開発者のセキュリティ教育を強化し、脆弱性を53%削減する3つのステップ
.png)
進化を続けるサイバーセキュリティの状況において、デジタル資産を保護する開発者の役割はますます重要になってきている。しかし、本来は問題解決と効率性を重視する開発者が、セキュリティを優先しない可能性があるため、開発者を教育することが課題となっています。このブログ記事では、開発者を巻き込むだけでなく、脆弱性を53% 削減するセキュリティ教育プログラムを構築するための 3 つの重要なステップを紹介します。人間関係の醸成から階層的アプローチの実施まで、これらの戦略は、安全なコーディングの実践に必要な知識とスキルを開発者に身につけさせることを目的としている。
1.開発者との関係を構築し、開発者の関与を維持する
開発者は、初期のセキュリティ知識が不足していることが多いが、コード関連の問題を迅速に解決することに主眼を置いている。開発者のセキュリティに対する関心を高めるには、これらのトピックの価値を強調し、実行可能なものにすることが極めて重要である。技術スタックに含まれるすべてのプログラミング言語について、開発者が独立して自分のペースでトレーニングできるプログラムを導入することが重要である。開発者やチームリーダーと強い関係を築き、セキュアコード教育に現実的な時間を割けるようにする。
重要な最初のステップは、開発者が独立して自分のペースでトレーニングできる プログラムを導入することです。つまり、自社の技術スタックで使用されているすべてのプログラミング言語をカバーする必要がある。複雑な環境における開発者の学習ニーズを考慮し、脆弱性管理を支援する既存のセキュリティツールとどのように連携するかを考える。
2.繰り返し発生する脆弱性の優先順位付け
スキャンツールやペンテストツールを使用して、重要で繰り返し発生する脆弱性を注視し、どのセキュアコーディング教育コンテンツがプログラムの礎となるかを導き出す。 既存のツールを活用し、これらの発見をセキュアコードプログラムに 統合することが鍵となります。また、開発者が教育を受ける必要がある脆弱性の優先順位を決めるために、以下の指標も考慮してください:
- 平均脆弱性年齢
- バックログにある脆弱性の数
- 平均解決時間、または平均修復時間(MTTR)
- クローズドな脆弱性の数とオープンな脆弱性の数の比較
- 独自に作成したコード(サードパーティ製は除く)の1行あたりの問題数
プログラムの成果に関する期待も、早い段階で設定すべきである。プログラムに参加する開発者は、一定レベルのセキュアなコーディングスキルを獲得することを期待されるべきで、それは、彼らが解決し、再導入しない脆弱性の数によって追跡することができる。
3.段階的なセキュアコーディングスキル開発プログラムの実施
開発者のセキュリティ参加と分析・テストプロセスとの統合が完了したら、セキュアコーディングの教育 を継続するインセンティブを与えることによって、開発者がセキュアコーディングスキルを磨くことに積極的に 取り組めるようにする。これは、開発者をセキュリティのより複 雑な領域に移行させるために、プログラムを階層化(「ベルト」化)することで実現できます。
タレス社がどのようにセキュリティ教育プログラムを構成したかの一例を紹介しよう:
- 意識向上- セキュリティ意識の基本レベルを向上させ、セキュリティトピックに関する開発者の知識の基本水準を確立 する。
- 基礎 -脆弱なコードの見つけ方や一般的な脆弱性の理解など、基本的なセキュリティスキルを学ぶ
- 自律的 - Secure Code Warriorのガイダンスに基づき、検証された戦術を使用して脆弱性を特定し、修復 する。
- 専門家 -ビジネスにとって重要な関連分野のすべてについて、セキュリティのチャンピオンであり、専門家であると定義される。
また、自己学習を促進することで、開発者のモチベーションを高め、新しい攻撃ベクトル、ベストプラクティス、新しい言語、新たに発見された脆弱性に関する最新情報を常に入手できるようになります。全員がセキュアなコーディング能力の基本水準に達したら、コンプライアンス重視の 1 時間にわたる年次トレーニングではなく、関連コンテンツを通じて毎月 2、3 回の重要な学習を行うだけで、時間の節約に役立つプログラムを活用しましょう。開発者を教育することによって節約された時間は、そもそも導入されるべきではなかった脆弱性を修正するために必要な手戻りを減らすという形で現れる。
結論
技術の進歩と同様に脅威が急速に変化するサイバーセキュリティのダイナミックな領域では、開発者向けの プロアクティブで体系的なセキュリティコーディング教育 プログラムが、重要なビジネス保護策となる。開発者と強固な関係を築き、繰り返し発生する脆弱性に優先順位を付け、段階的なスキル開発を実施することで、組織は壊滅的な侵害の可能性からコードベースを守ることができます。
このようなプログラムの成功は、単に脆弱性の減少で測られるのではなく、開発者の間でセキュリティ優先の考え方が醸成されることで測られる。デジタル・セキュリティの複雑な領域を進む中で、教育を通じて開発者に力を与えることは、組織をレジリエントでセキュアなデジタル・エコシステムに変える有力な戦略として浮上している。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってセキュアなコードを作成し、サイバーセキュリティを最優先する文化を構築するお手伝いをします。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを軽減できるよう支援します。
もっと詳しく知りたい方はこちら
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
テイラー・ブロードフット
Taylor Broadfoot-Nymarkは、Secure Code Warrior のプロダクト・マーケティング・マネージャーである。サイバーセキュリティやアジャイルラーニングに関する記事を執筆するほか、製品立ち上げ、GTM戦略、カスタマーアドボカシーを主導。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
開発者のセキュリティ教育を強化し、脆弱性を53%削減する3つのステップ
進化を続けるサイバーセキュリティの状況において、デジタル資産を保護する開発者の役割はますます重要になってきている。しかし、本来は問題解決と効率性を重視する開発者が、セキュリティを優先しない可能性があるため、開発者を教育することが課題となっています。このブログ記事では、開発者を巻き込むだけでなく、脆弱性を53% 削減するセキュリティ教育プログラムを構築するための 3 つの重要なステップを紹介します。人間関係の醸成から階層的アプローチの実施まで、これらの戦略は、安全なコーディングの実践に必要な知識とスキルを開発者に身につけさせることを目的としている。
1.開発者との関係を構築し、開発者の関与を維持する
開発者は、初期のセキュリティ知識が不足していることが多いが、コード関連の問題を迅速に解決することに主眼を置いている。開発者のセキュリティに対する関心を高めるには、これらのトピックの価値を強調し、実行可能なものにすることが極めて重要である。技術スタックに含まれるすべてのプログラミング言語について、開発者が独立して自分のペースでトレーニングできるプログラムを導入することが重要である。開発者やチームリーダーと強い関係を築き、セキュアコード教育に現実的な時間を割けるようにする。
重要な最初のステップは、開発者が独立して自分のペースでトレーニングできる プログラムを導入することです。つまり、自社の技術スタックで使用されているすべてのプログラミング言語をカバーする必要がある。複雑な環境における開発者の学習ニーズを考慮し、脆弱性管理を支援する既存のセキュリティツールとどのように連携するかを考える。
2.繰り返し発生する脆弱性の優先順位付け
スキャンツールやペンテストツールを使用して、重要で繰り返し発生する脆弱性を注視し、どのセキュアコーディング教育コンテンツがプログラムの礎となるかを導き出す。 既存のツールを活用し、これらの発見をセキュアコードプログラムに 統合することが鍵となります。また、開発者が教育を受ける必要がある脆弱性の優先順位を決めるために、以下の指標も考慮してください:
- 平均脆弱性年齢
- バックログにある脆弱性の数
- 平均解決時間、または平均修復時間(MTTR)
- クローズドな脆弱性の数とオープンな脆弱性の数の比較
- 独自に作成したコード(サードパーティ製は除く)の1行あたりの問題数
プログラムの成果に関する期待も、早い段階で設定すべきである。プログラムに参加する開発者は、一定レベルのセキュアなコーディングスキルを獲得することを期待されるべきで、それは、彼らが解決し、再導入しない脆弱性の数によって追跡することができる。
3.段階的なセキュアコーディングスキル開発プログラムの実施
開発者のセキュリティ参加と分析・テストプロセスとの統合が完了したら、セキュアコーディングの教育 を継続するインセンティブを与えることによって、開発者がセキュアコーディングスキルを磨くことに積極的に 取り組めるようにする。これは、開発者をセキュリティのより複 雑な領域に移行させるために、プログラムを階層化(「ベルト」化)することで実現できます。
タレス社がどのようにセキュリティ教育プログラムを構成したかの一例を紹介しよう:
- 意識向上- セキュリティ意識の基本レベルを向上させ、セキュリティトピックに関する開発者の知識の基本水準を確立 する。
- 基礎 -脆弱なコードの見つけ方や一般的な脆弱性の理解など、基本的なセキュリティスキルを学ぶ
- 自律的 - Secure Code Warriorのガイダンスに基づき、検証された戦術を使用して脆弱性を特定し、修復 する。
- 専門家 -ビジネスにとって重要な関連分野のすべてについて、セキュリティのチャンピオンであり、専門家であると定義される。
また、自己学習を促進することで、開発者のモチベーションを高め、新しい攻撃ベクトル、ベストプラクティス、新しい言語、新たに発見された脆弱性に関する最新情報を常に入手できるようになります。全員がセキュアなコーディング能力の基本水準に達したら、コンプライアンス重視の 1 時間にわたる年次トレーニングではなく、関連コンテンツを通じて毎月 2、3 回の重要な学習を行うだけで、時間の節約に役立つプログラムを活用しましょう。開発者を教育することによって節約された時間は、そもそも導入されるべきではなかった脆弱性を修正するために必要な手戻りを減らすという形で現れる。
結論
技術の進歩と同様に脅威が急速に変化するサイバーセキュリティのダイナミックな領域では、開発者向けの プロアクティブで体系的なセキュリティコーディング教育 プログラムが、重要なビジネス保護策となる。開発者と強固な関係を築き、繰り返し発生する脆弱性に優先順位を付け、段階的なスキル開発を実施することで、組織は壊滅的な侵害の可能性からコードベースを守ることができます。
このようなプログラムの成功は、単に脆弱性の減少で測られるのではなく、開発者の間でセキュリティ優先の考え方が醸成されることで測られる。デジタル・セキュリティの複雑な領域を進む中で、教育を通じて開発者に力を与えることは、組織をレジリエントでセキュアなデジタル・エコシステムに変える有力な戦略として浮上している。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってセキュアなコードを作成し、サイバーセキュリティを最優先する文化を構築するお手伝いをします。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを軽減できるよう支援します。
