予防的セキュリティと反応的セキュリティ:予防はより良い治療法である
セキュリティ・チームは、今日のクラウド主導のDevOpsの世界における新しいイノベーションの潮流に追いつくのに苦労している。したがって、攻撃者が常に生成される大量のコードから必然的に生じる無数の弱点を悪用する方法についていくことができないのも当然である。
しかし、Equifaxのデータ流出や SolarWindsのサプライチェーン攻撃から、近年ではChange Healthcareや AT&Tなどへの攻撃の成功など、重大なセキュリティ侵害のペースが加速しているにもかかわらず、多くの組織は依然としてセキュリティに対するリアクティブなアプローチを重視している。セキュリティ・リソースの大半を、脆弱性の発見と修正、およびインシデント発生時の対応に費やしているのだ。しかし、ソフトウェア、テクノロジー機能、ITインフラストラクチャの急速な進化は、人員不足で過重労働のセキュリティ・チームには追いつけないほどである。
継続的に不利な立場に置かれることを避けるためには、セキュリティの脅威を追いかけたり、データ漏えいの馬が納屋から出るのを待ったりするのをやめる必要がある。その代わりに、予防的なアプローチを取ることによって、問題の前に立ちはだかるべきである。レガシーアプリケーションと新規アプリケーションの両方のセキュリティを向上させるには、効果的な開発者トレーニングに支えられたセキュアバイデザインのアプローチが必要である。
今日に至るまで、これは言うは易く行うは難しである。
セキュアなコーダーは不足している
米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、セキュア・バイ・デザイン(Secure-by-Design)イニシアチブを推進し、セキュアコーディングを他のベストプラクティス(多要素認証(MFA)から脆弱性クラスの削減まで)とともに推進し、組織にセキュア・バイ・デザイン誓約書(Secure-by-Design Pledge)を取るよう促している。オーストラリア、カナダ、ドイツ、英国など、他の国も同様のプログラムを開始している。とはいえ、我々の調査によると、今のところ、このプログラムに参加した組織はほとんどない。
Learning Platform セキュア・バイ・デザインに取り組んでいるSCWの競合他社と、Secure Code Warriorの全開発者を合わせると、50万人から100万人の開発者がこのアプローチに取り組んでいることになる。最も寛大に見積もっても、これは世界中の開発者総数の約3.5%に相当し、2024年末には2870万人に達すると予測されている。これは、かつてないほど多くのコードを生み出している開発者の数であり、特にジェネレーティブな人工知能プログラムによって開発ペースが大幅に加速している中で、安全なコードから始める方法を学んでいる開発者はほとんどいない。
従来のモデルでは、開発者とセキュリティ専門家は別個の存在として働き、セキュリティチームはソフトウェアが作成された後にセキュリティ問題に対処することになっていたため、ソフトウェアエンジニアは一般的にサイバーセキュリティについて教えられてこなかった。しかし、今日の環境では、セキュリティの専門家の数は圧倒的に不足している。最新のBSIMM14(Building Security in Maturity Model)レポートによると、世界全体では、開発者100人に対してAppSecの専門家は平均3.87人である。猛烈なスピードで作業する100人の開発者のアウトプットをセキュアにしようとする訓練されたスペシャリストが4人未満では、セキュアなコードのレシピにはならない。
アプリケーション・セキュリティが軽視されていることは、他のセキュリティ分野と市場規模を比較しても同様に明らかである。セキュアバイデザインのアプローチを構成するコンポーネントは、アプリケーション・セキュリティ市場に分類され、2023年の60億8,000万ドルから2031年には175億1,000万ドルに成長すると予測されている。これは急成長のように見えるが、2023年の235億7000万ドルから2032年までに673億3000万ドルに増加すると予測されるネットワーク・セキュリティや、2023年の180億3000万ドルから2031年までに575億1000万ドルに成長すると予測される運用技術セキュリティに費やされる資金と比較すると、微々たるものである。
セキュアなコードとアプリケーションの重要性が高まっていることを考慮すると、この分野には資金が不足している。実際、企業がアプリケーション・セキュリティとセキュア・バイ・デザイン・アプローチにもっと投資すれば、他のセキュリティ分野を節約できるかもしれない。
予防的セキュリティの導入が難しく、そのため経営トップに売り込みにくいという見方には、他にもいくつかの要因がある。ひとつには、金融サービス・セクターのように長い歴史を持つ企業は、古いレガシー・システムを抱えている。
レガシーコードやレガシーシステムに、新しいアプリケーションと同時に予防的セキュリティを導入するという考えは、困難なものに思えるかもしれない。しかし、セキュアバイデザインのアプローチは、開発者のスキルアップによって実施され、これらのシステムにセキュリティのベストプラクティスを適用することができる。これは、多くの組織がセキュリティ体制を改善するための最善のチャンスである。
予防文化の構築
セキュリティに対する予防的なアプローチへの移行は遅いスタートかもしれないが、Secure-by-Designの実践を採用する動きはなくならない。自動車業界は、自動車をより安全にすることよりも、救急車や救急救命士を増やすことに投資することを決めたら、非難轟々であろう。
組織はリスクを低減するために、予防的でプロアクティブなアプローチを採用する必要がある。SDLC の早い段階で、安全なコードを書くことと、(AI アシスタントやサードパーティのコードによってもたらされるような)エラーを修正することについて、開発者をスキルアップするためのプログラムを構築すべきである。これらのプログラムには、開発者のスケジュールに合わせて、作業環境や使用するプログラミング言語に合わせて調整できる、アジャイルでインタラクティブなトレーニングプログラムを含めるべきである。アップスキルには、実世界の問題に対処する実践的なトレーニングが含まれるべきである。
重要なのは、セキュリティのベストプラクティスが日常業務の重要な一部となっているかどうかを確認するために、進捗状況を測定する手段を含める必要があることです。SCWのTrust Scoreのようなツールは、ベンチマークを使用して社内および業界標準に対する進捗を測定し、同時に改善すべき分野を特定する。
セキュア・バイ・デザインのアプローチは、セキュリティがビジネス上の優先事項であるという組織内のセキュリティ第一の考え方を反映した全体的なものである。確かに、レスポンスとリカバリは、組織全体のセキュリティ態勢にとって不可欠な部分である。しかし、予防に重点を置くことで、企業はリスクを削減し、ビジネスの存続を脅かすような大規模な侵害を回避する上で大きな前進を遂げることができる。
実行可能なSecure-by-Designイニシアチブの実現に向けて、Secure Code Warrior 。
レガシーコードやレガシーシステムに、新しいアプリケーションと同時に予防的セキュリティを導入するという考えは、困難なものに思えるかもしれない。しかし、セキュアバイデザインのアプローチは、開発者のスキルアップによって実施され、これらのシステムにセキュリティのベストプラクティスを適用することができる。これは、多くの組織がセキュリティ体制を改善するための最善のチャンスである。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するMatias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
セキュリティ・チームは、今日のクラウド主導のDevOpsの世界における新しいイノベーションの潮流に追いつくのに苦労している。したがって、攻撃者が常に生成される大量のコードから必然的に生じる無数の弱点を悪用する方法についていくことができないのも当然である。
しかし、Equifaxのデータ流出や SolarWindsのサプライチェーン攻撃から、近年ではChange Healthcareや AT&Tなどへの攻撃の成功など、重大なセキュリティ侵害のペースが加速しているにもかかわらず、多くの組織は依然としてセキュリティに対するリアクティブなアプローチを重視している。セキュリティ・リソースの大半を、脆弱性の発見と修正、およびインシデント発生時の対応に費やしているのだ。しかし、ソフトウェア、テクノロジー機能、ITインフラストラクチャの急速な進化は、人員不足で過重労働のセキュリティ・チームには追いつけないほどである。
継続的に不利な立場に置かれることを避けるためには、セキュリティの脅威を追いかけたり、データ漏えいの馬が納屋から出るのを待ったりするのをやめる必要がある。その代わりに、予防的なアプローチを取ることによって、問題の前に立ちはだかるべきである。レガシーアプリケーションと新規アプリケーションの両方のセキュリティを向上させるには、効果的な開発者トレーニングに支えられたセキュアバイデザインのアプローチが必要である。
今日に至るまで、これは言うは易く行うは難しである。
セキュアなコーダーは不足している
米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、セキュア・バイ・デザイン(Secure-by-Design)イニシアチブを推進し、セキュアコーディングを他のベストプラクティス(多要素認証(MFA)から脆弱性クラスの削減まで)とともに推進し、組織にセキュア・バイ・デザイン誓約書(Secure-by-Design Pledge)を取るよう促している。オーストラリア、カナダ、ドイツ、英国など、他の国も同様のプログラムを開始している。とはいえ、我々の調査によると、今のところ、このプログラムに参加した組織はほとんどない。
Learning Platform セキュア・バイ・デザインに取り組んでいるSCWの競合他社と、Secure Code Warriorの全開発者を合わせると、50万人から100万人の開発者がこのアプローチに取り組んでいることになる。最も寛大に見積もっても、これは世界中の開発者総数の約3.5%に相当し、2024年末には2870万人に達すると予測されている。これは、かつてないほど多くのコードを生み出している開発者の数であり、特にジェネレーティブな人工知能プログラムによって開発ペースが大幅に加速している中で、安全なコードから始める方法を学んでいる開発者はほとんどいない。
従来のモデルでは、開発者とセキュリティ専門家は別個の存在として働き、セキュリティチームはソフトウェアが作成された後にセキュリティ問題に対処することになっていたため、ソフトウェアエンジニアは一般的にサイバーセキュリティについて教えられてこなかった。しかし、今日の環境では、セキュリティの専門家の数は圧倒的に不足している。最新のBSIMM14(Building Security in Maturity Model)レポートによると、世界全体では、開発者100人に対してAppSecの専門家は平均3.87人である。猛烈なスピードで作業する100人の開発者のアウトプットをセキュアにしようとする訓練されたスペシャリストが4人未満では、セキュアなコードのレシピにはならない。
アプリケーション・セキュリティが軽視されていることは、他のセキュリティ分野と市場規模を比較しても同様に明らかである。セキュアバイデザインのアプローチを構成するコンポーネントは、アプリケーション・セキュリティ市場に分類され、2023年の60億8,000万ドルから2031年には175億1,000万ドルに成長すると予測されている。これは急成長のように見えるが、2023年の235億7000万ドルから2032年までに673億3000万ドルに増加すると予測されるネットワーク・セキュリティや、2023年の180億3000万ドルから2031年までに575億1000万ドルに成長すると予測される運用技術セキュリティに費やされる資金と比較すると、微々たるものである。
セキュアなコードとアプリケーションの重要性が高まっていることを考慮すると、この分野には資金が不足している。実際、企業がアプリケーション・セキュリティとセキュア・バイ・デザイン・アプローチにもっと投資すれば、他のセキュリティ分野を節約できるかもしれない。
予防的セキュリティの導入が難しく、そのため経営トップに売り込みにくいという見方には、他にもいくつかの要因がある。ひとつには、金融サービス・セクターのように長い歴史を持つ企業は、古いレガシー・システムを抱えている。
レガシーコードやレガシーシステムに、新しいアプリケーションと同時に予防的セキュリティを導入するという考えは、困難なものに思えるかもしれない。しかし、セキュアバイデザインのアプローチは、開発者のスキルアップによって実施され、これらのシステムにセキュリティのベストプラクティスを適用することができる。これは、多くの組織がセキュリティ体制を改善するための最善のチャンスである。
予防文化の構築
セキュリティに対する予防的なアプローチへの移行は遅いスタートかもしれないが、Secure-by-Designの実践を採用する動きはなくならない。自動車業界は、自動車をより安全にすることよりも、救急車や救急救命士を増やすことに投資することを決めたら、非難轟々であろう。
組織はリスクを低減するために、予防的でプロアクティブなアプローチを採用する必要がある。SDLC の早い段階で、安全なコードを書くことと、(AI アシスタントやサードパーティのコードによってもたらされるような)エラーを修正することについて、開発者をスキルアップするためのプログラムを構築すべきである。これらのプログラムには、開発者のスケジュールに合わせて、作業環境や使用するプログラミング言語に合わせて調整できる、アジャイルでインタラクティブなトレーニングプログラムを含めるべきである。アップスキルには、実世界の問題に対処する実践的なトレーニングが含まれるべきである。
重要なのは、セキュリティのベストプラクティスが日常業務の重要な一部となっているかどうかを確認するために、進捗状況を測定する手段を含める必要があることです。SCWのTrust Scoreのようなツールは、ベンチマークを使用して社内および業界標準に対する進捗を測定し、同時に改善すべき分野を特定する。
セキュア・バイ・デザインのアプローチは、セキュリティがビジネス上の優先事項であるという組織内のセキュリティ第一の考え方を反映した全体的なものである。確かに、レスポンスとリカバリは、組織全体のセキュリティ態勢にとって不可欠な部分である。しかし、予防に重点を置くことで、企業はリスクを削減し、ビジネスの存続を脅かすような大規模な侵害を回避する上で大きな前進を遂げることができる。
実行可能なSecure-by-Designイニシアチブの実現に向けて、Secure Code Warrior 。
セキュリティ・チームは、今日のクラウド主導のDevOpsの世界における新しいイノベーションの潮流に追いつくのに苦労している。したがって、攻撃者が常に生成される大量のコードから必然的に生じる無数の弱点を悪用する方法についていくことができないのも当然である。
しかし、Equifaxのデータ流出や SolarWindsのサプライチェーン攻撃から、近年ではChange Healthcareや AT&Tなどへの攻撃の成功など、重大なセキュリティ侵害のペースが加速しているにもかかわらず、多くの組織は依然としてセキュリティに対するリアクティブなアプローチを重視している。セキュリティ・リソースの大半を、脆弱性の発見と修正、およびインシデント発生時の対応に費やしているのだ。しかし、ソフトウェア、テクノロジー機能、ITインフラストラクチャの急速な進化は、人員不足で過重労働のセキュリティ・チームには追いつけないほどである。
継続的に不利な立場に置かれることを避けるためには、セキュリティの脅威を追いかけたり、データ漏えいの馬が納屋から出るのを待ったりするのをやめる必要がある。その代わりに、予防的なアプローチを取ることによって、問題の前に立ちはだかるべきである。レガシーアプリケーションと新規アプリケーションの両方のセキュリティを向上させるには、効果的な開発者トレーニングに支えられたセキュアバイデザインのアプローチが必要である。
今日に至るまで、これは言うは易く行うは難しである。
セキュアなコーダーは不足している
米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、セキュア・バイ・デザイン(Secure-by-Design)イニシアチブを推進し、セキュアコーディングを他のベストプラクティス(多要素認証(MFA)から脆弱性クラスの削減まで)とともに推進し、組織にセキュア・バイ・デザイン誓約書(Secure-by-Design Pledge)を取るよう促している。オーストラリア、カナダ、ドイツ、英国など、他の国も同様のプログラムを開始している。とはいえ、我々の調査によると、今のところ、このプログラムに参加した組織はほとんどない。
Learning Platform セキュア・バイ・デザインに取り組んでいるSCWの競合他社と、Secure Code Warriorの全開発者を合わせると、50万人から100万人の開発者がこのアプローチに取り組んでいることになる。最も寛大に見積もっても、これは世界中の開発者総数の約3.5%に相当し、2024年末には2870万人に達すると予測されている。これは、かつてないほど多くのコードを生み出している開発者の数であり、特にジェネレーティブな人工知能プログラムによって開発ペースが大幅に加速している中で、安全なコードから始める方法を学んでいる開発者はほとんどいない。
従来のモデルでは、開発者とセキュリティ専門家は別個の存在として働き、セキュリティチームはソフトウェアが作成された後にセキュリティ問題に対処することになっていたため、ソフトウェアエンジニアは一般的にサイバーセキュリティについて教えられてこなかった。しかし、今日の環境では、セキュリティの専門家の数は圧倒的に不足している。最新のBSIMM14(Building Security in Maturity Model)レポートによると、世界全体では、開発者100人に対してAppSecの専門家は平均3.87人である。猛烈なスピードで作業する100人の開発者のアウトプットをセキュアにしようとする訓練されたスペシャリストが4人未満では、セキュアなコードのレシピにはならない。
アプリケーション・セキュリティが軽視されていることは、他のセキュリティ分野と市場規模を比較しても同様に明らかである。セキュアバイデザインのアプローチを構成するコンポーネントは、アプリケーション・セキュリティ市場に分類され、2023年の60億8,000万ドルから2031年には175億1,000万ドルに成長すると予測されている。これは急成長のように見えるが、2023年の235億7000万ドルから2032年までに673億3000万ドルに増加すると予測されるネットワーク・セキュリティや、2023年の180億3000万ドルから2031年までに575億1000万ドルに成長すると予測される運用技術セキュリティに費やされる資金と比較すると、微々たるものである。
セキュアなコードとアプリケーションの重要性が高まっていることを考慮すると、この分野には資金が不足している。実際、企業がアプリケーション・セキュリティとセキュア・バイ・デザイン・アプローチにもっと投資すれば、他のセキュリティ分野を節約できるかもしれない。
予防的セキュリティの導入が難しく、そのため経営トップに売り込みにくいという見方には、他にもいくつかの要因がある。ひとつには、金融サービス・セクターのように長い歴史を持つ企業は、古いレガシー・システムを抱えている。
レガシーコードやレガシーシステムに、新しいアプリケーションと同時に予防的セキュリティを導入するという考えは、困難なものに思えるかもしれない。しかし、セキュアバイデザインのアプローチは、開発者のスキルアップによって実施され、これらのシステムにセキュリティのベストプラクティスを適用することができる。これは、多くの組織がセキュリティ体制を改善するための最善のチャンスである。
予防文化の構築
セキュリティに対する予防的なアプローチへの移行は遅いスタートかもしれないが、Secure-by-Designの実践を採用する動きはなくならない。自動車業界は、自動車をより安全にすることよりも、救急車や救急救命士を増やすことに投資することを決めたら、非難轟々であろう。
組織はリスクを低減するために、予防的でプロアクティブなアプローチを採用する必要がある。SDLC の早い段階で、安全なコードを書くことと、(AI アシスタントやサードパーティのコードによってもたらされるような)エラーを修正することについて、開発者をスキルアップするためのプログラムを構築すべきである。これらのプログラムには、開発者のスケジュールに合わせて、作業環境や使用するプログラミング言語に合わせて調整できる、アジャイルでインタラクティブなトレーニングプログラムを含めるべきである。アップスキルには、実世界の問題に対処する実践的なトレーニングが含まれるべきである。
重要なのは、セキュリティのベストプラクティスが日常業務の重要な一部となっているかどうかを確認するために、進捗状況を測定する手段を含める必要があることです。SCWのTrust Scoreのようなツールは、ベンチマークを使用して社内および業界標準に対する進捗を測定し、同時に改善すべき分野を特定する。
セキュア・バイ・デザインのアプローチは、セキュリティがビジネス上の優先事項であるという組織内のセキュリティ第一の考え方を反映した全体的なものである。確かに、レスポンスとリカバリは、組織全体のセキュリティ態勢にとって不可欠な部分である。しかし、予防に重点を置くことで、企業はリスクを削減し、ビジネスの存続を脅かすような大規模な侵害を回避する上で大きな前進を遂げることができる。
実行可能なSecure-by-Designイニシアチブの実現に向けて、Secure Code Warrior 。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約するMatias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
セキュリティ・チームは、今日のクラウド主導のDevOpsの世界における新しいイノベーションの潮流に追いつくのに苦労している。したがって、攻撃者が常に生成される大量のコードから必然的に生じる無数の弱点を悪用する方法についていくことができないのも当然である。
しかし、Equifaxのデータ流出や SolarWindsのサプライチェーン攻撃から、近年ではChange Healthcareや AT&Tなどへの攻撃の成功など、重大なセキュリティ侵害のペースが加速しているにもかかわらず、多くの組織は依然としてセキュリティに対するリアクティブなアプローチを重視している。セキュリティ・リソースの大半を、脆弱性の発見と修正、およびインシデント発生時の対応に費やしているのだ。しかし、ソフトウェア、テクノロジー機能、ITインフラストラクチャの急速な進化は、人員不足で過重労働のセキュリティ・チームには追いつけないほどである。
継続的に不利な立場に置かれることを避けるためには、セキュリティの脅威を追いかけたり、データ漏えいの馬が納屋から出るのを待ったりするのをやめる必要がある。その代わりに、予防的なアプローチを取ることによって、問題の前に立ちはだかるべきである。レガシーアプリケーションと新規アプリケーションの両方のセキュリティを向上させるには、効果的な開発者トレーニングに支えられたセキュアバイデザインのアプローチが必要である。
今日に至るまで、これは言うは易く行うは難しである。
セキュアなコーダーは不足している
米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)は、セキュア・バイ・デザイン(Secure-by-Design)イニシアチブを推進し、セキュアコーディングを他のベストプラクティス(多要素認証(MFA)から脆弱性クラスの削減まで)とともに推進し、組織にセキュア・バイ・デザイン誓約書(Secure-by-Design Pledge)を取るよう促している。オーストラリア、カナダ、ドイツ、英国など、他の国も同様のプログラムを開始している。とはいえ、我々の調査によると、今のところ、このプログラムに参加した組織はほとんどない。
Learning Platform セキュア・バイ・デザインに取り組んでいるSCWの競合他社と、Secure Code Warriorの全開発者を合わせると、50万人から100万人の開発者がこのアプローチに取り組んでいることになる。最も寛大に見積もっても、これは世界中の開発者総数の約3.5%に相当し、2024年末には2870万人に達すると予測されている。これは、かつてないほど多くのコードを生み出している開発者の数であり、特にジェネレーティブな人工知能プログラムによって開発ペースが大幅に加速している中で、安全なコードから始める方法を学んでいる開発者はほとんどいない。
従来のモデルでは、開発者とセキュリティ専門家は別個の存在として働き、セキュリティチームはソフトウェアが作成された後にセキュリティ問題に対処することになっていたため、ソフトウェアエンジニアは一般的にサイバーセキュリティについて教えられてこなかった。しかし、今日の環境では、セキュリティの専門家の数は圧倒的に不足している。最新のBSIMM14(Building Security in Maturity Model)レポートによると、世界全体では、開発者100人に対してAppSecの専門家は平均3.87人である。猛烈なスピードで作業する100人の開発者のアウトプットをセキュアにしようとする訓練されたスペシャリストが4人未満では、セキュアなコードのレシピにはならない。
アプリケーション・セキュリティが軽視されていることは、他のセキュリティ分野と市場規模を比較しても同様に明らかである。セキュアバイデザインのアプローチを構成するコンポーネントは、アプリケーション・セキュリティ市場に分類され、2023年の60億8,000万ドルから2031年には175億1,000万ドルに成長すると予測されている。これは急成長のように見えるが、2023年の235億7000万ドルから2032年までに673億3000万ドルに増加すると予測されるネットワーク・セキュリティや、2023年の180億3000万ドルから2031年までに575億1000万ドルに成長すると予測される運用技術セキュリティに費やされる資金と比較すると、微々たるものである。
セキュアなコードとアプリケーションの重要性が高まっていることを考慮すると、この分野には資金が不足している。実際、企業がアプリケーション・セキュリティとセキュア・バイ・デザイン・アプローチにもっと投資すれば、他のセキュリティ分野を節約できるかもしれない。
予防的セキュリティの導入が難しく、そのため経営トップに売り込みにくいという見方には、他にもいくつかの要因がある。ひとつには、金融サービス・セクターのように長い歴史を持つ企業は、古いレガシー・システムを抱えている。
レガシーコードやレガシーシステムに、新しいアプリケーションと同時に予防的セキュリティを導入するという考えは、困難なものに思えるかもしれない。しかし、セキュアバイデザインのアプローチは、開発者のスキルアップによって実施され、これらのシステムにセキュリティのベストプラクティスを適用することができる。これは、多くの組織がセキュリティ体制を改善するための最善のチャンスである。
予防文化の構築
セキュリティに対する予防的なアプローチへの移行は遅いスタートかもしれないが、Secure-by-Designの実践を採用する動きはなくならない。自動車業界は、自動車をより安全にすることよりも、救急車や救急救命士を増やすことに投資することを決めたら、非難轟々であろう。
組織はリスクを低減するために、予防的でプロアクティブなアプローチを採用する必要がある。SDLC の早い段階で、安全なコードを書くことと、(AI アシスタントやサードパーティのコードによってもたらされるような)エラーを修正することについて、開発者をスキルアップするためのプログラムを構築すべきである。これらのプログラムには、開発者のスケジュールに合わせて、作業環境や使用するプログラミング言語に合わせて調整できる、アジャイルでインタラクティブなトレーニングプログラムを含めるべきである。アップスキルには、実世界の問題に対処する実践的なトレーニングが含まれるべきである。
重要なのは、セキュリティのベストプラクティスが日常業務の重要な一部となっているかどうかを確認するために、進捗状況を測定する手段を含める必要があることです。SCWのTrust Scoreのようなツールは、ベンチマークを使用して社内および業界標準に対する進捗を測定し、同時に改善すべき分野を特定する。
セキュア・バイ・デザインのアプローチは、セキュリティがビジネス上の優先事項であるという組織内のセキュリティ第一の考え方を反映した全体的なものである。確かに、レスポンスとリカバリは、組織全体のセキュリティ態勢にとって不可欠な部分である。しかし、予防に重点を置くことで、企業はリスクを削減し、ビジネスの存続を脅かすような大規模な侵害を回避する上で大きな前進を遂げることができる。
実行可能なSecure-by-Designイニシアチブの実現に向けて、Secure Code Warrior 。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード