タイトルの通り、明後日(1/10)の16:15-RSGT2024で発表をしてきます。
今日はどんなことを話すのかと、登壇にあたって想っていることを色々書いていこうと思います。

• 発表概要
• 発表準備をするにあたって工夫をしたこと
  • プラクティスやツールの有効性を自分の経験だけに頼らず、最低3本以上の書籍やsurveyで確認した
  • 読むだけでも一定わかるスライドとした
  • 集中力が持つであろう前半部分に重要度が高いプラクティスを持ってきた
  • intermediateがTargetだが、Begineer向けの説明も少し入れた
• 登壇にあたっての想い

発表概要

confengine.com

2020年にはJASAのセキュリティ10大トレンドで「安易なアジャイル開発によるぜい弱なシステムの氾濫」が挙げられるなど、「セキュリティとアジャイルは相性が悪い」という考え方は過去に一定数の指示を得ていました。(もしかすると現在もそう思われている方はいるかもしれません)
現在は、DevSecOpsの認知の広がりをはじめ、徐々にそうした考え方は少なくなってきていると思われますが、「セキュリティ担当者もスクラムチームに入って一緒に働く」「セキュリティ意識を開発者も高められるようにする」といった組織や文化的な話が多い印象があります。
もちろん組織やチームや文化の変革も重要なトピックなのですが、アジャイル開発を実践して動くシステムを作るとなると、開発レベルで具体的にどのような技術的プラクティスが重要になってくるのか？という観点も重要になってきます。

そこで、本セッションでは、アジャイル開発やスクラムの中でセキュリティ観点を取り入れるために必要な技術プラクティスを、継続的なセキュリティ活動(OWASP DevSecOps lifecycles)/テスト/対応の優先順位付け/セキュリティ専門家がチームと協働する際に役立つプラクティス、の4観点で紹介します。
これらの技術プラクティスの紹介を通して、どのようなユースケースで役立つのか？やどう実践するのか？を知ることで、セッションを聞いてくださった皆さんがそれぞれの現場でセキュアなシステム構築をアジャイル開発で実践できるようになることを目指します。

発表準備をするにあたって工夫をしたこと

プラクティスやツールの有効性を自分の経験だけに頼らず、最低3本以上の書籍やsurveyで確認した

今回一番時間をかけたのがここです。

セキュリティに関するプラクティスやツール自体は非常に多くあるのですが、自分で試した(経験した)上で、他のチームやプロダクトでも実証性が証明されているものを紹介するように心がけました。(基準としては、最低3本以上の書籍やSurveyで効果が実証されているものとしました)

読むだけでも一定わかるスライドとした

今回自分が発表をさせてもらう枠はDay1の16:15-ということで、かなり疲労感があることが想定されます。

そこで、過去に自分が作ってきたスライドとはまったく異なる形でスライドを作りました。具体的には、スライドの文字量を多くするとともに、一つのスライドに載せる情報をかなり絞りました。

また、まとめや導入を丁寧に行うことで、情報整理や話の構造化の準備をセッションを聞いてくださっているみなさんができるようにしました。

集中力が持つであろう前半部分に重要度が高いプラクティスを持ってきた

今回は45分セッションということで、普通にひたすらプラクティスの紹介を受けているとすべてのものを記憶するのは難しいだろうと思いました。

そこで、前半部分に重要度が高いプラクティスの説明をもってくるようにしました。

intermediateがTargetだが、Begineer向けの説明も少し入れた

SNSや記事を検索した結果、アジャイル開発に対してあまり知識がない人やセキュリティに対してあまり知識がない人が聞く可能性があると判断して、所々でBegineer向けの説明も入れるようにして、「一定はわかるな」という自信を参加者に持ってもらえるように工夫しました。

登壇にあたっての想い

他のスクフェスをはじめとしたカンファレンスとRSGTの違いとして、規模(注目度)とセッションの豪華さ(他のカンファレンスのkeynote speakerや本の著者、業界の第一人者が集結している)があると思っています。

自分が最初に登壇したRSGT2022では、自分がまだあまり交流関係がなかったり物知らずだったことが良い方向に幸いして、規模もセッションもそんなに気にならなかったのですが、RSGT2023では改めて見るととんでもない規模でとんでもないセッションが並んでいることに気が付き、並列セッションである川口さん牛尾さんきょんさんの存在もあって自分が話をすることに強い不安を感じていました。

ただ、そんな不安や自分のセッションに対する自信のなさを昨年の飲み会で及部さんやさささんに打ち明けたところ、色々とそれは違うんじゃないかという話をしてもらい、来年は「自分のセッションに来ない人はもったいないな」と思えるくらいになっているといいねという言葉をいただきました。

そこから一年間、今年はそう思えることを目標に準備をしてきて、まだ「自分のセッションに来ない人はもったいないな」とまでは思えていませんが、錚々たる並列セッションがある中で話すことに対する不安だったり自分が話して良いのだろうかという想いはまったくなくなった状態で当日を迎えられそうです。

緊張はするんだろうなあと思いますが、RSGTのセッションを注意深く聴いていると結構多くの人が最初の方は緊張している仕草を見せていたりもして、皆さんそこからどんどん落ち着いた感じになっていくので、そんなに緊張を怖がらなくてもよいかなと考えています。

発表をする時間になるまでは最良の構成を模索し続けると思いますが、その場でできるベストを尽くして、聴いてくれたみなさんの行動変容に繋がるような話ができるよう、一生懸命頑張りたいです。