背景

エンベストネット社は上場金融テクノロジー企業であり、5.3兆ドルの資産と1,850万以上の投資家口座を管理しています。エンベストネットの使命は、アドバイザーや金融サービス提供者に革新的な技術、ソリューション、情報を提供し、すべての人の金融的幸福を実現することです。 エンベストネットは、世界中の資産管理分野で金融アドバイザーが使用するサービスとソフトウェアを統合した主力アドバイザリープラットフォームにより、資産管理技術市場のリーダーとしての地位を確立しています。

エンベストネットのデータ管理におけるベストプラクティスへの取り組みには、資産運用プラットフォームの継続的な監視が含まれます。リスクベースの継続的コンプライアンス対策により、コンプライアンス上の問題や潜在的な不具合を迅速に特定・解決します。エンベストネットは、サービス提供において最高水準のセキュリティ対策を講じることで、顧客データの保護において業界をリードしています。

エンベストネットの製品セキュリティ責任者であり『アプリケーションセキュリティマニュアル』の著者であるデレク・フィッシャーが、Secure Code Warrior 包括的アプローチをご紹介します。このアプローチは、開発チーム向けにセキュアコードの迅速な導入を実現し、脆弱性の削減を目指しています。 デレクはアプリケーションセキュリティ分野で10年以上の経験を持ち、数多くのセキュリティ上の成功と失敗を目の当たりにしてきました。その独自の専門知識を活かし、エンベストネットの開発者向けにセキュアコード学習環境を構築しています。

状況

デレクが初めてアプリケーションセキュリティの分野で職務に就いた時、彼はOWASPトップ10やコンプライアンスに関する基礎トレーニングを超えることを目指していた。同社にはセキュアSDLCのプロセスが一部存在したが、それらは主に脆弱性の検出に重点を置いており、必ずしも根本的な修正を伴うものではなかった。

デレクによれば、「我々は皆、あらゆる組織で義務付けられている年次コンプライアンス研修についてよく知っている。これは通常、私が『パワーポイントによる死』と呼ぶもので、大量のスライドと、おそらく最後に評価があるだけだ... これは本当に非効率的で時間がかかる。我々は研修を受けたが、それは通常のコンプライアンス研修を基盤とし、スライドと音声記録に基づくセキュリティ特化研修だった。開発者たちの関心が低く、教材からあまり学んでいないことに気づいた。そこで戦略を変更せざるを得なかった」

この伝統的な戦略、つまり単にOWASPに準拠した受動的なコンプライアンス研修を通じて開発者を育成するという手法は、デレクとそのチームにとって特に苦痛を伴うものでした。研修の効果を測定できなかったため、脆弱性管理に費やす時間がますます増加していったのです。



デレクは、脆弱性の根源である開発者によって本番環境に投入された安全でないコードを検証することが重要であり、単に追加のツールを導入するだけでは解決策にならないと認めた。

デレクとそのチームは2020年、脆弱性の軽減に重点を置き、最初からより安全なコードを書くことを目指しました。彼らは「左にシフト」戦略を採用し、修正コストがはるかに低い段階で、SDLCのより早い段階で脆弱性を処理・修正しました。

しかし何よりもまず、彼らは既存のApp Sectrainingに対する開発者側の歴史的に低い関与に直面しなければならなかった。彼は、コードの安全な学習戦略において単なる「チェックボックス」的な考え方を導入することを避け、Envestnetの開発者に対してより効果的で機敏なコードの安全な学習体験を提供したいと考えていた。

SCWとその能力を目の当たりにした時、より実践的で双方向的なアプローチこそが我々にとって正しい解決策だと確信しました。エンジニアや開発者がこの研修を終える頃には、現実の問題に対する実践的な知識をより深く身につけている状態を目指したのです。 私たちは『トレーニングで見たことがある』という筋肉記憶を育みたかったのです。つまり『目の前のコーディング問題にどう対処すべきか、私は知っている』という感覚です。Secure Code Warrior エンジニアや開発者が実際に手を動かし、セキュアコーディングのベストプラクティスとは何か、悪いコーディングとはどのようなものか、脆弱性を迅速に解決する方法を真にSecure Code Warrior 。」

Derek Fisher, Envestnet製品セキュリティ責任者

アクション

デレックは特に、セキュアコーディングのスキルを認定資格で評価するベルト戦略の導入に力を入れていた。4段階のプログラムは、セキュリティ意識の基盤を固めること（レベル1と2）を目的とし、その後開発者がセキュリティのチャンピオンとなる道を開く（レベル3と4）ことを目指していた。 これにより、開発者がセキュアコーディングの概念をどの程度維持しているかを測定できないという課題が解決されると同時に、セキュリティ意識の高い開発者がキャリアパスを通じてより複雑なセキュリティ課題に対応できるスキルを磨ける道筋が保証された。

彼らは小規模なパイロットプロジェクトでこれをテストし、関係する開発者からフィードバックを求めました。フィードバックは非常に好意的でした。デレクは次のように記しています：

「これらの要素は必ずしも良い結果をもたらすとは限りません。トレーニングについて肯定的なフィードバックをいただくたびに、この点を強く強調しておきます。それは珍しいことです。それが適切なツールである良い指標となります。」

エンベストネットは2021年春に初のトーナメントを開催し、開発者の参加意欲の観点からより良好な結果を記録しました。 その後、Derekはデータベース、フロントエンド、API、クラウド開発者向けに、自社のLMSに統合された一連のコースを開始しました。2021年秋にEnvestnetが2回目のコンテストを開催した時点で、参加開発者の総数は倍増していました。

デレクによれば、エンベストネットはトーナメントで大成功を収めた。なぜなら、

「競争がモチベーションの源であることは誰もが知っています。私たちは皆、特定の分野での優れた成果を仲間から認められたいと思っており、それが人々に大会への参加と成功への意欲を本当に掻き立てます。この点と開発ツールへの統合が、Secure Code Warrior真の価値を私たちに示してくれました。」

デレクとチームはまた、Secure Code Warrior 統合する作業も行いました。これにより、特定の脆弱性が再現された場合、開発者は慣れ親しんだ環境を離れることなく、Jiraチケット内で直接、即時の修正アドバイスにアクセスできるようになりました。 これにより、開発者は貴重なコンテキストと、脆弱性の修正方法に関するオンデマンドの即時トレーニングを、必要な場所で、影響の発生点で受けられるようになりました。 Derekのチームはまた、Secure Code Warrior 協力Secure Code Warrior セキュリティデーSecure Code Warrior 、より広範なCEOの支持を獲得するとともに、Envestnetの成功におけるエンジニアリングとセキュリティの役割の重要性を強化しました。 経営陣と開発者のこのような支持を得て、エンベストネットはプログラムを現在の規模まで拡大することができました。現在、同社は特定した全セキュリティチャンピオンをプログラムに登録し、チーム全体の60％がレベル1または2の認定を取得しています。

結果

エンベストネットが自社の成功を測るために用いた手法の一つは、SCW学習プログラムを受講したチームを調査し、脆弱性の発生率が低下したか、あるいは脆弱性の修正がより迅速に行われるようになったかを判断することでした。その結果は驚くべきものでした：

• SCWで訓練を受けた開発者は、同等の開発者よりも2.7倍多くの脆弱性を修正した
• SCWで訓練を受けた100人の開発者が短期間で450の脆弱性を修正した
• SCWで訓練を受けた1,200人の開発者により、Envestnetは各々の対応待ちリストにおける是正措置を120％増加させることができた
• 1年間で、2つの製品ラインにおいて、SCWで訓練を受けた開発者は脆弱性に関連する問題を1人あたり4.5件解決したのに対し、同僚開発者は1人あたりわずか1.82件であった。
• すべてのセキュリティチャンピオンは2022年に認定プログラムを修了しました
• セキュリティ意識の高い開発者の60％以上がレベル1とレベル2を経ています


主なポイント

デレックは、安全なコード学習の道を歩み始めたばかりの人々に以下のアドバイスを提供します：

セキュリティ分野における私たちの仕事は、組織内のリスクを低減することです。これが私たちの真の指針であり、常に追求すべき目標です。重大な脆弱性が必ずしも最も高いリスクを示すとは限らず、組織に最も大きな影響を与えるとも限りません。 低リスクと高リスクの脆弱性が組み合わさり、はるかに強力な攻撃チェーンを形成する場合もあるのです。脆弱性が時間とともに蓄積されるほど、リスクは増大します。Secure Code Warrior、アジャイルなセキュアコーディング学習を通じて、この潜在的な脆弱性チェーンを事前に軽減する先制的なアプローチが可能になります。」

• 脆弱性をテストして報告するだけでは満足しないでください。結局、開発者にとって騒ぎになるだけです。
• AppSecはむしろ開発者のパートナーとなるべきであり、セキュアなコード学習戦略を実施する前に、開発者の理解と協力を得ることが重要です。
• ローマは一日にして成らず。あなたのプログラムは、リスクプロファイルの変化、企業の成長、そして技術とツールの進化に応じて進化していく必要があります。
• 最も効果的な長期戦略は、周囲の人々のセキュリティIQを向上させ、生み出される脆弱性の総数を減らすことである。

背景

タレスグループは、航空宇宙、防衛、輸送、セキュリティ分野向けの電気システム、機器、装置を設計、開発、製造するフランスの多国籍企業です。ヴィシュワナート・S・チラヴリは、タレスのソフトウェアセキュリティ技術責任者です。ヴィシュワナート、またはヴィスは、プログラマーとしてセキュリティ分野でのキャリアをスタートさせました。 現在、同社でセキュリティ分野の最高責任者を務め、セキュリティ分野での経験は18年以上。CISSP、PMP、GSEを含む30以上の認定資格を保持し、18カ国以上で3,000人以上のソフトウェア専門家の育成に携わってきた。 さらに、国際的なサイバーセキュリティ大会（Netwarsなど）においてSANSチャレンジを10回以上制覇し、GIAC諮問委員会の現役メンバーでもある。当社はヴィスに、テレス社で成功したセキュアコーディング学習プログラムを構築するために、人材・プロセス・技術をいかに整合させたかについて話を聞いた。

状況

ヴィスがタレスに加入した際、彼は事業部門に対し、内部テストで発見された脆弱性の根源を調査するよう指導した。これは技術的負債の蓄積を削減する解決策として提案されたものである。アプリケーションセキュリティチームは、セキュリティ態勢強化のため、IAST/DASTツールから情報技術テストツールに至るまで、7社の異なるベンダーと連携していた。 ヴィスは市場動向を理解し、脅威をスケーラブルに管理することで、プロセスと技術の強力な統合による軽減戦略を構築したいと考えていた。これは純粋なツール依存型アプローチから、学習要素を重視した戦略への転換を意味した。彼は多くの開発者にセキュリティに関する知識やスキルが不足していることに気づいた。 当初のアプローチは、OWASPトップ10などのテーマについて開発者向けに教室でのトレーニングを提供することでしたが、対面指導に必要な移動や、世界中の何千人もの開発者にリーチする必要性を考慮すると、この方法ではスケーラブルではないとすぐに気づきました。Visは次のように述べています：

セキュリティと開発のバランスには常に不均衡が生じます。たとえ開発者に対するセキュリティ要員の比率が1:1であっても、彼らを常に高いモチベーションで維持することはできません。 開発者に新たな攻撃ベクトル、ベストプラクティス、新言語、最近発見された脆弱性について情報を提供するためには、開発者自身の自主学習を促進し、各自のペースで学べる環境を整える必要がありました。 支援が必要な場合は私がサポートできますが、彼らが発見した全ての脆弱性を修正する方法を教える役割は果たせないことに気づきました。」

当初、開発責任者たちは、多くの開発者がゼロから始めることを考慮すると、開発者がセキュアコーディングの習得に費やす時間に対して消極的でした。Visは、セキュアコーディングへの取り組みがソフトウェアのリリースサイクルを妨げたり、重要なスプリントを遅延させたりする可能性があるという認識に対処する必要がありました。 組織がセキュアなコードのアジャイル学習に時間を割くよう適切に動機付ける方法を見つける必要があった。Visは脆弱性を根源から解決するため、人を中心としたアプローチを採用した。 「セキュリティは開発の時間を奪うと言われることが多い。しかし私にとって、開発したものが安全でないなら、それは最初から時間の無駄だった。脆弱性を修正する必要がないよう、最初から安全なソフトウェアを開発すべきだ。信頼できるコードをリリースすることは、私たち全員の共通目標であるべきだ」

アクション

ヴィスの主な目的は二つあった：自社ソフトウェアのセキュリティ強化と、タレスの開発チームへのセキュリティ意識啓発である。開発者が自律的に、自身のペースで学習できるプログラムの導入が不可欠だった。 ヴィスの戦略は、時間をかけてセキュリティコミュニティを構築することでした。具体的には、セキュアコーディングを企業方針に結びつけ、組織内でコードの安全な学習を義務付ける枠組みを策定しました。開発者、テスター、アーキテクト、エンジニアをつなぐコミュニティ文化を促進することで、モチベーションの相乗効果が生まれたのです。 日常業務の中でセキュリティに情熱を燃やす「セキュリティチャンピオン」が自然発生し、組織内にセキュアコーディングの実践を広める原動力となった。ヴィスは十数社のセキュリティ研修プロバイダーを評価した末、2019年にSCWの顧客となった。 タレスにとって、断片的なソリューションではなく、自社の環境で使用される全プログラミング言語と全フレームワークを網羅するベンダーを頼りにできることは大きな利点でした。ヴィスはSecure Code Warrior 膨大なコンテンツを活用しSecure Code Warrior セキュリティプログラムの開発者が以下にアクセスできるトレーニングと自己学習コンテンツSecure Code Warrior

OWASPのトップ10は、単に知っておくべき10項目に留まりません。OWASPがカバーする脆弱性の深さと多様性、そして多数のプログラミング言語が組み合わさることで、圧倒されるほど広範な領域を扱っています。こうした幅広い課題と包括的なカバー範囲こそが、SCWを選んだ決め手となりました。彼らは常に新たな要素を追加し続けているのです。 SCWを際立たせているのは、その深み、トピックの多様性、最新のコンテンツ、そしてセキュアなコード設計原則への重点的な取り組みです。これらのおかげで、単発のトレーニングではなく、継続的なプログラムを構築する機会を得ることができました。」

ヴィスとそのチームは、安全なコード学習プログラムの導入を4段階に構造化し、エンジニアの役割ごとに異なるステップを設定しました：

SCWが脆弱性修正の信頼できる情報源となった点は重要である。問題を解決するためにGoogle検索に頼る代わりに、VisはAppSecチームのガイドラインとSCWコンテンツライブラリの両方を公開し、開発者がコード内の脆弱性修正について信頼性が高く真正な情報源を参照できるようにした。Visによれば：

開発者は脆弱性の修正方法を自由に決定し、その過程で新たな脆弱性を導入する可能性を許されるべきではありません。SCWのSCORM統合を通じてSCWの動画をLMSに組み込み、開発者が脆弱性を適切な方法で修正する方法を確実に習得できるようにしました。 これにより、安全なソフトウェアを提供する開発者を評価することも可能になりました。我々は開発者に一定のコーディングセキュリティレベルを要求しており、修正した脆弱性が再導入されないことでそのレベルを追跡できます。こうして彼らの努力は社内で認められ、評価されるのです。」

結果

ビスと彼のチームは、企業内で最も優秀な学習者を表彰できる暗号化された月次ニュースレターを発行しています。彼らはSCWを活用し、評価スコア、トーナメント参加率、直面した課題などを分析することで、この成果を拡大しています。これにより他の開発者も学習意欲を高めています。 当初設定したKPIは、2年間で脆弱性の総数を削減することを目的としていました。SCW導入後、下降傾向が確認されました。これらの脆弱性はソースコードレベルで再導入されていません。ヴィスはこう述べています：

「当社が経営陣に提示するKPIは、この厳選された選択を反映しています。お客様に信頼されるセキュアコーディング研修を提供できることを誇りに思います。当社は包括的なセキュアコーディング研修プログラムで認知され、お客様や同業者から高い評価を得ています。このようなプログラムは貴社に大きな価値をもたらします。」

主なポイント

ヴィスは、あらゆるセキュリティ対策において、人、プロセス、技術がそれぞれ重要な役割を担うことを認めた。 ソフトウェアのセキュリティ、開発者の知識、コンプライアンス遵守に重点を置くことで、コードの脆弱性を時間をかけて低減するセキュアコーディングプログラムのためのアジャイルな学習を構築することが可能である。Visは、開発者チームのセキュリティスキルを強化したいと考える同分野の専門家に向けて、これらの推奨事項を提案している。

何を、いつ、なぜ、開発者をもっと巻き込むべきなのかを説明します。

‍

IAGグループは、アジア太平洋地域における数多くの主要保険会社の母体であり、年間約114億豪ドルの保険料で数百万の顧客に保険契約を提供しています。ビアンカ・ワースは、IAGグループの企業セキュリティに関する教育と啓発を担当しています。 開発チーム内におけるセキュリティ意識と厳格な実践の必要性を強く認識し、チームが安全なコーディング技術という重要な手法を学べる真に革新的で最適な環境の構築に着手しました。

ENTREZ : コードのゲーム

挑戦

開発者は、複数の納品物や進行中のプロジェクトに追われ、常に時間的制約に直面しています。しかし、何百万もの機密性の高い顧客データプロファイルをハッカーから保護することは言うまでもなく、セキュリティに関するベストプラクティスを常に把握することは、あらゆる組織にとって最優先事項です。 ビアンカとそのチームは、サイバーセキュリティ対策の強化に向け明確な目標を設定しました。最優先課題として、IAGが開発するアプリケーションの攻撃対象領域を最小化することとし、開発者に対し重大かつ高リスクな脆弱性の特定と修正方法を教育することでこの課題に取り組む方針です。 確かに長期間のセキュアコーディング研修は存在するが、それらは煩雑で時間がかかり、納期が厳しい開発プロジェクトに専念すべき主要スタッフを拘束し、企業全体にプレッシャーをかける可能性がある。 開発チームのスキルを迅速に向上させ、作業負荷や運用への影響を最小限に抑える必要性が明らかになりました。さらに、オーストラリアとニュージーランドの開発者がそれぞれ異なるシステムで作業していたため、これは簡単な課題ではありませんでした。

「今年、私はソースコードに変更を加え、SQLインジェクションの脆弱性を除去しました。この知識については、Game of Codesに感謝しています。セキュアコーディングを意識しておくこと自体も有益です。コンテストは人々に最善を尽くさせる良い手段です... だって、正直言ってセキュリティは誰にとっても最も興味深い話題じゃない。だから、人々を巻き込むには良い方法なんだ。」開発者R 、IAG

実施

ビアンカは、社内開発者のスキル向上を目的としたトーナメントやトレーニングの実施Secure Code Warrior 、チームおよびSecure Code Warrior 連携し、遊び心のあるトレーニング体験を展開する戦略を策定しました。 このため、強力なコミュニケーション戦略の構築が不可欠であり、また全く新しいプラットフォームを採用し、その可能性を最大限に活用する従業員の多様な動機や性格を考慮する必要がありました：

「私たちはコミュニケーション計画を策定し、従業員や主要な利害関係者に伝えるべきポイント、主要メッセージ、そして彼らにも応答してもらうためのインセンティブをどのように伝えるかを示しました。ほとんどの人はゲーミフィケーション体験を本当に楽しんでいます。それは彼らの性格、動機、そして何に駆り立てられるかによって異なります。 だからこそ、私たちは人々の多様な動機に応えようと努めています。賞品に熱狂する人もいれば、達成感そのもので満足する人もいるのです」と彼女は 語った。

ビアンカとIAGは、Secure Code Warriorゲーミフィケーション学習プラットフォームを巧みに紹介し、トーナメントを「コードゲーム」と称される楽しい競技体験へと変貌させた。スタッフは中世をテーマにした家々に配置され（プレイヤーにはブランドグッズが提供）、HBO制作の同名作品にふさわしい戦いを繰り広げた。

この大会は国際的な舞台にも拡大され、オーストラリアとニュージーランドの対戦が間もなく開始される。これによりIAGは両国の主要な安全チャンピオンを特定し、チームが共同でスキルを強化する機会を得られる。

結果

Game of Codesは実際には専門的なトレーニングプログラムです。インタラクティブで楽しいトーナメント形式での展開により、スタッフは様々な形で関与し続けましたが、演習の基本的な実用性は変わりませんでした。それは、IAGが開発したアプリケーションにおける高リスクの脆弱性を特定し、無力化するスキルを開発者に提供することです。

開発者とセキュリティチームがセキュリティ中心の視点で作業し、脆弱性を特定するだけでなく初期段階で修正する体制を整えることで、IAGは高コストな侵入テスト演習の削減と、それを実施するチームへの負担軽減を見込んでいます。

この重要なスキルが継続的に育成されることに加え、Game of Codesは関係構築にも貢献しました。参加チーム間に仲間意識と友好的な競争心を醸成すると同時に、プレイヤーがスコアリング方式のトーナメント環境で自身のセキュアコーディング能力を測る中で、その能力に対する自信を深める手助けとなったのです。

ビアンカは、プログラムに対する内部の支持が非常に大きく、経営陣からも好意的に受け入れられたと述べた。これにより、プログラムの推進と組織内の安全確保を推進したいと考える人々が参加できる「アンバサダープログラム」も導入された：

「これは一部の開発者にとって素晴らしい展示会であり、彼らのスキルを効果的にアピールする機会となりました。また、彼ら自身の仕事にも良い影響を与えている点は、特筆すべきことです。」

「単なるゲーム」や、部門責任者がコンプライアンス研修を受けるための単なる楽しい手段とは程遠い存在であるGame of Codesは、魅力的な定着促進ソリューションを提供し、初心者を短期間でセキュリティの達人へと変貌させます。これは大規模な侵害リスクを最小限に抑えるために不可欠な要素です。

そして最後の一言、ビアンカ本人からのアドバイス：

「プログラムを展開して、人々がそれを使うことを期待しても、それは機能しません。行動変容を促し、動機づける枠組みの中で、そのことを前提にプログラムを設計する必要があります。私たちが構築したのは、本質的に開発者向けの、セキュリティに焦点を当てた変革管理プログラムでした。」

Game of Codesのトレーニングセッションを受講した後、私はセキュリティ分野への関心がより強まり、自動化テストの作成時にセキュリティを考慮するようになったことに気づきました。私はアジャイルチーム内のシニアテスターとして活動しており、これらのトレーニングセッションを通じてセキュリティテストについてさらに学び、専門分野として追求する可能性について考えるようになりました。A , シニアテスター IAG

ファクト・ア・ピックス

• ゲーミフィケーション学習に加え、IAGは開発者採用のためのスキルテストSecure Code Warrior 活用しています。
• 彼らは現在、開発チームの100％に対してプログラムを展開中であり、そのうち55％が既にシステム内で活動しています。
• 彼らは、時間の経過に伴うリスク最小化とコスト削減という観点からプログラムの成功を測定するための内部パラメータの主要なセットを開発した。
  

‍

‍