開発者主導のセキュリティをThalesがどのように実装したか

背景

タレスグループは、航空宇宙、防衛、輸送、セキュリティ分野向けの電気システム、機器、装置を設計、開発、製造するフランスの多国籍企業です。ヴィシュワナート・S・チラヴリは、タレスのソフトウェアセキュリティ技術責任者です。ヴィシュワナート、またはヴィスは、プログラマーとしてセキュリティ分野でのキャリアをスタートさせました。 現在、同社でセキュリティ分野の最高責任者を務め、セキュリティ分野での経験は18年以上。CISSP、PMP、GSEを含む30以上の認定資格を保持し、18カ国以上で3,000人以上のソフトウェア専門家の育成に携わってきた。 さらに、国際的なサイバーセキュリティ大会（Netwarsなど）においてSANSチャレンジを10回以上制覇し、GIAC諮問委員会の現役メンバーでもある。当社はヴィスに、テレス社で成功したセキュアコーディング学習プログラムを構築するために、人材・プロセス・技術をいかに整合させたかについて話を聞いた。

状況

ヴィスがタレスに加入した際、彼は事業部門に対し、内部テストで発見された脆弱性の根源を調査するよう指導した。これは技術的負債の蓄積を削減する解決策として提案されたものである。アプリケーションセキュリティチームは、セキュリティ態勢強化のため、IAST/DASTツールから情報技術テストツールに至るまで、7社の異なるベンダーと連携していた。 ヴィスは市場動向を理解し、脅威をスケーラブルに管理することで、プロセスと技術の強力な統合による軽減戦略を構築したいと考えていた。これは純粋なツール依存型アプローチから、学習要素を重視した戦略への転換を意味した。彼は多くの開発者にセキュリティに関する知識やスキルが不足していることに気づいた。 当初のアプローチは、OWASPトップ10などのテーマについて開発者向けに教室でのトレーニングを提供することでしたが、対面指導に必要な移動や、世界中の何千人もの開発者にリーチする必要性を考慮すると、この方法ではスケーラブルではないとすぐに気づきました。Visは次のように述べています：

セキュリティと開発のバランスには常に不均衡が生じます。たとえ開発者に対するセキュリティ要員の比率が1:1であっても、彼らを常に高いモチベーションで維持することはできません。 開発者に新たな攻撃ベクトル、ベストプラクティス、新言語、最近発見された脆弱性について情報を提供するためには、開発者自身の自主学習を促進し、各自のペースで学べる環境を整える必要がありました。 支援が必要な場合は私がサポートできますが、彼らが発見した全ての脆弱性を修正する方法を教える役割は果たせないことに気づきました。」

当初、開発責任者たちは、多くの開発者がゼロから始めることを考慮すると、開発者がセキュアコーディングの習得に費やす時間に対して消極的でした。Visは、セキュアコーディングへの取り組みがソフトウェアのリリースサイクルを妨げたり、重要なスプリントを遅延させたりする可能性があるという認識に対処する必要がありました。 組織がセキュアなコードのアジャイル学習に時間を割くよう適切に動機付ける方法を見つける必要があった。Visは脆弱性を根源から解決するため、人を中心としたアプローチを採用した。 「セキュリティは開発の時間を奪うと言われることが多い。しかし私にとって、開発したものが安全でないなら、それは最初から時間の無駄だった。脆弱性を修正する必要がないよう、最初から安全なソフトウェアを開発すべきだ。信頼できるコードをリリースすることは、私たち全員の共通目標であるべきだ」

アクション

ヴィスの主な目的は二つあった：自社ソフトウェアのセキュリティ強化と、タレスの開発チームへのセキュリティ意識啓発である。開発者が自律的に、自身のペースで学習できるプログラムの導入が不可欠だった。 ヴィスの戦略は、時間をかけてセキュリティコミュニティを構築することでした。具体的には、セキュアコーディングを企業方針に結びつけ、組織内でコードの安全な学習を義務付ける枠組みを策定しました。開発者、テスター、アーキテクト、エンジニアをつなぐコミュニティ文化を促進することで、モチベーションの相乗効果が生まれたのです。 日常業務の中でセキュリティに情熱を燃やす「セキュリティチャンピオン」が自然発生し、組織内にセキュアコーディングの実践を広める原動力となった。ヴィスは十数社のセキュリティ研修プロバイダーを評価した末、2019年にSCWの顧客となった。 タレスにとって、断片的なソリューションではなく、自社の環境で使用される全プログラミング言語と全フレームワークを網羅するベンダーを頼りにできることは大きな利点でした。ヴィスはSecure Code Warrior 膨大なコンテンツを活用しSecure Code Warrior セキュリティプログラムの開発者が以下にアクセスできるトレーニングと自己学習コンテンツSecure Code Warrior

OWASPのトップ10は、単に知っておくべき10項目に留まりません。OWASPがカバーする脆弱性の深さと多様性、そして多数のプログラミング言語が組み合わさることで、圧倒されるほど広範な領域を扱っています。こうした幅広い課題と包括的なカバー範囲こそが、SCWを選んだ決め手となりました。彼らは常に新たな要素を追加し続けているのです。 SCWを際立たせているのは、その深み、トピックの多様性、最新のコンテンツ、そしてセキュアなコード設計原則への重点的な取り組みです。これらのおかげで、単発のトレーニングではなく、継続的なプログラムを構築する機会を得ることができました。」

ヴィスとそのチームは、安全なコード学習プログラムの導入を4段階に構造化し、エンジニアの役割ごとに異なるステップを設定しました：

SCWが脆弱性修正の信頼できる情報源となった点は重要である。問題を解決するためにGoogle検索に頼る代わりに、VisはAppSecチームのガイドラインとSCWコンテンツライブラリの両方を公開し、開発者がコード内の脆弱性修正について信頼性が高く真正な情報源を参照できるようにした。Visによれば：

開発者は脆弱性の修正方法を自由に決定し、その過程で新たな脆弱性を導入する可能性を許されるべきではありません。SCWのSCORM統合を通じてSCWの動画をLMSに組み込み、開発者が脆弱性を適切な方法で修正する方法を確実に習得できるようにしました。 これにより、安全なソフトウェアを提供する開発者を評価することも可能になりました。我々は開発者に一定のコーディングセキュリティレベルを要求しており、修正した脆弱性が再導入されないことでそのレベルを追跡できます。こうして彼らの努力は社内で認められ、評価されるのです。」

結果

ビスと彼のチームは、企業内で最も優秀な学習者を表彰できる暗号化された月次ニュースレターを発行しています。彼らはSCWを活用し、評価スコア、トーナメント参加率、直面した課題などを分析することで、この成果を拡大しています。これにより他の開発者も学習意欲を高めています。 当初設定したKPIは、2年間で脆弱性の総数を削減することを目的としていました。SCW導入後、下降傾向が確認されました。これらの脆弱性はソースコードレベルで再導入されていません。ヴィスはこう述べています：

「当社が経営陣に提示するKPIは、この厳選された選択を反映しています。お客様に信頼されるセキュアコーディング研修を提供できることを誇りに思います。当社は包括的なセキュアコーディング研修プログラムで認知され、お客様や同業者から高い評価を得ています。このようなプログラムは貴社に大きな価値をもたらします。」

主なポイント

ヴィスは、あらゆるセキュリティ対策において、人、プロセス、技術がそれぞれ重要な役割を担うことを認めた。 ソフトウェアのセキュリティ、開発者の知識、コンプライアンス遵守に重点を置くことで、コードの脆弱性を時間をかけて低減するセキュアコーディングプログラムのためのアジャイルな学習を構築することが可能である。Visは、開発者チームのセキュリティスキルを強化したいと考える同分野の専門家に向けて、これらの推奨事項を提案している。