Content last updated 2025-02-07

Security Shadow: Security Assurance

Security Compliance

Security Compliance: 「やりたいことを何でもやる」が終焉を迎える場所。 すべてのセキュリティリクエストや要件がどこから来ているのか、なぜいつもエビデンスを提供してシステムがどのように設計・構成されているかについて話すよう求められるのか、不思議に思ったことはありませんか?それでは朗報です!シャドウローテーションのために security compliance チームに参加してください。以下を行います:

  • 情報セキュリティフレームワークドキュメントを読む
  • システムアクセスをレビューする
  • 情報セキュリティポリシーと標準を作成する
  • システム内で起こって欲しいことが実際に起きていることかどうかを確認するためにセキュリティコントロールをテストする

スケジュール/対象トピック

SC101.1: Security Control Testing

  • セキュリティコントロールの趣旨を理解する
  • 一般的なコントロール要件のマッピング
  • コントロール実装ステートメント
  • エビデンスリクエスト
  • Test of design(TOD)
  • Test of operating effectiveness(TOE)
  • 観察事項、ノート、情報出力

SC101.2: Terminated User Access Review

  • プロセスの概要
  • コンプライアンス要件のレビュー
  • ユーザーリストリクエスト
  • 終了ユーザーの特定
  • システムオーナーへの報告
  • アクセスレビュー自動化のレビュー

コース期間

3 日間、6〜9 時間

チームマネージャー

Corey Oas @corey-oas

Field Security and Governance

Field Security チームの目標は、GitLab の Security 部門と外部リクエストの間の連絡役となることです。これは、セールスイネーブルメント、エバンジェリズムと教育活動の提供、およびセキュリティに関連する顧客の懸念への対応によって行います。Field Security チームをこのように積極的に位置付けることで、GitLab の同僚をサポートしながら、リクエストを効果的にトリアージし、コミュニケーションを促進できます。

スケジュール/対象トピック

FSG101: セールスサポートとセルフサービスセキュリティ

  • さまざまな種類の顧客リクエストをレビューする
  • 一般的な質問の RFP リポジトリのデモ
  • ZenDesk キューとリクエストのレビュー
  • 試してみよう - 顧客のためのアンケートに答えているふりをします。このレッスンで議論したリソースを使用してミニアンケートを完成させます。

FSG102: The Face of Security

  • 公の場でセキュリティを代表する方法をレビューする(ブログ投稿、イベント、トレーニング)
  • 認定リクエストとそれらのリクエストをトリアージ/レビューする方法について議論する
  • 新しいリクエストをレビューし、ギャップ分析プロセスについて議論する
  • 試してみよう - このコース中に学んだことについての段落(または完全なブログ投稿)を書きます。GitLab セキュリティのストーリーを広めましょう!

FSG103: Governance, Risk, and Compliance(GRC)アプリケーションの概要

  • GRC ツールの目的の概要
  • GitLab 固有の GRC アプリケーションのツアー
  • GRC アプリケーションに供給される入力
  • GRC アプリケーションによって生成される出力
  • 監査/評価のデモ
  • GRC アプリケーションのダッシュボード/レポート作成

コース期間

3 日間、4〜6 時間

チームマネージャー

Joe Longo @jlongo_gitlab

Security Risk

Security Risk チームは、GitLab と環境内に潜む危険の間の盾として機能します。サードパーティ評価とセキュリティ運用リスク管理活動を実施することで、リスクを早期かつ頻繁に積極的に特定し分析することによってこれを行います。これにより、GitLab はより迅速にイテレーションと改善を行い、最終的に顧客に安全でスケーラブルなプロダクトを提供できます。

スケジュール/対象トピック

RSK101: Risk Management

  • さまざまな種類のリスクとそのソースをレビューする - StORMThird Party Risk
  • リスク管理の主要コンポーネントを学ぶ
  • TPRM 評価を実施する
  • リスクマネージャー活動を実施する
  • マイルストーンに達しているリスクが与えられ、対処を評価し、設計の有効性を検証する可能性があります。

コース期間

スケジュールに応じて数日または数週間にわたる 6〜8 時間。

チームマネージャー

Ty Dilbeck, @tdilbeck

登録

登録の準備ができましたか?詳細については こちら をクリックしてください。

最終更新 June 14, 2026: Merge pull request #403 from kyama0/claude/cool-turing-ls6eck (bfd74782)
ページのソースコードを見る - ページの編集 - please contribute. Creative Commons License