ハイパー・コネクテッド・ワールドでは、ほとんどすべての組織が共通のアキレス腱を持っています。 たった1つの脆弱性、つまりコードの隙間を突かれただけで、顧客データの盗難、風評被害、多額の金銭的損失を引き起こす可能性があるのです。セキュアコーディングに関する組織の連携は、かつてないほど必要不可欠なものとなっていますが、それを実現するのは言うほど簡単ではありません。 そこで、2020年、Secure Code Warrior は、Evans Data Corp.と協力して、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者と管理者の意識に関する一次調査*を実施しました。
サイバーセキュリティが最重要視されるこの環境では、従来のプロジェクト成功のためのKPIは再定義されつつありますが、そのスピードは十分ではありません。
ソフトウェア開発プロセスにおいて最も重要な優先事項について、開発者と管理者に尋ねたところ、次のような答えが返ってきました。
- 76%がアプリケーション・パフォーマンスを指名
- 62%が機能・特徴を選んだ
- そして、50%強の人がセキュアコードを選択
今日では、見ての通り、セキュリティは重要な優先事項ではありません。
しかし、将来に目を向けると、状況は大きく変わります。プロジェクトの成功を測る上で最も重要な将来の優先事項について尋ねたところ、79%の開発者が「安全なコーディングがより重要になる」と回答しました。実際、開発者は、最も重要性が高まるKPIとしてセキュリティを挙げています。
しかし、安全なコーディングに対する意識が高まっているにもかかわらず、その導入には懸念があります。開発者にとっても管理者にとっても、脆弱性への対応やコードへの責任を負うことは、夜も眠れないほどの悩みです。私たちの調査*によると、この2つのグループは同じ基本的な懸念を共有しており、安全なコーディング方法のトレーニングが必要であることがわかりました。
安全なコーディング方法に関する懸念と障壁
開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。
開発者が2番目に懸念していることは、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアなコードについて学ぶことが難しいという点も、現在のトレーニング方法に対する開発者の不満を反映しています。
一方、マネージャーは、よりトップダウンの視点で物事を考えます。彼らの最大の関心事は、不良コードや過去の脆弱性を再現したコードの責任を負うことです。 結局のところ、自分のチームがお粗末なコードを作成した場合、その責任はマネージャーにあるのです。
3位の「学習プロセスが難しい」は、安全なコーディングを実践するための唯一の障壁ではありません。
45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%が、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。
現在のセキュアコードトレーニングのアプローチでは効果が得られず、マネージャーは新しいアプローチが必要であることを認識しています。
セキュア・コード・プラクティスの責任者は誰ですか?
その性質上、セキュアコーディングの実践は、SDLCのかなり早い段階でセキュリティを考慮することを意味します。つまり、後回しにするのではなく、最初からソフトウェアを書くときに積極的にセキュリティを組み込むということです。言い換えれば、「左にシフトする」ということです。この「左遷」は、セキュアコーディングの実践の本質です。そして、最終的には、組織の全員が安全なコードに責任を持つべきだということです。しかし、現在のところ、開発者の15%しか同意していません。
しかし、ほとんどの開発者がセキュリティを他人事のように考えている一方で、少数ではありますが、安全なコーディングを積極的に取り入れるだけでなく、組織の中でそれを支持する人たちも増えてきています。今回の調査では、29%の開発者が、そのような人材が職場にいることを認めています。問題は、これらの安全なコードのチャンピオンがまだ少ないことです。
セキュリティ・チャンピオンを増やす
開発マネージャーは、新たなセキュリティチャンピオンを発掘・創出し、開発者全般のセキュアコーディングスキルを向上させる必要性を認識しています。
また、多くのマネージャーは、新しい開発者を採用する際には、セキュアコーディングのスキルを重視し、すでにチームに所属している開発者のセキュアコーディングの経験を評価します。
調査対象となった管理職の83%が、開発者に安全なコーディング手法の習得や採用を依頼していると回答しています。また、調査対象となった管理職の約4分の3が、開発者が安全なコードのトレーニングに参加するためのインセンティブを提供していると回答しています。 これらのインセンティブは、正式な表彰、より大きな責任、より高い給与など多岐にわたる。
開発マネージャーは、組織レベルで安全なコーディング手法を採用する上で重要な影響力を持ち、セキュリティチャンピオンを見極めるのに役立つことは明らかです。
しかし、このようなチャンピオンをより多く生み出すためには、開発者はどのようなモチベーションで安全なコーディングを学べばよいのでしょうか。私たちの調査によると、開発者は生産性や効率性を高める手段としてセキュアコーディングを考えています。
では、なぜ開発者は、より安全なコードトレーニングを求めないのでしょうか?組織のニーズが高まっているにもかかわらず、それに応えることができないのはなぜでしょうか。
リアライメントに着手するためのソリューション
開発者は、座って講師の話を聞くのではなく、実際に手を動かして自分で試してみたいと思っています。彼らは、現在のトレーニングプログラムに欠けている、実践的なアプリケーションに焦点を当てたいと考えています。会社が提供するトレーニングをどのように改善すべきかを尋ねたところ、回答者の30%が、実践的なアプリケーション、特に本物の仕事のシナリオに焦点を当てたトレーニングを望んでいると答えました。
現在のトレーニング方法ではこれを実現できません。新しいアプローチが求められています。変革の担い手として、Secure Code Warrior は、人が主導するアプローチで、組織が安全なコーディングに向けて再編成するのを支援します。当社のサイバーセキュリティ Coursesは、開発者が現実世界で直面する課題を模した「ゲーム化された」ハンズオンのコーディング課題を含む、ガイド付きの学習経路を提供します。
このトレーニングは、一般的なトレーニングとは異なり、言語やフレームワークに特化しています。
文化を再編成する際には Tournamentsは、コーダーのセキュリティ・スキルを測定し、将来のスキル開発のためのベースラインを確立し、開発チーム内の潜在的なセキュリティ・チャンピオンを見つけるために使用することができます。
セキュアコーディングの未来に向けて、管理者、開発者、組織のニーズを一致させるセキュアコードトレーニングについて、もっと知りたい方は 今すぐデモを予約する.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020