人間主導の安全なコーディングにより、リアクティブからプロアクティブへと焦点を移す

2021年3月23日発行
でSecure Code Warrior
ケーススタディ

人間主導の安全なコーディングにより、リアクティブからプロアクティブへと焦点を移す

2021年3月23日発行
でSecure Code Warrior
リソースを見る
リソースを見る

過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。

以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.

間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は

  • 配置されたアプリケーションでのスキャンツールの使用
  • 脆弱性がないかコードを手動で確認する。
  • 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
開発者は未だに安全なコードの実践をリアクティブな実践として捉えていますが、左からのスタートに焦点を当てて徐々にHumanな問題として認めています。


では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。

同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。 

リアクティブはイコールエンプティ

IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。 

これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。

積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。

  • 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。 
  • 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。 
  • 安全なコーディングを日々のワークフローに組み込むことができます。

これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。



*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html



リソースを見る
リソースを見る

著者

Secure Code Warrior

Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

人間主導の安全なコーディングにより、リアクティブからプロアクティブへと焦点を移す

2021年3月23日発行
BySecure Code Warrior

過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。

以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.

間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は

  • 配置されたアプリケーションでのスキャンツールの使用
  • 脆弱性がないかコードを手動で確認する。
  • 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
開発者は未だに安全なコードの実践をリアクティブな実践として捉えていますが、左からのスタートに焦点を当てて徐々にHumanな問題として認めています。


では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。

同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。 

リアクティブはイコールエンプティ

IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。 

これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。

積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。

  • 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。 
  • 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。 
  • 安全なコーディングを日々のワークフローに組み込むことができます。

これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。



*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html



弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。