ソフトウェア開発以外の仕事をしている人にとっては直観的ではないかもしれませんが、長年アプリケーション・セキュリティに従事してきたプロフェッショナルの多くは、プログラミングの経験がほとんどないまま、重要な役割を担ってきました。これらのアプリケーションセキュリティの専門家は、多くの産業や組織の活力源となっているアプリケーションに脆弱性が入り込まないようにする責任を負うチームの一員ですが、実際に自分でコードを直接評価したり修正したりできる人はほとんどいません。 

多くのセキュリティ専門家は、コーディングの経験があるのではなく、攻撃ベクトル、脅威、エクスプロイト、ビジネスリスクに関する重要な知識の観点から自分の役割に取り組んでおり、コードについては限定的な見方しかしていません。すべてのAppSecの専門家が同じスキルセットを持っているわけではありませんが、多くの人の典型的な一日は、コードレビュアーやスキャンツールと協力して、プログラムやシステムが組織の標準、または関連する業界や政府のフレームワークに従って保護されていることを確認します。コードレビュー担当者は、調査結果をレポートにまとめ、コードを破壊する可能性のある攻撃ベクトルの情報を返信します。その後、開発者は必要な修正を行うことになりますが、それは現在の作業にどれほどの支障をきたすかもしれません。

このような状況になったのは、ネットワークやアプリケーションを保護する仕事は非常に膨大であり、サイバーセキュリティに携わる全員がすべての役割を果たすことを期待しても意味がないという論理が長年にわたって支配的であったためです。深いコーディングスキルは開発者に委ねられ、開発パイプラインのずっと先にあるコードを書いたり編集したりする能力にはほとんど価値が置かれていませんでした。

このような考え方は急速に変化しており、開発者にとっては、AppSecへのジャンプやキャリアシフトをするまたとないチャンスとなっています。 すべての開発者がいわゆるダークサイドを受け入れたいとは思わないでしょうし、多くの開発者はAppSecチームについて特に肯定的な意見を持っていません。しかし、そのような開発者にとっては、ますます魅力的になってきたブラスリングを手にする絶好の機会なのです。

DevSecOpsはほぼすべての産業を牽引する

あらゆる組織において、セキュリティを意識したプログラマーや開発者の価値を高める最大の要因の1つは、DevSecOpsのようなよりアジャイルな開発手法を採用するという、ほぼ全世界的な動きです。開発、セキュリティ、運用が一体となったとき、サイバーセキュリティは、新しいソフトウェアの開発に最後から最後まで組み込まれた共通の責任となります。このような環境では、コードを書く能力は全体的に価値のある資産とみなされるようになってきており、これは本質的にセキュリティを理解しているエンジニアに特に当てはまります。

サイバーセキュリティを高いレベルで理解しているだけでなく、すべてを動かしているコードについても理解しているアプリケーションセキュリティの専門家は、理論的な知識に集中している人よりも、本質的にどの組織にとっても価値があります。コードに潜む脆弱性を素早く発見・評価し、その問題を軽減できることが、DevSecOpsがこれほどまでに普及した理由の核心です。

また、AppSecで働く開発者は、彼らを採用する組織にもう一つの大きなメリットをもたらします。開発サイドの出身であることで、開発者とセキュリティや脆弱性について話をすることが容易になります。また、開発チームのコーチとなり、彼らがよりよいコーダーになるようにサポートすることも容易になります。やがて、彼らはAppSecの「ダークサイド」という汚名を返上し、組織内のソフトウェア開発チームの結束を高めることができるかもしれません。

サイバーセキュリティのスキル不足は深刻化している

シェイクスピアは、「誰にも良いことをしない悪い風」とつぶやきました。彼が言いたかったのは、どんなに暗い状況でも、おそらく誰かのためになるということです。サイバーセキュリティのスキル不足は、その好例といえるでしょう。

人材不足は、ほぼすべての場所で痛感されています。Center for Strategic and International Studiesが実施した最近の調査では、ITの意思決定者の82％が、自分の組織はサイバーセキュリティのスキル不足に悩まされていると回答し、71％が、その不足が自分の組織に直接的かつ測定可能な損害をもたらしたと答えています。また、この危機的状況をより良く理解するために、米国だけでも、約94万人しか雇用されていない分野に対して、2020年には52万人以上のサイバーセキュリティの未充足の仕事があると指摘しています。

サイバーセキュリティの人材不足は、ますます危険になる脅威から自社のインフラ、ビジネス、データを守ろうとする企業にとっては悪いニュースです。しかし、AppSecやセキュリティに参入しようとしている開発者にとっては、良い機会となります。サイバーセキュリティとAppSecのポジションは、ほとんどの場所で募集されていると思います。また、最近では、サイバーセキュリティ関連のポジションは、平均して21％もの時間を要しており、給与も全体的に上昇しています。

AppSecへの移行

開発者にとって、日の当たるセキュリティ分野への転職が有利な時期は今までにないかもしれません。セキュリティ意識の高い開発者は、もはやその場しのぎのセキュリティ手法の一部とは見なされず、サイバーセキュリティの防御者として完全かつ尊敬される役割を果たしています。これは、DevSecOpsやその他のよりアジャイルな開発方法論を取り入れている組織では特に顕著です。また、サイバーセキュリティの人材が不足しているということは、ほぼすべての企業、政府機関、組織でポジションが用意されているということです。適切なスキルを持つ人は、自分が働きたい場所を選ぶことができます。

もちろん、ほとんどの開発者は優れた機能を構築することに集中しています。しかし、AppSecへの移行を検討している人にとっては、既存のコーディングスキルを補強するためにセキュリティトレーニングに投資することで、多くの扉を開くことができます。AppSecの優秀な人材は、技術を深く理解し、仲間の開発者の苦境に共感できるエンジニアリングの出身者です。DevSecOpsでは、誰もがセキュリティに責任を持つことになります。ですから、現在の深刻なスキル不足を利用して、アプリケーション・セキュリティの分野でキャリアを積んでみてはいかがでしょうか。自分のため、家族のため、そしてキャリアのためにポジティブな行動をとるのに、これほど良いタイミングはありません。