30万人の開発者が実際に行っているセキュリティ対策とは?

2017年10月09日発行
マティアス・マドゥ博士著
ケーススタディ

30万人の開発者が実際に行っているセキュリティ対策とは?

2017年10月09日発行
マティアス・マドゥ博士著
リソースを見る
リソースを見る

BSIMM 8がリリースされました。素晴らしいですね。大企業が安全なソフトウェアを作るためにどのようなセキュリティ対策を行っているかを調査した唯一無二の大規模調査です。

この調査は、ゲイリー・マクローの監修のもと、アプリケーション・セキュリティの専門家によって実施されており、収集されたデータが一貫性のある正確なものであること、そして30万人の開発者が日々行っていることへの洞察を与えてくれることを確認しています。最新のプレゼンテーションでは、BSIMMの数字を参照し、平均して100人の開発者に対して2人のアプリケーション・セキュリティの専門家がいると述べました。

しかし、BSIMM4以降はそうなっていません。BSIMM8によると、この数字はさらに少なくなり、開発者100人あたり1.6人となっています。アプリケーション・セキュリティの専門家を増員しても、人材が不足しているため、単純にはうまくいきません。これまで以上に、開発者に、安全なコードを書くためのツールとトレーニングを提供する必要があります。それは、実践的で、すぐに利用でき、組織にとってスケーラブルなものです。

また、このレポートによると、トレーニング業務の中で最も一般的な活動は、全従業員に対する意識向上のためのトレーニングの提供であり、その割合は67%でした。私は、Secure Code Warrior (SCW)で行っているトレーニングに関する活動をマッピングしてみたところ、当社のソリューションは、トレーニングに関する活動のレベル1(ほとんどの企業が行っている)からレベル3(ごく少数の企業が行っている)までの12の活動すべてに当てはまることがわかりました。

1つのソリューションで練習全体をカバーすることができます!12のトレーニングプラクティスのうち、Secure Code Warrior のソリューションで最も興味深いプラクティスは次のとおりです。

  • レベル1:啓発活動の実施
  • レベル1:オンデマンドの個別トレーニングの提供
  • レベル2:トレーニングによるサテライトの強化(SCW測定基準
  • レベル3:カリキュラムの進行に応じた報酬(SCWバッジ
  • レベル3:ベンダーや外部委託先へのトレーニングの提供(SCWアセスメント
  • レベル3:外部ソフトウェアセキュリティイベントの開催(SCWTournament モード
  • レベル3:トレーニングによるサテライトの特定(SCWの測定基準

現在のソリューションがこれらのプラクティスに対応していると確信していますか?

リソースを見る
リソースを見る

著者

マティアス・マドゥ博士

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

30万人の開発者が実際に行っているセキュリティ対策とは?

2024年1月22日発行
マティアス・マドゥ博士著

BSIMM 8がリリースされました。素晴らしいですね。大企業が安全なソフトウェアを作るためにどのようなセキュリティ対策を行っているかを調査した唯一無二の大規模調査です。

この調査は、ゲイリー・マクローの監修のもと、アプリケーション・セキュリティの専門家によって実施されており、収集されたデータが一貫性のある正確なものであること、そして30万人の開発者が日々行っていることへの洞察を与えてくれることを確認しています。最新のプレゼンテーションでは、BSIMMの数字を参照し、平均して100人の開発者に対して2人のアプリケーション・セキュリティの専門家がいると述べました。

しかし、BSIMM4以降はそうなっていません。BSIMM8によると、この数字はさらに少なくなり、開発者100人あたり1.6人となっています。アプリケーション・セキュリティの専門家を増員しても、人材が不足しているため、単純にはうまくいきません。これまで以上に、開発者に、安全なコードを書くためのツールとトレーニングを提供する必要があります。それは、実践的で、すぐに利用でき、組織にとってスケーラブルなものです。

また、このレポートによると、トレーニング業務の中で最も一般的な活動は、全従業員に対する意識向上のためのトレーニングの提供であり、その割合は67%でした。私は、Secure Code Warrior (SCW)で行っているトレーニングに関する活動をマッピングしてみたところ、当社のソリューションは、トレーニングに関する活動のレベル1(ほとんどの企業が行っている)からレベル3(ごく少数の企業が行っている)までの12の活動すべてに当てはまることがわかりました。

1つのソリューションで練習全体をカバーすることができます!12のトレーニングプラクティスのうち、Secure Code Warrior のソリューションで最も興味深いプラクティスは次のとおりです。

  • レベル1:啓発活動の実施
  • レベル1:オンデマンドの個別トレーニングの提供
  • レベル2:トレーニングによるサテライトの強化(SCW測定基準
  • レベル3:カリキュラムの進行に応じた報酬(SCWバッジ
  • レベル3:ベンダーや外部委託先へのトレーニングの提供(SCWアセスメント
  • レベル3:外部ソフトウェアセキュリティイベントの開催(SCWTournament モード
  • レベル3:トレーニングによるサテライトの特定(SCWの測定基準

現在のソリューションがこれらのプラクティスに対応していると確信していますか?

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。