ブログ

開発者主導のセキュリティに対する一貫したアプローチの確立

Secure Code Warrior
2022年11月24日発行

ソフトウェア更新プロセスを利用して、多くのトップ企業や政府機関を含む人気管理ソフトウェアOrionの18,000人以上のユーザーに感染したSolarWindsキャンペーンなどの大規模なセキュリティ侵害を受け、開発者主導でより効果的なセキュリティ対策を行うよう求める声が高まってきている。あらゆる規模の組織が「ソフトウェアのサプライチェーン」に疑問を持ち始め、ソフトウェアを作る開発者に検証されたセキュリティスキルと意識を要求しているのです。

米国政府でさえ、開発者主導のセキュリティ対策とソフトウェア・サプライチェーンの強化を呼びかけています。これらのコンセプトは、バイデン大統領が発表した「国家のサイバーセキュリティの向上に関する大統領令」の主要な構成要素となっています。

全体として、開発者コミュニティは、DevSecOpsのようなプログラムや運動を通じて、セキュリティをソフトウェア開発ライフサイクル(SDLC)の早い段階に移行させるという考えを受け入れています。最近行った調査では、開発者コミュニティは、その努力を支援するために受けたセキュリティトレーニングを評価していると回答しています。

ソフトウェアの脆弱性が悪用され続けており、開発者ですらコードに脆弱性を残すことがあると認めています。

なぜ?

この調査では、高品質のコードを書くことが開発コミュニティにとって最優先事項であることが確認されました。しかし、この調査では、開発者に提供されているトレーニングが、ソフトウェアサプライチェーンの安全性を確保するという目標には程遠いといういくつかの理由も明らかにされました。33%は、トレーニングを受けても、既知の脆弱性を特定したり修正したりする方法を知らないため、コードに脆弱性を残したままにしていると回答しています。また、92%が少なくともある程度のセキュリティに関する追加トレーニングが必要だと回答し、50%がさらに多くのトレーニングが必要だと回答しています。

開発者コミュニティは、与えられたトレーニングが何であれ、それを重視していることは明らかです。しかし、セキュアコーディングの実践を妨げる要因について質問したところ、「時間がない」という回答が最も多く、次いで「まとまった取り組みがない」という回答が5分の1を占めました。トレーニングは、開発者のワークフローにセキュリティを組み込んで日常的に活用するための継続的な戦略的努力の一部ではなく、単発のイベントとして捉えられていました。

そのため、開発者は、組織全体で一貫した継続的なプログラムの一環として、セキュアコーディングスキルを構築し、保持することができないのです。また、多くの開発者が、一般的な脆弱性を特定し修正することができないと答えていることから、現在受けているトレーニングは、特に効果的でも包括的でもないと結論付けることができます。

92%の開発者が、少なくともある程度のセキュリティに関する追加トレーニングが必要であると回答し、92%の開発者が、さらに多くのトレーニングが必要であると回答しています。

この状況を打開するために、組織は何をすればいいのでしょうか?

興味深いのは、開発者が圧倒的に「もっとセキュリティのトレーニングが必要だ」と答えていることです。そして、彼らが受けたトレーニングを評価している一方で、それは単に得られるものなら何でも喜んでいるという状況かもしれません。

トレーニングの改善方法について意見を求めたところ、この問題に対する彼らの真の考えが浮かび上がってきました。一般に、開発者が受けたトレーニングのほとんどは、限定的で、非対話的で、自分の職務にある程度的を絞っており、組織のセキュリティスキルと意識の向上を支援する全体的または継続的な計画の一部ではなかった。調査した開発者によると、組織が提供するトレーニングの効果を高めたいなら、SDLC全体でセキュリティにより重点を置くことを促進する包括的アプローチの1つとして提示する必要があるという。さらに、開発者は、トレーニングをより価値のあるものにするための具体的な要求を持っていました。最も多かった提案の1つは、セキュリティの観点から遭遇する可能性の高い状況のユースケースや実践的な事例をもっと盛り込むことでした。また、よりインタラクティブなトレーニングの必要性や、競争的な要素の追加も強調されています。一般的に、ユーザーがビデオを見たり講義を聞いたりするだけで、実践的で文脈的な学習をする機会がないトレーニングは、セキュアコーディングのような複雑で難しい(と思われている)スキルを教えようとする場合、効果的ではないし特に価値がないと考えられています。

また、開発者は、よりインタラクティブにすること、そして、競争的な要素を加えることも必要だと強調しました。

結束力のあるセキュリティ・アプローチを採用する場合、他にどのような要素が重要なのでしょうか?

組織の開発者コミュニティのセキュリティ意識とスキルを向上させようとする場合、もちろんトレーニングは重要である。そして、学習が継続的かつインタラクティブで、適切かつ文脈に応じたものであることを保証することが必要である。しかし、セキュリティ意識を向上させるための真にまとまったアプローチは、それだけにとどまらない。

真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変更する必要があるかもしれません。例えば、開発者は、従来、いかに早くコーディングできるかに基づいて評価されてきた。しかし、セキュリティに対する結束力のあるアプローチには、このような長年の評価基準や価値観を変えることが必要かもしれません。その代わり、評価では、速さを評価するのではなく、安全な、つまり脆弱性のない高品質のコードを作成できる開発者に報酬を与えることができます。

また、開発者コミュニティ自体もこの取り組みに参加させることができる。開発者に単にセキュリティを義務付けるのではなく、コミュニティからセキュリティチャンピオンを選出することを検討する。このようなセキュリティチャンピオンは、トレーニングや新たに焦点を当てた評価基準の一部として、才能があり、セキュリティを意識している開発者である。また、他の開発者がスキルを向上させるのを進んで支援し、開発コミュニティを内部から向上させることも必要である。

真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変える必要があるかもしれません。

参考資料

ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会
ホワイトペーパーソフトウェア・セキュリティに対する開発者主導の予防的アプローチ
ホワイトペーパーDevSecOpsスーパーボール。セキュリティチャンピオンがチームをサポートし、後発の脆弱性に対して勝利する方法
レポート開発者主導のセキュリティのあり方 2022年
テーブルの上に置かれたノートパソコンと作業する人々(上から見たところ
テーブルの上に置かれたノートパソコンと作業する人々(上から見たところ
リソースを見る
リソースを見る

ソフトウェア更新プロセスを利用して、多くのトップ企業や政府機関を含む人気管理ソフトウェアOrionの18,000人以上のユーザーに感染したSolarWindsキャンペーンなどの大規模なセキュリティ侵害を受け、開発者主導でより効果的なセキュリティ対策を行うよう求める声が高まってきている。あらゆる規模の組織が「ソフトウェアのサプライチェーン」に疑問を持ち始め、ソフトウェアを作る開発者に検証されたセキュリティスキルと意識を要求しているのです。

ご興味がおありですか?

Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約する
シェアする
著者
Secure Code Warrior
2022年11月24日発行

Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。

Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。

シェアする
テーブルの上に置かれたノートパソコンと作業する人々(上から見たところ
テーブルの上に置かれたノートパソコンと作業する人々(上から見たところ

ソフトウェア更新プロセスを利用して、多くのトップ企業や政府機関を含む人気管理ソフトウェアOrionの18,000人以上のユーザーに感染したSolarWindsキャンペーンなどの大規模なセキュリティ侵害を受け、開発者主導でより効果的なセキュリティ対策を行うよう求める声が高まってきている。あらゆる規模の組織が「ソフトウェアのサプライチェーン」に疑問を持ち始め、ソフトウェアを作る開発者に検証されたセキュリティスキルと意識を要求しているのです。

米国政府でさえ、開発者主導のセキュリティ対策とソフトウェア・サプライチェーンの強化を呼びかけています。これらのコンセプトは、バイデン大統領が発表した「国家のサイバーセキュリティの向上に関する大統領令」の主要な構成要素となっています。

全体として、開発者コミュニティは、DevSecOpsのようなプログラムや運動を通じて、セキュリティをソフトウェア開発ライフサイクル(SDLC)の早い段階に移行させるという考えを受け入れています。最近行った調査では、開発者コミュニティは、その努力を支援するために受けたセキュリティトレーニングを評価していると回答しています。

ソフトウェアの脆弱性が悪用され続けており、開発者ですらコードに脆弱性を残すことがあると認めています。

なぜ?

この調査では、高品質のコードを書くことが開発コミュニティにとって最優先事項であることが確認されました。しかし、この調査では、開発者に提供されているトレーニングが、ソフトウェアサプライチェーンの安全性を確保するという目標には程遠いといういくつかの理由も明らかにされました。33%は、トレーニングを受けても、既知の脆弱性を特定したり修正したりする方法を知らないため、コードに脆弱性を残したままにしていると回答しています。また、92%が少なくともある程度のセキュリティに関する追加トレーニングが必要だと回答し、50%がさらに多くのトレーニングが必要だと回答しています。

開発者コミュニティは、与えられたトレーニングが何であれ、それを重視していることは明らかです。しかし、セキュアコーディングの実践を妨げる要因について質問したところ、「時間がない」という回答が最も多く、次いで「まとまった取り組みがない」という回答が5分の1を占めました。トレーニングは、開発者のワークフローにセキュリティを組み込んで日常的に活用するための継続的な戦略的努力の一部ではなく、単発のイベントとして捉えられていました。

そのため、開発者は、組織全体で一貫した継続的なプログラムの一環として、セキュアコーディングスキルを構築し、保持することができないのです。また、多くの開発者が、一般的な脆弱性を特定し修正することができないと答えていることから、現在受けているトレーニングは、特に効果的でも包括的でもないと結論付けることができます。

92%の開発者が、少なくともある程度のセキュリティに関する追加トレーニングが必要であると回答し、92%の開発者が、さらに多くのトレーニングが必要であると回答しています。

この状況を打開するために、組織は何をすればいいのでしょうか?

興味深いのは、開発者が圧倒的に「もっとセキュリティのトレーニングが必要だ」と答えていることです。そして、彼らが受けたトレーニングを評価している一方で、それは単に得られるものなら何でも喜んでいるという状況かもしれません。

トレーニングの改善方法について意見を求めたところ、この問題に対する彼らの真の考えが浮かび上がってきました。一般に、開発者が受けたトレーニングのほとんどは、限定的で、非対話的で、自分の職務にある程度的を絞っており、組織のセキュリティスキルと意識の向上を支援する全体的または継続的な計画の一部ではなかった。調査した開発者によると、組織が提供するトレーニングの効果を高めたいなら、SDLC全体でセキュリティにより重点を置くことを促進する包括的アプローチの1つとして提示する必要があるという。さらに、開発者は、トレーニングをより価値のあるものにするための具体的な要求を持っていました。最も多かった提案の1つは、セキュリティの観点から遭遇する可能性の高い状況のユースケースや実践的な事例をもっと盛り込むことでした。また、よりインタラクティブなトレーニングの必要性や、競争的な要素の追加も強調されています。一般的に、ユーザーがビデオを見たり講義を聞いたりするだけで、実践的で文脈的な学習をする機会がないトレーニングは、セキュアコーディングのような複雑で難しい(と思われている)スキルを教えようとする場合、効果的ではないし特に価値がないと考えられています。

また、開発者は、よりインタラクティブにすること、そして、競争的な要素を加えることも必要だと強調しました。

結束力のあるセキュリティ・アプローチを採用する場合、他にどのような要素が重要なのでしょうか?

組織の開発者コミュニティのセキュリティ意識とスキルを向上させようとする場合、もちろんトレーニングは重要である。そして、学習が継続的かつインタラクティブで、適切かつ文脈に応じたものであることを保証することが必要である。しかし、セキュリティ意識を向上させるための真にまとまったアプローチは、それだけにとどまらない。

真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変更する必要があるかもしれません。例えば、開発者は、従来、いかに早くコーディングできるかに基づいて評価されてきた。しかし、セキュリティに対する結束力のあるアプローチには、このような長年の評価基準や価値観を変えることが必要かもしれません。その代わり、評価では、速さを評価するのではなく、安全な、つまり脆弱性のない高品質のコードを作成できる開発者に報酬を与えることができます。

また、開発者コミュニティ自体もこの取り組みに参加させることができる。開発者に単にセキュリティを義務付けるのではなく、コミュニティからセキュリティチャンピオンを選出することを検討する。このようなセキュリティチャンピオンは、トレーニングや新たに焦点を当てた評価基準の一部として、才能があり、セキュリティを意識している開発者である。また、他の開発者がスキルを向上させるのを進んで支援し、開発コミュニティを内部から向上させることも必要である。

真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変える必要があるかもしれません。

参考資料

ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会
ホワイトペーパーソフトウェア・セキュリティに対する開発者主導の予防的アプローチ
ホワイトペーパーDevSecOpsスーパーボール。セキュリティチャンピオンがチームをサポートし、後発の脆弱性に対して勝利する方法
レポート開発者主導のセキュリティのあり方 2022年
リソースを見る
リソースを見る

以下のフォームに記入し、レポートをダウンロードしてください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

送信
フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。
テーブルの上に置かれたノートパソコンと作業する人々(上から見たところ

ソフトウェア更新プロセスを利用して、多くのトップ企業や政府機関を含む人気管理ソフトウェアOrionの18,000人以上のユーザーに感染したSolarWindsキャンペーンなどの大規模なセキュリティ侵害を受け、開発者主導でより効果的なセキュリティ対策を行うよう求める声が高まってきている。あらゆる規模の組織が「ソフトウェアのサプライチェーン」に疑問を持ち始め、ソフトウェアを作る開発者に検証されたセキュリティスキルと意識を要求しているのです。

米国政府でさえ、開発者主導のセキュリティ対策とソフトウェア・サプライチェーンの強化を呼びかけています。これらのコンセプトは、バイデン大統領が発表した「国家のサイバーセキュリティの向上に関する大統領令」の主要な構成要素となっています。

全体として、開発者コミュニティは、DevSecOpsのようなプログラムや運動を通じて、セキュリティをソフトウェア開発ライフサイクル(SDLC)の早い段階に移行させるという考えを受け入れています。最近行った調査では、開発者コミュニティは、その努力を支援するために受けたセキュリティトレーニングを評価していると回答しています。

ソフトウェアの脆弱性が悪用され続けており、開発者ですらコードに脆弱性を残すことがあると認めています。

なぜ?

この調査では、高品質のコードを書くことが開発コミュニティにとって最優先事項であることが確認されました。しかし、この調査では、開発者に提供されているトレーニングが、ソフトウェアサプライチェーンの安全性を確保するという目標には程遠いといういくつかの理由も明らかにされました。33%は、トレーニングを受けても、既知の脆弱性を特定したり修正したりする方法を知らないため、コードに脆弱性を残したままにしていると回答しています。また、92%が少なくともある程度のセキュリティに関する追加トレーニングが必要だと回答し、50%がさらに多くのトレーニングが必要だと回答しています。

開発者コミュニティは、与えられたトレーニングが何であれ、それを重視していることは明らかです。しかし、セキュアコーディングの実践を妨げる要因について質問したところ、「時間がない」という回答が最も多く、次いで「まとまった取り組みがない」という回答が5分の1を占めました。トレーニングは、開発者のワークフローにセキュリティを組み込んで日常的に活用するための継続的な戦略的努力の一部ではなく、単発のイベントとして捉えられていました。

そのため、開発者は、組織全体で一貫した継続的なプログラムの一環として、セキュアコーディングスキルを構築し、保持することができないのです。また、多くの開発者が、一般的な脆弱性を特定し修正することができないと答えていることから、現在受けているトレーニングは、特に効果的でも包括的でもないと結論付けることができます。

92%の開発者が、少なくともある程度のセキュリティに関する追加トレーニングが必要であると回答し、92%の開発者が、さらに多くのトレーニングが必要であると回答しています。

この状況を打開するために、組織は何をすればいいのでしょうか?

興味深いのは、開発者が圧倒的に「もっとセキュリティのトレーニングが必要だ」と答えていることです。そして、彼らが受けたトレーニングを評価している一方で、それは単に得られるものなら何でも喜んでいるという状況かもしれません。

トレーニングの改善方法について意見を求めたところ、この問題に対する彼らの真の考えが浮かび上がってきました。一般に、開発者が受けたトレーニングのほとんどは、限定的で、非対話的で、自分の職務にある程度的を絞っており、組織のセキュリティスキルと意識の向上を支援する全体的または継続的な計画の一部ではなかった。調査した開発者によると、組織が提供するトレーニングの効果を高めたいなら、SDLC全体でセキュリティにより重点を置くことを促進する包括的アプローチの1つとして提示する必要があるという。さらに、開発者は、トレーニングをより価値のあるものにするための具体的な要求を持っていました。最も多かった提案の1つは、セキュリティの観点から遭遇する可能性の高い状況のユースケースや実践的な事例をもっと盛り込むことでした。また、よりインタラクティブなトレーニングの必要性や、競争的な要素の追加も強調されています。一般的に、ユーザーがビデオを見たり講義を聞いたりするだけで、実践的で文脈的な学習をする機会がないトレーニングは、セキュアコーディングのような複雑で難しい(と思われている)スキルを教えようとする場合、効果的ではないし特に価値がないと考えられています。

また、開発者は、よりインタラクティブにすること、そして、競争的な要素を加えることも必要だと強調しました。

結束力のあるセキュリティ・アプローチを採用する場合、他にどのような要素が重要なのでしょうか?

組織の開発者コミュニティのセキュリティ意識とスキルを向上させようとする場合、もちろんトレーニングは重要である。そして、学習が継続的かつインタラクティブで、適切かつ文脈に応じたものであることを保証することが必要である。しかし、セキュリティ意識を向上させるための真にまとまったアプローチは、それだけにとどまらない。

真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変更する必要があるかもしれません。例えば、開発者は、従来、いかに早くコーディングできるかに基づいて評価されてきた。しかし、セキュリティに対する結束力のあるアプローチには、このような長年の評価基準や価値観を変えることが必要かもしれません。その代わり、評価では、速さを評価するのではなく、安全な、つまり脆弱性のない高品質のコードを作成できる開発者に報酬を与えることができます。

また、開発者コミュニティ自体もこの取り組みに参加させることができる。開発者に単にセキュリティを義務付けるのではなく、コミュニティからセキュリティチャンピオンを選出することを検討する。このようなセキュリティチャンピオンは、トレーニングや新たに焦点を当てた評価基準の一部として、才能があり、セキュリティを意識している開発者である。また、他の開発者がスキルを向上させるのを進んで支援し、開発コミュニティを内部から向上させることも必要である。

真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変える必要があるかもしれません。

参考資料

ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会
ホワイトペーパーソフトウェア・セキュリティに対する開発者主導の予防的アプローチ
ホワイトペーパーDevSecOpsスーパーボール。セキュリティチャンピオンがチームをサポートし、後発の脆弱性に対して勝利する方法
レポート開発者主導のセキュリティのあり方 2022年
リソースにアクセス

以下のリンクをクリックし、この資料のPDFをダウンロードしてください。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

レポートを見るデモを予約する
PDFをダウンロード
リソースを見る
シェアする
ご興味がおありですか?

シェアする
著者
Secure Code Warrior
2022年11月24日発行

Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。

Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。

シェアする

ソフトウェア更新プロセスを利用して、多くのトップ企業や政府機関を含む人気管理ソフトウェアOrionの18,000人以上のユーザーに感染したSolarWindsキャンペーンなどの大規模なセキュリティ侵害を受け、開発者主導でより効果的なセキュリティ対策を行うよう求める声が高まってきている。あらゆる規模の組織が「ソフトウェアのサプライチェーン」に疑問を持ち始め、ソフトウェアを作る開発者に検証されたセキュリティスキルと意識を要求しているのです。

米国政府でさえ、開発者主導のセキュリティ対策とソフトウェア・サプライチェーンの強化を呼びかけています。これらのコンセプトは、バイデン大統領が発表した「国家のサイバーセキュリティの向上に関する大統領令」の主要な構成要素となっています。

全体として、開発者コミュニティは、DevSecOpsのようなプログラムや運動を通じて、セキュリティをソフトウェア開発ライフサイクル(SDLC)の早い段階に移行させるという考えを受け入れています。最近行った調査では、開発者コミュニティは、その努力を支援するために受けたセキュリティトレーニングを評価していると回答しています。

ソフトウェアの脆弱性が悪用され続けており、開発者ですらコードに脆弱性を残すことがあると認めています。

なぜ?

この調査では、高品質のコードを書くことが開発コミュニティにとって最優先事項であることが確認されました。しかし、この調査では、開発者に提供されているトレーニングが、ソフトウェアサプライチェーンの安全性を確保するという目標には程遠いといういくつかの理由も明らかにされました。33%は、トレーニングを受けても、既知の脆弱性を特定したり修正したりする方法を知らないため、コードに脆弱性を残したままにしていると回答しています。また、92%が少なくともある程度のセキュリティに関する追加トレーニングが必要だと回答し、50%がさらに多くのトレーニングが必要だと回答しています。

開発者コミュニティは、与えられたトレーニングが何であれ、それを重視していることは明らかです。しかし、セキュアコーディングの実践を妨げる要因について質問したところ、「時間がない」という回答が最も多く、次いで「まとまった取り組みがない」という回答が5分の1を占めました。トレーニングは、開発者のワークフローにセキュリティを組み込んで日常的に活用するための継続的な戦略的努力の一部ではなく、単発のイベントとして捉えられていました。

そのため、開発者は、組織全体で一貫した継続的なプログラムの一環として、セキュアコーディングスキルを構築し、保持することができないのです。また、多くの開発者が、一般的な脆弱性を特定し修正することができないと答えていることから、現在受けているトレーニングは、特に効果的でも包括的でもないと結論付けることができます。

92%の開発者が、少なくともある程度のセキュリティに関する追加トレーニングが必要であると回答し、92%の開発者が、さらに多くのトレーニングが必要であると回答しています。

この状況を打開するために、組織は何をすればいいのでしょうか?

興味深いのは、開発者が圧倒的に「もっとセキュリティのトレーニングが必要だ」と答えていることです。そして、彼らが受けたトレーニングを評価している一方で、それは単に得られるものなら何でも喜んでいるという状況かもしれません。

トレーニングの改善方法について意見を求めたところ、この問題に対する彼らの真の考えが浮かび上がってきました。一般に、開発者が受けたトレーニングのほとんどは、限定的で、非対話的で、自分の職務にある程度的を絞っており、組織のセキュリティスキルと意識の向上を支援する全体的または継続的な計画の一部ではなかった。調査した開発者によると、組織が提供するトレーニングの効果を高めたいなら、SDLC全体でセキュリティにより重点を置くことを促進する包括的アプローチの1つとして提示する必要があるという。さらに、開発者は、トレーニングをより価値のあるものにするための具体的な要求を持っていました。最も多かった提案の1つは、セキュリティの観点から遭遇する可能性の高い状況のユースケースや実践的な事例をもっと盛り込むことでした。また、よりインタラクティブなトレーニングの必要性や、競争的な要素の追加も強調されています。一般的に、ユーザーがビデオを見たり講義を聞いたりするだけで、実践的で文脈的な学習をする機会がないトレーニングは、セキュアコーディングのような複雑で難しい(と思われている)スキルを教えようとする場合、効果的ではないし特に価値がないと考えられています。

また、開発者は、よりインタラクティブにすること、そして、競争的な要素を加えることも必要だと強調しました。

結束力のあるセキュリティ・アプローチを採用する場合、他にどのような要素が重要なのでしょうか?

組織の開発者コミュニティのセキュリティ意識とスキルを向上させようとする場合、もちろんトレーニングは重要である。そして、学習が継続的かつインタラクティブで、適切かつ文脈に応じたものであることを保証することが必要である。しかし、セキュリティ意識を向上させるための真にまとまったアプローチは、それだけにとどまらない。

真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変更する必要があるかもしれません。例えば、開発者は、従来、いかに早くコーディングできるかに基づいて評価されてきた。しかし、セキュリティに対する結束力のあるアプローチには、このような長年の評価基準や価値観を変えることが必要かもしれません。その代わり、評価では、速さを評価するのではなく、安全な、つまり脆弱性のない高品質のコードを作成できる開発者に報酬を与えることができます。

また、開発者コミュニティ自体もこの取り組みに参加させることができる。開発者に単にセキュリティを義務付けるのではなく、コミュニティからセキュリティチャンピオンを選出することを検討する。このようなセキュリティチャンピオンは、トレーニングや新たに焦点を当てた評価基準の一部として、才能があり、セキュリティを意識している開発者である。また、他の開発者がスキルを向上させるのを進んで支援し、開発コミュニティを内部から向上させることも必要である。

真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変える必要があるかもしれません。

参考資料

ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会
ホワイトペーパーソフトウェア・セキュリティに対する開発者主導の予防的アプローチ
ホワイトペーパーDevSecOpsスーパーボール。セキュリティチャンピオンがチームをサポートし、後発の脆弱性に対して勝利する方法
レポート開発者主導のセキュリティのあり方 2022年

目次

PDFをダウンロード
リソースを見る
ご興味がおありですか?

Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約するダウンロード
シェアする
リソース・ハブ

始めるためのリソース

その他の記事
リソース・ハブ

始めるためのリソース

その他の記事