開発者主導のセキュリティがもたらすROI
貧弱なコードの代償
テクノロジーの飛躍的な進歩により、開発者はこれまで以上に簡単にコードを出荷できるようになりました。これは技術革新にとっては喜ばしいことですが、ソフトウェアの品質とセキュリティを向上させるという点では困難なことです。追加ツール、トレーニングプログラム、開発者のスキルアップのための投資などのコストを正当化することは、出荷されるコードの速度が維持されるなら、重要なビジネス機能ではなく「いいとこ取り」のように思われるかもしれません。
しかし、残念ながら、安全なコードの配布は容易ではなく、組織はこれまで以上に脅威に対して脆弱になっています。サイバー犯罪のコストは世界中で驚異的であり、急速に増加しています。実際、2020年には、サイバー犯罪のコストは約1兆ドルに上ると言われています。データ侵害のコストは平均435万ドルで、既存顧客と潜在顧客からのビジネス損失、検知、エスカレーション、再作業に費やされるリソースに広がっています。
このように膨大なコストがかかるにもかかわらず、半数以上の組織では、開発者に毎年正式なセキュアコードトレーニングを行うことを義務づけていません。
セキュリティの専門家は、脆弱性の発見と修正に関して、モグラたたきゲームのように感じることがあることを皆知っています。たとえ、すでにセキュリティ対策が施されていたとしても、常に改善の余地があるのです。災害復旧やバックアップの能力が試されるとき、ほとんどの組織は、セキュリティに対するアプローチがかつて考えていたほど強固なものでないことに気づきます。サイバー攻撃に対する組織の耐性を強化することが最優先事項の1つであるなら、開発者に委ねる視点を変えることは、セキュリティ態勢を継続的に改善するための計画の範囲内であるべきです。最初から安全なコードを構築し、脆弱性を迅速に発見して修正できる十分な知識を持った、熟練し、権限を与えられた開発者チームは、リスクを軽減するための最も費用対効果の高い手段です。
開発者教育に関して誤解されているのは、それが単にビジネスに対するコスト、あるいは保険であるということです。アリアンツのDevSec Awareness EvangelistであるKlaus Klaus Klingerによると、「すべては経営陣の頭の中から始めなければならない」のだそうです。開発者のトレーニングに投資することは、失われた投資ではなく、品質、生産性、そして会社の評判への投資なのです」と述べています。
この分野では、ROI を数値化することが難しい場合があります。しかし、最終的に組織が考えるべきことは、セキュリティ対策によってリスクを低減し、アプローチを合理化し、開発者チームの時間と生産性をいかに節約するかということです。
サイバーセキュリティのコストにおけるROIをどのように定量化するか?
ROIに関しては、リスクを軽減するためのコスト削減と、セキュリティトレーニングの効果の2つのフレームで考えることが重要です。
例えば、脆弱性や違反が原因で、Eコマースサイトが数日間オフラインになり、その間にチームが問題や修正方法を探すという、あまりにも一般的な例で考えてみましょう。脆弱性の修正ができなかった場合のコストは、停止期間中の売上損失、盗まれた認証情報の影響、顧客の信頼喪失(長期的な売上減少)、問題修正中に失われた全体的な生産性などで定量化することができる。
これは、コストと便益の分析に帰結します。評価したい主要な分野は、あなたの会社のセキュリティ成熟度、あなたの会社のリスク受容レベル、あなたのコードの中で維持または改善する必要がある領域です。
人はしばしば、成功や価値を判断するために間違った指標に注目することがあります。おそらく私たちは、プログラムの初期投資に対するリターンをあまり気にせず、代わりにプログラム自体のインパクトを 測定すべきなのでしょう。
効果を証明する尺度
ROI を確立するためには、測定可能な目標を設定する必要があります。これは、開発者の安全なコーディングの知識を評価し、スキルを向上させる必要がある場所を理解することから始まります。
まずは、エンゲージメントを測定することで、より充実した研修プログラムを構築するための戦略的な意思決定に役立てることができるでしょう。最も重要なことは、影響を測定することです。各チームでプログラムを開始する前に、コード解析、バグバウンティ、または古典的な脆弱性テストを通じて、ソフトウェア開発ライフサイクルで拾われた弱点の数を調べることから始めてください。トレーニングプログラムが望ましい結果を出していることを知る最も簡単な方法の1つは、コードベース全体に導入される脆弱性の減少を測定することです。
ROIを評価するためのトップクエスチョン
1.アプローチを効率化できているか?
問題に対してより多くのツールを投入するのか、それとも根本から解決するのか?技術スタックにさらにツールを追加すると、脆弱性の発見と修正に「スイスチーズ」方式を採用することになります。また、多くの脆弱性の原因であるコードにほとんど影響を与えず、運用コストを増大させます。スキャンやペンテストのツールは、絶対に必要なものではありますが、最後の防衛手段であってはなりません。
2.効率性・生産性は向上しているか?
徹底的なコードレビューや、AppSecから送り返されたコードの手直しに費やす時間は、生産性を大きく低下させる結果になりかねません。開発者チームがセキュアコードトレーニングを実践できるようにすることで、火災ドリルを減らすことは、セキュリティプログラムのポジティブな影響を評価するための良いベンチマークとなるはずです。
3.リスクを下げているか?
脆弱性を発見し修正することは、大きなパズルを解くようなもので、堅牢なソリューションを完成させるには、時には数日から数週間、あるいは数カ月かかることもあります。開発者に権限を与えることで、アプリケーションセキュリティは、リスク監視と組織のセキュリティ態勢の強化に集中することができます。
4.速度を上げているか(ただし、品質は維持しているか)?
コードを素早く出荷することは、必ずしも良いことではありません。手抜きをしてコードに脆弱性を持ち込むと、将来的に多くの頭痛の種を生み出し、技術的負債を蓄積することになります。ここでは、短期的な思考は解決策にはなりません。最初からコードを安全にすることでリスクを軽減し、将来的に問題が複雑にならないようにすることができるのです。
追跡するための推奨メトリックス
- エンゲージメント - トレーニングにどれだけの時間を割いているか、開発者はどのように関わっているか?彼らは、courses 、アセスメントを完了し、tournaments に参加していますか?
- スキル - 強みのある分野はどこですか?改善が必要だと思われる分野は?
- 脆弱性の削減 - コードレビュー時に脆弱性が大幅に減少していることに気づきましたか?AppSec から戻ってくる再作業が少なくなっていますか?
- 生産性 - 問題の修復にかかる時間はどれくらいですか?脆弱性削減により、生産性や速度が向上したことを実感していますか?
左遷による価値創造
情報漏えいや脆弱性は、年々急速に増加しています。セキュリティに対する全体的なアプローチを積極的に構築することが重要であり、まずはコードから始めることが大切です。そうすることで、次のことが可能になります。
- 問題の一部しか解決できないツールに資金を投入するのではなく、最も貴重なリソースである人材に投資することで、複雑さを軽減します。
- コードがデプロイされた後にAppSecによって特定されるような手直しや修正を制限することで、効率と全体的な効果を向上させます。
- リスクを軽減し、コンプライアンスを実現することで、高額な罰金や顧客の信頼喪失、さらには情報漏えいのコストを回避
短期的な思考と迅速な修正を避けること。技術的な負債を抱え、将来的にコストがかさむだけです。長期的な視野で計画を立て、開発者を脆弱性やサイバー犯罪に対する最善の防御手段とするためにアップスキルの力を活用し、その影響とコスト削減を実感してください。
もっと詳しく知りたい方はこちら
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
Secure Code Warrior
Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
開発者主導のセキュリティがもたらすROI
貧弱なコードの代償
テクノロジーの飛躍的な進歩により、開発者はこれまで以上に簡単にコードを出荷できるようになりました。これは技術革新にとっては喜ばしいことですが、ソフトウェアの品質とセキュリティを向上させるという点では困難なことです。追加ツール、トレーニングプログラム、開発者のスキルアップのための投資などのコストを正当化することは、出荷されるコードの速度が維持されるなら、重要なビジネス機能ではなく「いいとこ取り」のように思われるかもしれません。
しかし、残念ながら、安全なコードの配布は容易ではなく、組織はこれまで以上に脅威に対して脆弱になっています。サイバー犯罪のコストは世界中で驚異的であり、急速に増加しています。実際、2020年には、サイバー犯罪のコストは約1兆ドルに上ると言われています。データ侵害のコストは平均435万ドルで、既存顧客と潜在顧客からのビジネス損失、検知、エスカレーション、再作業に費やされるリソースに広がっています。
このように膨大なコストがかかるにもかかわらず、半数以上の組織では、開発者に毎年正式なセキュアコードトレーニングを行うことを義務づけていません。
セキュリティの専門家は、脆弱性の発見と修正に関して、モグラたたきゲームのように感じることがあることを皆知っています。たとえ、すでにセキュリティ対策が施されていたとしても、常に改善の余地があるのです。災害復旧やバックアップの能力が試されるとき、ほとんどの組織は、セキュリティに対するアプローチがかつて考えていたほど強固なものでないことに気づきます。サイバー攻撃に対する組織の耐性を強化することが最優先事項の1つであるなら、開発者に委ねる視点を変えることは、セキュリティ態勢を継続的に改善するための計画の範囲内であるべきです。最初から安全なコードを構築し、脆弱性を迅速に発見して修正できる十分な知識を持った、熟練し、権限を与えられた開発者チームは、リスクを軽減するための最も費用対効果の高い手段です。
開発者教育に関して誤解されているのは、それが単にビジネスに対するコスト、あるいは保険であるということです。アリアンツのDevSec Awareness EvangelistであるKlaus Klaus Klingerによると、「すべては経営陣の頭の中から始めなければならない」のだそうです。開発者のトレーニングに投資することは、失われた投資ではなく、品質、生産性、そして会社の評判への投資なのです」と述べています。
この分野では、ROI を数値化することが難しい場合があります。しかし、最終的に組織が考えるべきことは、セキュリティ対策によってリスクを低減し、アプローチを合理化し、開発者チームの時間と生産性をいかに節約するかということです。
サイバーセキュリティのコストにおけるROIをどのように定量化するか?
ROIに関しては、リスクを軽減するためのコスト削減と、セキュリティトレーニングの効果の2つのフレームで考えることが重要です。
例えば、脆弱性や違反が原因で、Eコマースサイトが数日間オフラインになり、その間にチームが問題や修正方法を探すという、あまりにも一般的な例で考えてみましょう。脆弱性の修正ができなかった場合のコストは、停止期間中の売上損失、盗まれた認証情報の影響、顧客の信頼喪失(長期的な売上減少)、問題修正中に失われた全体的な生産性などで定量化することができる。
これは、コストと便益の分析に帰結します。評価したい主要な分野は、あなたの会社のセキュリティ成熟度、あなたの会社のリスク受容レベル、あなたのコードの中で維持または改善する必要がある領域です。
人はしばしば、成功や価値を判断するために間違った指標に注目することがあります。おそらく私たちは、プログラムの初期投資に対するリターンをあまり気にせず、代わりにプログラム自体のインパクトを 測定すべきなのでしょう。
効果を証明する尺度
ROI を確立するためには、測定可能な目標を設定する必要があります。これは、開発者の安全なコーディングの知識を評価し、スキルを向上させる必要がある場所を理解することから始まります。
まずは、エンゲージメントを測定することで、より充実した研修プログラムを構築するための戦略的な意思決定に役立てることができるでしょう。最も重要なことは、影響を測定することです。各チームでプログラムを開始する前に、コード解析、バグバウンティ、または古典的な脆弱性テストを通じて、ソフトウェア開発ライフサイクルで拾われた弱点の数を調べることから始めてください。トレーニングプログラムが望ましい結果を出していることを知る最も簡単な方法の1つは、コードベース全体に導入される脆弱性の減少を測定することです。
ROIを評価するためのトップクエスチョン
1.アプローチを効率化できているか?
問題に対してより多くのツールを投入するのか、それとも根本から解決するのか?技術スタックにさらにツールを追加すると、脆弱性の発見と修正に「スイスチーズ」方式を採用することになります。また、多くの脆弱性の原因であるコードにほとんど影響を与えず、運用コストを増大させます。スキャンやペンテストのツールは、絶対に必要なものではありますが、最後の防衛手段であってはなりません。
2.効率性・生産性は向上しているか?
徹底的なコードレビューや、AppSecから送り返されたコードの手直しに費やす時間は、生産性を大きく低下させる結果になりかねません。開発者チームがセキュアコードトレーニングを実践できるようにすることで、火災ドリルを減らすことは、セキュリティプログラムのポジティブな影響を評価するための良いベンチマークとなるはずです。
3.リスクを下げているか?
脆弱性を発見し修正することは、大きなパズルを解くようなもので、堅牢なソリューションを完成させるには、時には数日から数週間、あるいは数カ月かかることもあります。開発者に権限を与えることで、アプリケーションセキュリティは、リスク監視と組織のセキュリティ態勢の強化に集中することができます。
4.速度を上げているか(ただし、品質は維持しているか)?
コードを素早く出荷することは、必ずしも良いことではありません。手抜きをしてコードに脆弱性を持ち込むと、将来的に多くの頭痛の種を生み出し、技術的負債を蓄積することになります。ここでは、短期的な思考は解決策にはなりません。最初からコードを安全にすることでリスクを軽減し、将来的に問題が複雑にならないようにすることができるのです。
追跡するための推奨メトリックス
- エンゲージメント - トレーニングにどれだけの時間を割いているか、開発者はどのように関わっているか?彼らは、courses 、アセスメントを完了し、tournaments に参加していますか?
- スキル - 強みのある分野はどこですか?改善が必要だと思われる分野は?
- 脆弱性の削減 - コードレビュー時に脆弱性が大幅に減少していることに気づきましたか?AppSec から戻ってくる再作業が少なくなっていますか?
- 生産性 - 問題の修復にかかる時間はどれくらいですか?脆弱性削減により、生産性や速度が向上したことを実感していますか?
左遷による価値創造
情報漏えいや脆弱性は、年々急速に増加しています。セキュリティに対する全体的なアプローチを積極的に構築することが重要であり、まずはコードから始めることが大切です。そうすることで、次のことが可能になります。
- 問題の一部しか解決できないツールに資金を投入するのではなく、最も貴重なリソースである人材に投資することで、複雑さを軽減します。
- コードがデプロイされた後にAppSecによって特定されるような手直しや修正を制限することで、効率と全体的な効果を向上させます。
- リスクを軽減し、コンプライアンスを実現することで、高額な罰金や顧客の信頼喪失、さらには情報漏えいのコストを回避
短期的な思考と迅速な修正を避けること。技術的な負債を抱え、将来的にコストがかさむだけです。長期的な視野で計画を立て、開発者を脆弱性やサイバー犯罪に対する最善の防御手段とするためにアップスキルの力を活用し、その影響とコスト削減を実感してください。
