サイバーセキュリティのベストプラクティスは、10年以上も前から話題になっており、世界中のほとんどの地域で政府レベルで頻繁に議論されています。サイバー攻撃は基本的に日常的に行われており、貴重な個人情報をオンラインで保存している企業はすべて標的になる可能性があります。ドイツだけを見ても、連邦教育研究省の推計によると、すべての中小企業の96%がすでにITセキュリティ事故を経験しています。同報告書では、サイバーセキュリティに関する研究、法整備、意識向上が急務であることが強調されており、コンピュータサイエンスやIT関連分野において、より強固なセキュリティ教育を行うことが強く求められています。
GDPRの導入に加えて、ドイツ連邦政府のサーバーだけでなく、多くの公人の機密データを流出させた複数段階の攻撃を受けて戦略を見直したことで、DACH地域のリーダーにとってサイバーセキュリティに対する意識と行動が最重要課題であることは明らかです。2018年末に発生したハッキング事件は、比較的スキルの低い20歳の学生が実行したもので、パスワードを推測するだけで高度な機密情報にアクセスすることができました。これは非常に問題のある認証不正行為でしたが、政府、企業、社会レベルでのセキュリティ意識の向上の必要性が浮き彫りになりました。2019年に発表されたレポートでは、ドイツがサイバーセキュリティ対策の面で遅れをとっており、主な戦術として法律に頼っていることが指摘されています。しかし、理想的な開発手法としてDevSecOpsが登場したことで、多くの企業が、実践的なトレーニング、セキュア・バイ・デザインのソフトウェア作成、全社的なセキュリティ意識向上プログラムの必要性を認識しています。
DACHにおけるソフトウェア・セキュリティ・ハートビート
OWASPやMITREなどの組織は、データを検証した上で、最も頻繁に発生する脆弱性のランキングを発表しています。すべての言語において、SQLインジェクションが1位となっており、数十年前に作られたにもかかわらず、一般的な欠陥であり、しばしば悪用されて悲惨な結果を招いています。
スイスのBPC銀行のソフトウェアであるSmartVistaは、SwissCERTによってSQLiの脆弱性が警告されていましたが、クレジットカード番号を含む重要な顧客データが流出する可能性があるにもかかわらず、数ヶ月間パッチが適用されていませんでした。SQLインジェクションは、2017年にアメリカやイギリスの複数の政府機関や大学で起きた情報漏えい事件のように、危険な情報漏えいにつながる可能性があり、実際に起きています。これらの事件の多くは、入力検証プロセスの甘さが原因で、攻撃者がアプリケーションのフロントエンドから悪意のあるコードを挿入することができます。もう一つの一般的な脆弱性の原因は、セキュリティバグがチェックされていない安全性の低いベンダーコードを使用することで、以前にスキャンされてクリアされた本番環境に欠陥が持ち込まれてしまうことです。これらのアクセスポイントはいずれもDACH地域に固有のものではなく、世界がより多くのコードを生産する中で、これ以上続けることができない不十分なセキュリティ慣行の世界的な例となっています。
問題が発見されたらすぐにパッチを当てることが重要であり、SmartVistaの決断が遅れれば大惨事になる可能性がありました」と述べています。DACHではこれまでにも多くの問題が発生していますが、セキュリティ意識の向上とトレーニングに関するガイドラインとサポートをより重視することで、組織レベルでの潜在的な問題が手に負えなくなるのを防ぐことができます。これには、開発者に対する評価トレーニングを促進するための、より具体的な法律が必要になります。
すべてのセキュアコードトレーニングが同じように作られているわけではありません。
世界中の多くのサイバーセキュリティ指令は、より包括的になってきていますが、効果的なセキュリティトレーニングの概要に関しては、まだあまり具体的ではありません。EUのNIS指令には、国家レベルでの「意識向上、トレーニング、教育」の必要性が含まれていますが、トレーニングソリューションを急いで導入しても、開発者のスキルアップや組織の変革を促す重要な要素が欠けていれば、目に見える形でのリスク削減という望ましい結果は得られないでしょう。
教育ソリューションは様々で、トレーニングは、開発者の本業に特化したものでなければならず(好みの言語やフレームワークで学習できることも含む)、また、魅力的で長期的に測定可能なものでなければなりません。
コンピュータ・ベースのビデオ・トレーニングのような静的なトレーニング・ソリューションは、一般的すぎて、コードを書いている最中に脆弱性が侵入するのを防ぐための意識やスキルを高めることに成功したかどうかを再検討したり評価したりすることはほとんどありません。しかし、ダイナミック・トレーニングは、ビジネス・ミティゲーション・プロセスに影響を与える指標を提供するだけでなく、文脈に沿った例を用いて開発者をスキルアップさせるのに不可欠です。このトレーニングは頻繁に更新され、高いレベルでの知識の保持を促進し、職場のポジティブなセキュリティ文化に貢献するセキュリティ意識の高い開発者を育成する一環となります。
Secure Code Warrior DACHのパイロットからのデータポイント。
Secure Code Warrior セールスディレクターのEma Rimeike(サイバーセキュリティ修士)は、DACH地域の企業と緊密に連携し、開発者向けのパイロットプログラムを実施して、開発者の社内でのセキュアコーディング能力、セキュリティのベストプラクティスへの関与、さらには企業の全体的なセキュリティ文化を評価しています。ゲーム化された動的なセキュアコードトレーニングを活用した結果、SDLCの初期段階から脆弱性の低減を成功させるための知識とツールが開発者に与えられれば、明るい未来が開けることがわかりました。
パイロットプログラムでは、15個の安全なコーディングチャレンジ(一口サイズのゲーム化された自習用レッスン)を行い、ユーザー1人あたり平均90分をSecure Code Warrior (SCW) プラットフォームで過ごした統計を収集しました。
ユーザーが1つのチャレンジを完了するのに費やした時間は平均5.5分で、他のグローバルSCWパイロットでは平均3分でした。
一般的に、DACH地域では、強い労働意欲と正確さへのこだわりが評価されていることは周知の事実ですが、パイロットプログラムに挑戦している開発者も例外ではありません。これらのデータは、彼らがこの種のトレーニングに慣れていないことを物語っていますが、同時にプレイを続け、スコアを伸ばし、利用可能な「ヒント」機能を使わないようにしたいという願望も持っています。彼らの学びたい、向上したいという気持ちは明らかですが、組織内で効果的なトレーニングと意識改革を実施するためには、さらなる努力が必要であることを示しています。
リスクを低減し、脆弱性を阻止するための優れたトレーニングは、一回限りのものではなく、コンプライアンスを超えたものです。管理者とAppSec担当者は、セキュリティの中核となる目標を反映し、それを長期的に維持するための戦略とサポートを備えたセキュリティ意識向上プログラムを展開する努力をしなければなりません。これは、事実上、セキュリティ意識の高い開発者によるDevSecOpsプロセスを成功させるためのバックボーンとなります。
パイロットプログラムは組織に何をもたらすのか?
Secure Code Warrior のパイロットプログラムは、企業が現在のセキュリティの健全性(通常は65~75%)を把握し、直ちに改善すべき点を示す非常に貴重なツールです。その結果、以下のことが判明しました。
- どの脆弱性に優先的に対処すべきか、またこの指示を特定のチーム、ビジネスユニット、またはプログラミング言語に適用すべきかどうかを明確にする。
- ソフトウェア開発の人的要因を含む、SDLC内のサイバーセキュリティリスク要因に関する正確でより広い範囲の情報を提供します。
- SCWのプラットフォームを活用することで、企業はペンテストの潜在的な結果を予測し、それらのリスクを前もって軽減する機会を得て、チームが特定のプロジェクトに割り当てられる前に準備することができます。
包括的で効果的なセキュリティプログラムの展開を開始した組織では、開発者がセキュアコーディングの知識を向上させるために、通常、週に1〜1.5時間の専門的な開発が管理者レベルで承認されている。しかし、組織は、「プラットフォームに費やす時間」から、「どのソフトウェア開発チームがビジネスに最も高いリスクと最も低いリスクをもたらしているか」に焦点を当てるようになってきていることに注目しています。これには、正式な認証/ベルティング、セキュリティチャンピオンの発掘、メンタリングプログラムなどが密接に関連しており、最良の結果が得られるようになっています。時間の配分と建設的で前向きなassessment は、セキュリティを好むだけでなく、ビジネスへのリスクを測定的に削減するセキュリティ意識の高い開発者を生み出すための絶対的な鍵となります。
Secure Code Warrior をどのように利用しているか?
すでにいくつかの企業では、Secure Code Warrior を利用して、意識を高め、開発者のスキルを高め、積極的なセキュリティ文化を拡大しています。
例えば、あるユースケースでは、プラットフォーム上でトレーニングを行っているチームが、SCWを使って自分たちのセキュリティの強みと弱みを明らかにしました。
開発者の行動。 開発者は、自分の結果を見て、重点的に取り組むべき分野を示し、自己管理をする権限を与えられました。また、特定の脆弱性や知識のギャップを軽減するためのトレーニングをペースアップし、今後のソフトウェアビルドに役立てることができました。
マネジメントのアクション チームレベルでの全体的な強みと弱みを分析し、懸念される特定の分野に対処するゲーミフィケーション的なアプローチを処方することができました。これにより、関連する知識を迅速に構築する双方向の教育経路が生まれました。
成果は? チームレベルでのペンテストを実施すると、あらゆる脆弱性が明らかになり、過去の結果を比較することで、一般的なセキュリティバグを減らすためにトレーニングが効果的であったかどうかを簡単に検証することができました。
このことは、ソフトウェア開発の初期段階につながります。継続的な改善を目指すチームの目標を事前にトレーニングし、セキュリティのベストプラクティスを最初に導入することは、効果的で、展開が容易で、開発範囲全体の時間を節約することができます。
DevSecOpsプロジェクトチーム
理想的な DevSecOps 環境では、複数のビジネスユニットがプロジェクトチームに参加し、中核となる成果を決定して提供します。
プロジェクト前の調査と計画に関して、SCW プラットフォームは、作業を開始する前に提案された開発チームのセキュリティスキルを評価することができ、最終的なペンテストの結果や SDLC におけるセキュリティ関連の遅延を予測して、十分な準備を行うことができます。また、プロジェクトのコードと構造に特化したトレーニングを作成し、チームが作業できるようにします。このトレーニングには、全体的なセキュリティ意識のスキルを検証するassessment/認証プロセスが含まれ、プロジェクトの成果物を自由に扱えるようにする前に、事前に合格点を要求します。
これにより、脆弱性の修正コストの削減、セキュリティリスクの軽減、ペンテストにかかる時間の短縮、高額な報奨金プログラムのコスト削減、開発コホートのスキルアップなど、集中化された持続可能でスケーラブルな統一された方法で、莫大なビジネス価値のあるアプローチを提供します。
結論から言うと
企業に対しては、セキュリティを優先し、データを安全に保ち、世界的に厳しくなる規制に準拠するよう求める圧力が高まっていますが、特にEUで取引を行っている企業は、厳格なGDPRガイドラインに基づいています。
DACH地域の企業では、トレーニングの努力と成果を、製造するコードの一般的な脆弱性の削減など、リスクの防止に関連する実際の活動に結びつけることで、実行可能なセキュリティ経路を作っていることが明らかになっています。
セキュリティ予算、意識、コンプライアンス全体を向上させるために、真に定量化可能なビジネスケースを構築するためには、開発者にとって魅力的で、一貫性があり、適応性があり、測定可能なトレーニングが必要です。適切なトレーニングを提供するために現在の能力を追跡すること、セキュリティチャンピオンを発掘すること、チームのパフォーマンスを長期的に測定することは、すべて重要な取り組みです。
多くの企業は、一般的すぎるセキュリティパフォーマンス指標に悩まされています。SCWプラットフォームを長期的かつ継続的に使用することで、企業は精度の高い評価、courses 、管理指標を活用して発見することができます。
- 脆弱性の長期的な低減
- 脆弱性を修正するための時間的コストの削減
- 個人とチームの長期にわたるスキルアップ
- ペンテスティング段階でのコストと時間の削減
現在、組織ではどのような指標を追跡していますか、それらはどのくらいの頻度で再測定されていますか、そしてそれらは時間の経過とともに顕著な改善を示していますか?既存の開発者のワークフローの観点から、トレーニングの取り組みはどの程度統合されていますか?
SCWのダイナミックでゲーム性のある包括的なアプローチは、安全なソフトウェア開発ライフサイクルのワークフローにおいて重要な役割を果たすと考えられています。企業は、開発者に適切なツールとトレーニングを提供し、SCWをSSDLCワークフローの一部として組み込んでいます。