オープンソースソフトウェアのセキュリティ動員計画に向けて、私たちは十分に成熟しているのでしょうか?
現在の経済情勢と脅威の状況において、私は平均的なCISOがうらやましいとは思わない。彼らは、安全性、コンプライアンス、イノベーション、そしてビジネス価値を提供することを使命としていますが、一方で、予算の縮小と監視の強化という困難な戦いに直面しています。さらに深刻なのは、すべての組織(とその開発チーム)がさまざまなセキュリティの成熟段階にあり、すべての組織がサイバー防衛の面で最善を尽くすための体制を整えているわけではない、という事実です。
ここ数年、サイバーセキュリティの問題が深刻化し、セキュリティ担当者が一歩先を行くことは非常に困難になっています。2023年だけでも、サイバー犯罪者によって330億件以上の記録が盗まれると予想されており、これは2018年から175%も増加しています。サイバー犯罪のコストは2025年までに10.5兆ドルに達すると予測され、データ侵害の平均コストは424万ドルにまで急騰しています(ただし、エキファックスやソーラーウィンズなどの事件を見れば、もっとひどい状況になる可能性があることが分かります)。
業界として、私たちは長い間、10年前ですら想像もつかなかったような力を持つサイバーセキュリティの悪者から私たちを救ってくれるヒーローが現れるのを待ち続けてきました。私たちは、より多くのサイバーセキュリティの専門家が参加して、私たちをより高い水準のセキュリティ・プログラムに引き上げてくれるのを待っているのですが、そのギャップは埋められないのです。私たちは、増大するリスクから自動で解放してくれる銀の弾丸のようなツールソリューションを待っていますが、それは存在しませんし、存在する可能性も極めて低いのです。私たちは、ダークサイドと戦うのを助けてくれるルーク・スカイウォーカーを待っているのです。
その結果、オープンソースソフトウェアセキュリティ動員計画という形で、支援(と希望)がもたらされることになったのです。しかし、私たちは皆、自分の組織が十分に成熟しているかどうか、そして、開発チームが適切なレベルのセキュリティ意識とスキルを持っているかどうかを正直に評価し、最新かつ最高の防御戦略を実装する必要があります。
オープンソースソフトウェアセキュリティ動員計画とは?
この 10 項目の計画は、The Open Source Software Foundation (OpenSSF) と Linux Foundation が主導し、ホワイトハウス当局者、トップ CISO、および 37 社の民間テクノロジー企業のシニア リーダーが参加しています。このように行動と資金の両面から支援を受けることで、オープンソースソフトウェアのセキュリティ基準はより強固なものになることが予想されます。
特に興味深いのは、開発者レベルでの基本的な教育と認証に重点を置いていることと、社内のソフトウェア部品表(SBOM)活動を合理化するための対策に重点を置いていることである。これは、組織のセキュリティプログラムにおける成長痛と、開発者集団のセキュリティ成熟度の一般的な不足に起因するものであり、彼ら自身のせいではありません。彼らは、これまで以上に不合理な納期に直面し、スピード重視のコードボリュームが支配するプレッシャーのかかる環境に置かれています。セキュリティの要求やSBOMのメンテナンスに使える時間を増やさずに、さらにタスクを追加することは、始める前から失敗しているレシピです。
では、ボンネットの中を覗いてみましょう。
開発者のためのセキュリティ認証。まだか、まだか?
私たちが確実に知っていることが一つあるとすれば、それは、セキュリティに精通した開発者はまだ希少な存在であるということです。このような現実があるのは、いくつかの理由があります。つまり、最近まで、組織内のソフトウェア・セキュリティ戦略に関して、開発者は方程式の一部ではありませんでした。さらに、開発者がセキュリティを優先する理由があまりないこと(トレーニングが不十分または存在しない、時間がかかる、KPIに含まれていない、自分の得意なこと(機能構築)に最大の関心がある)も相まって、開発チームは、コードレベルで本当にセキュリティに対処する準備ができておらず、最新のDevSecOps中心のソフトウェア開発ライフサイクル(SDLC)でその役割を果たすこともできないのです。
オープンソースソフトウェアセキュリティ動員計画」を見てみると、10項目の計画の最初の流れは、開発者のセキュリティスキルに対処し、開発チームのセキュリティ成熟度を高めるために不可欠な「基本的な安全ソフトウェア開発教育と認定をすべての人に提供する」ことである。この計画は、私たちが以前から議論してきた問題、例えば、ほとんどのソフトウェア工学(courses )の高等教育レベルでは、セキュアコーディングはほとんど行われていないという事実を強調しています。また、世界のソフトウェアの99%は少なくともいくつかのオープンソースコードを含んでおり、この開発領域はセキュリティの開発者トレーニングに焦点を当て始めるには絶好の場所です。
この計画では、OpenSSF Secure Software Fundamentals courses や、OWASP Foundation の広範かつ長年のリソースなど、尊敬に値するリソースを引用しています。これらの情報ハブは非常に貴重です。開発者のスキルアップのためにこれらの資料を提供するために提案された展開では、オープンソースの安全な開発をカリキュラムの主要な特徴とするために教育機関と提携することに加えて、官民両セクターのパートナーの幅広いネットワークを結集させることが必要です。
また、セキュリティは自分たちの仕事ではない、優先順位が低いと強化されてきた世界中のソフトウェア技術者の心をつかむ方法として、オープンソースライブラリを保守する開発者と、セキュリティ認証の価値を理解する必要がある現役の技術者の両方を対象とした報酬・評価戦略を詳述しています。
開発者はインセンティブに敏感で、SteamやXboxのような学習環境と同様に、進歩やスキルを示す段階的なバッジシステムが有効であることを、私たちは経験から知っています。
しかし、懸念されるのは、核心的な問題の1つに対処できていないことです。それは、組織のセキュリティ・プログラムにおける学習モジュールの提供についてです。私は、キャリアの大半を開発者とともに歩んできたので、開発者がツールやトレーニングに対してどれほど懐疑的であるか、そしてもちろん、優先順位ナンバーワンの仕事を中断させそうなものに対しては、何も言わないことを知っています。開発者の能力開発には、コース教材に継続的に取り組むことが必要であり、これを成功させるには、彼らの日々の仕事の文脈の中で意味を成すものでなければならないのです。
ソフトウェア保証成熟度モデル(SAMM)のような確立された成熟度モデルを考えてみると、「教育とガイダンス」はガバナンス層の中核をなす要素であり、開発者の教育に重点が置かれている。このモデル全体は広大であり、より高い成熟度に到達するための段階が設けられています。しかし、初期段階では、開発者向けにわずか1〜2日の公式トレーニングを推奨しており、これではセキュリティ意識の表面を引っ掻くには到底足りません。それでも、Enterprise Strategy Group(ESG)が最近発表したレポートによると、開発者に年に1回以上の正式なセキュリティトレーニングを要求している組織は半数以下であることが明らかになりました。また、Evans Data社と共同で行った調査では、脆弱性のないコードを書くことを積極的に実践することを優先すべきと考えている開発者は、わずか29%であることが明らかになりました。特に、開発者がその価値を認識していない場合、教育の実施方法とその受け取り方の間には、セキュリティの成熟をもたらす上で本当に役に立つかどうかという明らかな断絶があります。
ソフトウェアの部品表。この計画は、採用の障壁を打破しているか?
SBOM Everywhere - Improve SBOM Tooling and Training to Drive Adoption」では、開発者とその組織がSBOMを簡単に作成、更新、使用し、より良いセキュリティ成果を上げる方法を検討します。
現状では、SBOMはほとんどのバーティカルで広く採用されていないため、セキュリティリスクを低減する上でその潜在能力を発揮することは困難です。この計画には、SBOM 策定のための主要な標準を定義し、開発者の作業方法に適合した作成を容易にするツールを提供するという、すばらしい戦略があります。これらだけでも、要求されるスピードでソフトウェアを作成するためにすでに多くのプレートを回転させている開発者にとって、さらに別のSDLCタスクの負担を減らすのに大いに役立つだろう。
しかし、私が恐れているのは、一般的な組織では、セキュリティの責任は、開発者にとって本当にグレーゾーンになり得るということです。セキュリティの責任は誰が負うのでしょうか?最終的にはセキュリティチームですが、開発者の力を借りたいのであれば、開発者にも参加してもらう必要があります。タスクと期待は明確に定義される必要があり、彼らは、成功のためにこれらの余分な手段を取るための時間が必要です。
OSSから他のソフトウェア世界へ
オープンソースソフトウェアのセキュリティ動員計画は、野心的で大胆であり、セキュリティに対する開発者の責任を推進するためにまさに必要なものです。しかし、これは、私たちが正しい方向に向かっており、サイバーセキュリティのスキルギャップが魔法のように解決されるという考えを捨てていることを証明するものです。
これは私たちの新しい希望であり、OSSを超えてこの構造を推し進めるには、私たち全員の力が必要です。しかし、セキュリティ専門家は、自分たちの内面を見つめ、自分たちが保護すべきコードに取り組んでいる開発チームを分析しなければなりません。彼らは、自分たちの現在の能力と、どこにギャップがあるのかを正直にassessment 。そして、気密性が高く、プロアクティブで、真のセキュリティスキルを開発者集団に与えるプログラムを含む、成熟した後期段階の状態を作り出すために努力しなければなりません。それらが有意義に有効になるまで、コードレベルの脆弱性へのアプローチは、まだ少し未熟かもしれません。
>>XSSに挑戦して、チームのセキュリティ成熟度をテストしよう
ピーテル・ダンヒユー
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
オープンソースソフトウェアのセキュリティ動員計画に向けて、私たちは十分に成熟しているのでしょうか?
現在の経済情勢と脅威の状況において、私は平均的なCISOがうらやましいとは思わない。彼らは、安全性、コンプライアンス、イノベーション、そしてビジネス価値を提供することを使命としていますが、一方で、予算の縮小と監視の強化という困難な戦いに直面しています。さらに深刻なのは、すべての組織(とその開発チーム)がさまざまなセキュリティの成熟段階にあり、すべての組織がサイバー防衛の面で最善を尽くすための体制を整えているわけではない、という事実です。
ここ数年、サイバーセキュリティの問題が深刻化し、セキュリティ担当者が一歩先を行くことは非常に困難になっています。2023年だけでも、サイバー犯罪者によって330億件以上の記録が盗まれると予想されており、これは2018年から175%も増加しています。サイバー犯罪のコストは2025年までに10.5兆ドルに達すると予測され、データ侵害の平均コストは424万ドルにまで急騰しています(ただし、エキファックスやソーラーウィンズなどの事件を見れば、もっとひどい状況になる可能性があることが分かります)。
業界として、私たちは長い間、10年前ですら想像もつかなかったような力を持つサイバーセキュリティの悪者から私たちを救ってくれるヒーローが現れるのを待ち続けてきました。私たちは、より多くのサイバーセキュリティの専門家が参加して、私たちをより高い水準のセキュリティ・プログラムに引き上げてくれるのを待っているのですが、そのギャップは埋められないのです。私たちは、増大するリスクから自動で解放してくれる銀の弾丸のようなツールソリューションを待っていますが、それは存在しませんし、存在する可能性も極めて低いのです。私たちは、ダークサイドと戦うのを助けてくれるルーク・スカイウォーカーを待っているのです。
その結果、オープンソースソフトウェアセキュリティ動員計画という形で、支援(と希望)がもたらされることになったのです。しかし、私たちは皆、自分の組織が十分に成熟しているかどうか、そして、開発チームが適切なレベルのセキュリティ意識とスキルを持っているかどうかを正直に評価し、最新かつ最高の防御戦略を実装する必要があります。
オープンソースソフトウェアセキュリティ動員計画とは?
この 10 項目の計画は、The Open Source Software Foundation (OpenSSF) と Linux Foundation が主導し、ホワイトハウス当局者、トップ CISO、および 37 社の民間テクノロジー企業のシニア リーダーが参加しています。このように行動と資金の両面から支援を受けることで、オープンソースソフトウェアのセキュリティ基準はより強固なものになることが予想されます。
特に興味深いのは、開発者レベルでの基本的な教育と認証に重点を置いていることと、社内のソフトウェア部品表(SBOM)活動を合理化するための対策に重点を置いていることである。これは、組織のセキュリティプログラムにおける成長痛と、開発者集団のセキュリティ成熟度の一般的な不足に起因するものであり、彼ら自身のせいではありません。彼らは、これまで以上に不合理な納期に直面し、スピード重視のコードボリュームが支配するプレッシャーのかかる環境に置かれています。セキュリティの要求やSBOMのメンテナンスに使える時間を増やさずに、さらにタスクを追加することは、始める前から失敗しているレシピです。
では、ボンネットの中を覗いてみましょう。
開発者のためのセキュリティ認証。まだか、まだか?
私たちが確実に知っていることが一つあるとすれば、それは、セキュリティに精通した開発者はまだ希少な存在であるということです。このような現実があるのは、いくつかの理由があります。つまり、最近まで、組織内のソフトウェア・セキュリティ戦略に関して、開発者は方程式の一部ではありませんでした。さらに、開発者がセキュリティを優先する理由があまりないこと(トレーニングが不十分または存在しない、時間がかかる、KPIに含まれていない、自分の得意なこと(機能構築)に最大の関心がある)も相まって、開発チームは、コードレベルで本当にセキュリティに対処する準備ができておらず、最新のDevSecOps中心のソフトウェア開発ライフサイクル(SDLC)でその役割を果たすこともできないのです。
オープンソースソフトウェアセキュリティ動員計画」を見てみると、10項目の計画の最初の流れは、開発者のセキュリティスキルに対処し、開発チームのセキュリティ成熟度を高めるために不可欠な「基本的な安全ソフトウェア開発教育と認定をすべての人に提供する」ことである。この計画は、私たちが以前から議論してきた問題、例えば、ほとんどのソフトウェア工学(courses )の高等教育レベルでは、セキュアコーディングはほとんど行われていないという事実を強調しています。また、世界のソフトウェアの99%は少なくともいくつかのオープンソースコードを含んでおり、この開発領域はセキュリティの開発者トレーニングに焦点を当て始めるには絶好の場所です。
この計画では、OpenSSF Secure Software Fundamentals courses や、OWASP Foundation の広範かつ長年のリソースなど、尊敬に値するリソースを引用しています。これらの情報ハブは非常に貴重です。開発者のスキルアップのためにこれらの資料を提供するために提案された展開では、オープンソースの安全な開発をカリキュラムの主要な特徴とするために教育機関と提携することに加えて、官民両セクターのパートナーの幅広いネットワークを結集させることが必要です。
また、セキュリティは自分たちの仕事ではない、優先順位が低いと強化されてきた世界中のソフトウェア技術者の心をつかむ方法として、オープンソースライブラリを保守する開発者と、セキュリティ認証の価値を理解する必要がある現役の技術者の両方を対象とした報酬・評価戦略を詳述しています。
開発者はインセンティブに敏感で、SteamやXboxのような学習環境と同様に、進歩やスキルを示す段階的なバッジシステムが有効であることを、私たちは経験から知っています。
しかし、懸念されるのは、核心的な問題の1つに対処できていないことです。それは、組織のセキュリティ・プログラムにおける学習モジュールの提供についてです。私は、キャリアの大半を開発者とともに歩んできたので、開発者がツールやトレーニングに対してどれほど懐疑的であるか、そしてもちろん、優先順位ナンバーワンの仕事を中断させそうなものに対しては、何も言わないことを知っています。開発者の能力開発には、コース教材に継続的に取り組むことが必要であり、これを成功させるには、彼らの日々の仕事の文脈の中で意味を成すものでなければならないのです。
ソフトウェア保証成熟度モデル(SAMM)のような確立された成熟度モデルを考えてみると、「教育とガイダンス」はガバナンス層の中核をなす要素であり、開発者の教育に重点が置かれている。このモデル全体は広大であり、より高い成熟度に到達するための段階が設けられています。しかし、初期段階では、開発者向けにわずか1〜2日の公式トレーニングを推奨しており、これではセキュリティ意識の表面を引っ掻くには到底足りません。それでも、Enterprise Strategy Group(ESG)が最近発表したレポートによると、開発者に年に1回以上の正式なセキュリティトレーニングを要求している組織は半数以下であることが明らかになりました。また、Evans Data社と共同で行った調査では、脆弱性のないコードを書くことを積極的に実践することを優先すべきと考えている開発者は、わずか29%であることが明らかになりました。特に、開発者がその価値を認識していない場合、教育の実施方法とその受け取り方の間には、セキュリティの成熟をもたらす上で本当に役に立つかどうかという明らかな断絶があります。
ソフトウェアの部品表。この計画は、採用の障壁を打破しているか?
SBOM Everywhere - Improve SBOM Tooling and Training to Drive Adoption」では、開発者とその組織がSBOMを簡単に作成、更新、使用し、より良いセキュリティ成果を上げる方法を検討します。
現状では、SBOMはほとんどのバーティカルで広く採用されていないため、セキュリティリスクを低減する上でその潜在能力を発揮することは困難です。この計画には、SBOM 策定のための主要な標準を定義し、開発者の作業方法に適合した作成を容易にするツールを提供するという、すばらしい戦略があります。これらだけでも、要求されるスピードでソフトウェアを作成するためにすでに多くのプレートを回転させている開発者にとって、さらに別のSDLCタスクの負担を減らすのに大いに役立つだろう。
しかし、私が恐れているのは、一般的な組織では、セキュリティの責任は、開発者にとって本当にグレーゾーンになり得るということです。セキュリティの責任は誰が負うのでしょうか?最終的にはセキュリティチームですが、開発者の力を借りたいのであれば、開発者にも参加してもらう必要があります。タスクと期待は明確に定義される必要があり、彼らは、成功のためにこれらの余分な手段を取るための時間が必要です。
OSSから他のソフトウェア世界へ
オープンソースソフトウェアのセキュリティ動員計画は、野心的で大胆であり、セキュリティに対する開発者の責任を推進するためにまさに必要なものです。しかし、これは、私たちが正しい方向に向かっており、サイバーセキュリティのスキルギャップが魔法のように解決されるという考えを捨てていることを証明するものです。
これは私たちの新しい希望であり、OSSを超えてこの構造を推し進めるには、私たち全員の力が必要です。しかし、セキュリティ専門家は、自分たちの内面を見つめ、自分たちが保護すべきコードに取り組んでいる開発チームを分析しなければなりません。彼らは、自分たちの現在の能力と、どこにギャップがあるのかを正直にassessment 。そして、気密性が高く、プロアクティブで、真のセキュリティスキルを開発者集団に与えるプログラムを含む、成熟した後期段階の状態を作り出すために努力しなければなりません。それらが有意義に有効になるまで、コードレベルの脆弱性へのアプローチは、まだ少し未熟かもしれません。
>>XSSに挑戦して、チームのセキュリティ成熟度をテストしよう
