組織のセキュリティ体制を改善する確実な方法は、開発者がセキュアコーディングのベストプラクティスを習得することである。しかし、セキュアコーディングは一度限りの修正ではなく、組織の DNA に刻み込まれた生活習慣にする必要があります。開発者は、左遷する、あるいは左遷を始めるだけでなく、左遷を続ける必要がある。 

単にトレーニングを提供するだけでは十分ではない。組織は、開発者がトレーニングを完全に吸収し、日常業務の一環としてソフトウェア開発ライフサイクル（SDLC）の最初の段階でベストプラクティスに従っていることを確認する必要があります。開発者のパフォーマンスを追跡し、社内標準と業界ベンチマークの両方に対する進捗を測定し、トレーニングに投資した ROI を効果的に測定する必要があります。

Secure Code WarriorTrust Score は、個々の開発者のパフォーマンスを可視化し、データを集計して組織全体のパフォーマンス（assessment ）を提供します。アップスキリングプログラムの有効性を示すと同時に、改善が必要な分野を特定します。また、一般データ保護規則（GDPR）、Payment Card Industry Data SecurityStandard（PCI DSS）、California Consumer Privacy Act（CCPA）など、さまざまな規制コンプライアンス要件への準拠を保証するのに役立ちます。

セキュア・コード・トレーニングが有効であることは、私たちの調査で明らかになっています。トラストスコアは、600以上の組織で25万人以上の学習者が行った学習データから2000万以上の学習データを抽出したアルゴリズムを使用して、脆弱性を減少させる効果や、イニシアチブをさらに効果的にする方法を明らかにしています。

トレーニングはセキュリティを向上させる - 開発者がそれを得れば 

何年もの間、SDLC の開始時にセキュリティのベストプラクティスを使用することは、ソフトウェア業界ではほとんど願望に過ぎないように思われました。しかし、ソフトウェア開発のスピードがますます速くなり、洗練された破壊的なサイバー脅威（多くの場合、ソフトウェアの脆弱性を標的として構築される）のペースが加速しているため、安全なコーディングが不可欠になっています。サイバーセキュリティおよびインフラセキュリティ機関（CISA）は、国際的なムーブメントに成長しつつあるSecure-by-Designイニシアチブで、セキュアなコードを最前線に据えている。 

セキュアバイデザインのアプローチとソフトウェアの脆弱性削減の相関関係は明らかです。SCWの顧客ベースの26%から得られた脆弱性削減データを分析したところ、開発者のトレーニングによってソフトウェアの脆弱性が22%から84%削減されることがわかりました。この幅は、関係する企業の規模（開発者の数が比較的少ない小規模な企業ほど、より劇的な結果の幅が大きい）や、学習グループが特定の問題に集中しているかどうか（その場合、より高い割合の欠陥を排除しているかどうか）などの変数に起因しています。

大企業の結果は一貫している。開発者数が 7,000 人以上の企業では、開発者がセキュリティのスキルを向上させた結果、脆弱性が 47～53%減少すると予想される。例えば、1 万人以上の開発者を抱える統計的に平均的な企業では、脆弱性が 53％減少した。 

もちろん、最も効果的なトレーニングは、大雑把で画一的なアプローチではありません。開発者の職場環境や、彼らが行う開発の種類に合わせたものでなければならない。

企業は、開発者が安全なコードを書くことを、単にコードを書くことと同じように自然にできるように、開発者が持つべき基本的なスキルを確立することから始めるべきである。スキルアッププログラムは、開発者の仕事の種類や使用する言語に合った実世界のシナリオで、実践的でアジャイルなトレーニングから構成されるべきである。また、トレーニングセッションを仕事のスケジュールに合わせられるよう、柔軟性を持たせるべきである。 

開発者にとってのスキルセットは、コードを書くことだけではない。人工知能アシスタントや、オープンソースのリポジトリなどのサードパーティが作成したソフトウェアをチェックできる必要があるのだ。開発者たちは、生成AIモデルを積極的に活用しており、より多くのコードをより迅速に作成するのに役立つその利点を一般的に称賛している。しかし、Snykの調査では、回答者の76％がAIが生成したコードは人間が生成したコードよりも安全だと答えたものの、それでも56.4％がAIは時々または頻繁にエラーを引き起こすと回答している。また、同じ調査では、開発者の80％がAIコードのセキュリティポリシーの適用をスキップしていることが判明しており、AIコードにおけるコードの問題が対処されていないことが示唆されている。

セキュアバイデザインのアプローチでは、開発者は、セキュリティチームと別個にではなく、セキュリティチームと協働して、SDLC の早い段階でこれらの問題に取り組み、コードが本番稼動する前に欠陥を特定し、修正します。

信頼スコアは個人と企業のパフォーマンスを測定する

また、トレーニングを継続的に行うことも重要である。企業は、会社の上層部から下層部に至るまで、あらゆる場所に適用されるセキュリティ優先の文化を採用する必要があります。この文化は、SDLC 全体を通して、継続的な改善とベスト・セキュリティ・プラクティスの適用に焦点を当てるべきである。テクノロジーとサイバー犯罪者は進化を止めない。ソフトウェアを製造する組織にとって、セキュリティ訓練を受けた開発者は基礎である。

そのため、トレーニングが効果的に定着していることを実証することは、トレーニングそのものと同じくらい重要です。Trust Scoreは、開発者個人と組織全体のパフォーマンスを可視化するだけでなく、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てるために、パフォーマンスデータをドリルダウンすることができます。また、個人および集計されたパフォーマンス結果のデータは、トレーニングが開発者の日常的なパフォーマンスに望ましい効果をもたらしていない場合など、トレーニングの改善が必要な領域を特定するのに役立ちます。

Trust Score は、開発者のパフォーマンスを評価し、必要なセキュリティ・スキルを習得しているかどうか、またそれを使用しているかどうかを確認することで、開発者がコードを書くためのライセンスを確実に取得できるようにする。これによって、組織は、最も機密性の高いデータや重要なソフトウェア・プロジェクトへのアクセスを、資格のある開発者に自信を持って許可する一方、まだ準備が整っていない開発者のアクセスを拒否することができる。

セキュリティ文化の変化の証明

サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼす、ビジネス上の問題なのだ。深刻な侵害は、組織の運営、評判、そして潜在的には存続に影響を及ぼす。サイバーセキュリティの重要性は、規制当局も見逃してはいない。規制当局は、ますます厳しい規制を実施し、CISOやその他の上層部のメンバーに対して、Uberや SolarWindsのケースのように、刑事告訴までして追及する姿勢を見せている。 

今日の環境では、全社的なセキュリティ文化の導入が不可欠です。企業の価値の多くはデータ、アプリケーション、サービスにあるため、セキュアなコーディングは企業文化の中核をなす要素である。文化的な考え方の一環として的を絞ったトレーニングとスキルアップを行い、トレーニングが文化の変革に役立ったことを証明することで、企業はセキュリティ体制を強化する道を歩むことができる。 

開発者主導のセキュリティ・プログラムには価値がある。その証拠はトラストスコアにある。

セキュリティ・チームは、今日のクラウド主導のDevOpsの世界における新しいイノベーションの潮流に追いつくのに苦労している。したがって、攻撃者が常に生成される大量のコードから必然的に生じる無数の弱点を悪用する方法についていくことができないのも当然である。 

しかし、Equifaxのデータ流出や SolarWindsのサプライチェーン攻撃から、近年ではChange Healthcareや AT&Tなどへの攻撃の成功など、重大なセキュリティ侵害のペースが加速しているにもかかわらず、多くの組織は依然としてセキュリティに対するリアクティブなアプローチを重視している。セキュリティ・リソースの大半を、脆弱性の発見と修正、およびインシデント発生時の対応に費やしているのだ。しかし、ソフトウェア、テクノロジー機能、ITインフラストラクチャの急速な進化は、人員不足で過重労働のセキュリティ・チームには追いつけないほどである。

継続的に不利な立場に置かれることを避けるためには、セキュリティの脅威を追いかけたり、データ漏えいの馬が納屋から出るのを待ったりするのをやめる必要がある。その代わりに、予防的なアプローチを取ることによって、問題の前に立ちはだかるべきである。レガシーアプリケーションと新規アプリケーションの両方のセキュリティを向上させるには、効果的な開発者トレーニングに支えられたセキュアバイデザインのアプローチが必要である。

今日に至るまで、これは言うは易く行うは難しである。 

セキュアなコーダーは不足している

米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局（CISA）は、セキュア・バイ・デザイン（Secure-by-Design）イニシアチブを推進し、セキュアコーディングを他のベストプラクティス（多要素認証（MFA）から脆弱性クラスの削減まで）とともに推進し、組織にセキュア・バイ・デザイン誓約書（Secure-by-Design Pledge）を取るよう促している。オーストラリア、カナダ、ドイツ、英国など、他の国も同様のプログラムを開始している。とはいえ、我々の調査によると、今のところ、このプログラムに参加した組織はほとんどない。

Learning Platform セキュア・バイ・デザインに取り組んでいるSCWの競合他社と、Secure Code Warriorの全開発者を合わせると、50万人から100万人の開発者がこのアプローチに取り組んでいることになる。最も寛大に見積もっても、これは世界中の開発者総数の約3.5%に相当し、2024年末には2870万人に達すると予測されている。これは、かつてないほど多くのコードを生み出している開発者の数であり、特にジェネレーティブな人工知能プログラムによって開発ペースが大幅に加速している中で、安全なコードから始める方法を学んでいる開発者はほとんどいない。 

従来のモデルでは、開発者とセキュリティ専門家は別個の存在として働き、セキュリティチームはソフトウェアが作成された後にセキュリティ問題に対処することになっていたため、ソフトウェアエンジニアは一般的にサイバーセキュリティについて教えられてこなかった。しかし、今日の環境では、セキュリティの専門家の数は圧倒的に不足している。最新のBSIMM14（Building Security in Maturity Model）レポートによると、世界全体では、開発者100人に対してAppSecの専門家は平均3.87人である。猛烈なスピードで作業する100人の開発者のアウトプットをセキュアにしようとする訓練されたスペシャリストが4人未満では、セキュアなコードのレシピにはならない。 

アプリケーション・セキュリティが軽視されていることは、他のセキュリティ分野と市場規模を比較しても同様に明らかである。セキュアバイデザインのアプローチを構成するコンポーネントは、アプリケーション・セキュリティ市場に分類され、2023年の60億8,000万ドルから2031年には175億1,000万ドルに成長すると予測されている。これは急成長のように見えるが、2023年の235億7000万ドルから2032年までに673億3000万ドルに増加すると予測されるネットワーク・セキュリティや、2023年の180億3000万ドルから2031年までに575億1000万ドルに成長すると予測される運用技術セキュリティに費やされる資金と比較すると、微々たるものである。 

セキュアなコードとアプリケーションの重要性が高まっていることを考慮すると、この分野には資金が不足している。実際、企業がアプリケーション・セキュリティとセキュア・バイ・デザイン・アプローチにもっと投資すれば、他のセキュリティ分野を節約できるかもしれない。 

予防的セキュリティの導入が難しく、そのため経営トップに売り込みにくいという見方には、他にもいくつかの要因がある。ひとつには、金融サービス・セクターのように長い歴史を持つ企業は、古いレガシー・システムを抱えている。 

レガシーコードやレガシーシステムに、新しいアプリケーションと同時に予防的セキュリティを導入するという考えは、困難なものに思えるかもしれない。しかし、セキュアバイデザインのアプローチは、開発者のスキルアップによって実施され、これらのシステムにセキュリティのベストプラクティスを適用することができる。これは、多くの組織がセキュリティ体制を改善するための最善のチャンスである。 

予防文化の構築

セキュリティに対する予防的なアプローチへの移行は遅いスタートかもしれないが、Secure-by-Designの実践を採用する動きはなくならない。自動車業界は、自動車をより安全にすることよりも、救急車や救急救命士を増やすことに投資することを決めたら、非難轟々であろう。

組織はリスクを低減するために、予防的でプロアクティブなアプローチを採用する必要がある。SDLC の早い段階で、安全なコードを書くことと、（AI アシスタントやサードパーティのコードによってもたらされるような）エラーを修正することについて、開発者をスキルアップするためのプログラムを構築すべきである。これらのプログラムには、開発者のスケジュールに合わせて、作業環境や使用するプログラミング言語に合わせて調整できる、アジャイルでインタラクティブなトレーニングプログラムを含めるべきである。アップスキルには、実世界の問題に対処する実践的なトレーニングが含まれるべきである。

重要なのは、セキュリティのベストプラクティスが日常業務の重要な一部となっているかどうかを確認するために、進捗状況を測定する手段を含める必要があることです。SCWのTrust Scoreのようなツールは、ベンチマークを使用して社内および業界標準に対する進捗を測定し、同時に改善すべき分野を特定する。 

セキュア・バイ・デザインのアプローチは、セキュリティがビジネス上の優先事項であるという組織内のセキュリティ第一の考え方を反映した全体的なものである。確かに、レスポンスとリカバリは、組織全体のセキュリティ態勢にとって不可欠な部分である。しかし、予防に重点を置くことで、企業はリスクを削減し、ビジネスの存続を脅かすような大規模な侵害を回避する上で大きな前進を遂げることができる。

実行可能なSecure-by-Designイニシアチブの実現に向けて、Secure Code Warrior 。

サイバー脅威がますます蔓延し、巧妙化する中、サイバーセキュリティの焦点はセキュアなコードの重要性に置かれている。ホワイトハウスの「国家サイバーセキュリティ戦略」とサイバーセキュリティ・インフラ・セキュリティ庁（CISA）の「セキュア・バイ・デザイン（Secure-by-Design）」イニシアティブは、諸外国のイニシアティブや法律とともに、セキュリティの責任をソフトウェア製造者の肩に明確に課している。ソフトウェア開発ライフサイクル（SDLC）の早い段階でセキュリティを確保するために、左遷すること、より正確には、左遷を開始することは、かつてはあればいいと考えられていたが、今や、組織がデータとシステムを保護し、侵害後の規制上の影響を回避するために不可欠である。

安全なコーディングの実践を保証する鍵は、開発者のトレーニングにあります。ソフトウェア・エンジニアは通常、サイバーセキュリティに関する教育をほとんど、あるいはまったく受けていません。彼らの仕事は、特に今日の高速化された DevOps 環境では、新しいアプリケーション、アップグレード、サービスを可能な限り迅速に作り上げることである。それは、非常に多くのコードが作成され、しばしばソフトウェアの脆弱性がエコシステムにリリースされることによって生じる多くの欠陥に対処するための非効率的な方法だ。

開発者は、最初から安全なコードを書くように訓練され、AIが生成した安全でないコードや、使用しているオープンソースやその他のサードパーティ製ソフトウェアに存在する安全でないコードをキャッチできるようになる必要がある。多くの開発チームや組織にとって、これは前人未到の領域だ。開発者が必要なトレーニングを受けていることをどうやって確認するのだろうか？また、そのトレーニングは定期的に行われているのだろうか？

開発者教育を推進する企業の中には、開発者が習得すべきスキルの基準セットを確立し、明確に定義されたベンチマークに照らし合わせて進捗を測定することが有益であると考えるところもある。このような取り組みを支援するため、Secure Code Warrior は、開発者のセキュリティトレーニングの進捗を正確に測定するために設計されたベンチマークを発表した。SCW Trust Scoreを使用することで、組織はトレーニングが業務でどの程度適用されているかを測定することができ、セキュリティ、開発者、エンジニアリングの各チームが協力できるようになる。

これは、セキュアコード・トレーニングが定着していることを証明すると同時に、改善すべき点を特定するための方法である。

安全な設計のケース

ソフトウェア生産者には、セキュリティを SDLC のプロセスの最初の段階で導入する十分な理由がある。アプリケーションとサービスに対する需要の高まりと、AI が開発プロセスにもたらすスピードは、開発者にとって有用であることが証明され、彼らはすぐにジェネレーティブ AI を採用した。最近の調査では、アプリケーションの4分の3近く（作成方法にかかわらず）に少なくとも1つのセキュリティ上の欠陥があり、そのうちの20％近くが重大な欠陥であることが判明している。 

SDLC の後半で脆弱性に追いつくことは、法外な時間とコストがかかるようになってきています。米国標準技術局 (NIST) は、テスト中に不具合を修正するのは、SDLC の開始時にソフトウェアを保護するよりも 15 倍時間がかかり、デプロイ/メンテナンスの段階で修正するのは、30 倍から 100 倍時間がかかることを発見しました。 

これは、リスクを低減する最も効果的な方法であるだけでなく、最も費用対効果の高い方法であることが証明されています。開発者は、セキュリティチームを別個の組織として機能させるのではなく、セキュリティチームと協働することで、セキュリティを SDLC の最初に導入する最良の立場にいる。そして、セキュリティのベストプラクティスに訓練された開発者は、脆弱性を減らすのに効果的です。問題は、訓練を受けた開発者が非常に少ないことです。

ベンチマークの美点 

企業にとっての基本的な道筋は、セキュリティスキルの基本水準を確立し、トレーニングを提供し、開発者が必要なスキルを習得していることを組織と規制当局の双方に対して検証することである。これは、あらゆる経済セクターの多くの組織にとって困難なことであるが、その必要はない。

セキュリティ・リーダーが抱える課題の1つに、企業全体でトレーニング・プログラムを拡張することの難しさがある。しかし、SCW の調査によると、特に大規模な開発者層を抱える組織では、セキュアバイデザインのアプローチをうまく導入できることが分かっている。小規模な組織の結果は、セキュアバイデザインの原則の適用度合いに大きなばらつきがあることを示している。それでも、これらの組織もトラストスコアを含むアプローチから利益を得ることができ、より迅速に改善が見られる可能性が高い。

Trust Score は、ベンチマーク指標を使用して個々の学習者の進捗を測定し、そのスコアを集計してチーム全体のパフォーマンスを評価し、組織の進捗を業界のベンチマークやベストプラクティスと比較します。トレーニングを追跡するだけでなく、開発者が新しいスキルを日常的にどの程度適用しているかを示します。また、改善が必要な領域がハイライトされ、組織はトレーニング/スキルアッププログラムを最適化することができます。 

データが入手できたCISAの重要インフラ部門全体では、ほとんどの組織がセキュアな設計原則をほぼ同じレベルで実施している。金融サービス、防衛産業基盤からヘルスケア、IT、重要製造業に至るセクターの信頼スコアは、1,000点満点で300点強と同じ範囲に収まっている。最も規制の厳しい金融サービス業が他を大きく引き離しているという常識にもかかわらず、どの業種も他を引き離していない。

Trust Scoreランキングに含まれていない重要インフラ部門（化学、エネルギー、原子力事業など）は、一般的に独自のソフトウェアを作成せず、他の部門、特にIT部門に依存している。しかし、これらの部門でセキュアなシステムを維持することの重要性（原子力発電所が危険にさらされることは誰も望んでいない）は、そもそもこれらの部門で使用するソフトウェアをセキュアにすることがいかに重要であるかを示している。

結論

規制強化の圧力とサイバー脅威の現実により、データ、システム、事業運営、評判の保護を望む組織にとって、セキュアバイデザインのアプローチは必須となっている。セキュアなソフトウェアの開発は開発者の手に委ねられている部分が大きいが、開発者には、必要な教育を提供し、それがどのように適用されているかを示す、徹底したスキルアップとトレーニングプログラムという形での支援が必要である。 

Trust Score のようなツールに裏打ちされたベンチマークを含むプログラムは、開発チームの重要な進捗状況を明確に示すことができる。セキュアバイデザインの新要件を満たすと同時に、セキュアなソフトウェア開発スキルを常に向上させるためには、開発者と彼らが働く企業の両方が必要とする重要な新しいアプローチです。

‍

米国、オーストラリア、ニュージーランド、カナダ、シンガポール、日本、ドイ ツ、英国が、同様のガイドラインをより広範なサイバーセキュリティ戦略に織り込むことを約束し、これらの 国の多くも当初の提言に貢献していることから、CISA のセキュア・バイ・デザイン（SBD）運動が世界 的に勢いを増しているのを目の当たりにするのは心強いことである。

2024 年 4 月以降、以下を含む 200 社以上の企業がセキュア・バイ・デザインの誓約に署名している。 Secure Code Warriorを含む200社以上がセキュア・バイ・デザインの誓約書に署名しており、より高いソフトウェア品質とセキュリティ基準に対する業界の幅広いコミットメントを示しています。私たちは、これらのガイドラインが、サイバーセキュリティのリーダーにとって、ソフトウェア開発における重要な文化的変革に対する世界的な政府の支持を初めて得た、坩堝のような瞬間であると考えています。これらの勧告は、米国政府に直接販売するソフトウェア・ベンダー以外にはまだ義務付けられていませんが、私はこれを単なる未来ではなく、脅威行為者に対する反撃を開始する絶好の機会だと考えています。ガイドラインの中心にあるのは、脆弱性のカテゴリーを取り除く努力であり、この目標に業界全体で集中することで、デジタル・セーフティにここ数十年で最も重要でポジティブな影響を与えることができるだろう。

私たちは、この動きが非常に重要であると考えており、最新の研究論文を発表した、 セキュリティ・スキルのベンチマーク：企業におけるセキュア・バイ・デザインの合理化 は、企業レベルでの実際のSecure-by-Designイニシアチブを深く分析し、データに基づいた知見に基づいてベストプラクティスのアプローチを導き出した結果です。 

組織のセキュア設計の取り組みの ROI の測定

長年定着したソフトウェア開発手法の見直しは、決して簡単な作業ではありません。CISO は、個人レベルと企業レベルの両方でセキュリティ プログラム活動の投資収益率 (ROI) とビジネス価値を証明しようとすると、しばしば困難に直面します。予算削減や、新しいサイバー イニシアティブに対する最高経営責任者の賛同の欠如に不満を募らせる人が多くいます。しかし、データに裏付けられた提案は、ここで大きな違いを生みます。 

近年、業界標準に対する進捗状況を組織が評価できるスキル ベンチマークが存在しないことが大きな課題となっています。このため、適切な領域に影響を及ぼし、開発コホートの継続的な改善を促進するセキュリティ プログラムを考案して実装することが非常に困難になっています。これは、ソフトウェア セキュリティ プラクティスを成功させる上で重要な要素です。 

Secure-by-Design イニシアチブを成功させる鍵は、開発者に安全なコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが備わっていることを保証することです。そこで、私たちは開発者チームの準備状況を分析することにしました。その結果は驚くべきものになるかもしれません。

SBD イニシアチブの加速を目指す企業がトラスト スコアを活用する方法

どこから始めて、どこへ向かうべきかについて確固とした考えがなければ、効率的に改善することは事実上不可能です。しかし、何百もの企業顧客が、開発者チームのセキュリティ能力を定量化するグローバル ベンチマークであるSCW Trust Score を効果的に活用して、役立つ詳細なデータ ポイントを提供しています。これらの洞察は、Secure-by-Design イニシアチブの成功につながる、非常に効果的な開発者主導のセキュリティ プログラムを形成します。

当社のホワイト ペーパーで明らかにされた分析によると、主要な重要インフラ業界の組織は、SBD イニシアチブを推進するための開発者の準備を進めています。また、これらの業界の開発チームは平均的なセキュリティ体制を備えていることもわかりました。

Secure Code Warriorの重要インフラ業界における開発者のスキルアップに関する分析は、世界中の 600 社の企業顧客と 25 万人を超えるアクティブな開発者の 2,000 万を超えるデータ ポイントから得られた洞察に基づいています。分析の結果、次のことがわかりました。

• 現在、開発者中心の SBD スキルアップ イニシアチブに関与している開発者の総数は、世界中のすべての開発者の 4% 未満です。
• 金融サービス業界は、336 という最高の信頼スコアを獲得しました。
• 大規模な Secure-by-Design スキル向上イニシアチブのほとんどは成功していますが、小規模なイニシアチブは散発的になる傾向があります。ただし、義務を与えられた場合、測定可能な投資収益率 (ROI) をより早く実現できることが実証されています。
• スキルアップの取り組みがしっかりと実施されていれば、開発者がアプリケーションに持ち込むリスクは大幅に減少します。分析の結果、大規模なスキルアップの取り組みに参加している開発者 (1 つの企業で 7,000 人以上の開発者) は、脆弱性を 47 ～ 53% 削減できると予測されました。

解決策 | 結論

SCW Trust Score は、セキュリティ リーダーにとって強力な武器であり、組織内の特定の領域を包括的にドリルダウンできます。レポートは言語、チーム、またはカテゴリ別にフィルタリングでき、カスタマイズされたレポートを作成できます。これにより、企業は開発者やチームの特定のニーズに対応し、追加のトレーニングやコーチングが必要な領域を特定できます。結局のところ、セキュリティは終わりのない取り組みです。パフォーマンスを効果的にベンチマークすることで、継続的な改善の機会を特定できます。

ソフトウェアの開発と展開の加速、サイバー脅威の脅威がかつてないほど高まり、規制当局の監視が厳しくなる中で、サイバーセキュリティは最優先事項となっています。組織は、まだ取り組んでいないのであれば、企業全体でセキュリティを第一に考える文化を育むことを優先する必要があります。

ここ数年、いくつかの深刻度の高い脆弱性が様々な形でLinuxシステムに影響を及ぼしていると報告されており、Linuxユーザーは最近楽な時を過ごしていない。セキュリティ研究者は現在、GNU/Linuxシステムを標的とするCommon UNIX Printing System (CUPS)機能に関連する、潜在的なリモート・コード実行(RCE)の経路を持つ、別の脆弱性群を解明している。

2024年9月27日、evilsocket.netのSimone Margaritelli氏が、CUPSの悪用可能な複数の脆弱性に関する重要な情報を発表し、その後、そのうちの4つにCVEが割り当てられた。この数はさらに増える可能性があるが、本稿執筆時点では、セキュリティ・コミュニティはこれらの発見の実際の重大性について議論している。CVEの1つであるCVE-2024-47177は、MITREによる現在の重要度レーティングが9.1であるが、このコマンド・インジェクションの欠陥の操作を成功させるには、CUPSサービスが有効になっているサーバーに依存し、さらに、UDPポート631またはDNS-SDへのアクセスが必要である。ただし、CUPS を別のポートにマッピングし直すことは可能である。 

Margaritelli氏のこの事件の包括的な内訳は、コミュニティの意見の相違にもかかわらず、無視すべきではない陰湿で複雑な攻撃の連鎖を明らかにしている。この事件は、一見無害に見える依存関係も、脅威行為者が十分な決断力を持ち、稚拙なコーディング・パターンによって小さな機会の窓が開かれていれば、深く悪用できるという教訓を与えてくれる。

CUPSのシナリオは、多くの開発者やAppSecの専門家が以前に経験したものとは少し異なる。

脆弱性CUPS 経由でのリモートコード実行 (RCE)

Evilsocketのブログは、これらのエクスプロイトに関する比類のない徹底的な背景を提供しており、今後も注視していきたい情報源である。Margaritelliはまた、彼の記事の中で、Linuxの一般的なセキュリティの堅牢性について楽観的でないように見える無名のソースを引用している：

‍

"一般的なセキュリティの観点からは、現在のLinuxシステム全体は、悪用されるのを待っているセキュリティホールの果てしなく絶望的な混乱にすぎない。"

これは、グローバルな開発コミュニティの間でセキュリティ意識の向上と安全なコーディング・スキルが切実に求められていることは言うまでもないが、オープンソース環境に依然として蔓延している固有のセキュリティ・リスクを痛感させるものである。

CVEを見てみよう：

• CVE-2024-47177
• CVE-2024-47176
• CVE-2024-47076
• CVE-2024-47175

脆弱性の連鎖は広範囲に及んでおり、現在、以下のパッケージの現在および以前のバージョンすべてに影響を及ぼしています：

• ディストロテック/カップフィルター
• OpenPrinting/カップフィルター
• カップブラウジング
• libcupsfilters
• libppd
  
  

CUPSは、20年以上にわたってUNIXおよびLinuxオペレーティング・システムのレガシー・コンポーネントである。CUPSのプリントサービス依存機能は、ネットワーク・リクエストの実行に熱心であるため、RCEクラスの脆弱性の格好の標的となっている。

しかし、この例では、攻撃を組み合わせて成功させる方法に工夫が見られる。これは基本的に、認証されていない、検出されていない攻撃者が、インターネット・プリンティング・プロトコル（IPP）のURLを悪意のあるものに置き換える能力であり、さらに「PPD（PostScript Printer Description）ファイル（新しく追加されたプリンタの機能を記述するために使用されるファイル）」にコマンドインジェクションを引き起こす可能性のあるディレクティブを修正する能力である。この結果、印刷ジョブがアクティブになると、コマンド実行攻撃が発生し、CUPSコンポーネント内の入力検証の欠如に依存することになる。

さらに、Evilsocketが指摘するように、この特定の脆弱性を修正することは、諸刃の剣のようなものを生み出す。CUPSにはfoomatic-ripフィルターが含まれているが、この実行ファイルは以前から危険性が高く、悪用されやすいコンポーネントであった。このコンポーネントに関連するCVEは2011年までさかのぼり、foomatic-ripを活用してOSコマンドを実行できることは確認されているが、これを修正すると安定性に問題が生じ、多くの古いプリンターのサポートが失われる。これは克服すべき複雑な問題である。

1. 脅威行為者が攻撃を開始
   1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
2. 被害者システムはプリンタ属性を処理する
   1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
3. 被害者システムは攻撃者コントローラのIPPサーバに接続する。
   1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
4. Victim system initiates print job and attacker’s code is executed
   CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

RCEリスクを軽減するには？

CUPSを業務の一部として利用している企業は、Evilsocket社および RedHat社が推奨する修復アドバイスに従わなければならない。これには、緊急レベルの優先事項としてセキュリティパッチを適用することが含まれるが、これに限定されるものではない。

コマンド・インジェクション全般については、包括的なガイドを参照してください。

コーディングガイドラインをもっと無料で入手したい場合は、セキュアコーディングのベストプラクティスを常に把握するのに役立つSecure Code Coachをチェックしてください。

セキュアなコード学習への取り組みを評価する実用的な洞察 

セキュアコード学習プログラムの価値を最大化するには、ユーザーの参加に大きく依存します。サイバーセキュリティの世界は、新たな脅威だけでなく、全体的なセキュリティ態勢を強化する機会もあり、常に進化しています。コードのセキュリティに積極的なアプローチを取るには、プログラムの効果と妥当性を最大化するために、継続的なセキュアコード学習が必要です。そのためには、プログラム・リーダーは、ある時点だけでなく、長期にわたってユーザ・エンゲージメントを明確に理解し、傾向を特定してプログラムのパフォーマンスを最適化する必要があります。

そのため、ユーザーのエンゲージメントを測定するために設計された新しいレポートを発表できることを嬉しく思います。これらの新しい洞察により、組織はセキュアなコード学習への投資収益率を最大化するだけでなく、サイバーセキュリティ態勢を持続的に改善することができます。

本レポートの新情報

エンゲージメントインサイトレポートは、選択した期間（デフォルトでは過去12ヶ月間）のアジャイル学習プログラムに関連する多くの重要な統計情報を提示します。エンゲージメントレポートでは、この期間中にSCWアジャイルlearning platform に積極的に関与した新規学習者数、プラットフォームに関与したアクティブ学習者数、および現在の有効学習者数をすばやく簡単に確認できます。

‍

‍

これらの合計は始まりに過ぎません。学習者がどのようにプラットフォームと関わってきたかを分析し、選択した期間におけるアクティブな学習者の傾向を発見することができます。この情報があれば、コミュニケーション（社内ニュースレター、ブログ）やその他のエンゲージメント活動を計画し、開発者がスキルを磨くために何度も足を運ぶようにすることができます。

‍

同様に、「最終学習アクティビティ」の内訳は、学習者が最後にSCWプラットフォームと関わったのがいつかを示しています。どのような学習形態でもそうですが、時間の経過とともに概念の記憶は薄れていきます。理想的な状態は、学習者の大部分が、最近取り組んだことを示す最初の2、3の括弧にグループ化されていることです。このようなグループ分けは、開発者のスキルを新鮮に保つだけでなく、全体として時間の経過によるスキルの衰えを防ぐことで、組織のSCW Trust Score を向上させます。

‍

‍

また、洞察は頻度や再確認にとどまりません。エンゲージメントレポートは、選択した期間を通じて、学習者がSecure Code Warrior プラットフォームのさまざまな部分に費やした時間の内訳を示します。管理者は、この情報を使用して、ユーザーベースのエンゲージメントを促進するものを特定することができます。最後に SCWtournament を実施してからしばらく経ちますが、開発者コホートの一部を再度参加させる機会はありますか？学習者は、Courses やアセスメントにある構造化された学習コンテンツ以外の視野を広げるために、Explore モジュールを利用していますか？トップレベルのユーザーだけでなく、エンゲージメントの高いタイプを特定することで、開発者が好むプログラムを設計し、アクティブなリーダーを称える機会が得られます。

‍

このように、アジャイル・ラーニング・プログラムに対する学習者のエンゲージメントを測定する方法は数多くあります。私たちは、最も効果的な学習成果と組織のサイバーセキュリティ態勢の改善を促進するために、さらなる洞察とレポートを提供することに専心しています。また、ご質問、フィードバック、またはプログラムを最適化するためにもっと見たい特定のデータがある場合は、お知らせください！

‍

セキュリティ上の負債を減らすことは、すべての企業が達成しようと努力することである。 セキュリティの脆弱性を最小限に抑えるにはどうすればよいのだろうか？ 生成されるコードが一流であることを保証しながら、市場投入までの時間を短縮するにはどうすればよいのだろうか？  

多くの企業と同様、DigitalOceanは、セキュリティを意識した開発者とともに最初から高品質のコードを構築しリリースすることで、デジタル革新と近代化を推進するためにSecure Code Warrior 。  

DigitalOceanは、スケーラブルなコンピューティングリソースと、開発者がアプリケーションを容易にデプロイ、管理、拡張できるようにするクラウドソリューション一式を提供しています。同社は、エンジニアリングチームの拡大と成長に伴い、Secure Code Warrior 。 ペースの速いテクノロジー業界において、同社は、設計レビューで発生する一般的な不適切なコーディングパターンを開発者が確実に特定できるようにし、再発を未然に防ぐ必要がありました。 

製品セキュリティ担当シニア・マネジャーのアリ・カルファス氏は、「開発者に特化し、実践的で、組織が直面しているリスクに焦点を当てたソリューションが必要でした」と述べている。Secure Code Warrior 、これを実現した。最も注目すべき成果の1つは、セキュアコーディングの実践を迅速かつ定期的に強化できるようになったことである。 これにより、チーム全体のセキュリティ負債が著しく減少した。全体として、DigitalOceanは、SCWのトレーニングを受けたチームは、セキュリティ上の問題を特定し、軽減することに長けているだけでなく、セキュリティを損なうことなく、イノベーションの限界に挑戦する自信を持つことができるようになりました。

DigitalOceanがどのようにして全体的なセキュリティ負債を減らし...そして現在、生産性と革新の限界をさらに押し広げるためにセキュリティの余剰を利用しているかについては、こちらをお読みください。

セキュアバイデザインは、誰もが口にする最新の取り組みであり、オーストラリア政府は、グローバルガバナンスの最高レベルであるCISAと協力して、ベンダーがより高い水準のソフトウェア品質とセキュリティを確保するよう指導している。

ソフトウェアセキュリティの大幅な向上には、セキュリティスキルの構築に対する支援のうねりが必要であり、開発者に関しては、セキュアコーディングのベストプラクティスに関する継続的な学習が重視される。世界各国政府が模範を示し、陰湿なコードレベルの脆弱性を緩和するための適切なガイダンスを提供するという、この業界の新たな章を目撃することは新鮮である。

Australian Women in Security Network(AWSN)は、オーストラリアでサイバーセキュリティの役割を担う女性を増やすため、精力的に活動してきた。私たちは最近、コモンウェルス銀行（CBA）と共に、セキュリティに精通した開発者や専門家を対象としたセキュア・コーディング（tournament ）を開催し、友好的で競争的な環境の中で自分たちのスキルを披露した。

この7月17日のイベントには、様々な業界を代表する素晴らしい女性たちが多数参加し、彼女たちの貢献が、2030年までにオーストラリアを世界で最もサイバーセーフな国のひとつにするための一助となることは間違いない。

より安全な未来への支持

幸運なことに、オーストラリアのサイバーセキュリティ・コーディネータである Michelle McGuiness 中将が、AWSN/CBA/SCWtournament の合同イベントをサポートしてくれた。オーストラリアの「6つのサイバーシールド」イニシアティブに直接言及し、セキュア・バイ・デザインの原則を支持する彼女の言葉は、前向きな変化とソフトウェアの設計と実行のより高い水準にコミットする熱心なサイバー専門家の会場に響きました：

‍

‍

「私たちは、（サイバーセキュリティの）課題への取り組みに国全体を参加させたいと考えており、そのためには、強力で多様性のある、そしてもちろん包括的で歓迎されるサイバー労働力を構築することが含まれます。

私たちの戦略は、私たちのビジネス、組織、そして市民を守るための6つのサイバーシールドを中心に構築されています。おそらく今日のイベントに最も適切なのは、セキュア・バイ・デザインとセキュア・バイ・デフォルトに焦点を当てた戦略の下での我々の活動であろう。私たちは、デジタル機器やソフトウェアを購入する際、不必要なリスクにさらされることはないという確信を持つべきです。

そしてもちろん、産業界は、企業の利益、経済の利益......そして国家の安全保障のために、こうした道筋を育成し、成長させ、支援する上で大きな役割を担っている。Secure Code Warrior 、CBA、そして今日のイベントの開催にリーダーシップを発揮したAWSNを称賛する。"

女の子のようなコードを書くとどうなるか？

今回のような大規模なイベント（tournament ）が開催されるたびに、いつも信じられないことが目につく。通常、このようなイベントには何万人もの開発者が参加するが、業界全体がそうであるように、参加者のうち女性が占める割合はかなり低い。

しかし、女性の参加者が表彰台に上がり、賞金を分け合うことはよくあることです。このことは、伝統的に男性が支配的な空間に女性が溶け込んでいることを物語っていると思う。彼女たちは所属しているだけでなく、優秀な成績を収め、チーム内で憧れの存在となることができるのだ。

このイベントでの競争は熾烈を極め、総合優勝者のベラ・ハワードと シャネル・ヘアは、開発者主導のセキュリティ実践の最前線で輝かしい未来を築いていることは明らかです。彼らは優勝についてこう語っている：

「私たちはこの勝利に感激している！私たちの多様なスキルと経験が、互いを完璧に補い合ったと信じています。

また、全員が素晴らしいパフォーマンスを見せたことも評価したい。優勝できたことを本当に光栄に思うし、このイベントを心から楽しんだ。次回の大会でお会いできることを楽しみにしています。"

彼らをもう少しよく知ろう：

‍

• セキュアコーディングのスキルはいつから磨いているのですか？

私たちは2人ともITの学位を取得し、そこでセキュアコーディングのスキルを身につけた。ベラはサイバーセキュリティに強い関心を持つようになり、2人ともセキュリティ分野の知識を広げるためにイベントやワークショップに参加した。

入社以来、Secure Code Warrior を利用する機会があり、私たちの開発に役立っています。ベラはセキュアコーディングの実践に重点を置くことで、セキュリティアナリストとしての知識を高め、シャネルはソフトウェアエンジニアとしてセキュアな考え方を要求されるため、セキュアコーディングは彼女の責務の重要な一部となっています。

• これからコーディングのキャリアをスタートさせるSTEM分野の女性たちに、何かヒントはありますか？

セキュリティ・コミュニティに参加し、すでにその分野で活躍している人たちから学ぶことを強くお勧めします。また、女性主導のコミュニティに参加することは、同じ境遇にあり、貴重な指導や励ましを与えてくれる女性からサポートを得る素晴らしい方法です。

Secure CodingTournament などのイベントや業界関連のワークショップに参加して、楽しみながら学び、人脈を広げる。あなたのキャリアを指導し、貴重な見識を与えてくれるメンターを探しましょう。すべてを知った気になってから始めるのではなく、実際に経験することが、学ぶための最良の方法です。

• サイバーセキュリティのベストプラクティスの重要性を広めるために、あなたなら何をしますか？

セキュリティはすべての人の責任であることを強調することは極めて重要である。効果的なセキュリティを実現するためには、テクノロジーの利用者だけでなく、テクノロジー・スタック全体で働くすべての人が、セキュリティのベスト・プラクティスを認識し、遵守する必要があります。セキュリティが集団の責任であるという文化を醸成することで、システムとデータをよりよく保護することができます。

‍

すべての参加者に感謝するとともに、今後のプロジェクトでAWSNとパートナーシップを組むことを楽しみにしている。

‍

組織は、セキュア・バイ・デザインの原則は、開発者主導のセキュリティによってのみ成功裏に実装されることを理解している。結局のところ、開発者は、組織のソフトウエアの原動力となるコードを設計し、構築し、最終的にコミットする人たちである。このような貴重な貢献者に、セキュアコードのベストプラクティスを実装するための知識とスキルを保証することは、絶対に不可欠である。 しかし、これを実施するための課題は、開発者がソフトウェアを構築する際に使用するプログラミング言語と、セキュアコードの知識とスキルを整合させることに行き着くことが多い。

この課題は、組織のコードベースで使用されているプログラミング言語が膨大な量と混在しているため、さらに複雑になっている。では、CISO、AppSec、エンジニアリングのリーダーは、作成され、コミットされるコードが、そのコミットの特定のプログラミング言語における開発者のセキュアなコードの知識とスキルに裏打ちされたものであることを、どのように確認すればよいのだろうか。
‍

SCW信託代理店のご紹介

Secure Code Warrior は、この難問に答えるために SCW Trust Agent を発表した。SCW Trust Agent は、開発者主導のセキュリティを拡張するために必要な可視性と制御をセキュリティリーダーに提供し、開発者とチームがコミットされた内容のセキュリティを維持・改善しながら、より迅速にコードを提供できるようにします。
‍。

SCW信託銀行の仕組み

SCW Trust Agent はコードリポジトリに接続し、すべてのコードコミットのメタデータを評価します。コミットを行った開発者、使用されているプログラミング言語、コードが出荷された正確なタイムスタンプを検査します。そして、この分析と SCW のアジャイルlearning platform からのデータと洞察を組み合わせて、開発者が特定のプログラミング言語で十分なセキュリティ知識を持っているかどうかを判断します。この情報に基づいて、ポリシーの構成に従って、そのコミットの健全性の評価を返します。これらのポリシーは、管理者ユーザがカスタマイズして設定できる。管理者ユーザは、プロジェクトやリポジトリの全体的な感度に基づいて、要件の閾値を高くしたり低くしたりできるコミットに対して、特定のガイドラインと要件を設定できる。
‍

セキュリティ態勢の強化

このような可視性とカスタマイズ可能な制御を持つことで、組織はすべてのリポジトリ全体のコミットの健全性を洞察できるだけでなく、セキュリティ体制を強化するために必要なツールを提供し、プロアクティブなアプローチをとることでリスクを軽減することができます。SCW Trust Agent は、開発者がコミットを行う際に、使用している特定のコーディング言語のセキュリ ティ上の意味を熟知し、熟練していることを確認する。この保証により、悪用される可能性のある脆弱性をコードに不注意に導入する可能性が低くなります。
‍

開発ライフサイクルの最適化

このプロアクティブなアプローチは、組織の全体的なセキュリティ態勢を向上させるだけでなく、開発ライフサイクルにおける新たな最適化を推進することもできる。開発者がコミットする言語でセキュアなコードの知識とスキルを確実に身につけることで、後に特定と修正が必要となる脆弱性の混入件数を減らすことができる。修正と再作業は、開発者にとって多くの時間を浪費する傾向があり、しばしばワークフローを中断し、その速度に影響を与える。 プロアクティブなアプローチによって脆弱性を減らすことで、このような修正サイクルを最小限に抑え、開発チームは価値の高いコードと機能の提供に集中することができる。
‍

開発者主導のセキュリティの拡張

SCW Trust Agentは、開発者主導のセキュリティプログラムを拡張するために必要なツールを提供します。CISOとAppsecチームは、ポリシーの設計、適用、遵守に関する詳細な洞察により、適切なガバナンスを適用し、コンプライアンス基準を満たし、さらにそれを超えるために必要な可視性と制御を得ることができます。また、開発者は、提供するコードで使用する言語に特化したセキュアコードトレーニングにより、セキュアコードを迅速に提供できるようになります。

SCW Trust Agent は、Git ベースのソースコード管理ツールと連携し、オンプレミス、クラウドベース、手動アップロードなど、複数の接続オプションで簡単にコードリポジトリに接続できます。詳細については、www.scwtrustagent.com をご覧いただくか、弊社までお問い合わせください。お客様の組織のセキュリティ体制を強化し、開発者主導のセキュリティをスケーリングするために、弊社がどのようにお役に立てるか、ぜひご相談ください。

‍