ブログ

開発者がセキュリティ・スキルをベンチマークするメリット

マティアス・マドゥ博士
2024年10月22日発行

サイバー脅威がますます蔓延し、巧妙化する中、サイバーセキュリティの焦点はセキュアなコードの重要性に置かれている。ホワイトハウスの「国家サイバーセキュリティ戦略」とサイバーセキュリティ・インフラ・セキュリティ庁(CISA)の「セキュア・バイ・デザイン(Secure-by-Design)」イニシアティブは、諸外国のイニシアティブや法律とともに、セキュリティの責任をソフトウェア製造者の肩に明確に課している。ソフトウェア開発ライフサイクル(SDLC)の早い段階でセキュリティを確保するために、左遷すること、より正確には、左遷を開始することは、かつてはあればいいと考えられていたが、今や、組織がデータとシステムを保護し、侵害後の規制上の影響を回避するために不可欠である。

安全なコーディングの実践を保証する鍵は、開発者のトレーニングにあります。ソフトウェア・エンジニアは通常、サイバーセキュリティに関する教育をほとんど、あるいはまったく受けていません。彼らの仕事は、特に今日の高速化された DevOps 環境では、新しいアプリケーション、アップグレード、サービスを可能な限り迅速に作り上げることである。それは、非常に多くのコードが作成され、しばしばソフトウェアの脆弱性がエコシステムにリリースされることによって生じる多くの欠陥に対処するための非効率的な方法だ。

開発者は、最初から安全なコードを書くように訓練され、AIが生成した安全でないコードや、使用しているオープンソースやその他のサードパーティ製ソフトウェアに存在する安全でないコードをキャッチできるようになる必要がある。多くの開発チームや組織にとって、これは前人未到の領域だ。開発者が必要なトレーニングを受けていることをどうやって確認するのだろうか?また、そのトレーニングは定期的に行われているのだろうか?

開発者教育を推進する企業の中には、開発者が習得すべきスキルの基準セットを確立し、明確に定義されたベンチマークに照らし合わせて進捗を測定することが有益であると考えるところもある。このような取り組みを支援するため、Secure Code Warrior は、開発者のセキュリティトレーニングの進捗を正確に測定するために設計されたベンチマークを発表した。SCW Trust Scoreを使用することで、組織はトレーニングが業務でどの程度適用されているかを測定することができ、セキュリティ、開発者、エンジニアリングの各チームが協力できるようになる。

これは、セキュアコード・トレーニングが定着していることを証明すると同時に、改善すべき点を特定するための方法である。

安全な設計のケース

ソフトウェア生産者には、セキュリティを SDLC のプロセスの最初の段階で導入する十分な理由がある。アプリケーションとサービスに対する需要の高まりと、AI が開発プロセスにもたらすスピードは、開発者にとって有用であることが証明され、彼らはすぐにジェネレーティブ AI を採用した。最近の調査では、アプリケーションの4分の3近く(作成方法にかかわらず)に少なくとも1つのセキュリティ上の欠陥があり、そのうちの20%近くが重大な欠陥であることが判明している。 

SDLC の後半で脆弱性に追いつくことは、法外な時間とコストがかかるようになってきています。米国標準技術局 (NIST) は、テスト中に不具合を修正するのは、SDLC の開始時にソフトウェアを保護するよりも 15 倍時間がかかり、デプロイ/メンテナンスの段階で修正するのは、30 倍から 100 倍時間がかかることを発見しました。 

これは、リスクを低減する最も効果的な方法であるだけでなく、最も費用対効果の高い方法であることが証明されています。開発者は、セキュリティチームを別個の組織として機能させるのではなく、セキュリティチームと協働することで、セキュリティを SDLC の最初に導入する最良の立場にいる。そして、セキュリティのベストプラクティスに訓練された開発者は、脆弱性を減らすのに効果的です。問題は、訓練を受けた開発者が非常に少ないことです。

ベンチマークの美点 

企業にとっての基本的な道筋は、セキュリティスキルの基本水準を確立し、トレーニングを提供し、開発者が必要なスキルを習得していることを組織と規制当局の双方に対して検証することである。これは、あらゆる経済セクターの多くの組織にとって困難なことであるが、その必要はない。

セキュリティ・リーダーが抱える課題の1つに、企業全体でトレーニング・プログラムを拡張することの難しさがある。しかし、SCW の調査によると、特に大規模な開発者層を抱える組織では、セキュアバイデザインのアプローチをうまく導入できることが分かっている。小規模な組織の結果は、セキュアバイデザインの原則の適用度合いに大きなばらつきがあることを示している。それでも、これらの組織もトラストスコアを含むアプローチから利益を得ることができ、より迅速に改善が見られる可能性が高い。

Trust Score は、ベンチマーク指標を使用して個々の学習者の進捗を測定し、そのスコアを集計してチーム全体のパフォーマンスを評価し、組織の進捗を業界のベンチマークやベストプラクティスと比較します。トレーニングを追跡するだけでなく、開発者が新しいスキルを日常的にどの程度適用しているかを示します。また、改善が必要な領域がハイライトされ、組織はトレーニング/スキルアッププログラムを最適化することができます。 

データが入手できたCISAの重要インフラ部門全体では、ほとんどの組織がセキュアな設計原則をほぼ同じレベルで実施している。金融サービス、防衛産業基盤からヘルスケア、IT、重要製造業に至るセクターの信頼スコアは、1,000点満点で300点強と同じ範囲に収まっている。最も規制の厳しい金融サービス業が他を大きく引き離しているという常識にもかかわらず、どの業種も他を引き離していない。

Trust Scoreランキングに含まれていない重要インフラ部門(化学、エネルギー、原子力事業など)は、一般的に独自のソフトウェアを作成せず、他の部門、特にIT部門に依存している。しかし、これらの部門でセキュアなシステムを維持することの重要性(原子力発電所が危険にさらされることは誰も望んでいない)は、そもそもこれらの部門で使用するソフトウェアをセキュアにすることがいかに重要であるかを示している。

結論

規制強化の圧力とサイバー脅威の現実により、データ、システム、事業運営、評判の保護を望む組織にとって、セキュアバイデザインのアプローチは必須となっている。セキュアなソフトウェアの開発は開発者の手に委ねられている部分が大きいが、開発者には、必要な教育を提供し、それがどのように適用されているかを示す、徹底したスキルアップとトレーニングプログラムという形での支援が必要である。 

Trust Score のようなツールに裏打ちされたベンチマークを含むプログラムは、開発チームの重要な進捗状況を明確に示すことができる。セキュアバイデザインの新要件を満たすと同時に、セキュアなソフトウェア開発スキルを常に向上させるためには、開発者と彼らが働く企業の両方が必要とする重要な新しいアプローチです。

リソースを見る
リソースを見る

セキュアなコードとセキュアバイデザインの原則への注目が高まっているため、開発者は SDLC の最初からサイバーセキュリティのトレーニングを受ける必要があり、Secure Code Warriorの Trust Score のようなツールはその進捗を測定し、改善するのに役立つ。

ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約する
シェアする
著者
マティアス・マドゥ博士
2024年10月22日発行

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする

サイバー脅威がますます蔓延し、巧妙化する中、サイバーセキュリティの焦点はセキュアなコードの重要性に置かれている。ホワイトハウスの「国家サイバーセキュリティ戦略」とサイバーセキュリティ・インフラ・セキュリティ庁(CISA)の「セキュア・バイ・デザイン(Secure-by-Design)」イニシアティブは、諸外国のイニシアティブや法律とともに、セキュリティの責任をソフトウェア製造者の肩に明確に課している。ソフトウェア開発ライフサイクル(SDLC)の早い段階でセキュリティを確保するために、左遷すること、より正確には、左遷を開始することは、かつてはあればいいと考えられていたが、今や、組織がデータとシステムを保護し、侵害後の規制上の影響を回避するために不可欠である。

安全なコーディングの実践を保証する鍵は、開発者のトレーニングにあります。ソフトウェア・エンジニアは通常、サイバーセキュリティに関する教育をほとんど、あるいはまったく受けていません。彼らの仕事は、特に今日の高速化された DevOps 環境では、新しいアプリケーション、アップグレード、サービスを可能な限り迅速に作り上げることである。それは、非常に多くのコードが作成され、しばしばソフトウェアの脆弱性がエコシステムにリリースされることによって生じる多くの欠陥に対処するための非効率的な方法だ。

開発者は、最初から安全なコードを書くように訓練され、AIが生成した安全でないコードや、使用しているオープンソースやその他のサードパーティ製ソフトウェアに存在する安全でないコードをキャッチできるようになる必要がある。多くの開発チームや組織にとって、これは前人未到の領域だ。開発者が必要なトレーニングを受けていることをどうやって確認するのだろうか?また、そのトレーニングは定期的に行われているのだろうか?

開発者教育を推進する企業の中には、開発者が習得すべきスキルの基準セットを確立し、明確に定義されたベンチマークに照らし合わせて進捗を測定することが有益であると考えるところもある。このような取り組みを支援するため、Secure Code Warrior は、開発者のセキュリティトレーニングの進捗を正確に測定するために設計されたベンチマークを発表した。SCW Trust Scoreを使用することで、組織はトレーニングが業務でどの程度適用されているかを測定することができ、セキュリティ、開発者、エンジニアリングの各チームが協力できるようになる。

これは、セキュアコード・トレーニングが定着していることを証明すると同時に、改善すべき点を特定するための方法である。

安全な設計のケース

ソフトウェア生産者には、セキュリティを SDLC のプロセスの最初の段階で導入する十分な理由がある。アプリケーションとサービスに対する需要の高まりと、AI が開発プロセスにもたらすスピードは、開発者にとって有用であることが証明され、彼らはすぐにジェネレーティブ AI を採用した。最近の調査では、アプリケーションの4分の3近く(作成方法にかかわらず)に少なくとも1つのセキュリティ上の欠陥があり、そのうちの20%近くが重大な欠陥であることが判明している。 

SDLC の後半で脆弱性に追いつくことは、法外な時間とコストがかかるようになってきています。米国標準技術局 (NIST) は、テスト中に不具合を修正するのは、SDLC の開始時にソフトウェアを保護するよりも 15 倍時間がかかり、デプロイ/メンテナンスの段階で修正するのは、30 倍から 100 倍時間がかかることを発見しました。 

これは、リスクを低減する最も効果的な方法であるだけでなく、最も費用対効果の高い方法であることが証明されています。開発者は、セキュリティチームを別個の組織として機能させるのではなく、セキュリティチームと協働することで、セキュリティを SDLC の最初に導入する最良の立場にいる。そして、セキュリティのベストプラクティスに訓練された開発者は、脆弱性を減らすのに効果的です。問題は、訓練を受けた開発者が非常に少ないことです。

ベンチマークの美点 

企業にとっての基本的な道筋は、セキュリティスキルの基本水準を確立し、トレーニングを提供し、開発者が必要なスキルを習得していることを組織と規制当局の双方に対して検証することである。これは、あらゆる経済セクターの多くの組織にとって困難なことであるが、その必要はない。

セキュリティ・リーダーが抱える課題の1つに、企業全体でトレーニング・プログラムを拡張することの難しさがある。しかし、SCW の調査によると、特に大規模な開発者層を抱える組織では、セキュアバイデザインのアプローチをうまく導入できることが分かっている。小規模な組織の結果は、セキュアバイデザインの原則の適用度合いに大きなばらつきがあることを示している。それでも、これらの組織もトラストスコアを含むアプローチから利益を得ることができ、より迅速に改善が見られる可能性が高い。

Trust Score は、ベンチマーク指標を使用して個々の学習者の進捗を測定し、そのスコアを集計してチーム全体のパフォーマンスを評価し、組織の進捗を業界のベンチマークやベストプラクティスと比較します。トレーニングを追跡するだけでなく、開発者が新しいスキルを日常的にどの程度適用しているかを示します。また、改善が必要な領域がハイライトされ、組織はトレーニング/スキルアッププログラムを最適化することができます。 

データが入手できたCISAの重要インフラ部門全体では、ほとんどの組織がセキュアな設計原則をほぼ同じレベルで実施している。金融サービス、防衛産業基盤からヘルスケア、IT、重要製造業に至るセクターの信頼スコアは、1,000点満点で300点強と同じ範囲に収まっている。最も規制の厳しい金融サービス業が他を大きく引き離しているという常識にもかかわらず、どの業種も他を引き離していない。

Trust Scoreランキングに含まれていない重要インフラ部門(化学、エネルギー、原子力事業など)は、一般的に独自のソフトウェアを作成せず、他の部門、特にIT部門に依存している。しかし、これらの部門でセキュアなシステムを維持することの重要性(原子力発電所が危険にさらされることは誰も望んでいない)は、そもそもこれらの部門で使用するソフトウェアをセキュアにすることがいかに重要であるかを示している。

結論

規制強化の圧力とサイバー脅威の現実により、データ、システム、事業運営、評判の保護を望む組織にとって、セキュアバイデザインのアプローチは必須となっている。セキュアなソフトウェアの開発は開発者の手に委ねられている部分が大きいが、開発者には、必要な教育を提供し、それがどのように適用されているかを示す、徹底したスキルアップとトレーニングプログラムという形での支援が必要である。 

Trust Score のようなツールに裏打ちされたベンチマークを含むプログラムは、開発チームの重要な進捗状況を明確に示すことができる。セキュアバイデザインの新要件を満たすと同時に、セキュアなソフトウェア開発スキルを常に向上させるためには、開発者と彼らが働く企業の両方が必要とする重要な新しいアプローチです。

リソースを見る
リソースを見る

以下のフォームに記入し、レポートをダウンロードしてください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

送信
フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。

サイバー脅威がますます蔓延し、巧妙化する中、サイバーセキュリティの焦点はセキュアなコードの重要性に置かれている。ホワイトハウスの「国家サイバーセキュリティ戦略」とサイバーセキュリティ・インフラ・セキュリティ庁(CISA)の「セキュア・バイ・デザイン(Secure-by-Design)」イニシアティブは、諸外国のイニシアティブや法律とともに、セキュリティの責任をソフトウェア製造者の肩に明確に課している。ソフトウェア開発ライフサイクル(SDLC)の早い段階でセキュリティを確保するために、左遷すること、より正確には、左遷を開始することは、かつてはあればいいと考えられていたが、今や、組織がデータとシステムを保護し、侵害後の規制上の影響を回避するために不可欠である。

安全なコーディングの実践を保証する鍵は、開発者のトレーニングにあります。ソフトウェア・エンジニアは通常、サイバーセキュリティに関する教育をほとんど、あるいはまったく受けていません。彼らの仕事は、特に今日の高速化された DevOps 環境では、新しいアプリケーション、アップグレード、サービスを可能な限り迅速に作り上げることである。それは、非常に多くのコードが作成され、しばしばソフトウェアの脆弱性がエコシステムにリリースされることによって生じる多くの欠陥に対処するための非効率的な方法だ。

開発者は、最初から安全なコードを書くように訓練され、AIが生成した安全でないコードや、使用しているオープンソースやその他のサードパーティ製ソフトウェアに存在する安全でないコードをキャッチできるようになる必要がある。多くの開発チームや組織にとって、これは前人未到の領域だ。開発者が必要なトレーニングを受けていることをどうやって確認するのだろうか?また、そのトレーニングは定期的に行われているのだろうか?

開発者教育を推進する企業の中には、開発者が習得すべきスキルの基準セットを確立し、明確に定義されたベンチマークに照らし合わせて進捗を測定することが有益であると考えるところもある。このような取り組みを支援するため、Secure Code Warrior は、開発者のセキュリティトレーニングの進捗を正確に測定するために設計されたベンチマークを発表した。SCW Trust Scoreを使用することで、組織はトレーニングが業務でどの程度適用されているかを測定することができ、セキュリティ、開発者、エンジニアリングの各チームが協力できるようになる。

これは、セキュアコード・トレーニングが定着していることを証明すると同時に、改善すべき点を特定するための方法である。

安全な設計のケース

ソフトウェア生産者には、セキュリティを SDLC のプロセスの最初の段階で導入する十分な理由がある。アプリケーションとサービスに対する需要の高まりと、AI が開発プロセスにもたらすスピードは、開発者にとって有用であることが証明され、彼らはすぐにジェネレーティブ AI を採用した。最近の調査では、アプリケーションの4分の3近く(作成方法にかかわらず)に少なくとも1つのセキュリティ上の欠陥があり、そのうちの20%近くが重大な欠陥であることが判明している。 

SDLC の後半で脆弱性に追いつくことは、法外な時間とコストがかかるようになってきています。米国標準技術局 (NIST) は、テスト中に不具合を修正するのは、SDLC の開始時にソフトウェアを保護するよりも 15 倍時間がかかり、デプロイ/メンテナンスの段階で修正するのは、30 倍から 100 倍時間がかかることを発見しました。 

これは、リスクを低減する最も効果的な方法であるだけでなく、最も費用対効果の高い方法であることが証明されています。開発者は、セキュリティチームを別個の組織として機能させるのではなく、セキュリティチームと協働することで、セキュリティを SDLC の最初に導入する最良の立場にいる。そして、セキュリティのベストプラクティスに訓練された開発者は、脆弱性を減らすのに効果的です。問題は、訓練を受けた開発者が非常に少ないことです。

ベンチマークの美点 

企業にとっての基本的な道筋は、セキュリティスキルの基本水準を確立し、トレーニングを提供し、開発者が必要なスキルを習得していることを組織と規制当局の双方に対して検証することである。これは、あらゆる経済セクターの多くの組織にとって困難なことであるが、その必要はない。

セキュリティ・リーダーが抱える課題の1つに、企業全体でトレーニング・プログラムを拡張することの難しさがある。しかし、SCW の調査によると、特に大規模な開発者層を抱える組織では、セキュアバイデザインのアプローチをうまく導入できることが分かっている。小規模な組織の結果は、セキュアバイデザインの原則の適用度合いに大きなばらつきがあることを示している。それでも、これらの組織もトラストスコアを含むアプローチから利益を得ることができ、より迅速に改善が見られる可能性が高い。

Trust Score は、ベンチマーク指標を使用して個々の学習者の進捗を測定し、そのスコアを集計してチーム全体のパフォーマンスを評価し、組織の進捗を業界のベンチマークやベストプラクティスと比較します。トレーニングを追跡するだけでなく、開発者が新しいスキルを日常的にどの程度適用しているかを示します。また、改善が必要な領域がハイライトされ、組織はトレーニング/スキルアッププログラムを最適化することができます。 

データが入手できたCISAの重要インフラ部門全体では、ほとんどの組織がセキュアな設計原則をほぼ同じレベルで実施している。金融サービス、防衛産業基盤からヘルスケア、IT、重要製造業に至るセクターの信頼スコアは、1,000点満点で300点強と同じ範囲に収まっている。最も規制の厳しい金融サービス業が他を大きく引き離しているという常識にもかかわらず、どの業種も他を引き離していない。

Trust Scoreランキングに含まれていない重要インフラ部門(化学、エネルギー、原子力事業など)は、一般的に独自のソフトウェアを作成せず、他の部門、特にIT部門に依存している。しかし、これらの部門でセキュアなシステムを維持することの重要性(原子力発電所が危険にさらされることは誰も望んでいない)は、そもそもこれらの部門で使用するソフトウェアをセキュアにすることがいかに重要であるかを示している。

結論

規制強化の圧力とサイバー脅威の現実により、データ、システム、事業運営、評判の保護を望む組織にとって、セキュアバイデザインのアプローチは必須となっている。セキュアなソフトウェアの開発は開発者の手に委ねられている部分が大きいが、開発者には、必要な教育を提供し、それがどのように適用されているかを示す、徹底したスキルアップとトレーニングプログラムという形での支援が必要である。 

Trust Score のようなツールに裏打ちされたベンチマークを含むプログラムは、開発チームの重要な進捗状況を明確に示すことができる。セキュアバイデザインの新要件を満たすと同時に、セキュアなソフトウェア開発スキルを常に向上させるためには、開発者と彼らが働く企業の両方が必要とする重要な新しいアプローチです。

始める

以下のリンクをクリックし、この資料のPDFをダウンロードしてください。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

レポートを見るデモを予約する
PDFをダウンロード
リソースを見る
シェアする
ご興味がおありですか?

シェアする
著者
マティアス・マドゥ博士
2024年10月22日発行

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする

サイバー脅威がますます蔓延し、巧妙化する中、サイバーセキュリティの焦点はセキュアなコードの重要性に置かれている。ホワイトハウスの「国家サイバーセキュリティ戦略」とサイバーセキュリティ・インフラ・セキュリティ庁(CISA)の「セキュア・バイ・デザイン(Secure-by-Design)」イニシアティブは、諸外国のイニシアティブや法律とともに、セキュリティの責任をソフトウェア製造者の肩に明確に課している。ソフトウェア開発ライフサイクル(SDLC)の早い段階でセキュリティを確保するために、左遷すること、より正確には、左遷を開始することは、かつてはあればいいと考えられていたが、今や、組織がデータとシステムを保護し、侵害後の規制上の影響を回避するために不可欠である。

安全なコーディングの実践を保証する鍵は、開発者のトレーニングにあります。ソフトウェア・エンジニアは通常、サイバーセキュリティに関する教育をほとんど、あるいはまったく受けていません。彼らの仕事は、特に今日の高速化された DevOps 環境では、新しいアプリケーション、アップグレード、サービスを可能な限り迅速に作り上げることである。それは、非常に多くのコードが作成され、しばしばソフトウェアの脆弱性がエコシステムにリリースされることによって生じる多くの欠陥に対処するための非効率的な方法だ。

開発者は、最初から安全なコードを書くように訓練され、AIが生成した安全でないコードや、使用しているオープンソースやその他のサードパーティ製ソフトウェアに存在する安全でないコードをキャッチできるようになる必要がある。多くの開発チームや組織にとって、これは前人未到の領域だ。開発者が必要なトレーニングを受けていることをどうやって確認するのだろうか?また、そのトレーニングは定期的に行われているのだろうか?

開発者教育を推進する企業の中には、開発者が習得すべきスキルの基準セットを確立し、明確に定義されたベンチマークに照らし合わせて進捗を測定することが有益であると考えるところもある。このような取り組みを支援するため、Secure Code Warrior は、開発者のセキュリティトレーニングの進捗を正確に測定するために設計されたベンチマークを発表した。SCW Trust Scoreを使用することで、組織はトレーニングが業務でどの程度適用されているかを測定することができ、セキュリティ、開発者、エンジニアリングの各チームが協力できるようになる。

これは、セキュアコード・トレーニングが定着していることを証明すると同時に、改善すべき点を特定するための方法である。

安全な設計のケース

ソフトウェア生産者には、セキュリティを SDLC のプロセスの最初の段階で導入する十分な理由がある。アプリケーションとサービスに対する需要の高まりと、AI が開発プロセスにもたらすスピードは、開発者にとって有用であることが証明され、彼らはすぐにジェネレーティブ AI を採用した。最近の調査では、アプリケーションの4分の3近く(作成方法にかかわらず)に少なくとも1つのセキュリティ上の欠陥があり、そのうちの20%近くが重大な欠陥であることが判明している。 

SDLC の後半で脆弱性に追いつくことは、法外な時間とコストがかかるようになってきています。米国標準技術局 (NIST) は、テスト中に不具合を修正するのは、SDLC の開始時にソフトウェアを保護するよりも 15 倍時間がかかり、デプロイ/メンテナンスの段階で修正するのは、30 倍から 100 倍時間がかかることを発見しました。 

これは、リスクを低減する最も効果的な方法であるだけでなく、最も費用対効果の高い方法であることが証明されています。開発者は、セキュリティチームを別個の組織として機能させるのではなく、セキュリティチームと協働することで、セキュリティを SDLC の最初に導入する最良の立場にいる。そして、セキュリティのベストプラクティスに訓練された開発者は、脆弱性を減らすのに効果的です。問題は、訓練を受けた開発者が非常に少ないことです。

ベンチマークの美点 

企業にとっての基本的な道筋は、セキュリティスキルの基本水準を確立し、トレーニングを提供し、開発者が必要なスキルを習得していることを組織と規制当局の双方に対して検証することである。これは、あらゆる経済セクターの多くの組織にとって困難なことであるが、その必要はない。

セキュリティ・リーダーが抱える課題の1つに、企業全体でトレーニング・プログラムを拡張することの難しさがある。しかし、SCW の調査によると、特に大規模な開発者層を抱える組織では、セキュアバイデザインのアプローチをうまく導入できることが分かっている。小規模な組織の結果は、セキュアバイデザインの原則の適用度合いに大きなばらつきがあることを示している。それでも、これらの組織もトラストスコアを含むアプローチから利益を得ることができ、より迅速に改善が見られる可能性が高い。

Trust Score は、ベンチマーク指標を使用して個々の学習者の進捗を測定し、そのスコアを集計してチーム全体のパフォーマンスを評価し、組織の進捗を業界のベンチマークやベストプラクティスと比較します。トレーニングを追跡するだけでなく、開発者が新しいスキルを日常的にどの程度適用しているかを示します。また、改善が必要な領域がハイライトされ、組織はトレーニング/スキルアッププログラムを最適化することができます。 

データが入手できたCISAの重要インフラ部門全体では、ほとんどの組織がセキュアな設計原則をほぼ同じレベルで実施している。金融サービス、防衛産業基盤からヘルスケア、IT、重要製造業に至るセクターの信頼スコアは、1,000点満点で300点強と同じ範囲に収まっている。最も規制の厳しい金融サービス業が他を大きく引き離しているという常識にもかかわらず、どの業種も他を引き離していない。

Trust Scoreランキングに含まれていない重要インフラ部門(化学、エネルギー、原子力事業など)は、一般的に独自のソフトウェアを作成せず、他の部門、特にIT部門に依存している。しかし、これらの部門でセキュアなシステムを維持することの重要性(原子力発電所が危険にさらされることは誰も望んでいない)は、そもそもこれらの部門で使用するソフトウェアをセキュアにすることがいかに重要であるかを示している。

結論

規制強化の圧力とサイバー脅威の現実により、データ、システム、事業運営、評判の保護を望む組織にとって、セキュアバイデザインのアプローチは必須となっている。セキュアなソフトウェアの開発は開発者の手に委ねられている部分が大きいが、開発者には、必要な教育を提供し、それがどのように適用されているかを示す、徹底したスキルアップとトレーニングプログラムという形での支援が必要である。 

Trust Score のようなツールに裏打ちされたベンチマークを含むプログラムは、開発チームの重要な進捗状況を明確に示すことができる。セキュアバイデザインの新要件を満たすと同時に、セキュアなソフトウェア開発スキルを常に向上させるためには、開発者と彼らが働く企業の両方が必要とする重要な新しいアプローチです。

目次

PDFをダウンロード
リソースを見る
ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約するダウンロード
シェアする
リソース・ハブ

始めるためのリソース

その他の記事
リソース・ハブ

始めるためのリソース

その他の記事