This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Chapter Handbook/Chapter 4: Chapter Administration/ja

From OWASP
Revision as of 15:06, 5 February 2018 by Sa10 (talk | contribs)

Jump to: navigation, search

第4章: チャプター管理について


Owasp.org のメールアカウントについて

owasp.org のメールアカウントは、有償OWASPメンバーとチャプターリーダー、プロジェクトリーダーに提供されます。いずれにも所属していない場合、お問い合わせフォームからリクエストを送信することができます。チャプターリーダーは、OWASPに関わるすべての課題について、owasp.org のアカウントを利用することをお勧めしています。

お勧めする理由はいくつかあります。1つはOWASPへの貢献度の明確化、そしてボランティアと賃金労働の分離、利害の衝突の開始、プライバシーの確保などが挙げられます。チャプターリーダーのメールアドレスは、チャプターのWikiページへの連絡手段とチャプターのメーリングリストの管理者の両方にリスト追加されます。owasp.org のメールアドレスを使用した場合、個人のメールアドレスは公開サイトには掲載されなくなります。

また、OWASPのメールアカウントは、Googleドライブのアカウントに関連付いているため、必要に応じてコミュニティの文書へのアクセスや作成が可能となります。


OWASP Wiki について

公式のWikiサイトを維持していくことは、チャプターを維持していく上で重要な要素の1つです。この情報は、地域で活動しているミーティングを探す上で最も人々に確認される情報となります。また、スポンサー候補やメンバー候補がローカルチャプターを見つけるためにも活用されるでしょう。

自由でオープンなチャプターミーティングを開催していく上で、ミーティングの開催情報(時間、場所など)が気軽かつ確実に確認できることは必要不可欠です。そのため、ミーティングの開催が決定した際には、その情報が速やかにWikiに掲載されることが望まれます。情報を得たい人々は、この情報を得るためにサービスに対価を支払ったり、サービスにサインインする必要はありません。

チャプターのWikiには少なくとも以下の情報を掲載しましょう:

  • チャプターのメンバーシップに関する情報と、最善の連絡方法
  • チャプターのメーリングリストへのリンク
  • 今後の予定、スケジュールに関する情報
  • 過去のミーティングで利用されたプレゼンテーション資料


また、LinkedIn、Facebook、Twitter、Ning、Meetupなどのその他のプロモーションサービスは、チャプターとチャプターの活動について興味ある人々に知らせるのに有用です。ただし、OWASPチャプターのWikiに掲載される情報は常に信頼されるものでなければいけません。一部のサービスには信頼される情報を担保することを支援する仕組みが用意されています。例えば、MeetUp Proアカウントを利用している場合、MeetUpに登録したミーティング情報をWikiページとOWASPのイベントカレンダーに連携する公式のAPIが用意されます(2017年に機能解放予定)。

もしチャプターのWiki情報を編集するためのアカウントを作成していない場合には、アカウントを作成することを強く推奨します。Wikiの編集にあたって、その一貫性および、可読性を考慮したガイドラインも用意してあります。Wikiのマークアップに関する資料は以下を参照してください。 http://www.mediawiki.org/wiki/Help:Editing_pages#Edit_Summary
http://www.mediawiki.org/wiki/Help:FormattingYou


ローカルドメイン名称について

多くのリーダーはOWASPチャプターのローカルドメイン名の購入を希望しますが、このドメインはWikiのチャプターページを指し示すものであることに注意が必要です。OWASP Wikiは、OWASPの価値と原則を保証するただ一つのWebサイトであることを理解することが重要です。

ただし、中国などの一部の国について、国内からのWikiへのアクセスができませんでした。そのため、OWASPに関する主要な情報を発信する場所としてローカルドメインが取得され、運用されています。例外が許可されている場合、公式のOWASP Wikiの情報(世界のWiki情報)が常に最新を保つ形になるようにWikiページのリーダーシップ変更や今後のミーティング情報を更新するための最大限の努力が必要となります。問題が発生した場合にはお問い合わせフォームから連絡してください。

チャプターリーダーは、自国のドメイン名を登録し、チャプターの口座から資金処理することは自由です。ただし、ブランドの結束を維持するためドメイン名は「OWASP [Chapter location]」とする必要があります。登録に必要な書類や認可が必要な場合にはお問い合わせフォームから連絡してください。


メーリングリストについて

チャプターのメーリングリストは、地域で開催するOWASP活動についてメンバーに通知するために使用される必要があります。開催されるすべてのチャプターミーティングはリストに投稿される必要がありますが、その他にもセキュリティイベントやチャプターが進めているプロジェクト、AppSecに関する情報を伝える手段として多くのチャプターが活用しています。

チャプターリーダーには、メーリングリストの管理パスワードが発行され、リストのモデレーションが可能になります。追加のモデレーターが必要な場合には必要に応じて追加することもできます。メールへの投稿を管理する場合には管理画面から設定してください。メーリングリストの管理者になると、OWASPリーダーのリストに送信されたすべてのメールを受信することになります。メーリングリストにすべてのチャプターリーダーを追加し、コミュニティーからタイムリーなコミュニケーションを受けられるようにしてください。

上記以外の提案:

  • OWASPコミュニティでは、他の地域のミーティングに関するメーリングリストの受信に制限を加えることは歓迎されています。例を挙げると、インドで開催されるOWASP以外のカンファレンス情報を、インド以外の複数のメーリングリストにメールを送信することは不適切と言えます。
  • チャプターのメーリングリストにおける迷惑メールを防ぐ最も有効な手段は、リスト管理を有効にすることです。この設定は、メーリングリストの管理画面にて「プライバシーオプション」と「送信者フィルタ」を操作することで実現が可能です。メーリングリストの購読者と非購読者の両方にメール投稿を管理するためのオプションが用意されています。
  • メーリングリストで活用されるテーマはチャプターによって様々です。チャプターによって、業務が地元や安全保障に関係する場合は近いテーマを推奨し、異なるテーマの場合にはチャプターミーティングでのネットワーキングを推奨します。
    • 議論の詳細に関しては、“[Owasp-leaders] Job Leads on Chapter Mailing Lists?”を参照してください。
    • OWASPには、LinkedInのJobs Boardが用意されています。OWASPは、特定の製品やサービスを推奨しないため、コミュニティの利益のためにこのリストを提供しています。質問がある場合や、求人情報の掲載を希望する場合はLinkedInのJobs Boardを確認してください。


ソーシャルメディアについて

OWASPのチャプターメーリングリストと同様に、OWASPチャプターが用意するソーシャルメディアは、その活動について関係者に知らせるだけでなく、セキュリティイベントやチャプターが進めているプロジェクト、AppSecに関する情報を伝えるために活用するべきです。

OWASPのチャプター名が掲げられているソーシャルメディアは、OWASPの原則と倫理規定を遵守する必要があります。さらに、OWASPブランドのソーシャルメディアを投稿またはモデレートする人は、ソーシャルメディア契約に署名し、それを遵守しなければなりません。アカウントを設定するチャプターリーダーまたはメンバーがパスワードを保持し、アカウントの正式な「所有者」である間、このアカウントのログイン情報は、リーダーシップチームの他のメンバーおよびOWASP本部との共有情報となります。リーダー交代などにより引き継ぎが発生した場合、その情報は新リーダーに確実に伝達される必要があります。

OWASP Wikiのチャプターページは、チャプターの正式な表記となります。そのため、ソーシャルメディアプラットフォーム上のコミュニケーションは、Wikiページの代替とするものではなく、補完するものとなります。チャプターのメンバーは、ミーティングの情報にアクセスするためにソーシャルメディアアカウントにサインアップする必要はありません。新しいイベントや活動のお知らせは、Wikiページにて最新の状態を維持してください。チャプターがオープンにアクセス可能で、定期的な維持管理が行われており、正確な情報で更新がされることがソーシャルメディアプラットフォームとして重要です。チャプターがプラットフォームから離れることを選択した場合、ソーシャルメディアアカウントを適切にクローズし、お問い合わせフォームから本部に報告をすることを忘れないでください。

現在、チャプターで利用されているソーシャルメディアプラットフォーム(すべてのチャプターがすべてのソーシャルメディアプラットフォームのアカウントを開設する必要はありません。地域に応じた選択をすることが望まれます):

本部が使用しているサービスを、同様にチャプターが使用する場合、本部アカウントをフォローすることを強く推奨します。


連絡先の管理について

各チャプターには、連絡先やその他の重要な情報を整理するためのデータベース(フォースポータルでこれを維持するためのツールにアクセスできる)が用意されています。これは、メーリングリストの加入者、LinkedInグループのメンバー、地元の提携先(および組織内の連絡先)、スポンサー(過去、現在、未来)の包括的なリストです。この情報は、新しい人物にチャプターの管理を引き継ぐ場合のみではなく、ダイレクトメーリング(「メーリングリスト」よりも多くの結果を望める)や将来の会場、スポンサー、またはスピーカーの検索でも役立てることができます。「Recruiting List Members」も参照してください。データベースを使用する場合は、プライバシールールを遵守する必要があり、メンバーの連絡先リストは、運営されるチャプターのリーダー以外に配布することはできません。


資金処理について

チャプター資金は、OWASP本部の目的や原則、倫理方針と一致している場合に活用が可能であり、第2章でも触れたとおり、その利用には透明性が求められます。 そのため、チャプターは資金管理を担当するメンバーが在籍する必要があります。この担当は、多くの場合、チャプターリーダーが担うことができます。 担当者はコミュニティマネージャーと連携することで、本部の公式情報の更新を密にすることができます。

資金処理に関するガイドライン:

  • 予算に関して、年初時点で$500未満のチャプターは、チャプターリーダー2名に対して$500まで充足されます。
  • 予算の少ない($0または$500未満の)チャプターは、年間を通して、$500の補助を4回求めることができます。資金補助のリクエスト時は、その目的を具体的に示す必要があります。リクエスト受領時、まず最初にローカルチャプターの口座から必要資金が差し引かれる形になります。例えば、飲食費用として$100が請求された場合でも、ローカルチャプターの口座に$40がある場合には、補助される費用は$60となります。
  • 年末に$5,000を超えるチャプターについては、資金用途についてその予算の提出を求められるか、または一般的な奉仕活動に剰余金が分配される可能性があります。
  • 資金を利用するためには事前承認が必要となります(後述)。
  • 資金の流れ、資金要求、予算に関するすべてのやり取りは、チャプターWikiまたは、チャプターのリストアーカイブに透明性を持ってリンクされている必要があります。
  • 各チャプターは、年次予算決定時、予算項目を確認する権利を有しています(後述)

支出に関わるガイドライン

以下の経費について、支出が$500未満の場合、チャプターの口座に必要な資金があり、それを活用する場合には「ホワイトリスト」として扱い、処理することができます。:

  • ミーティングスペースのレンタル費用
  • ミーティング中の休憩に必要な費用
  • ミーティングの広報費用
  • OWASPの宣伝費用

ただし、費用が上記のいずれにも該当しない場合、または$500を超える場合には、別のチャプターリーダーまたはボードメンバーが手続きを進める必要があります。また、スピーカーの旅行は一般的な費用であり、$500以下になる可能性がありますが、チャプター内の衝突回避のため、2番目の署名者が求められる場合があります。動揺に、チャプターの口座から本部への寄付についても、2番目の署名者が必要となります。

OWASPは、組織管理上、運用上の観点から、OWASPの使命に基づいた資金利用をしていることを支持者(会員、スポンサー、その他)に示す責任があります。運営するチャプターの資金残高を確認する場合は、OWASPの寄付ボード(OWASP Donation Scoreboard)で確認することができます。ガイドラインでは不明瞭な点や、例外に見える取り扱いがある場合には、各種確認のため、対応する本部スタッフに確認することができます。


追加費用に関わるポリシー

チャプターは、Wikiに記載されている方針に準拠している限り、チャプターの資金管理担当者(またはチャプターリーダー)の承認を経て、経費の追加に係る手順を自由に進めることができます。また、担当者は、地域で求められる必要な経理処理に加えて、経費の一覧を保持する必要があります。この一覧は、予算と共にWiki上に公になっていることが望まれます。


返済プロセスについて

チャプターの経費支払いにおいて推奨される返済プロセスは、経費を支払った後、OWASPの払戻請求に従って領収書を提出し、返済を受ける形です。この手順は、OWASPの標準化された払戻手続きとなります。リクエストは、承認を行う権限を持つチャプターリーダーに送られることになります。承認が完了するまで、費用の支払いを受けることはできません。申請しようとする経費が、OWASPの原則に沿っているかの判断が難しい場合には、コミュニティーマネージャーへ助言を求めることが最良です。


チャプターの予算について

(サンプル)予算テンプレート

チャプターは資金を保持することはしていませんが、OWASP本部からの信頼を得ています。そのため、チャプターは「Donation Scoreboard」を利用することで残高の確認をすることができ、必要に応じて必要予算を書き込むことができます。しかし、10月1日までに$5,000を超える予算を持つチャプターは、翌年の本部予算に含める必要があるため、11月1日より前に予算を提出する必要があります。また予算は、次年の間、費用がどのように使用されるか、その予定かを明記する必要があります。ここで将来的に予測される予算については、今後2年以内の予測支出に含めることもできます。1月1日より前にチャプターに確認をすることができないか、または予算が未受領となりチャージ先が確定しなかった資金は、、他のチャプター、またはCommunity Engagement Fundingに振り替えることができます。

OWASPリーダーは、前述したチャプターおよびプロジェクトの予算編成とは別の形で予算を作成し、11月1日以降にOWASP本部に提出することで本部の予算計画に目的の予算を含めることができます。予算は本部によって審査され、承認されることで翌年のOWASP本部予算に組み込まれることになります。予算計画を適切に利用することで、将来体に必要となる資金を効果的に確保することができます。また、編成先が未確定となった予算は、OWASPの一般資金に返還されることになります。


本部が追跡不可能な資金について

チャプターリーダーは、自身の銀行口座を利用して資金を受け入れることはできません。 OWASP Foundation(米国)とOWASP Inc.(欧州)は、資金を扱う目的で作成されており、他の国々は、財政を処理するための第三者企業と契約をしています。OWASPの資金が第三者によって処理される場合は、必要な書類作成が完了したことをOWASP本部に事前に連絡をする必要があります。

スポンサーが直接(看板、食べ物、会場などのために)関係先に費用を支払う場合、これは本部が追跡する必要のない取引となります。ただし、スポンサーが(税金またはその他の目的のために)取引の領収書または記録を必要とする場合、その資金は本部を通過する必要があります。

不適切な表示を避けるには、チャプターのWikiページに用意された「Donate」からの処理、または承認された経路からの寄付を募ることが最善です。


イベント費用の請求について

OWASPの中核に置かれている価値観と、その原則に反して、人々にチャプターミーティングへの有償参加を求めているケースがあります。しかし、チャプターはトレーニングまたはミーティングのために有償とすることを決定しているかもしれません。運営するチャプターがトレーニング、イベント、またはミーティングのための料金を請求している場合、参加登録はチャプターが選択した登録プラットフォーム上の本部アカウントを経由する必要があります。詳細は、お問い合わせフォームを使用して確認してください。 入場料の支払いを求めるか、$1000以上の基金を必要とするイベントは、OCMSシステムに提出し、エグゼクティブディレクターの承認を得なければなりません。イベントを開催するには「How to Host a Conference」をお読みください。


保険について

OWASP本部は、大部分のミーティングに十分な保険を提供しています。保険証書が必要な場合や、保険に関するその他の質問がある場合は、お問い合わせフォームから連絡してください。


(署名)契約について

チャプターリーダーは、OWASP本部に代わって契約書に署名する、または、法的合意書を締結する権限がありません。ミーティング会場やチャプター運営のために必要な他のサービスを保証するために署名付き契約が必要な場合は、お問い合わせフォームから連絡をし、承認を受けてください。