DevSecOpsの台頭と、組織にとっての「左遷」の真の意味。

2021年6月10日発行
でSecure Code Warrior
ケーススタディ

DevSecOpsの台頭と、組織にとっての「左遷」の真の意味。

2021年6月10日発行
でSecure Code Warrior
リソースを見る
リソースを見る

痛快な統計があります。 中小企業の60%は、サイバー攻撃が成功してから6ヶ月以内に廃業しています*。大企業は数百万(または数十億)の損害を被り、ブランドの評判は地に落ちます。組織が安全なコーディング手法を採用するようになるにつれ、「左遷」が起こっています。DevSecOpsの台頭により、SDLCの最初から安全なコードが重視されるようになっています。この傾向の現実的な影響を調査するために、Secure Code Warrior と Evans Data Corp*** は、安全なコーディング、安全なコードの実践、およびセキュリティ運用に対する開発者の態度に関する最近の調査を依頼しました。

左へのシフト - さまざまなレベルでのシフト  

脆弱性を事後的に修正するには30倍のコストがかかることを企業が認識しているため、先手を打った対策が新しいゴールドスタンダード*となっています。しかし、このような対策を効果的に行うためには、SDLCに関わるすべての人、特に開発者がセキュリティを意識する必要があります。 

シフト・ワン」では、誰が責任を負うのか?

DevSecOpsの台頭により、組織は安全なコーディング手法を取り入れつつあります。その結果、今回の調査では、コードセキュリティに対する責任が運用レベルに移行していることが最初に浮き彫りになりました。 

開発者と開発マネージャに、「コードセキュリティの最終的な責任は誰が負うべきか」と尋ねたところ、46%が「プロジェクト/チームのリーダー」と答え、「責任はアプリケーションセキュリティチームが負うべき」と答えた人の約2倍となりました。 

これは、従来のアプリケーションセキュリティチームから開発チームのリーダーへと、セキュリティの責任がシフトしていることを明確に示しています。

Shift Two - マネージャーの役割の変化  

セキュア・コード・トレーニングを実施しなければならないというプレッシャーは、様々な方向からマネージャーに降りかかってきます。 

41%は、セキュアコードトレーニングの組織的な必要性は、シニアリーダーシップから来ることを明らかにしています。また、規制遵守に対する要求が高まっていることも要因の一つとなっています。 

マネージャーは、従来の開発からDevSecOpsへの移行を支援する重要な役割を担っており、トレーニングやツールの購入を決定する重要な意思決定者として登場しています。

シフト3:開発者のステップアップ

しかし、変化を求める圧力が下から湧き上がってきていることもわかります。管理者の24%が、開発者からの提案や勧告を受けて安全なコーディング手法を導入していることを明らかにしています。この点は、企業のセキュリティプログラムに貢献する開発者の役割がますます重要になっていることを示しています。DevSecOpsへの移行は、予防的なセキュリティコーディングの実践を新たに強調することで、開発者を「第一の防御線」の役割に移行させます。

Shift Four - チームダイナミクスの向上  

セキュアコードプラクティスの導入は、ソフトウェアの品質に大きな影響を与えるだけでなく、チームの働き方をより良いものに変えていきます。調査対象となった開発者の60%が、セキュアなコードプラクティスを採用したことで、他の開発者とのコミュニケーションが活発になったと考えていますが、それだけではありません。 

調査対象となった開発者と管理者の半数が、安全なコーディング手法により、開発者とリーダーの間の協力関係が強化されたと回答しています。46%が開発者と利害関係者との協力関係の強化を主張しました。同時に、41%がリーダーとステークホルダー間の協力関係の強化を指摘しています。

DevSecOpsは、チーム、リーダー、ステークホルダーを新たな方法で結びつけ、ソフトウェア開発ライフサイクルのさまざまな役割や段階における協力関係を向上させます。 

調査対象となったマネージャーの62%が、セキュアコードの実践がコードリリースの速度向上に役立つと主張しています。この1つの事実が、他のすべてのシフトと組み合わさって、DevOpsアプローチに移行することの明確なメリットを強調しています。しかし、この記事の冒頭で述べたように、このような対策を効果的に行うためには、SDLCの全員がセキュリティを意識していなければなりません。この洞察は、組織が開発者をどのように訓練するかに重大な影響を与えます。チームは、最近確認された脆弱性について学び、自分たちがコードを書いている特定の言語やフレームワークで学ぶ必要があります。つまり、開発者は、自分たちが日常的に使用している環境で、コード内の既知の脆弱性を見つけ、特定し、修正する方法を理解する必要があるのです。このようなトレーニングは、チームを第一のリスクラインから第一の防御ラインに変えます。  

セキュアコーディングの変革者として、Secure Code Warrior は、お客様の組織の「左遷」を支援し、全体的なセキュリティアプローチをリアクティブからプロアクティブにするために、人間主導のアプローチを取っています。

DevSecOpsの未来を実現するために、管理者、開発者、組織のニーズを調整する、実践的で非常に魅力的な実証済みのセキュアコードトレーニングについての詳細をお知りになりたい方は、今すぐデモをご予約ください。


*中小企業の60%は、ハッキングされてから6ヶ月以内に閉鎖する。
https://cybersecurityventures.com/60-percent-of-small-companies-close-within-6-months-of-being-hacked/

**IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs.
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html

反応から予防 へ。The changing face of application security 2021. Secure Code Warrior 、エバンスデータ株式会社
https://scw.buzz/3169uzS

リソースを見る
リソースを見る

著者

Secure Code Warrior

Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

DevSecOpsの台頭と、組織にとっての「左遷」の真の意味。

2021年6月10日発行
BySecure Code Warrior

痛快な統計があります。 中小企業の60%は、サイバー攻撃が成功してから6ヶ月以内に廃業しています*。大企業は数百万(または数十億)の損害を被り、ブランドの評判は地に落ちます。組織が安全なコーディング手法を採用するようになるにつれ、「左遷」が起こっています。DevSecOpsの台頭により、SDLCの最初から安全なコードが重視されるようになっています。この傾向の現実的な影響を調査するために、Secure Code Warrior と Evans Data Corp*** は、安全なコーディング、安全なコードの実践、およびセキュリティ運用に対する開発者の態度に関する最近の調査を依頼しました。

左へのシフト - さまざまなレベルでのシフト  

脆弱性を事後的に修正するには30倍のコストがかかることを企業が認識しているため、先手を打った対策が新しいゴールドスタンダード*となっています。しかし、このような対策を効果的に行うためには、SDLCに関わるすべての人、特に開発者がセキュリティを意識する必要があります。 

シフト・ワン」では、誰が責任を負うのか?

DevSecOpsの台頭により、組織は安全なコーディング手法を取り入れつつあります。その結果、今回の調査では、コードセキュリティに対する責任が運用レベルに移行していることが最初に浮き彫りになりました。 

開発者と開発マネージャに、「コードセキュリティの最終的な責任は誰が負うべきか」と尋ねたところ、46%が「プロジェクト/チームのリーダー」と答え、「責任はアプリケーションセキュリティチームが負うべき」と答えた人の約2倍となりました。 

これは、従来のアプリケーションセキュリティチームから開発チームのリーダーへと、セキュリティの責任がシフトしていることを明確に示しています。

Shift Two - マネージャーの役割の変化  

セキュア・コード・トレーニングを実施しなければならないというプレッシャーは、様々な方向からマネージャーに降りかかってきます。 

41%は、セキュアコードトレーニングの組織的な必要性は、シニアリーダーシップから来ることを明らかにしています。また、規制遵守に対する要求が高まっていることも要因の一つとなっています。 

マネージャーは、従来の開発からDevSecOpsへの移行を支援する重要な役割を担っており、トレーニングやツールの購入を決定する重要な意思決定者として登場しています。

シフト3:開発者のステップアップ

しかし、変化を求める圧力が下から湧き上がってきていることもわかります。管理者の24%が、開発者からの提案や勧告を受けて安全なコーディング手法を導入していることを明らかにしています。この点は、企業のセキュリティプログラムに貢献する開発者の役割がますます重要になっていることを示しています。DevSecOpsへの移行は、予防的なセキュリティコーディングの実践を新たに強調することで、開発者を「第一の防御線」の役割に移行させます。

Shift Four - チームダイナミクスの向上  

セキュアコードプラクティスの導入は、ソフトウェアの品質に大きな影響を与えるだけでなく、チームの働き方をより良いものに変えていきます。調査対象となった開発者の60%が、セキュアなコードプラクティスを採用したことで、他の開発者とのコミュニケーションが活発になったと考えていますが、それだけではありません。 

調査対象となった開発者と管理者の半数が、安全なコーディング手法により、開発者とリーダーの間の協力関係が強化されたと回答しています。46%が開発者と利害関係者との協力関係の強化を主張しました。同時に、41%がリーダーとステークホルダー間の協力関係の強化を指摘しています。

DevSecOpsは、チーム、リーダー、ステークホルダーを新たな方法で結びつけ、ソフトウェア開発ライフサイクルのさまざまな役割や段階における協力関係を向上させます。 

調査対象となったマネージャーの62%が、セキュアコードの実践がコードリリースの速度向上に役立つと主張しています。この1つの事実が、他のすべてのシフトと組み合わさって、DevOpsアプローチに移行することの明確なメリットを強調しています。しかし、この記事の冒頭で述べたように、このような対策を効果的に行うためには、SDLCの全員がセキュリティを意識していなければなりません。この洞察は、組織が開発者をどのように訓練するかに重大な影響を与えます。チームは、最近確認された脆弱性について学び、自分たちがコードを書いている特定の言語やフレームワークで学ぶ必要があります。つまり、開発者は、自分たちが日常的に使用している環境で、コード内の既知の脆弱性を見つけ、特定し、修正する方法を理解する必要があるのです。このようなトレーニングは、チームを第一のリスクラインから第一の防御ラインに変えます。  

セキュアコーディングの変革者として、Secure Code Warrior は、お客様の組織の「左遷」を支援し、全体的なセキュリティアプローチをリアクティブからプロアクティブにするために、人間主導のアプローチを取っています。

DevSecOpsの未来を実現するために、管理者、開発者、組織のニーズを調整する、実践的で非常に魅力的な実証済みのセキュアコードトレーニングについての詳細をお知りになりたい方は、今すぐデモをご予約ください。


*中小企業の60%は、ハッキングされてから6ヶ月以内に閉鎖する。
https://cybersecurityventures.com/60-percent-of-small-companies-close-within-6-months-of-being-hacked/

**IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs.
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html

反応から予防 へ。The changing face of application security 2021. Secure Code Warrior 、エバンスデータ株式会社
https://scw.buzz/3169uzS

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。