開発者にとってのセキュリティスキルのベンチマークのメリット
サイバー脅威が蔓延し、高度化するにつれて、サイバーセキュリティの焦点は安全なコードの重要性に集中しています。ホワイトハウスの 国家サイバーセキュリティ戦略 およびサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)の セキュリティ・バイ・デザイン イニシアチブは、他の国のイニシアチブや法律とともに、セキュリティに対する責任をソフトウェア開発者に真っ向から負わせています。ソフトウェア開発ライフサイクル (SDLC) の早い段階でセキュリティを確保するために左へ、より正確には左にシフトすることが、かつてはあれば良いと考えられていましたが、今や組織にとってデータやシステムを保護し、侵害による規制の影響を回避するために不可欠です。
安全なコーディングプラクティスを実現するための鍵は、開発者のトレーニングにあります。ソフトウェアエンジニアは通常、以下の内容を受け取ります。 サイバーセキュリティ教育はほとんどまたはまったくない。特に今日の加速するDevOps環境における彼らの仕事は、急速に機能するジェネレーティブAIモデルの助けを借りて、新しいアプリケーション、アップグレード、サービスをできるだけ早くスピンアウトし、SDLCの後半のある時点でセキュリティチームがサイバーセキュリティの問題に対処できるようにすることでした。これは、大量のコードが作成されることで発生する大量の欠陥に対処するには非効率的な方法であり、その結果、ソフトウェアの脆弱性がエコシステムに放出されることがよくあります。
開発者は、最初から安全なコードを書くためのトレーニングを受け、AI によって生成されたコードや、使用しているオープンソースやその他のサードパーティソフトウェアに含まれる安全でないコードを検出できるようにする必要があります。多くの開発チームや組織にとって、これは未知の領域です。開発者が自分たちに必要なトレーニングを受けていることをどうやって知るのでしょう?そして、そのトレーニングは定期的に実施されているのでしょうか?
開発者教育に取り組む企業の中には、開発者が習得するためのベースラインとなるスキルセットを確立し、明確に定義されたベンチマークに照らして進捗状況を測定することが有益であると考える企業もあります。その取り組みを支援するために、Secure Code Warriorは開発者のセキュリティトレーニングの進捗状況を正確に測定するためのベンチマークを開始しました。は SCW トラストスコア これにより、組織はトレーニングが仕事にどの程度適用されているかを測定し、セキュリティ、開発者、エンジニアリングの各チームが協力できるようになります。
これは、改善すべき分野を特定しながら、セキュアコードトレーニングが定着しつつあることの証拠を確認する方法です。
セキュアデザインの事例
ソフトウェア開発者は、プロセスの開始時にSDLCにセキュリティを導入する理由は十分にあります。アプリケーションやサービスに対する需要の高まりと、AI が開発プロセスにもたらすスピードは、 役に立った ジェネレーティブAIをすぐに採用した開発者にとっても、結果的には必然的に バギーソフトウェア パイプラインにリリースされています。生成されるコードが増えれば増えるほど、欠陥も増えます。 最近の研究 は、アプリケーションの4分の3近く(作成方法に関係なく)に少なくとも1つのセキュリティ上の欠陥があり、その20%近くが重大と見なされていることを発見しました。
SDLCの後半で脆弱性に追いつくのは、非常に時間とコストがかかるようになっています。米国国立標準技術研究所 (NIST) 見つけた テスト中の欠陥の修正には、SDLCの開始時にソフトウェアを保護するよりも15倍の時間がかかり、展開/保守段階での修正には30〜100倍の時間がかかることがあります。
これらすべてが、開発サイクルの最初にセキュリティを適用することの重要性を浮き彫りにしています。これは、リスクを軽減する最も効果的な方法であるだけでなく、最も費用対効果が高いことが証明されています。SDLC の開始時にセキュリティを導入するにあたっては、開発者が個別の組織として機能するのではなく、セキュリティチームと連携して作業するのが最適な立場にあります。また、セキュリティのベストプラクティスのトレーニングを受けた開発者は、脆弱性を効果的に軽減してきました。問題は、トレーニングを受けた開発者がほとんどいないことです。
ベンチマークの魅力
企業にとっての基本的な道筋は、セキュリティスキルのベースラインを確立し、トレーニングを提供し、開発者が必要なスキルを習得していることを組織と規制当局の両方に検証することです。これは、あらゆる経済セクターの多くの組織にとって困難であることが証明されていますが、必ずしもそうである必要はありません。
セキュリティリーダーが指摘する課題の 1 つは、トレーニングプログラムを企業全体に拡大することの難しさです。しかし、SCW の調査によると、特に開発者の幹部が大勢いる組織は、セキュア設計アプローチをうまく実装できることが分かっています。小規模な組織の結果では、セキュリティバイデザインの原則をどの程度うまく適用しているかが大きく異なる傾向にあります。それでも、彼らもトラストスコアを含むアプローチの恩恵を受けることができ、より早く改善が見られる可能性があります。
Trust Scoreは、ベンチマーク指標を使用して個々の学習者の進捗状況を測定し、スコアを集計してチーム全体のパフォーマンスを評価し、組織の進捗状況を業界のベンチマークやベストプラクティスと比較します。トレーニングを追跡するだけでなく、開発者が新しいスキルを日常的にどの程度うまく活用しているかを示します。また、組織がトレーニング/スキルアッププログラムを最適化できるように、改善が必要な分野も浮き彫りになっています。
CISA全体で 重要インフラセクター データが入手できたとしても、ほとんどの組織は安全な設計の原則をほぼ同じレベルで実装しています。金融サービスや防衛産業の基盤から、医療、IT、重要製造に至るまで、さまざまなセクターのトラストスコアは同じ範囲で低下し、1,000点満点で300点をわずかに上回りました。最も規制の厳しい業界である金融サービスが最前線にあるという従来の通念にもかかわらず、どの業界も他の業界を上回ることはありません。
化学、エネルギー、原子力事業など、トラストスコアランキングに含まれていない重要インフラセクターは、一般的に独自のソフトウェアを作成せず、代わりに他のセクター、特にITに依存しています。しかし、これらのセクター内で安全なシステムを維持することの重要性(原子力発電所が危険にさらされるのを誰も望んでいない)は、そもそもそのセクターが使用するソフトウェアを保護することがいかに重要であるかを示しているに過ぎません。
結論
規制圧力の高まりとサイバー脅威の状況の現実により、データ、システム、事業運営、評判を保護したい組織にとって、セキュアバイデザインのアプローチが不可欠になっています。安全なソフトウェアの開発は大部分が開発者の手に委ねられていますが、必要な教育を提供し、その適用方法を示す徹底的なスキルアップとトレーニングプログラムという形での支援が必要です。
Trust Score などのツールに裏打ちされたベンチマークを含むプログラムでは、開発チームの重要な進捗状況を明確に把握できます。これは、開発者と彼らが働く企業の両方にとって、セキュアなソフトウェア開発スキルを常に向上させながら、新しいSecure-by-Designの要件を満たすために必要な、極めて重要な新しいアプローチです。
セキュアコードとセキュアバイデザインの原則への注目が高まる中、開発者はSDLCの開始時からサイバーセキュリティに関するトレーニングを受ける必要があり、Secure Code WarriorのTrust Scoreなどのツールが進捗状況の測定と改善に役立ちます。
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
サイバー脅威が蔓延し、高度化するにつれて、サイバーセキュリティの焦点は安全なコードの重要性に集中しています。ホワイトハウスの 国家サイバーセキュリティ戦略 およびサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)の セキュリティ・バイ・デザイン イニシアチブは、他の国のイニシアチブや法律とともに、セキュリティに対する責任をソフトウェア開発者に真っ向から負わせています。ソフトウェア開発ライフサイクル (SDLC) の早い段階でセキュリティを確保するために左へ、より正確には左にシフトすることが、かつてはあれば良いと考えられていましたが、今や組織にとってデータやシステムを保護し、侵害による規制の影響を回避するために不可欠です。
安全なコーディングプラクティスを実現するための鍵は、開発者のトレーニングにあります。ソフトウェアエンジニアは通常、以下の内容を受け取ります。 サイバーセキュリティ教育はほとんどまたはまったくない。特に今日の加速するDevOps環境における彼らの仕事は、急速に機能するジェネレーティブAIモデルの助けを借りて、新しいアプリケーション、アップグレード、サービスをできるだけ早くスピンアウトし、SDLCの後半のある時点でセキュリティチームがサイバーセキュリティの問題に対処できるようにすることでした。これは、大量のコードが作成されることで発生する大量の欠陥に対処するには非効率的な方法であり、その結果、ソフトウェアの脆弱性がエコシステムに放出されることがよくあります。
開発者は、最初から安全なコードを書くためのトレーニングを受け、AI によって生成されたコードや、使用しているオープンソースやその他のサードパーティソフトウェアに含まれる安全でないコードを検出できるようにする必要があります。多くの開発チームや組織にとって、これは未知の領域です。開発者が自分たちに必要なトレーニングを受けていることをどうやって知るのでしょう?そして、そのトレーニングは定期的に実施されているのでしょうか?
開発者教育に取り組む企業の中には、開発者が習得するためのベースラインとなるスキルセットを確立し、明確に定義されたベンチマークに照らして進捗状況を測定することが有益であると考える企業もあります。その取り組みを支援するために、Secure Code Warriorは開発者のセキュリティトレーニングの進捗状況を正確に測定するためのベンチマークを開始しました。は SCW トラストスコア これにより、組織はトレーニングが仕事にどの程度適用されているかを測定し、セキュリティ、開発者、エンジニアリングの各チームが協力できるようになります。
これは、改善すべき分野を特定しながら、セキュアコードトレーニングが定着しつつあることの証拠を確認する方法です。
セキュアデザインの事例
ソフトウェア開発者は、プロセスの開始時にSDLCにセキュリティを導入する理由は十分にあります。アプリケーションやサービスに対する需要の高まりと、AI が開発プロセスにもたらすスピードは、 役に立った ジェネレーティブAIをすぐに採用した開発者にとっても、結果的には必然的に バギーソフトウェア パイプラインにリリースされています。生成されるコードが増えれば増えるほど、欠陥も増えます。 最近の研究 は、アプリケーションの4分の3近く(作成方法に関係なく)に少なくとも1つのセキュリティ上の欠陥があり、その20%近くが重大と見なされていることを発見しました。
SDLCの後半で脆弱性に追いつくのは、非常に時間とコストがかかるようになっています。米国国立標準技術研究所 (NIST) 見つけた テスト中の欠陥の修正には、SDLCの開始時にソフトウェアを保護するよりも15倍の時間がかかり、展開/保守段階での修正には30〜100倍の時間がかかることがあります。
これらすべてが、開発サイクルの最初にセキュリティを適用することの重要性を浮き彫りにしています。これは、リスクを軽減する最も効果的な方法であるだけでなく、最も費用対効果が高いことが証明されています。SDLC の開始時にセキュリティを導入するにあたっては、開発者が個別の組織として機能するのではなく、セキュリティチームと連携して作業するのが最適な立場にあります。また、セキュリティのベストプラクティスのトレーニングを受けた開発者は、脆弱性を効果的に軽減してきました。問題は、トレーニングを受けた開発者がほとんどいないことです。
ベンチマークの魅力
企業にとっての基本的な道筋は、セキュリティスキルのベースラインを確立し、トレーニングを提供し、開発者が必要なスキルを習得していることを組織と規制当局の両方に検証することです。これは、あらゆる経済セクターの多くの組織にとって困難であることが証明されていますが、必ずしもそうである必要はありません。
セキュリティリーダーが指摘する課題の 1 つは、トレーニングプログラムを企業全体に拡大することの難しさです。しかし、SCW の調査によると、特に開発者の幹部が大勢いる組織は、セキュア設計アプローチをうまく実装できることが分かっています。小規模な組織の結果では、セキュリティバイデザインの原則をどの程度うまく適用しているかが大きく異なる傾向にあります。それでも、彼らもトラストスコアを含むアプローチの恩恵を受けることができ、より早く改善が見られる可能性があります。
Trust Scoreは、ベンチマーク指標を使用して個々の学習者の進捗状況を測定し、スコアを集計してチーム全体のパフォーマンスを評価し、組織の進捗状況を業界のベンチマークやベストプラクティスと比較します。トレーニングを追跡するだけでなく、開発者が新しいスキルを日常的にどの程度うまく活用しているかを示します。また、組織がトレーニング/スキルアッププログラムを最適化できるように、改善が必要な分野も浮き彫りになっています。
CISA全体で 重要インフラセクター データが入手できたとしても、ほとんどの組織は安全な設計の原則をほぼ同じレベルで実装しています。金融サービスや防衛産業の基盤から、医療、IT、重要製造に至るまで、さまざまなセクターのトラストスコアは同じ範囲で低下し、1,000点満点で300点をわずかに上回りました。最も規制の厳しい業界である金融サービスが最前線にあるという従来の通念にもかかわらず、どの業界も他の業界を上回ることはありません。
化学、エネルギー、原子力事業など、トラストスコアランキングに含まれていない重要インフラセクターは、一般的に独自のソフトウェアを作成せず、代わりに他のセクター、特にITに依存しています。しかし、これらのセクター内で安全なシステムを維持することの重要性(原子力発電所が危険にさらされるのを誰も望んでいない)は、そもそもそのセクターが使用するソフトウェアを保護することがいかに重要であるかを示しているに過ぎません。
結論
規制圧力の高まりとサイバー脅威の状況の現実により、データ、システム、事業運営、評判を保護したい組織にとって、セキュアバイデザインのアプローチが不可欠になっています。安全なソフトウェアの開発は大部分が開発者の手に委ねられていますが、必要な教育を提供し、その適用方法を示す徹底的なスキルアップとトレーニングプログラムという形での支援が必要です。
Trust Score などのツールに裏打ちされたベンチマークを含むプログラムでは、開発チームの重要な進捗状況を明確に把握できます。これは、開発者と彼らが働く企業の両方にとって、セキュアなソフトウェア開発スキルを常に向上させながら、新しいSecure-by-Designの要件を満たすために必要な、極めて重要な新しいアプローチです。
サイバー脅威が蔓延し、高度化するにつれて、サイバーセキュリティの焦点は安全なコードの重要性に集中しています。ホワイトハウスの 国家サイバーセキュリティ戦略 およびサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)の セキュリティ・バイ・デザイン イニシアチブは、他の国のイニシアチブや法律とともに、セキュリティに対する責任をソフトウェア開発者に真っ向から負わせています。ソフトウェア開発ライフサイクル (SDLC) の早い段階でセキュリティを確保するために左へ、より正確には左にシフトすることが、かつてはあれば良いと考えられていましたが、今や組織にとってデータやシステムを保護し、侵害による規制の影響を回避するために不可欠です。
安全なコーディングプラクティスを実現するための鍵は、開発者のトレーニングにあります。ソフトウェアエンジニアは通常、以下の内容を受け取ります。 サイバーセキュリティ教育はほとんどまたはまったくない。特に今日の加速するDevOps環境における彼らの仕事は、急速に機能するジェネレーティブAIモデルの助けを借りて、新しいアプリケーション、アップグレード、サービスをできるだけ早くスピンアウトし、SDLCの後半のある時点でセキュリティチームがサイバーセキュリティの問題に対処できるようにすることでした。これは、大量のコードが作成されることで発生する大量の欠陥に対処するには非効率的な方法であり、その結果、ソフトウェアの脆弱性がエコシステムに放出されることがよくあります。
開発者は、最初から安全なコードを書くためのトレーニングを受け、AI によって生成されたコードや、使用しているオープンソースやその他のサードパーティソフトウェアに含まれる安全でないコードを検出できるようにする必要があります。多くの開発チームや組織にとって、これは未知の領域です。開発者が自分たちに必要なトレーニングを受けていることをどうやって知るのでしょう?そして、そのトレーニングは定期的に実施されているのでしょうか?
開発者教育に取り組む企業の中には、開発者が習得するためのベースラインとなるスキルセットを確立し、明確に定義されたベンチマークに照らして進捗状況を測定することが有益であると考える企業もあります。その取り組みを支援するために、Secure Code Warriorは開発者のセキュリティトレーニングの進捗状況を正確に測定するためのベンチマークを開始しました。は SCW トラストスコア これにより、組織はトレーニングが仕事にどの程度適用されているかを測定し、セキュリティ、開発者、エンジニアリングの各チームが協力できるようになります。
これは、改善すべき分野を特定しながら、セキュアコードトレーニングが定着しつつあることの証拠を確認する方法です。
セキュアデザインの事例
ソフトウェア開発者は、プロセスの開始時にSDLCにセキュリティを導入する理由は十分にあります。アプリケーションやサービスに対する需要の高まりと、AI が開発プロセスにもたらすスピードは、 役に立った ジェネレーティブAIをすぐに採用した開発者にとっても、結果的には必然的に バギーソフトウェア パイプラインにリリースされています。生成されるコードが増えれば増えるほど、欠陥も増えます。 最近の研究 は、アプリケーションの4分の3近く(作成方法に関係なく)に少なくとも1つのセキュリティ上の欠陥があり、その20%近くが重大と見なされていることを発見しました。
SDLCの後半で脆弱性に追いつくのは、非常に時間とコストがかかるようになっています。米国国立標準技術研究所 (NIST) 見つけた テスト中の欠陥の修正には、SDLCの開始時にソフトウェアを保護するよりも15倍の時間がかかり、展開/保守段階での修正には30〜100倍の時間がかかることがあります。
これらすべてが、開発サイクルの最初にセキュリティを適用することの重要性を浮き彫りにしています。これは、リスクを軽減する最も効果的な方法であるだけでなく、最も費用対効果が高いことが証明されています。SDLC の開始時にセキュリティを導入するにあたっては、開発者が個別の組織として機能するのではなく、セキュリティチームと連携して作業するのが最適な立場にあります。また、セキュリティのベストプラクティスのトレーニングを受けた開発者は、脆弱性を効果的に軽減してきました。問題は、トレーニングを受けた開発者がほとんどいないことです。
ベンチマークの魅力
企業にとっての基本的な道筋は、セキュリティスキルのベースラインを確立し、トレーニングを提供し、開発者が必要なスキルを習得していることを組織と規制当局の両方に検証することです。これは、あらゆる経済セクターの多くの組織にとって困難であることが証明されていますが、必ずしもそうである必要はありません。
セキュリティリーダーが指摘する課題の 1 つは、トレーニングプログラムを企業全体に拡大することの難しさです。しかし、SCW の調査によると、特に開発者の幹部が大勢いる組織は、セキュア設計アプローチをうまく実装できることが分かっています。小規模な組織の結果では、セキュリティバイデザインの原則をどの程度うまく適用しているかが大きく異なる傾向にあります。それでも、彼らもトラストスコアを含むアプローチの恩恵を受けることができ、より早く改善が見られる可能性があります。
Trust Scoreは、ベンチマーク指標を使用して個々の学習者の進捗状況を測定し、スコアを集計してチーム全体のパフォーマンスを評価し、組織の進捗状況を業界のベンチマークやベストプラクティスと比較します。トレーニングを追跡するだけでなく、開発者が新しいスキルを日常的にどの程度うまく活用しているかを示します。また、組織がトレーニング/スキルアッププログラムを最適化できるように、改善が必要な分野も浮き彫りになっています。
CISA全体で 重要インフラセクター データが入手できたとしても、ほとんどの組織は安全な設計の原則をほぼ同じレベルで実装しています。金融サービスや防衛産業の基盤から、医療、IT、重要製造に至るまで、さまざまなセクターのトラストスコアは同じ範囲で低下し、1,000点満点で300点をわずかに上回りました。最も規制の厳しい業界である金融サービスが最前線にあるという従来の通念にもかかわらず、どの業界も他の業界を上回ることはありません。
化学、エネルギー、原子力事業など、トラストスコアランキングに含まれていない重要インフラセクターは、一般的に独自のソフトウェアを作成せず、代わりに他のセクター、特にITに依存しています。しかし、これらのセクター内で安全なシステムを維持することの重要性(原子力発電所が危険にさらされるのを誰も望んでいない)は、そもそもそのセクターが使用するソフトウェアを保護することがいかに重要であるかを示しているに過ぎません。
結論
規制圧力の高まりとサイバー脅威の状況の現実により、データ、システム、事業運営、評判を保護したい組織にとって、セキュアバイデザインのアプローチが不可欠になっています。安全なソフトウェアの開発は大部分が開発者の手に委ねられていますが、必要な教育を提供し、その適用方法を示す徹底的なスキルアップとトレーニングプログラムという形での支援が必要です。
Trust Score などのツールに裏打ちされたベンチマークを含むプログラムでは、開発チームの重要な進捗状況を明確に把握できます。これは、開発者と彼らが働く企業の両方にとって、セキュアなソフトウェア開発スキルを常に向上させながら、新しいSecure-by-Designの要件を満たすために必要な、極めて重要な新しいアプローチです。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
サイバー脅威が蔓延し、高度化するにつれて、サイバーセキュリティの焦点は安全なコードの重要性に集中しています。ホワイトハウスの 国家サイバーセキュリティ戦略 およびサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)の セキュリティ・バイ・デザイン イニシアチブは、他の国のイニシアチブや法律とともに、セキュリティに対する責任をソフトウェア開発者に真っ向から負わせています。ソフトウェア開発ライフサイクル (SDLC) の早い段階でセキュリティを確保するために左へ、より正確には左にシフトすることが、かつてはあれば良いと考えられていましたが、今や組織にとってデータやシステムを保護し、侵害による規制の影響を回避するために不可欠です。
安全なコーディングプラクティスを実現するための鍵は、開発者のトレーニングにあります。ソフトウェアエンジニアは通常、以下の内容を受け取ります。 サイバーセキュリティ教育はほとんどまたはまったくない。特に今日の加速するDevOps環境における彼らの仕事は、急速に機能するジェネレーティブAIモデルの助けを借りて、新しいアプリケーション、アップグレード、サービスをできるだけ早くスピンアウトし、SDLCの後半のある時点でセキュリティチームがサイバーセキュリティの問題に対処できるようにすることでした。これは、大量のコードが作成されることで発生する大量の欠陥に対処するには非効率的な方法であり、その結果、ソフトウェアの脆弱性がエコシステムに放出されることがよくあります。
開発者は、最初から安全なコードを書くためのトレーニングを受け、AI によって生成されたコードや、使用しているオープンソースやその他のサードパーティソフトウェアに含まれる安全でないコードを検出できるようにする必要があります。多くの開発チームや組織にとって、これは未知の領域です。開発者が自分たちに必要なトレーニングを受けていることをどうやって知るのでしょう?そして、そのトレーニングは定期的に実施されているのでしょうか?
開発者教育に取り組む企業の中には、開発者が習得するためのベースラインとなるスキルセットを確立し、明確に定義されたベンチマークに照らして進捗状況を測定することが有益であると考える企業もあります。その取り組みを支援するために、Secure Code Warriorは開発者のセキュリティトレーニングの進捗状況を正確に測定するためのベンチマークを開始しました。は SCW トラストスコア これにより、組織はトレーニングが仕事にどの程度適用されているかを測定し、セキュリティ、開発者、エンジニアリングの各チームが協力できるようになります。
これは、改善すべき分野を特定しながら、セキュアコードトレーニングが定着しつつあることの証拠を確認する方法です。
セキュアデザインの事例
ソフトウェア開発者は、プロセスの開始時にSDLCにセキュリティを導入する理由は十分にあります。アプリケーションやサービスに対する需要の高まりと、AI が開発プロセスにもたらすスピードは、 役に立った ジェネレーティブAIをすぐに採用した開発者にとっても、結果的には必然的に バギーソフトウェア パイプラインにリリースされています。生成されるコードが増えれば増えるほど、欠陥も増えます。 最近の研究 は、アプリケーションの4分の3近く(作成方法に関係なく)に少なくとも1つのセキュリティ上の欠陥があり、その20%近くが重大と見なされていることを発見しました。
SDLCの後半で脆弱性に追いつくのは、非常に時間とコストがかかるようになっています。米国国立標準技術研究所 (NIST) 見つけた テスト中の欠陥の修正には、SDLCの開始時にソフトウェアを保護するよりも15倍の時間がかかり、展開/保守段階での修正には30〜100倍の時間がかかることがあります。
これらすべてが、開発サイクルの最初にセキュリティを適用することの重要性を浮き彫りにしています。これは、リスクを軽減する最も効果的な方法であるだけでなく、最も費用対効果が高いことが証明されています。SDLC の開始時にセキュリティを導入するにあたっては、開発者が個別の組織として機能するのではなく、セキュリティチームと連携して作業するのが最適な立場にあります。また、セキュリティのベストプラクティスのトレーニングを受けた開発者は、脆弱性を効果的に軽減してきました。問題は、トレーニングを受けた開発者がほとんどいないことです。
ベンチマークの魅力
企業にとっての基本的な道筋は、セキュリティスキルのベースラインを確立し、トレーニングを提供し、開発者が必要なスキルを習得していることを組織と規制当局の両方に検証することです。これは、あらゆる経済セクターの多くの組織にとって困難であることが証明されていますが、必ずしもそうである必要はありません。
セキュリティリーダーが指摘する課題の 1 つは、トレーニングプログラムを企業全体に拡大することの難しさです。しかし、SCW の調査によると、特に開発者の幹部が大勢いる組織は、セキュア設計アプローチをうまく実装できることが分かっています。小規模な組織の結果では、セキュリティバイデザインの原則をどの程度うまく適用しているかが大きく異なる傾向にあります。それでも、彼らもトラストスコアを含むアプローチの恩恵を受けることができ、より早く改善が見られる可能性があります。
Trust Scoreは、ベンチマーク指標を使用して個々の学習者の進捗状況を測定し、スコアを集計してチーム全体のパフォーマンスを評価し、組織の進捗状況を業界のベンチマークやベストプラクティスと比較します。トレーニングを追跡するだけでなく、開発者が新しいスキルを日常的にどの程度うまく活用しているかを示します。また、組織がトレーニング/スキルアッププログラムを最適化できるように、改善が必要な分野も浮き彫りになっています。
CISA全体で 重要インフラセクター データが入手できたとしても、ほとんどの組織は安全な設計の原則をほぼ同じレベルで実装しています。金融サービスや防衛産業の基盤から、医療、IT、重要製造に至るまで、さまざまなセクターのトラストスコアは同じ範囲で低下し、1,000点満点で300点をわずかに上回りました。最も規制の厳しい業界である金融サービスが最前線にあるという従来の通念にもかかわらず、どの業界も他の業界を上回ることはありません。
化学、エネルギー、原子力事業など、トラストスコアランキングに含まれていない重要インフラセクターは、一般的に独自のソフトウェアを作成せず、代わりに他のセクター、特にITに依存しています。しかし、これらのセクター内で安全なシステムを維持することの重要性(原子力発電所が危険にさらされるのを誰も望んでいない)は、そもそもそのセクターが使用するソフトウェアを保護することがいかに重要であるかを示しているに過ぎません。
結論
規制圧力の高まりとサイバー脅威の状況の現実により、データ、システム、事業運営、評判を保護したい組織にとって、セキュアバイデザインのアプローチが不可欠になっています。安全なソフトウェアの開発は大部分が開発者の手に委ねられていますが、必要な教育を提供し、その適用方法を示す徹底的なスキルアップとトレーニングプログラムという形での支援が必要です。
Trust Score などのツールに裏打ちされたベンチマークを含むプログラムでは、開発チームの重要な進捗状況を明確に把握できます。これは、開発者と彼らが働く企業の両方にとって、セキュアなソフトウェア開発スキルを常に向上させながら、新しいSecure-by-Designの要件を満たすために必要な、極めて重要な新しいアプローチです。
目次
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]
%20(1).avif)
.avif)
