「AWS セキュリティコンピテンシー」認定を取得しました
当社デロイト トーマツ ウェブサービス株式会社は、2023年3月14日に、アマゾン ウェブ サービス(以下AWS)の「AWS コンピテンシープログラム(AWS Competency Program)」において「AWS セキュリティコンピテンシー」の認定を取得いたしました。
AWSコンピテンシープログラム は、該当の領域における卓越した技術力と高い専門性を活かしたAWSソリューションを提供できることをAWSが証明するAWSパートナーネットワーク (APN) 認定プログラムです。
DWSでは2020年9月に「AWS DevOpsコンピテンシー」を取得しており、「AWS セキュリティコンピテンシー」で2つ目のコンピテンシープログラム認定となりました。
DevOpsのコンピテンシー認定取得時のブログについては、以下をご参照ください。
https://blog.mmmcorp.co.jp/blog/2020/09/24/aws_competency_program_devops/
今回のブログでは、セキュリティコンピテンシー認定取得の概要や要件についてご紹介致します。
なお、本記事は2022年5月の要件に基づくものです。この記事を執筆している2023年3月時点では要件が変更になっておりますので、ご留意ください。
セキュリティコンピテンシー取得の要件
AWS セキュリティコンピテンシーパートナーについて、AWSのサイトでは以下のように紹介されております。
AWS セキュリティコンピテンシーパートナーは、皆様の特定の仕事量やユースケースに向けて、セキュリティに注力したソリューション提供に特化しています。AWS パートナーソリューションは、ワークロードに応じた自動化と俊敏性、およびスケーリングを可能にします。たった数分で、Software-as-a-Service (SaaS) 製品を含むこれらのクラウド対応ソフトウェアソリューションを AWS Marketplace で簡単に検索、購入、デプロイ、および管理します。これらのソリューションは連携して、オンプレミスでは不可能な方法でデータを保護し、幅広いワークロードとユースケースで利用できるソリューションを提供します。
具体的な要件はAWSのパートナー企業しか閲覧することができませんので詳細には触れられませんが、例えば以下のようなものがあります。
- セキュリティに関する十分な専門性を保持していること。
- セキュリティに関するソリューションを公開していること。
- セキュリティに関する顧客事例を公開していること。
セキュリティに関する専門性についてはAWSのサイトにあるように、いくつかのカテゴリから一つを選んで申請します。
DWSはアプリケーション開発に強みを持っており、SASTやDAST、WAF、RASP等に深い知見がありますので、「アプリケーションのセキュリティ」のカテゴリを選択して申請しました。
コンピテンシー認定取得による効果
コンピテンシー取得前と取得後で、様々なメリットがあると感じています。
そのうち、3つに絞ってご紹介いたします。
専門性の証明によるビジネスの差別化
AWSのコンピテンシー認定取得は難易度が高く、セキュリティコンピテンシーについてはAWSのサイト上、2023年3月時点で3社のみが保有しております。(DWSの取得が反映されれば4社目となる見込みです。)AWSコンピテンシー認定を取得することは、そのまま高い専門性を保持していることの証明となります。
当社ではDevSecOpsソリューションを提供しておりますが、冒頭でも述べましたように、この中のDevOps領域、セキュリティ領域の両方でAWSのコンピテンシー認定を取得しています。これにより、当社の専門性の高さを客観的に証明することができ、ビジネスの差別化に繋がります。
社内環境の整備
副次的な効果として、社内環境が整備されたことも挙げられます。DWSでは従前より高い専門性を保持していることを自負しておりましたが、その専門性の中には暗黙知として認識されているものも多くありました。
そんな中DWSでは事業規模の拡大に伴い、DWSは2022年1月時点で13人だったメンバーが2022年12月には内定者を含め33名になりました。13人では暗黙知でも一貫した品質を提供できていましたが、33人となると工夫が必要になりました。
セキュリティコンピテンシーでは、要件として提供するソリューションが社内標準として整備されていることを証明する必要がああり、こういった暗黙知を形式知にする必要がありました。これにより社内ドキュメントの整備が進み、メンバーが増加しても一貫した品質の提供が可能となりました。
個々のメンバーのスキル習得
要件の中には、個々のメンバーが高い専門性を維持することができる仕組みが存在していることを証明する必要がありました。DWSでは従前より勉強会や技術に関する議論が積極的に行われており、結果として高い専門性を保持する事ができていましたが、これを客観的に証明する必要がありました。
そのため、セキュリティに関する認定資格を有するメンバーが中心となり定期的に最新技術のキャッチアップの勉強会を開催したり、有志でのハンズオンセミナーを開催する等、セキュリティに焦点を当てた勉強会が活発に行われるようになりました。これにより、セキュリティに関する高い専門性を維持する仕組みが社内に構築されました。
DWSにおけるAWSパートナープログラム取得
DWSではコンピテンシーを含め、複数の分野でその能力の高さについてAWSから認定を受けております。
以下、表にして整理いたします。
認定プログラムカテゴリー | 認定サービス名 | 認定取得日 |
---|---|---|
APNコンサルティングパートナー | アドバンストティア | 2019年1月 |
AWSサービスデリバリープログラム(SDP) | Amazon CloudFront | 2019年6月 |
AWSサービスデリバリープログラム(SDP) | AWS Lambda | 2019年11月 |
AWSソリューションプロバイダープログラム(SPP) | - | 2020年3月 |
AWSコンピテンシープログラム | DevOps | 2020年9月 |
AWS内製化支援推進パートナープログラム | - | 2021年3月 |
AWS Well-Aechirecredパートナープログラム | - | 2021年10月 |
APN Certification Distinction | 50 | 2022年4月 |
APN Certification Distinction | 100 | 2022年10月 |
AWSコンピテンシープログラム | セキュリティ | 2023年3月 |
感想
本ブログの執筆者は、コンピテンシー取得活動におけるプロジェクトリードを担当しました。
具体的なタスクとしては以下のようなものがありました。
- コンピテンシー取得のための要件の読み込み
- 要件を満たすための活動
- 専門性に関する社内標準の整備
- 事例やソリューションの外部公開
- 申請、AWS USチームおよび監査人とのレビュー調整、実施
この活動を通じた感想として最も感じたことは、DWSは本当に高い専門性を持っているということです。
私自身、入社は2022年5月で参画した案件もまだまだ少なく、DWSでどのようなソリューション、専門性持っているのか全てを理解できておりませんでした。そこで要件に応じて様々なエンジニアにヒアリングを行いましたが、大抵が要件を満たすソリューションの実装経験や知見を有しておりました。
具体例として、要件の中にはAWSアカウントの管理方法に関するものがあり、これについてはAWS Control Towerを例示する方針としました。本来であればAWS Control Towerに関するキャッチアップから行う必要がありますが、社内でエンジニアにヒアリングすると、既に導入実績があり、それを整理することで要件を満たすことができました。
セキュリティコンピテンシー取得の要件は厳しいものばかりでしたが、こういったケースが多くあり、DWSの専門性の高さを改めて実感しました。
なお、ご紹介したAWS Control Towerのソリューションの一部は当社ブログでも公開しておりますので、そちらもご参照ください。
さいごに
デロイト トーマツ ウェブサービス株式会社はDevOpsのコンピテンシーとセキュリティのコンピテンシーをかけ合わせたDevSecOpsソリューションを提供しており、事業の俊敏性と堅牢性を実現しています。
DevSecOpsのソリューション及び当社へのお問い合わせについては以下のリンクもご参照くださいますよう、お願い申し上げます。