ソフトウェア更新プロセスを利用して、多くのトップ企業や政府機関を含む人気管理ソフトウェアOrionの18,000人以上のユーザーに感染したSolarWindsキャンペーンなどの大規模なセキュリティ侵害を受け、開発者主導でより効果的なセキュリティ対策を行うよう求める声が高まってきている。あらゆる規模の組織が「ソフトウェアのサプライチェーン」に疑問を持ち始め、ソフトウェアを作る開発者に検証されたセキュリティスキルと意識を要求しているのです。

米国政府でさえ、開発者主導のセキュリティ対策とソフトウェア・サプライチェーンの強化を呼びかけています。これらのコンセプトは、バイデン大統領が発表した「国家のサイバーセキュリティの向上に関する大統領令」の主要な構成要素となっています。

全体として、開発者コミュニティは、DevSecOpsのようなプログラムや運動を通じて、セキュリティをソフトウェア開発ライフサイクル（SDLC）の早い段階に移行させるという考えを受け入れています。最近行った調査では、開発者コミュニティは、その努力を支援するために受けたセキュリティトレーニングを評価していると回答しています。

ソフトウェアの脆弱性が悪用され続けており、開発者ですらコードに脆弱性を残すことがあると認めています。

なぜ？

この調査では、高品質のコードを書くことが開発コミュニティにとって最優先事項であることが確認されました。しかし、この調査では、開発者に提供されているトレーニングが、ソフトウェアサプライチェーンの安全性を確保するという目標には程遠いといういくつかの理由も明らかにされました。33%は、トレーニングを受けても、既知の脆弱性を特定したり修正したりする方法を知らないため、コードに脆弱性を残したままにしていると回答しています。また、92%が少なくともある程度のセキュリティに関する追加トレーニングが必要だと回答し、50%がさらに多くのトレーニングが必要だと回答しています。

開発者コミュニティは、与えられたトレーニングが何であれ、それを重視していることは明らかです。しかし、セキュアコーディングの実践を妨げる要因について質問したところ、「時間がない」という回答が最も多く、次いで「まとまった取り組みがない」という回答が5分の1を占めました。トレーニングは、開発者のワークフローにセキュリティを組み込んで日常的に活用するための継続的な戦略的努力の一部ではなく、単発のイベントとして捉えられていました。

そのため、開発者は、組織全体で一貫した継続的なプログラムの一環として、セキュアコーディングスキルを構築し、保持することができないのです。また、多くの開発者が、一般的な脆弱性を特定し修正することができないと答えていることから、現在受けているトレーニングは、特に効果的でも包括的でもないと結論付けることができます。

92％の開発者が、少なくともある程度のセキュリティに関する追加トレーニングが必要であると回答し、92％の開発者が、さらに多くのトレーニングが必要であると回答しています。

この状況を打開するために、組織は何をすればいいのでしょうか？

興味深いのは、開発者が圧倒的に「もっとセキュリティのトレーニングが必要だ」と答えていることです。そして、彼らが受けたトレーニングを評価している一方で、それは単に得られるものなら何でも喜んでいるという状況かもしれません。

トレーニングの改善方法について意見を求めたところ、この問題に対する彼らの真の考えが浮かび上がってきました。一般に、開発者が受けたトレーニングのほとんどは、限定的で、非対話的で、自分の職務にある程度的を絞っており、組織のセキュリティスキルと意識の向上を支援する全体的または継続的な計画の一部ではなかった。調査した開発者によると、組織が提供するトレーニングの効果を高めたいなら、SDLC全体でセキュリティにより重点を置くことを促進する包括的アプローチの1つとして提示する必要があるという。さらに、開発者は、トレーニングをより価値のあるものにするための具体的な要求を持っていました。最も多かった提案の1つは、セキュリティの観点から遭遇する可能性の高い状況のユースケースや実践的な事例をもっと盛り込むことでした。また、よりインタラクティブなトレーニングの必要性や、競争的な要素の追加も強調されています。一般的に、ユーザーがビデオを見たり講義を聞いたりするだけで、実践的で文脈的な学習をする機会がないトレーニングは、セキュアコーディングのような複雑で難しい（と思われている）スキルを教えようとする場合、効果的ではないし特に価値がないと考えられています。

また、開発者は、よりインタラクティブにすること、そして、競争的な要素を加えることも必要だと強調しました。

結束力のあるセキュリティ・アプローチを採用する場合、他にどのような要素が重要なのでしょうか？

組織の開発者コミュニティのセキュリティ意識とスキルを向上させようとする場合、もちろんトレーニングは重要である。そして、学習が継続的かつインタラクティブで、適切かつ文脈に応じたものであることを保証することが必要である。しかし、セキュリティ意識を向上させるための真にまとまったアプローチは、それだけにとどまらない。

真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変更する必要があるかもしれません。例えば、開発者は、従来、いかに早くコーディングできるかに基づいて評価されてきた。しかし、セキュリティに対する結束力のあるアプローチには、このような長年の評価基準や価値観を変えることが必要かもしれません。その代わり、評価では、速さを評価するのではなく、安全な、つまり脆弱性のない高品質のコードを作成できる開発者に報酬を与えることができます。

また、開発者コミュニティ自体もこの取り組みに参加させることができる。開発者に単にセキュリティを義務付けるのではなく、コミュニティからセキュリティチャンピオンを選出することを検討する。このようなセキュリティチャンピオンは、トレーニングや新たに焦点を当てた評価基準の一部として、才能があり、セキュリティを意識している開発者である。また、他の開発者がスキルを向上させるのを進んで支援し、開発コミュニティを内部から向上させることも必要である。

真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変える必要があるかもしれません。

参考資料

ホワイトペーパーソフトウェア・セキュリティ向上のための課題（および機会

ホワイトペーパーソフトウェア・セキュリティに対する開発者主導の予防的アプローチ

ホワイトペーパーDevSecOpsスーパーボール。セキュリティチャンピオンがチームをサポートし、後発の脆弱性に対して勝利する方法

レポート開発者主導のセキュリティのあり方 2022年