RSS
Human Hardeningとサイバー判断力

攻撃に対して「ハックされにくい人間」に

Day 105 手法4:セキュリティ・チャンピオン・ネットワーク Method 4: Security Champions Network

»

[シリーズ構造] 柱D|脅威の現実
セキュリティは、セキュリティチームだけではスケールしません。セキュリティ・チャンピオン・ネットワークは、現場の中に判断と気づきを根づかせる仕組みです。統制ではなく当事者性によって、セキュリティは「止めるもの」から「支えるもの」へ変わります。

▶ シリーズ概要: シリーズ全体マップ:人間のしなやかさ ― サイバー判断力のために

▶ 柱E|脅威の現実 関連記事:

手法4:セキュリティ・チャンピオン・ネットワーク(Security Champions Network

ようやく、ここに戻ってきた。長い寄り道だった。

最初の3つの手法は、「日々の開発の流れの中で、どうやってアドバーサリアル思考(敵から視線)を実践するか」だった。

  • 攻撃者に席を与える(Red Chair)。
  • 悪用を言語化する(Abuse Cases)。
  • 軽量なレンズで漏れを見つける(STRIDE)。

そして今、もっと難しい問いに進む。どうやって、その習慣を"定着"させ、"伝播"させ、"スケール"させるのか。しかも、セキュリティチームを永久のボトルネックにしない形で。それが Security Champions Network(セキュリティ・チャンピオン・ネットワーク) の役割だ。

この考え方自体は、セキュリティ文化やセキュア開発を重視するコミュニティや業界の取り組みの中で育てられてきた。OWASPのSecurity CultureやSAFECodeのガイダンスは、その代表例だ。私たちはその延長線上で、現場に定着する形に作り直す。

u5292553157_Create_an_illustration_of_a_rabbit_standing_up_as_c7cac1a4-0376-4e05-b43a-5d4670f7eeb9_3.png

現実

セキュリティチームは、永遠に足りない。

すべての設計。

すべてのストーリー。

すべてのプロジェクト。

全部をレビューする人数は、絶対に揃わない。

全部やろうとすれば、ボトルネックになる。やらなければ、最後に責められる(スケープゴートになる)。

答えは「セキュリティ人員を増やすこと」じゃない。

答えは セキュリティの能力を、組織の中に分散させること だ。

そこで必要になるのが、Security Champions Network。

これは委員会ではない。コンプライアンス施策でもない。各チームの中に"セキュリティで考える頭"を埋め込む仕組み だ。

Security Championsはどう動くか

  1. まずは 志願者 から始める。やらされ役ではなく、学びたい人。
  2. アドバーサリアル思考を教える。脅威モデリング、アビューズケース、セキュアコーディングの基礎。
  3. セキュリティチームに行く前に、一次レビューを回せる ようにする。
  4. ただし孤立させない。エスカレーションの近道(直通)を渡す。
  5. 早期発見の価値を、きちんと評価し、報いる。直すコストが安い段階で見つけた人を、ちゃんと称える。

これは序列ではない。パートナーシップ だ。

チャンピオンが日々やること

現場で起きるのは、こういうことだ。

  • 設計レビューで Red Chair に座る(誰かが継続的に攻撃者視点を担わないと、必ず蒸発する)
  • ユースケースの隣に アビューズケース を書く(「正しく使われる前提」は、現実じゃない)
  • アーキテクチャ承認の前に 15分のSTRIDE を回す(完璧さより、"やり切れる"ことが勝つ)
  • セキュリティが入る前に、コードを"セキュリティの目"で一度見る
  • 講釈ではなく、行動で広める(安全なデフォルトを、チームの普通にする)
  • 本当に専門家が必要なものだけをエスカレーションする(セキュリティの時間を、最大レバレッジに使う)

彼らは「ミニ・セキュリティ担当」じゃない。翻訳者だ(開発現場の現実と言葉を、セキュリティの意図に変換する)。

増幅器だ(1つの気づきを、チーム全体に広げる)。

文化の運び手だ(組織変更があっても、習慣は残る)。

なぜスケールするのか

違いを想像してみてほしい。

チャンピオンがいない世界

  • 50チームの設計を、セキュリティ3人で見る
  • バックログ、遅延、不満
  • チームは締切のためにセキュリティを迂回する
  • セキュリティは「ブロッカー」になる

チャンピオンがいる世界

  • 50チームに、50人のチャンピオンがいる
  • セキュリティは"後工程"ではなく、開発の一部になる
  • セキュリティチームは門番ではなく、イネーブラーになる
  • 攻撃者思考が、講義ではなく"リテラシー"として広がる

岩を押すのが3人から、50人になる。
それがスケールだ。
それがレバレッジだ。
アドバーサリアル思考が、組織の筋肉記憶になる瞬間だ。

ここで起きる転換(The Shift

ここから、問いが変わる。

「どうやって全員を訓練する?」ではない。
「どうやって、私たち抜きでも前に進むネットワークを作る?」だ。

Security Championsは、ポリシーの運び手ではない。マインドセット(当事者性)の運び手 だ。そして何より、このネットワークがあるからこそ、最初の3つの手法は「良いアイデア」で終わらず、"ここではこう作る" になる。

最後に

セキュリティは、会議ではスケールしない。スケールするのは、人だ。

当事者性(Ownership)が各チームの中に宿ったとき、セキュリティは最後のボトルネックではなく、最初の背骨(Backbone)になる。

セキュアな組織とは、セキュリティ担当が多い組織ではない。セキュリティの当事者が多い組織だ。

―――

[Series Structure] Pillar D | Threat Reality

Security does not scale through a central team alone. A Security Champions Network embeds adversarial thinking directly into product and engineering teams by empowering trusted insiders as translators and connectors--not gatekeepers. When ownership moves closer to daily work, security stops being a bottleneck and becomes part of how teams decide, build, and ship.

▶ Series overview: Series Map - Human Flexibility for Cyber Judgment

▶ Other posts in Pillar E (Pillar D | Threat Reality):

Method 4: Security Champions Network

Finally we came back here. It was a long detour.

The first three methods were about how teams can practice adversarial thinking in the flow of work: give the attacker a seat (Red Chair), document misuse (abuse cases), and run a lightweight lens (STRIDE). Now we get to the harder question:

How do you make those habits stick, spread, and scale--without turning the security team into a permanent bottleneck?

That's what a Security Champions Network is for.

This concept has been pioneered and popularized through communities and industry efforts that focus on security culture and secure development, including OWASP's Security Culture work and SAFECode's secure development guidance (we're building on that foundation).

u5292553157_Create_an_illustration_of_a_rabbit_standing_up_as_c7cac1a4-0376-4e05-b43a-5d4670f7eeb9_3.png

Here's the truth

The security team will never have enough people to review every design, every story, every pull request.

If we try, we become the bottleneck.
If we don't, we become the scapegoat.

The answer isn't "more security people."
It's more security capability distributed across the organization.

That's where the Security Champions Network comes in.

This isn't a committee.
This isn't a compliance program.
This is how we embed security thinking into every team.

How Security Champions work

  1. Start with volunteers -- people who want to learn, not people forced into it.
  2. Train them in adversarial thinking -- threat modeling, abuse cases, secure coding fundamentals.
  3. Empower them to run first-line security review -- before it reaches the security team.
  4. Give them a fast escalation path -- direct access to security for support and feedback.
  5. Recognize and reward impact -- especially when they catch issues early, when fixes are cheap.

This isn't hierarchy.
It's partnership.

What Champions actually do (day to day)

In practical terms, champions:

  • Sit in the Red Chair during their team's design reviews (someone must consistently represent the attacker's perspective, or it evaporates).
  • Draft abuse cases alongside use cases--because "how it should work" is never the whole story.
  • Run 15-minute STRIDE checks before architecture approval--quick enough to be repeatable, structured enough to catch patterns. STRIDE works best when it's actually done, not when it's "the perfect framework" that nobody uses. Source
  • Review code with a security lens before security gets involved.
  • Model secure habits--not by lecturing, but by making secure defaults normal in the team.
  • Escalate only what truly needs specialist support, so security time is spent where it's highest leverage.

They're not "mini security people."

They're translators (between product/dev reality and security intent).
They're amplifiers (one security insight spreads across an entire team).
They're culture carriers (habits survive reorgs; culture is what remains).

Why this scales

Picture the difference.

Without champions

  • A security team of 3 reviewing designs from 50 product teams
  • Backlog, delays, resentment
  • Teams work around security to hit deadlines
  • Security becomes "the blocker"

With champions

  • 50 champions embedded in 50 teams
  • Security happens as part of development, not after it
  • The security team becomes enablers, not gatekeepers
  • Attacker thinking spreads like literacy, not like a lecture

We go from three people pushing a rock uphill
to fifty people pushing with you.

That's scale.
That's leverage.
That's how adversarial thinking becomes muscle memory at the organizational level.

The shift

This is the moment when you stop asking:

"How do we train everyone?"

...and start asking:

"How do we build a network that carries security forward without us?"

Security Champions are the delivery mechanism--not for policies, but for mindset.

And importantly: this network is how the first three methods stop being "a good idea in a blog post" and become "how we build here."

Security doesn't scale through meetings. It scales through people.When ownership lives inside every team, security stops being a bottleneck at the end and becomes a backbone at the start.

References 出典・参照文献

Kohnfelder, L., & Garg, P. (1999). The STRIDE threat model. Microsoft. https://learn.microsoft.com/en-us/archive/msdn-magazine/2006/november/uncover-security-design-flaws-using-the-stride-approach

OWASP Foundation. (n.d.). OWASP Security Culture. https://owasp.org/www-project-security-culture/

OWASP Foundation. (n.d.). OWASP Security Culture--Security Champions. https://owasp.org/www-project-security-culture/v11/4-Security_Champions/

SAFECode. (2018). Fundamental practices for secure software development (Version March 2018). https://safecode.org/wp-content/uploads/2018/03/SAFECode_Fundamental_Practices_for_Secure_Software_Development_March_2018.pdf

蓮見祥子 2026/02/10 06:19:44 Comment(0)

コメント

コメントを投稿する