-6ヶ月 | チーム内トレーニング実施、改善提案 |
| リーダー | 7-12ヶ月 | 社内CTF企画、新チャンピオン育成 |
KPI
| 指標 | 目標 |
|---|---|
| チームのセキュリティレビュー実施率 | 100% |
| セキュリティ起因バグの削減 | 前年比30%減 |
| トレーニング実施回数 | 四半期2回以上 |
まとめ
| ポイント | 内容 |
|---|---|
| チェックリスト | カテゴリ別に整理し、重要度を明示する |
| インシデント対応 | 役割・タイムライン・コミュニケーションを計画化 |
| コンプライアンス | 要件と現状のギャップを可視化する |
| チャンピオン | 段階的な育成ロードマップを設計する |
チェックリスト
- セキュリティコードレビューチェックリストを作成できた
- インシデント対応計画を策定できた
- コンプライアンスのギャップ分析ができた
- セキュリティチャンピオンプログラムを設計できた
次のステップへ
次はチェックポイントクイズで理解度を確認します。
推定読了時間: 50分