タレスが開発者主導型セキュリティを実装した方法
バックグラウンド
タレスグループはフランスの多国籍企業で、航空宇宙、防衛、輸送、セキュリティ分野向けの電気システムのほか、デバイスや機器の設計、開発、製造を行っています。Viswanath S. Chirravuri は、タレスのソフトウェアセキュリティテクニカルディレクターです。Viswanath、または Vis は、最初はプログラマーとしてセキュリティ業界でキャリアをスタートさせました。彼は現在タレスのシニアセキュリティリーダーであり、セキュリティ業界で18年以上の経験を積み、CISSP、PMP、GSEを含む30以上の認定を取得しています。18か国以上で3,000人を超えるソフトウェア専門家を教育してきました。さらに、Visは国際的なサイバーセキュリティ大会(Netwarsなど)で10枚以上のSANSチャレンジコインを獲得し、GIAC諮問委員会の積極的なメンバーでもあります。私たちはVis氏に話を聞き、タレスで安全なコード学習プログラムを成功させるために、どのように人、プロセス、テクノロジーを結びつけたかを伺いました。
状況
Visがタレスに入社したとき、彼はビジネスユニットに、ペネトレーションテストで発見された脆弱性の原因を調査するよう指導しました。これは、未処理の技術的負債を減らすための可能な解決策です。アプリケーションセキュリティチームは、IAST/DASTツールからペネトレーションテストツールまで、協力していた7つの異なるベンダーを使ってセキュリティ体制を強化しました。Visは、プロセスとテクノロジーの強固な統合を通じて緩和戦略を策定するために、市場動向を理解し、脅威をスケーラブルに管理したいと考えていました。つまり、純粋にツールベースのアプローチから、強力な学習要素を備えた戦略への移行が必要でした。彼は、多くの開発者がセキュリティのバックグラウンドもスキルも持っていないことに気づきました。当初のアプローチは、OWASP Top 10のようなトピックに関する教室形式のトレーニングを開発者に提供することでしたが、対面で教えるための出張や、世界中の何千人もの開発者にリーチする必要があるため、すぐにスケールが合わないと気づきました。Vis氏は次のように指摘しています。
「安全保障と開発の比率には常に不均衡が生じます。セキュリティと開発者の比率が 1:1 だったとしても、開発者を常に引き付けることはできませんでした。新しい攻撃ベクトル、ベストプラクティス、新しい言語、新たに発見された脆弱性について開発者に常に最新の情報を提供し続けるには、開発者による自己学習を促進し、自分のペースで進められるようにする必要がありました。彼らが助けを必要とするなら、私は彼らを助けることはできましたが、彼らが見つけたすべての脆弱性を修正する方法を私が教えることはできないと気づきました。」
当初、非常に多くの開発者がゼロから始めたことを認識し、開発マネージャーからは、開発者が安全なコード学習に費やす必要がある時間について反発がありました。Visは、安全なコード学習への取り組みがソフトウェアのリリースサイクルを混乱させたり、ミッションクリティカルなスプリントを遅らせたりする可能性があるという認識に対処する必要がありました。彼は、安全なコードのためのアジャイル学習に時間を費やすよう組織に適切な動機を与える方法を見つける必要がありました。Visは人を第一に考える姿勢で脆弱性の根源に対処しました。 「セキュリティは開発から時間を奪うと言われることが多い。私にとって、何かを開発したのにそれが安全でないなら、そもそも時間の無駄だった。常に安全なソフトウェアを開発し、簡単に回避できたはずの脆弱性を修正する手間を省くべきだ。信頼できるコードを提供するという共通の目標を、私たち全員が持つべきである。」
アクション
Visは、自社のソフトウェアを保護することと、タレスの開発チームのセキュリティ意識を高めることという2つの主要な目標を念頭に置いていました。開発者が自立し、自身のペースでトレーニングできるプログラムの実装が重要でした。Visの戦略は、時間をかけてセキュリティコミュニティを構築し、安全なコーディングを企業ポリシーと結びつけるよう取り組み、組織内で安全なコード学習を義務付けることでした。開発者、テスター、アーキテクト、エンジニアをつなぐコミュニティ文化を奨励することで、相乗効果によるモチベーション向上が見られました。日常業務の一環としてセキュリティに情熱を注ぐ「セキュリティチャンピオン」が台頭したことで、安全なコーディング手法への意識が組織全体に広がりました。Visは十数社のセキュリティトレーニングベンダーを評価し、2019年にSCWの顧客となりました。タレスにとって、断片的なソリューションではなく、環境内のすべてのプログラミング言語とフレームワークをカバーするベンダーが存在することは大きなメリットでした。Visは、Secure Code Warriorの膨大な量のコンテンツを活用し、セキュリティプログラムの開発者が利用できるトレーニングと自分のペースで学習できる学習を構築し、以下にアクセスできるようにしました。
OWASPのトップ10は、知っておくべき10のことだけではありません。OWASPがカバーする脆弱性の深さと多様性、そして膨大な数のプログラミング言語が組み合わさると、圧倒的になりかねません。これらに関して私たちが抱えている課題と対象範囲が広いことが、SCWを選んだ主な要因でした。常に新しいものが追加されています。深さ、トピックの多様性、最新のコンテンツ、安全なコード設計の原則への注力が、SCW を本当に際立たせています。これにより、1 回限りのトレーニングではなく、継続的なプログラムを構築する機会を得ることができました。」
Visと彼のチームは、エンジニアリングの役割ごとに異なるマイルストーンを設定し、セキュアコードラーニングプログラムの展開を4つのレベルに分けて構成しました。
重要なのは、SCWが脆弱性修正の信頼できる情報源となったことです。Visは、トラブルシューティングにつながる可能性のあるGoogle検索に頼るのではなく、AppSecチームのガイドラインとSCWのコンテンツライブラリのガイドラインの両方を公開しました。これにより、開発者はコード内の脆弱性修正の信頼できるソースを参照できます。Visによれば:
「開発者が脆弱性を修正する方法や、その過程で新たな脆弱性を導入する方法を自由に決めるべきではありません。開発者が脆弱性を正しい方法で修正する方法を学べるよう、SCW の SCORM 統合を通じて SCW ビデオを LMS に統合しました。これにより、安全なソフトウェアを提供する開発者が確実に認知される方法も得られました。私たちは開発者に一定レベルの安全なコーディングを求めます。そして、開発者が解決した脆弱性を追跡し、再導入しないようにします。そうすれば、彼らのハードワークが社内で認められ、評価されるのです。」
結果
Visと彼のチームは、社内でトップクラスの学習者を紹介するセキュアコードニュースレターを毎月発行しています。SCWを活用し、評価スコア、トーナメントへの参加、達成度向上のための課題に取り組んでいます。これにより、他の開発者の学習意欲も高まります。彼が最初に設定したKPIは、2年間で脆弱性の総数を削減することに重点を置いていました。SCW導入後、トレンドラインが減少傾向にあることに気づきました。これらの脆弱性はソースコードレベルで再導入されていません。Visはこう述べています。
「私たちが経営陣に提示するKPIは、私たちが行った十分な情報に基づいた選択を反映しています。私たちは、お客様にビジネス上の信頼をもたらす安全なコードトレーニングを受けていることを誇りに思っています。私たちは、包括的なセキュアコードトレーニングプログラムが評価され、お客様や同業他社から尊敬されています。このようなプログラムがあると、会社に大きな価値がもたらされます。」
重要なポイント
Visは、あらゆるセキュリティイニシアチブにおいて、人、プロセス、テクノロジーのすべてが果たすべき役割があることを認識していました。ソフトウェアのセキュリティ、開発者の知識、コンプライアンスへの対応に重点を置くことで、時間の経過とともにソースコードの脆弱性を軽減する安全なコードプログラムのためのアジャイルラーニングをまとめることができます。Visは、開発者チームでセキュリティスキルを身につけたいと考えている同分野の専門家にこれらの推奨事項を提示しています。
このケーススタディでは、開発者を積極的にセキュリティチャンピオンに育成するために、タレスがアジャイルセキュアコード学習プログラムのための人材、プロセス、テクノロジーアプローチをどのように開発したかを学びます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
バックグラウンド
タレスグループはフランスの多国籍企業で、航空宇宙、防衛、輸送、セキュリティ分野向けの電気システムのほか、デバイスや機器の設計、開発、製造を行っています。Viswanath S. Chirravuri は、タレスのソフトウェアセキュリティテクニカルディレクターです。Viswanath、または Vis は、最初はプログラマーとしてセキュリティ業界でキャリアをスタートさせました。彼は現在タレスのシニアセキュリティリーダーであり、セキュリティ業界で18年以上の経験を積み、CISSP、PMP、GSEを含む30以上の認定を取得しています。18か国以上で3,000人を超えるソフトウェア専門家を教育してきました。さらに、Visは国際的なサイバーセキュリティ大会(Netwarsなど)で10枚以上のSANSチャレンジコインを獲得し、GIAC諮問委員会の積極的なメンバーでもあります。私たちはVis氏に話を聞き、タレスで安全なコード学習プログラムを成功させるために、どのように人、プロセス、テクノロジーを結びつけたかを伺いました。
状況
Visがタレスに入社したとき、彼はビジネスユニットに、ペネトレーションテストで発見された脆弱性の原因を調査するよう指導しました。これは、未処理の技術的負債を減らすための可能な解決策です。アプリケーションセキュリティチームは、IAST/DASTツールからペネトレーションテストツールまで、協力していた7つの異なるベンダーを使ってセキュリティ体制を強化しました。Visは、プロセスとテクノロジーの強固な統合を通じて緩和戦略を策定するために、市場動向を理解し、脅威をスケーラブルに管理したいと考えていました。つまり、純粋にツールベースのアプローチから、強力な学習要素を備えた戦略への移行が必要でした。彼は、多くの開発者がセキュリティのバックグラウンドもスキルも持っていないことに気づきました。当初のアプローチは、OWASP Top 10のようなトピックに関する教室形式のトレーニングを開発者に提供することでしたが、対面で教えるための出張や、世界中の何千人もの開発者にリーチする必要があるため、すぐにスケールが合わないと気づきました。Vis氏は次のように指摘しています。
「安全保障と開発の比率には常に不均衡が生じます。セキュリティと開発者の比率が 1:1 だったとしても、開発者を常に引き付けることはできませんでした。新しい攻撃ベクトル、ベストプラクティス、新しい言語、新たに発見された脆弱性について開発者に常に最新の情報を提供し続けるには、開発者による自己学習を促進し、自分のペースで進められるようにする必要がありました。彼らが助けを必要とするなら、私は彼らを助けることはできましたが、彼らが見つけたすべての脆弱性を修正する方法を私が教えることはできないと気づきました。」
当初、非常に多くの開発者がゼロから始めたことを認識し、開発マネージャーからは、開発者が安全なコード学習に費やす必要がある時間について反発がありました。Visは、安全なコード学習への取り組みがソフトウェアのリリースサイクルを混乱させたり、ミッションクリティカルなスプリントを遅らせたりする可能性があるという認識に対処する必要がありました。彼は、安全なコードのためのアジャイル学習に時間を費やすよう組織に適切な動機を与える方法を見つける必要がありました。Visは人を第一に考える姿勢で脆弱性の根源に対処しました。 「セキュリティは開発から時間を奪うと言われることが多い。私にとって、何かを開発したのにそれが安全でないなら、そもそも時間の無駄だった。常に安全なソフトウェアを開発し、簡単に回避できたはずの脆弱性を修正する手間を省くべきだ。信頼できるコードを提供するという共通の目標を、私たち全員が持つべきである。」
アクション
Visは、自社のソフトウェアを保護することと、タレスの開発チームのセキュリティ意識を高めることという2つの主要な目標を念頭に置いていました。開発者が自立し、自身のペースでトレーニングできるプログラムの実装が重要でした。Visの戦略は、時間をかけてセキュリティコミュニティを構築し、安全なコーディングを企業ポリシーと結びつけるよう取り組み、組織内で安全なコード学習を義務付けることでした。開発者、テスター、アーキテクト、エンジニアをつなぐコミュニティ文化を奨励することで、相乗効果によるモチベーション向上が見られました。日常業務の一環としてセキュリティに情熱を注ぐ「セキュリティチャンピオン」が台頭したことで、安全なコーディング手法への意識が組織全体に広がりました。Visは十数社のセキュリティトレーニングベンダーを評価し、2019年にSCWの顧客となりました。タレスにとって、断片的なソリューションではなく、環境内のすべてのプログラミング言語とフレームワークをカバーするベンダーが存在することは大きなメリットでした。Visは、Secure Code Warriorの膨大な量のコンテンツを活用し、セキュリティプログラムの開発者が利用できるトレーニングと自分のペースで学習できる学習を構築し、以下にアクセスできるようにしました。
OWASPのトップ10は、知っておくべき10のことだけではありません。OWASPがカバーする脆弱性の深さと多様性、そして膨大な数のプログラミング言語が組み合わさると、圧倒的になりかねません。これらに関して私たちが抱えている課題と対象範囲が広いことが、SCWを選んだ主な要因でした。常に新しいものが追加されています。深さ、トピックの多様性、最新のコンテンツ、安全なコード設計の原則への注力が、SCW を本当に際立たせています。これにより、1 回限りのトレーニングではなく、継続的なプログラムを構築する機会を得ることができました。」
Visと彼のチームは、エンジニアリングの役割ごとに異なるマイルストーンを設定し、セキュアコードラーニングプログラムの展開を4つのレベルに分けて構成しました。
重要なのは、SCWが脆弱性修正の信頼できる情報源となったことです。Visは、トラブルシューティングにつながる可能性のあるGoogle検索に頼るのではなく、AppSecチームのガイドラインとSCWのコンテンツライブラリのガイドラインの両方を公開しました。これにより、開発者はコード内の脆弱性修正の信頼できるソースを参照できます。Visによれば:
「開発者が脆弱性を修正する方法や、その過程で新たな脆弱性を導入する方法を自由に決めるべきではありません。開発者が脆弱性を正しい方法で修正する方法を学べるよう、SCW の SCORM 統合を通じて SCW ビデオを LMS に統合しました。これにより、安全なソフトウェアを提供する開発者が確実に認知される方法も得られました。私たちは開発者に一定レベルの安全なコーディングを求めます。そして、開発者が解決した脆弱性を追跡し、再導入しないようにします。そうすれば、彼らのハードワークが社内で認められ、評価されるのです。」
結果
Visと彼のチームは、社内でトップクラスの学習者を紹介するセキュアコードニュースレターを毎月発行しています。SCWを活用し、評価スコア、トーナメントへの参加、達成度向上のための課題に取り組んでいます。これにより、他の開発者の学習意欲も高まります。彼が最初に設定したKPIは、2年間で脆弱性の総数を削減することに重点を置いていました。SCW導入後、トレンドラインが減少傾向にあることに気づきました。これらの脆弱性はソースコードレベルで再導入されていません。Visはこう述べています。
「私たちが経営陣に提示するKPIは、私たちが行った十分な情報に基づいた選択を反映しています。私たちは、お客様にビジネス上の信頼をもたらす安全なコードトレーニングを受けていることを誇りに思っています。私たちは、包括的なセキュアコードトレーニングプログラムが評価され、お客様や同業他社から尊敬されています。このようなプログラムがあると、会社に大きな価値がもたらされます。」
重要なポイント
Visは、あらゆるセキュリティイニシアチブにおいて、人、プロセス、テクノロジーのすべてが果たすべき役割があることを認識していました。ソフトウェアのセキュリティ、開発者の知識、コンプライアンスへの対応に重点を置くことで、時間の経過とともにソースコードの脆弱性を軽減する安全なコードプログラムのためのアジャイルラーニングをまとめることができます。Visは、開発者チームでセキュリティスキルを身につけたいと考えている同分野の専門家にこれらの推奨事項を提示しています。
バックグラウンド
タレスグループはフランスの多国籍企業で、航空宇宙、防衛、輸送、セキュリティ分野向けの電気システムのほか、デバイスや機器の設計、開発、製造を行っています。Viswanath S. Chirravuri は、タレスのソフトウェアセキュリティテクニカルディレクターです。Viswanath、または Vis は、最初はプログラマーとしてセキュリティ業界でキャリアをスタートさせました。彼は現在タレスのシニアセキュリティリーダーであり、セキュリティ業界で18年以上の経験を積み、CISSP、PMP、GSEを含む30以上の認定を取得しています。18か国以上で3,000人を超えるソフトウェア専門家を教育してきました。さらに、Visは国際的なサイバーセキュリティ大会(Netwarsなど)で10枚以上のSANSチャレンジコインを獲得し、GIAC諮問委員会の積極的なメンバーでもあります。私たちはVis氏に話を聞き、タレスで安全なコード学習プログラムを成功させるために、どのように人、プロセス、テクノロジーを結びつけたかを伺いました。
状況
Visがタレスに入社したとき、彼はビジネスユニットに、ペネトレーションテストで発見された脆弱性の原因を調査するよう指導しました。これは、未処理の技術的負債を減らすための可能な解決策です。アプリケーションセキュリティチームは、IAST/DASTツールからペネトレーションテストツールまで、協力していた7つの異なるベンダーを使ってセキュリティ体制を強化しました。Visは、プロセスとテクノロジーの強固な統合を通じて緩和戦略を策定するために、市場動向を理解し、脅威をスケーラブルに管理したいと考えていました。つまり、純粋にツールベースのアプローチから、強力な学習要素を備えた戦略への移行が必要でした。彼は、多くの開発者がセキュリティのバックグラウンドもスキルも持っていないことに気づきました。当初のアプローチは、OWASP Top 10のようなトピックに関する教室形式のトレーニングを開発者に提供することでしたが、対面で教えるための出張や、世界中の何千人もの開発者にリーチする必要があるため、すぐにスケールが合わないと気づきました。Vis氏は次のように指摘しています。
「安全保障と開発の比率には常に不均衡が生じます。セキュリティと開発者の比率が 1:1 だったとしても、開発者を常に引き付けることはできませんでした。新しい攻撃ベクトル、ベストプラクティス、新しい言語、新たに発見された脆弱性について開発者に常に最新の情報を提供し続けるには、開発者による自己学習を促進し、自分のペースで進められるようにする必要がありました。彼らが助けを必要とするなら、私は彼らを助けることはできましたが、彼らが見つけたすべての脆弱性を修正する方法を私が教えることはできないと気づきました。」
当初、非常に多くの開発者がゼロから始めたことを認識し、開発マネージャーからは、開発者が安全なコード学習に費やす必要がある時間について反発がありました。Visは、安全なコード学習への取り組みがソフトウェアのリリースサイクルを混乱させたり、ミッションクリティカルなスプリントを遅らせたりする可能性があるという認識に対処する必要がありました。彼は、安全なコードのためのアジャイル学習に時間を費やすよう組織に適切な動機を与える方法を見つける必要がありました。Visは人を第一に考える姿勢で脆弱性の根源に対処しました。 「セキュリティは開発から時間を奪うと言われることが多い。私にとって、何かを開発したのにそれが安全でないなら、そもそも時間の無駄だった。常に安全なソフトウェアを開発し、簡単に回避できたはずの脆弱性を修正する手間を省くべきだ。信頼できるコードを提供するという共通の目標を、私たち全員が持つべきである。」
アクション
Visは、自社のソフトウェアを保護することと、タレスの開発チームのセキュリティ意識を高めることという2つの主要な目標を念頭に置いていました。開発者が自立し、自身のペースでトレーニングできるプログラムの実装が重要でした。Visの戦略は、時間をかけてセキュリティコミュニティを構築し、安全なコーディングを企業ポリシーと結びつけるよう取り組み、組織内で安全なコード学習を義務付けることでした。開発者、テスター、アーキテクト、エンジニアをつなぐコミュニティ文化を奨励することで、相乗効果によるモチベーション向上が見られました。日常業務の一環としてセキュリティに情熱を注ぐ「セキュリティチャンピオン」が台頭したことで、安全なコーディング手法への意識が組織全体に広がりました。Visは十数社のセキュリティトレーニングベンダーを評価し、2019年にSCWの顧客となりました。タレスにとって、断片的なソリューションではなく、環境内のすべてのプログラミング言語とフレームワークをカバーするベンダーが存在することは大きなメリットでした。Visは、Secure Code Warriorの膨大な量のコンテンツを活用し、セキュリティプログラムの開発者が利用できるトレーニングと自分のペースで学習できる学習を構築し、以下にアクセスできるようにしました。
OWASPのトップ10は、知っておくべき10のことだけではありません。OWASPがカバーする脆弱性の深さと多様性、そして膨大な数のプログラミング言語が組み合わさると、圧倒的になりかねません。これらに関して私たちが抱えている課題と対象範囲が広いことが、SCWを選んだ主な要因でした。常に新しいものが追加されています。深さ、トピックの多様性、最新のコンテンツ、安全なコード設計の原則への注力が、SCW を本当に際立たせています。これにより、1 回限りのトレーニングではなく、継続的なプログラムを構築する機会を得ることができました。」
Visと彼のチームは、エンジニアリングの役割ごとに異なるマイルストーンを設定し、セキュアコードラーニングプログラムの展開を4つのレベルに分けて構成しました。
重要なのは、SCWが脆弱性修正の信頼できる情報源となったことです。Visは、トラブルシューティングにつながる可能性のあるGoogle検索に頼るのではなく、AppSecチームのガイドラインとSCWのコンテンツライブラリのガイドラインの両方を公開しました。これにより、開発者はコード内の脆弱性修正の信頼できるソースを参照できます。Visによれば:
「開発者が脆弱性を修正する方法や、その過程で新たな脆弱性を導入する方法を自由に決めるべきではありません。開発者が脆弱性を正しい方法で修正する方法を学べるよう、SCW の SCORM 統合を通じて SCW ビデオを LMS に統合しました。これにより、安全なソフトウェアを提供する開発者が確実に認知される方法も得られました。私たちは開発者に一定レベルの安全なコーディングを求めます。そして、開発者が解決した脆弱性を追跡し、再導入しないようにします。そうすれば、彼らのハードワークが社内で認められ、評価されるのです。」
結果
Visと彼のチームは、社内でトップクラスの学習者を紹介するセキュアコードニュースレターを毎月発行しています。SCWを活用し、評価スコア、トーナメントへの参加、達成度向上のための課題に取り組んでいます。これにより、他の開発者の学習意欲も高まります。彼が最初に設定したKPIは、2年間で脆弱性の総数を削減することに重点を置いていました。SCW導入後、トレンドラインが減少傾向にあることに気づきました。これらの脆弱性はソースコードレベルで再導入されていません。Visはこう述べています。
「私たちが経営陣に提示するKPIは、私たちが行った十分な情報に基づいた選択を反映しています。私たちは、お客様にビジネス上の信頼をもたらす安全なコードトレーニングを受けていることを誇りに思っています。私たちは、包括的なセキュアコードトレーニングプログラムが評価され、お客様や同業他社から尊敬されています。このようなプログラムがあると、会社に大きな価値がもたらされます。」
重要なポイント
Visは、あらゆるセキュリティイニシアチブにおいて、人、プロセス、テクノロジーのすべてが果たすべき役割があることを認識していました。ソフトウェアのセキュリティ、開発者の知識、コンプライアンスへの対応に重点を置くことで、時間の経過とともにソースコードの脆弱性を軽減する安全なコードプログラムのためのアジャイルラーニングをまとめることができます。Visは、開発者チームでセキュリティスキルを身につけたいと考えている同分野の専門家にこれらの推奨事項を提示しています。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
バックグラウンド
タレスグループはフランスの多国籍企業で、航空宇宙、防衛、輸送、セキュリティ分野向けの電気システムのほか、デバイスや機器の設計、開発、製造を行っています。Viswanath S. Chirravuri は、タレスのソフトウェアセキュリティテクニカルディレクターです。Viswanath、または Vis は、最初はプログラマーとしてセキュリティ業界でキャリアをスタートさせました。彼は現在タレスのシニアセキュリティリーダーであり、セキュリティ業界で18年以上の経験を積み、CISSP、PMP、GSEを含む30以上の認定を取得しています。18か国以上で3,000人を超えるソフトウェア専門家を教育してきました。さらに、Visは国際的なサイバーセキュリティ大会(Netwarsなど)で10枚以上のSANSチャレンジコインを獲得し、GIAC諮問委員会の積極的なメンバーでもあります。私たちはVis氏に話を聞き、タレスで安全なコード学習プログラムを成功させるために、どのように人、プロセス、テクノロジーを結びつけたかを伺いました。
状況
Visがタレスに入社したとき、彼はビジネスユニットに、ペネトレーションテストで発見された脆弱性の原因を調査するよう指導しました。これは、未処理の技術的負債を減らすための可能な解決策です。アプリケーションセキュリティチームは、IAST/DASTツールからペネトレーションテストツールまで、協力していた7つの異なるベンダーを使ってセキュリティ体制を強化しました。Visは、プロセスとテクノロジーの強固な統合を通じて緩和戦略を策定するために、市場動向を理解し、脅威をスケーラブルに管理したいと考えていました。つまり、純粋にツールベースのアプローチから、強力な学習要素を備えた戦略への移行が必要でした。彼は、多くの開発者がセキュリティのバックグラウンドもスキルも持っていないことに気づきました。当初のアプローチは、OWASP Top 10のようなトピックに関する教室形式のトレーニングを開発者に提供することでしたが、対面で教えるための出張や、世界中の何千人もの開発者にリーチする必要があるため、すぐにスケールが合わないと気づきました。Vis氏は次のように指摘しています。
「安全保障と開発の比率には常に不均衡が生じます。セキュリティと開発者の比率が 1:1 だったとしても、開発者を常に引き付けることはできませんでした。新しい攻撃ベクトル、ベストプラクティス、新しい言語、新たに発見された脆弱性について開発者に常に最新の情報を提供し続けるには、開発者による自己学習を促進し、自分のペースで進められるようにする必要がありました。彼らが助けを必要とするなら、私は彼らを助けることはできましたが、彼らが見つけたすべての脆弱性を修正する方法を私が教えることはできないと気づきました。」
当初、非常に多くの開発者がゼロから始めたことを認識し、開発マネージャーからは、開発者が安全なコード学習に費やす必要がある時間について反発がありました。Visは、安全なコード学習への取り組みがソフトウェアのリリースサイクルを混乱させたり、ミッションクリティカルなスプリントを遅らせたりする可能性があるという認識に対処する必要がありました。彼は、安全なコードのためのアジャイル学習に時間を費やすよう組織に適切な動機を与える方法を見つける必要がありました。Visは人を第一に考える姿勢で脆弱性の根源に対処しました。 「セキュリティは開発から時間を奪うと言われることが多い。私にとって、何かを開発したのにそれが安全でないなら、そもそも時間の無駄だった。常に安全なソフトウェアを開発し、簡単に回避できたはずの脆弱性を修正する手間を省くべきだ。信頼できるコードを提供するという共通の目標を、私たち全員が持つべきである。」
アクション
Visは、自社のソフトウェアを保護することと、タレスの開発チームのセキュリティ意識を高めることという2つの主要な目標を念頭に置いていました。開発者が自立し、自身のペースでトレーニングできるプログラムの実装が重要でした。Visの戦略は、時間をかけてセキュリティコミュニティを構築し、安全なコーディングを企業ポリシーと結びつけるよう取り組み、組織内で安全なコード学習を義務付けることでした。開発者、テスター、アーキテクト、エンジニアをつなぐコミュニティ文化を奨励することで、相乗効果によるモチベーション向上が見られました。日常業務の一環としてセキュリティに情熱を注ぐ「セキュリティチャンピオン」が台頭したことで、安全なコーディング手法への意識が組織全体に広がりました。Visは十数社のセキュリティトレーニングベンダーを評価し、2019年にSCWの顧客となりました。タレスにとって、断片的なソリューションではなく、環境内のすべてのプログラミング言語とフレームワークをカバーするベンダーが存在することは大きなメリットでした。Visは、Secure Code Warriorの膨大な量のコンテンツを活用し、セキュリティプログラムの開発者が利用できるトレーニングと自分のペースで学習できる学習を構築し、以下にアクセスできるようにしました。
OWASPのトップ10は、知っておくべき10のことだけではありません。OWASPがカバーする脆弱性の深さと多様性、そして膨大な数のプログラミング言語が組み合わさると、圧倒的になりかねません。これらに関して私たちが抱えている課題と対象範囲が広いことが、SCWを選んだ主な要因でした。常に新しいものが追加されています。深さ、トピックの多様性、最新のコンテンツ、安全なコード設計の原則への注力が、SCW を本当に際立たせています。これにより、1 回限りのトレーニングではなく、継続的なプログラムを構築する機会を得ることができました。」
Visと彼のチームは、エンジニアリングの役割ごとに異なるマイルストーンを設定し、セキュアコードラーニングプログラムの展開を4つのレベルに分けて構成しました。
重要なのは、SCWが脆弱性修正の信頼できる情報源となったことです。Visは、トラブルシューティングにつながる可能性のあるGoogle検索に頼るのではなく、AppSecチームのガイドラインとSCWのコンテンツライブラリのガイドラインの両方を公開しました。これにより、開発者はコード内の脆弱性修正の信頼できるソースを参照できます。Visによれば:
「開発者が脆弱性を修正する方法や、その過程で新たな脆弱性を導入する方法を自由に決めるべきではありません。開発者が脆弱性を正しい方法で修正する方法を学べるよう、SCW の SCORM 統合を通じて SCW ビデオを LMS に統合しました。これにより、安全なソフトウェアを提供する開発者が確実に認知される方法も得られました。私たちは開発者に一定レベルの安全なコーディングを求めます。そして、開発者が解決した脆弱性を追跡し、再導入しないようにします。そうすれば、彼らのハードワークが社内で認められ、評価されるのです。」
結果
Visと彼のチームは、社内でトップクラスの学習者を紹介するセキュアコードニュースレターを毎月発行しています。SCWを活用し、評価スコア、トーナメントへの参加、達成度向上のための課題に取り組んでいます。これにより、他の開発者の学習意欲も高まります。彼が最初に設定したKPIは、2年間で脆弱性の総数を削減することに重点を置いていました。SCW導入後、トレンドラインが減少傾向にあることに気づきました。これらの脆弱性はソースコードレベルで再導入されていません。Visはこう述べています。
「私たちが経営陣に提示するKPIは、私たちが行った十分な情報に基づいた選択を反映しています。私たちは、お客様にビジネス上の信頼をもたらす安全なコードトレーニングを受けていることを誇りに思っています。私たちは、包括的なセキュアコードトレーニングプログラムが評価され、お客様や同業他社から尊敬されています。このようなプログラムがあると、会社に大きな価値がもたらされます。」
重要なポイント
Visは、あらゆるセキュリティイニシアチブにおいて、人、プロセス、テクノロジーのすべてが果たすべき役割があることを認識していました。ソフトウェアのセキュリティ、開発者の知識、コンプライアンスへの対応に重点を置くことで、時間の経過とともにソースコードの脆弱性を軽減する安全なコードプログラムのためのアジャイルラーニングをまとめることができます。Visは、開発者チームでセキュリティスキルを身につけたいと考えている同分野の専門家にこれらの推奨事項を提示しています。
%20(1).avif)
.avif)
