セキュアコードインサイト

ソフトウェアの保護に積極的に取り組むには、最新の標準とコンプライアンス要件を常に把握しておく必要があります。結局のところ、サイバーセキュリティ環境は、特に新しいテクノロジーの出現に伴い、常に新しい脅威や脆弱性によって変化しています。私たちが集まって AI の変曲点に立ち、新しい進化やユースケースが日々出現しているように見える今日ほど、この傾向が当てはまることはありません。

これらの課題に対処するために、OWASP財団は最近、以下の最新版をリリースしました 大規模言語モデル (LLM) アプリケーションに関する OWASP トップ 10は、LLMやジェネレーティブAIアプリケーションを導入する際の潜在的なリスクについて、開発者、アーキテクト、その他のソフトウェア提供者に知らせることを目的としています。そして、Secure Code Warriorでは、この最新バージョンの変更と更新がすでに実装され、当社の安全なコード学習プラットフォームで利用できるようになったことを発表できることを嬉しく思います。これらの新資料や更新資料により、すべてのユーザーが LLM を利用する際のリスク軽減の最前線に立つことができます。

このアップデートでは何が新しくなったのですか？

OWASPは以前のトップ10から2つの項目を削除しました。

• 安全でないプラグイン設計 -LLMがプラグインとどのように相互作用するか、およびプラグインが外部ストレージまたはサービスとどのように相互作用するかに関するものです。
• モデル盗難 -機械学習モデルまたはAIシステムの不正複製または取得を指します。

OWASP Top 10の以前のバージョンと同様に、セキュア・コード・ウォリアーには ガイドライン 当社のLLMトップ10コースの一環としてこれらの脆弱性に関連付けられています。これらのガイドラインは、脆弱性とセキュリティ概念に関するわかりやすい情報をわかりやすく読みやすい形式で提供していましたが、その後コースのカリキュラムから削除されました。ただし、このガイドラインは、提供している他のすべての学習教材とともにExploreで引き続き利用できます。

OWASPはトップ10を公式10に維持しながら、新たに2つのアイテムを追加しました。

• システムプロンプトリーク -モデルの動作を誘導する通常は非表示のプロンプトがユーザーに公開される場合。
• ベクターと埋め込み -公開されていない特定の情報、専有情報、またはリアルタイム情報を公開する可能性があります

これらの脆弱性に関するガイドラインがLLMトップ10コースに追加されました。削除されたガイドラインと同様に、この2つはExploreでも利用でき、自分のペースで学習したいユーザー向けです。

最後に、OWASPはリスト内の既存の脆弱性カテゴリにいくつかの変更を加え、一部のカテゴリの名前をより広範または具体的に変更し、その定義を変更しました。これらのトピックに関する当社のガイドラインは、OWASPのガイダンスからの小さな変更と新しい命名規則の両方を反映するように更新されました。さらに、OWASP LLM Top 10に設定されている順序と一致するように、優先順位順のリストが更新されました。

Secure Code Warriorでは、ユーザーが常に時代の一歩先を行けるよう支援することに全力を注いでいます。OWASPの最新の更新はすでにアジャイル学習プラットフォームに反映されているため、LLMとジェネレーティブAIテクノロジーを導入する際のリスクを軽減し、最新の脆弱性をカバーする最新のトレーニング教材にユーザーが簡単にアクセスできるようにしました。新たに導入された「システムプロンプトリーク」や「ベクトルと埋め込み」の脅威に対処する場合でも、誤情報や無制限消費についての理解を深めたい場合でも、当社のプラットフォームは、セキュリティ体制を改善するためのこれらの重要な概念を習得するために必要なリソースを提供します。

開発者の67％が脆弱性のあるコードを出荷していることを認めていることをご存知だろうか？家を建てることになった建設作業員のチームを想像してみてほしい。彼らは必要な材料や道具はすべて持っているが、設計図や建築基準法に従うのに苦労している。その結果、彼らはミスを犯し、家は規格通りに建てられない。

この例えは、開発者がセキュアコーディングを実践しようとするときに直面する課題を説明するために使うことができる。建設作業員が、自分たちの家が安全であることを保証するために、設計図や建築基準法に従う必要があるのと同じように、開発者は、自分たちのソフトウェアアプリケーションが安全であることを保証するために、セキュアコーディングの実践に従う必要があるのです。

セキュアコーディングが困難な理由はいくつかあります。以下がその例です：

• セキュアコーディングの実践に対する認識不足。開発者の86%が、セキュアコーディングを実践するのは難しいと回答している。
• 時間とリソースの不足。アンケートの回答者の24%が、「時間が足りない」ことがセキュアなコードの統合を妨げる最大の要因であると回答しています。
• セキュアコーディングの複雑さ。開発者の63%が、脆弱性のないセキュアなコードを書くのは難しいと評価している。
• ツールへの過度の依存。アプリケーション・セキュリティ・チームの57％が、DevSecOpsのライフサイクル中に脆弱性を発見するために6つ以上のツールを利用している。(GitLab、2023年）

しかし、課題にもかかわらず、安全なコーディングは不可欠です。セキュアなコーディングの実践に従うことで、開発者は攻撃者に悪用される脆弱性からアプリケーションを保護することができます。よく建てられた家が倒壊しにくいように、よくコーディングされたアプリケーションはハッキングされにくいのです。

ここでは、セキュアなコーディングの実践を改善したい開発者のためのヒントをいくつか紹介する：

• セキュアコーディングに関するトレーニングや教育を受ける。開発者がセキュアコーディングの実践について学ぶのに役立つリソースは数多くあります。
• 静的解析ツールを使ってコードの脆弱性を特定する。静的解析ツールは、手作業では見つけにくいコードの脆弱性を特定するのに役立つ。
• レビューしやすく、理解しやすいコードを書く。レビューしやすく理解しやすいコードは、安全なコードである可能性が高い。
• コードを徹底的にテストする。コードをテストすることで、脆弱性が悪用される前に特定し、修正することができる。

もっと知りたいですか？当社のセキュアコード学習ブループリントで、アジャイルでセキュアなコーディング戦略を開発する秘訣を解き明かしてください。 

‍

‍

‍

‍

この記事のバージョンは セキュリティ・ブールバード.

今年の初め、PCIセキュリティ基準評議会はPayment Card Industry Data Security Standard（PCI DSS）のバージョン4.0を発表した。組織が4.0に完全に準拠する必要があるのは2025年3月までですが、今回の更新はこれまでで最も大きな変革であり、ほとんどの企業は複雑なセキュリティプロセスや技術スタックの要素を評価（およびおそらくアップグレード）する必要があります。これに加えて、役割ベースのセキュリティ意識向上トレーニングや、開発者向けのセキュアコーディング教育を定期的に実施する必要がある。

これは、BFSI分野の企業にとって、セキュリティ・プログラムを本格的に強化し、人材主導のサイバー回復力の新時代を切り開く絶好の機会となる。 

PCI DSS 4.0に対応するための最大の課題は何ですか？

組織のセキュリティプログラムが、そのビジネスニーズと利用可能なリソースに固有の複雑さを伴う包括的なものであるように、PCI DSS の新基準は多くの分野をカバーしています。ツール、脅威、戦略、およびコンプライアンス対策が瞬時に変化する可能性のある業界において、これは重要なことです。

PCI DSS 4.0 は、厳密なセキュリティのベストプラクティスという同じ目標を達成するために多くの方法があるという概念を取り入れています。assessment これは事実ですが、高度なセキュリティ成熟度を持つ組織に最も適しているように思われ、特に、社内の真のセキュリティ成熟度について現実的でない組織にとっては、多くのエラーの余地が残されています。結局のところ、企業は、一度限りの「セット・アンド・フェザー」ではなく、継続的かつ進化するプロセスとしてセキュリティに取り組む覚悟が必要である。強固なセキュリティ文化が必須であり、組織全体でセキュリティ意識向上に取り組む必要がある。 

また、コードレベルのツール、つまり開発集団は、デジタル資産やトランザクションを扱うあらゆるビジネス環境で、コンプライアンスに準拠した安全なソフトウェアを提供できるようにしなければならない。 

開発者は、コンプライアンスに準拠したソフトウェアを提供する準備ができていますか？

開発者は、ソフトウェアセキュリティの卓越した状態を実現するために不可欠な存在であり、これは特に、形だけの PCI DSS コンプライアンスにとどまりません。開発者が PCI DSS 4.0 の全体像を理解し、管理できることを理解し、ソフトウェア構築の既定のアプロー チの一部として統合することが極めて重要です。 

開発チームにとって最も重要な変更点は3つある：

• 認証：アクセス制御の実行可能な計画は、常に PCI コンプライアンスの重要な部分でしたが、バージョン 4.0 では、社内外での慎重な実装が必要となる方法で、これを一段と強化します。多要素認証（MFA）が標準となり、パスワードの複雑さやタイムアウトに関するルールも強化される。
  
  認証とアクセス・コントロールのセキュリティ問題は、平均的な開発者が直面する可能性のある最も一般的な問題であるため、実際のコードでこれらの問題を特定し、修正できるよう、正確なトレーニングを実施することが不可欠である。
  
  
• 暗号化と鍵の管理私たちは、オンライン・バンキングなど、複数のアクセス・ポイントから最も機密性の高い情報にアクセスできる世界で活動しています。このような高価値のデータを危険にさらすため、暗号化と強力な暗号技術の実践は必須です。開発者は、情報がどこに送信され、ユーザーがどのようにアクセスできるのか、そして万が一情報が悪人の手に渡ったとしても、脅威行為者によって読み取られないようにするための最新の知識を確実に身につけなければなりません。
  
  
• 悪意のあるソフトウェア： 以前のガイドラインでは、悪意のあるコードからのソフトウェア保護に関するセキュリティ管理は「ウイルス対策ソフトウェア」と呼ばれていたが、これはウイルスだけでなく、はるかに多くのものから保護する多層的なアプローチであるべきものを単純化しすぎている。アンチマルウェア・ソリューションは必要なところに適用されなければならず、継続的なロギングとモニタリングは必須である。
  
  また、開発者が脆弱なコンポーネントを特定するための学習経路を持つことも不可欠であり、特に、ほとんどのコードベースが少なくとも部分的にはサードパーティのコードに依存している現状ではなおさらである。

開発者にとって「十分な」トレーニングとは何か？  

以前の推奨事項と同様に、PCI DSS 4.0 では、開発者は「少なくとも」毎年トレーニングを受けることが提案されています。しかし、セキュアなソフトウェアを作成するためのタッチポイントが年に 1 回で十分であるという意味であれば、それは十分とは言えず、より安全で準拠したソフトウェアを作成することにはつながらないでしょう。 

開発者教育は、OWASP トップ 10 のほか、言語に関連する脆弱性やビジネス上重要な脆弱性についての基礎教育から始めるべきである。この教育は、継続的なプログラムの一環として実施し、スキルを継続的に向上させ、セ キュリティを当初からソフトウエア開発に組み込むだけでなく、開発者の考え方や役割に対す るアプローチにも組み込むようにする。さらに、開発要員とその上司に対して、役割と責任を明確に示す必要がある。セキュリティは共有責任であるべきだが、期待されることを文書化し、それが適切に満たされるようにするのは当然のことである。

PCI DSS 4.0 準拠の準備にかかるリードタイムがあれば、セキュリティ文化の改善を組織全体で大きく前進させることができます。

‍

Secure Code Warriorでは、今日の絶え間なく変化するセキュリティ課題に取り組むための適切なスキルを開発者や組織に提供するために、常に革新を続けています。これは、非常に魅力的で柔軟性があり、管理が容易なセキュアコードイネーブルメントを通じて実現しています。

テクノロジースタックや追加のトレーニングプログラムへの投資に関しては、誰もが投資収益率を高めたいと考えています。ただし、セキュリティに関しては、長期的に取り組む必要があります。開発者が主導するセキュリティに投資すれば、高額な侵害や生産性の低下、蓄積された技術的負債のリスクを軽減できるだけでなく、今日の脅威の状況を先取りするための積極的で費用対効果の高い戦略を立てることができます。

この前四半期に、セキュア・コア・ウォリアーズはコーディング・ラボを使った新しい学習方法を実装しました。この方法は、セキュア・コード・ウォリアーのすべてのお客様にご利用いただけるようになりました。参加管理とコースのバージョン管理の強化を発表できることを嬉しく思います。また、ガイドラインなどの新しいコースアクティビティも作成しました！

さっそく詳しく見ていきましょう！

SCW プラットフォームの幅と深さの拡大

Secure Code Warriorでは、新しいコンテンツへの継続的な拡張により、当社のモジュールが今日のサイバーセキュリティ環境において知っておく必要のある内容に合わせて適切かつタイムリーにカスタマイズされています。55 を超える言語という業界トップクラスの幅と深さを誇るため、多数の言語とフレームワークで開発者をトレーニングするためのプログラムの構築と拡張が容易です。

コースで利用できるコーディングガイドライン

ガイドラインの追加により、開発者は主にセキュリティ緩和策を対象とした、状況に応じた自分のペースで学習できます。ガイドラインは動画よりも詳細で、特定の言語やフレームワークに焦点を当てています。チャレンジ、ミッション、ウォークスルーなどの他の攻撃ベースのアクティビティでは、すでに開発者が脆弱性を理解している必要があります。これらのアクティビティを防衛的な観点から補完するガイドラインを作成しました。

開発者はコース内のガイドラインを読み、管理者はコーステンプレートでガイドラインを使用できます。ガイドラインは、OWASP Top 10 2021 にリストされている脆弱性を対象としており、C#、Java、JavaScript、Python、擬似コード、PHP のコードスニペットも含まれています。

新しいチャレンジコンテンツ

Secure Code Warriorは、組織のニーズに合わせた関連性の高いタイムリーな課題を定期的に更新して作成しています。以下で利用できる拡張された課題を発表できることを嬉しく思います。

• Dart: Flutter-AndroidとiOSでスムーズなクロスプラットフォームアプリを構築するためのモバイル言語
• Terraform: GCP-Google クラウドプロバイダーのコード開発言語としてのインフラストラクチャ。

開発者はコードを分析して脆弱性を発見し、批判的思考を働かせて、リストされている脆弱性を防ぐための最適なセキュリティ実装を選択できます。

近日公開:新しいフロントエンドデベロッパーコンテンツ

フロントエンド開発者にも安全なコード有効化が必要です！そのため、ミッションとウォークスルーではフロントエンドの脆弱性をさらにリリースする予定です。フロントエンドの開発者は、コース内のフロントエンド固有のミッションにもアクセスできるようになります。

これらのアップデートは、DOM ベースの XSS などの一般的な脆弱性から、CSS インジェクションなどのあまり発生頻度の低い脆弱性まで、フロントエンド固有の脆弱性を包括的にカバーすることを目的としています。

ステップバイステップのウォークスルーでは、脆弱性がどのように悪用されているかについて、フロントエンド開発者に信頼できるガイダンスを提供します。上級開発者はトーナメントのフロントエンドミッションで自分のスキルをテストすることもできます。

管理者と開発者のエクスペリエンスを簡素化

プラットフォームの使いやすさが大幅に向上したことで、スケーラブルで魅力的な安全なコード教育プログラムの構成がこれまでになく簡単になりました。

‍

コースのバージョン管理、アーカイブ、参加管理

既存のプログラムを編集する新しい方法で、組織のプログラムの絶え間なく変化するニーズに対応できるようになりました。コースのバージョン管理により、管理者は新しいコースを作成しなくても既存のコースを編集できます。管理者は、開発者が登録していないテストコースや関連性のないコースを削除して、アーカイブを整理することもできます。

さらに、コース管理ページで追加のフィルターを適用できるため、管理者は作業したいコースに簡単に絞り込むことができます。コースは、コースステータス、終了日、登録チームなど、さまざまな属性でフィルタリングできます。たとえば、管理者は、時間制限のあるすべてのコース、コース終了時の評価が添付されているコース、またはコースがドラフトまたはプレビュー中のコースを簡単に見つけることができます。

コースのバージョン管理とフィルタリングに加えて、管理者はコース参加者を一括で再招待したり、必要に応じてコースから削除したりできるようになりました。これにより、システム管理者はワンクリックで開発者を「招待済み」の状態で再招待できるようになり、プラットフォームに戻って学習を開始するように促すための貴重な時間と労力を節約できます。

‍

これで、今四半期の新機能の説明は終わりです。フォロー Twitterのセキュア・コード・ウォリアー 最新のリリースや改善点に関する最新情報を入手してください。

セキュア・コード・ウォリアーを試してみたいけど、まだアカウントを持っていないということはありませんか？にサインアップ 無料トライアルアカウント 今日から始めましょう。

全米サイバーセキュリティ意識向上月間は、サイバーセキュリティ専門家にとって年に一度の最も華やかな機会であり、多くの企業が組織全体のセキュリティ意識の高揚を振り返り、評価するために活用しています。また、2018年だけでも62％の企業がフィッシング攻撃やソーシャルエンジニアリング攻撃を経験しており、セキュリティの役割を担っているかどうかにかかわらず、企業内のすべての個人が適切なサイバーセキュリティ意識向上トレーニングを受けられるようにすることの重要性は、いくら強調してもし過ぎることはありません。

この月は、ますますグローバル化するイベントとして、ベストプラクティスを議論するためのキャッチボールの場となっており、その取り組みは意図的に表面的なものとなっています。しかし、強固なセキュリティプログラムを持ち、社内に専門家がいる組織であっても、この期間を利用して、より技術的なチームがそれぞれの役割に応じてセキュリティ意識を高めるために必要なことを評価することができます。

AppSecのスペシャリスト、開発チームのリーダー、そしてよりセキュリティに精通したエンジニア集団にとっては、卵の吸い方を教わっているような気分になるかもしれません。しかし、企業内のチャンピオンこそが、セキュリティと安全性を全社的に新たな高みへと押し上げることができるのです。

Cybersecurity Awareness Monthを盛り上げるには

これは、セキュリティチームが開発チームにオリーブの枝を差し伸べる絶好の機会である。おそらく、チーム間の活動やプログラムの形で、開発者が自分たちの仕事の中でセキュリティについて前向きに考えることができるようにするのであろう。

キックオフのアイデアとしては、以下のようなものがあります。

1. 開発者が安全なコーディングを学ぶために必要なサポートを受けることができます。仕事に適したツールを持っていないことは、タスクを「難しすぎるバスケット」に入れてしまうことを正当化しているように感じられます。
   
   今月は、開発技術スタックに何が欠けているのか、どのマネージャーが協力してコミュニケーションを改善し、セキュリティの可視性を高めることができるのか、そして誰が今後もセキュリティを擁護し続けることができるのかを理解するための月です。
   
2. ランチ＆ラーン」というイベントを開催する。一般的に、サイバーセキュリティや開発のコミュニティには、自分の専門知識を喜んで共有してくれる非常に寛大な人々が溢れています。カンファレンスの講演者や他社の技術者仲間、あるいは地元のOWASP支部に連絡を取り、チームに来ておしゃべりしたり、組織の誰かとウェビナーを録画したりできる人を探してみましょう。比較的短期間で成果を上げることができますし、新進気鋭の開発者にとっては、さまざまなセキュリティのキャリアパスを目の当たりにすることで、大きなメリットを得ることができます。
   
3. 集まって切磋琢磨しましょう。少し変わった特別なことをすれば、セキュリティについての学習はもっと楽しくなります。セキュアコーディングtournaments は、開発者が自分のセキュアコーディングのスキルを試したり、ゲーム性のある環境で仲間と競い合ったりするのに最適な方法です。仮装をテーマにして、チームごとに工夫を凝らしてみましょう（開発者対マネージャーなんてどうでしょう）。ピザや飲み物を注文して、エネルギッシュな音楽を流せば、組織全体にとって忘れられないイベントになるでしょう。

コミュニティへの還元Secure Code Bootcamp アプリを無料でダウンロード

私自身も開発者ですが、昔から無料で共有・利用できるものを探すのが常でした。他の人の役に立つようなフリーウェアを作ることは誇りであり、今月は私たちのルーツを振り返り、コミュニティに何を提供できるかを考える良い機会です。

そのために、新しい無料アプリSecure Code Bootcamp を発表します。これは、いつでもどこでもセキュリティ意識を高めながら、自分自身に挑戦したいコーダーのためのポケット・セキュア・コーディング・コンパニオンです。

iOSとAndroid用のアプリを今すぐダウンロードして、Node.JS、Python:Django、Java:Spring、C# .NETにおけるOWASPの脆弱性を見つけ、特定する方法を学びましょう。MVCです。

私たちの主な使命は、ソフトウェアとその開発を安全なものにすることであり、制作の初期段階からセキュリティを考慮して作られていることは周知の通りです。私たちのビジョンは、ソフトウェア開発の新しい基準を設定することです。開発者がスキルと知識を身につけることで、脆弱なコードを作成プロセス中に検出し、問題が発生する前に修正することができるようになります。

そういった意味では、世界中の企業に新たなデータ漏洩、サイバー攻撃、コードの不正利用が発生したというニュースは喜ばしいことだと思われるかもしれませんが、このような事件は、様々な分野における当社のサービスの必要性を明らかにするものです。しかし、実際のところ、これは非常にもどかしいことです。なぜなら、ほとんどのセキュリティ教育は、リスクを最小限に抑え、これらの侵害を阻止するのに十分な強度を持っていないからです。

最新のデータ漏洩の被害者はTicketmaster社です。被害に遭った数千人のお客様の中には、事件の発生とパスワードの変更を通知するメールを受け取った方もいらっしゃるでしょう。コンサートやスポーツイベントのチケットを購入しただけで個人情報が侵害されるとは誰も思っていませんが、このような事態になってしまいました。

これは誰にとっても最悪の事態であり、Ticketmaster社の評判を落とすことになり、まさに腐った顧客体験となりました。しかし、一つ問題があります。それは、完全に彼らのせいではないということです。

同社は、Inbenta Technologies社のカスタマーサポートアプリケーションを利用していました。Ticketmaster UKは、この製品に悪意のあるコードが含まれていることを発見し、全世界の顧客データの5％が侵害されました。

では、ハッカーたちはどのようにしてこのシステムを悪用したのでしょうか？Inbenta Technologies社がTicketmaster社の要求に合わせてカスタマイズした、1行のJavaScriptコードを操作したのです。Inbenta社によると、このコードは同社が対応していないページで使用されていたため、知っていればセキュリティ上の脆弱性として認識していただろうとのことです。

この脆弱性は、基本的にはファイルのアップロード/保存ライブラリのセキュリティ問題であり、たった1つの違反が、同じコードがロードされているすべてのサイトに影響を与える可能性があります。このコードは、個人情報を収集し、攻撃者に転送するように変更することができます。これは、広範囲に被害を及ぼす可能性のある単純な脆弱性であり、私たちは開発者向けにプラットフォーム内での様々なトレーニングを実施して、この問題に対する防御に取り組んでいます。

もちろん、サードパーティのアプリケーションに頼らずにビジネスを展開することは事実上不可能です。しかし、サードパーティがどのようにソフトウェアを構築しているかを管理することはできませんし、コードのセキュリティ強度についても基本的には見えません。これは信頼の問題です。もしサードパーティのパートナーが安全なコーディングを怠っていたら、あなたの会社にもセキュリティ侵害の可能性があるかもしれません。

では、その解決策とは？簡単に言えば、私たち全員がもっとうまくやらなければならないということです。私たちは、セキュリティを企業の革新の道を阻む厄介な障害物と考えるのをやめなければなりません。

開発チームに適切なツールと知識を与えてセキュリティを導入し、不正なコードを阻止することは、思ったよりも簡単です。私たちは、世界的に有名な金融、通信、小売、ハイテク企業の多くがこの新しいアプローチを採用していることを嬉しく思っていますが、セキュリティ教育に取り組むのはフォーチュン100社の企業だけではありません。しかし、セキュリティ教育に取り組むのはFortune 100企業だけではありません。開発者をスタッフに抱えるすべての企業は、チームが安全にコーディングできるようなトレーニングを実施する必要があります。

最近発表されたホワイトペーパーでは、CTOのMatias Madouと共同で執筆し、組織内にセキュリティ文化を構築することの利点を紹介しています。このホワイトペーパーでは、セキュリティ文化を構築することが、イノベーションを生み出し、アジャイル性を維持し、安全でないコードがもたらす財務上の影響を軽減するための鍵となる理由を詳しく説明しています。

などのヒントを見つけることができます。

セキュリティトレーニングを開発者にとって適切で魅力的なものにする方法

開発者が自分で問題を発見して解決する方法を教える方法

開発者が自らのコードを安全に構築するためにはどうすればよいか。

この資料をダウンロードして、組織内でセキュリティを擁護し、チームのスキルを高め、より高い水準のコードを設定するための第一線で活用してください。

私たちは、セキュリティを企業の革新の道を阻む厄介な障害物と考えるのをやめなければなりません。

すでに稼働している機器のコンピュータコードを1行だけ変更するのに、どれくらいの費用がかかるかと聞いたら、どんな数字が思い浮かぶだろうか。数百ドル？数千ドルかな？

Aviation Todayによると、民間航空会社が飛行機のコードを1行更新するのに100万ドルかかるという。これだけの費用がかかるのだから、飛行機のシステムを更新するために必要なステップを踏むには、それなりの理由が必要だろう。私は、さまざまな要因について考えさせられた。

コストの内訳

この記事では、100万ドルのコストを構成するものの概要は説明されていませんが、私はこの数字は実行可能なものだと思います。私は航空会社のソフトウェアアップデートに特化した専門家ではありませんが、この状況下で航空会社が取らざるを得ない手順のいくつかは想定できます。

まず、航空会社がアップデートを必要とする欠陥や脆弱性を発見する必要があります。例として挙げられているのは、米国国土安全保障省（DHS）がボーイング757型機を対象に行った調査です。わずか2日間の作業で遠隔操作によるハッキングが可能になったという結果は、航空会社が注意を払うには十分すぎるほど説得力がある。

その後、ソフトウェア開発者は調査結果を分析し、新しいコードを書き、安全な環境でテストを行い、問題が修正されていることを確認する必要があります。ここからが厄介なところです。航空会社は、脆弱性や欠陥のある各航空機を着陸させ、新しいコードを適用し、その航空機で確実に機能するかどうかをテストし、その計画を商業飛行のために再認証する必要があります。

airfleets.netによると、サウスウエスト航空は現在、499機のボーイング737-700を保有しています。もし、この機種にセキュリティ上の欠陥があった場合、時間とお金をかけて対応する必要があります。

単なる航空会社の挑戦ではない

明らかに、航空会社は最初から健全なセキュアコーディングの原則を採用することに興味を持っているはずです。少し考えてみると、同様のコストが適用される業界や状況が数多くあることがわかりました。ハッキングされた脆弱性によって飛行機が空から落ちてくることを心配する代わりに、ペースメーカーのような医療機器はどうでしょうか。50万個もの命に関わる電子機器をリコールしてアップデートするには、どれだけのコストがかかるでしょうか。

自動車業界では、自動運転車に関する話題やセキュリティへの懸念が続いています。しかし、典型的な自動車であっても、インターネットへの接続性はこれまで以上に重視されており、それが安全性に関する問題に直結しています。

本番環境にリリースされた後、あるいは大量生産される前のデバイスやシステムをアップデートするには、開発プロセスにセキュリティを組み込むよりも、はるかに多くの費用と労力、時間がかかるというのは単純な事実です。しかし、今もなお、予防可能なソフトウェアの欠陥やサイバーセキュリティの脆弱性が毎日のように発生しており、企業は開発文化の中に安全なソフトウェア開発を組み込む方法を模索する必要があることを示しています。

アビオニクス機器のコードを1行変更するのにかかる費用は100万ドルで、実施には1年を要するという。ボーイング社の737を使用しているサウスウエスト航空にとって、737に搭載されているシステムに特定のサイバー脆弱性があった場合、それは「破産」を意味します

‍

今月初め、私は美しいメルボルンで開催されたOWASP AppSec Day 2019に参加する機会を得ました。このような開発者向けのイベントは、カレンダーの中でも最も好きなものの1つです。ソフトウェアエンジニアやスペシャリストを教育し、彼らの仕事にセキュリティを取り入れられるようにするために、たゆまぬ努力を続けているコミュニティの存在を、謙虚に思い起こさせてくれます。

ゲストのラインアップはセンセーショナルで、爽やかで多様性に富んでいることは言うまでもありません。この業界に何年も身を置いていても、私も刺激を受けて帰ることができるというのは素晴らしいことです。ターニャ・ヤンカ、トニ・ジェームズ、テリー・ラディケルは素晴らしいプレゼンテーションを行い、ワイヤグールのエルダー・マークセンはその場で安全なコーディングに挑戦し、会場全体を驚かせましたが、参加者のセキュリティに対する意識の高さを目の当たりにすることができたのは素晴らしいことでした。

今年、Secure Code Warrior はこのイベントのプラチナ・スポンサーでした。ちょうど4年前、スタートアップの私たちに無料のブースとプロモーションを提供してくれたのは、OWASP AppSec Dayのチームだったことを思い出して、思わず笑ってしまいました。会社としてどれだけ進歩したかを誇りに思うと同時に、このような素晴らしい人々の寛大なコミュニティが存在することに感謝する瞬間でもありました。

トニ・ジェームズ開発者の視点から見たセキュリティ

この世界でもっと育てなければならないものがあるとすれば、それは「共感」です。ソフトウェアをより安全にするためには、開発者の苦境を理解することが不可欠なのです。

トニのプレゼンテーションはとても楽しく、すべての開発者にとってすぐに共感できるものだったと思います。単に「安全なコードを書け」というだけではなく、もっと多くの話があります。私は確かに、セキュリティに関する効果的なトレーニングを受けた開発者は、脆弱性と戦うための最良のチャンスだと信じていますが、彼らの日々の課題を考慮することは不可欠です。

ソフトウェア開発者の仕事は、何百万人ものユーザーに公開され、重要なインフラを支え、私たちが当たり前のように利用しているサービスの原動力となることがあります。機能構築、ビジネス革新の実行、無駄のない納品期限の厳守など、多くのプレッシャーがありますが、それはAppSecチームが大きく立ちはだかり、彼らのハードワークをバラバラにしてしまう前の話です。トニは、このような環境での生活がどのようなものであるか、また、すべての立場の人が共感することで、はるかに優れたプロセスとセキュリティの成果が得られることを語りました。開発者とAppSecチームの間のギャップを埋めるために、このような健全な取り組みが行われていることを非常に喜ばしく思います。結局のところ、これは前向きで繁栄するセキュリティ文化の重要な要素であり、トニはこのプロセスが信じられないほどうまく機能している典型的な例です。

Tanya JancaとTeri Radichel：セキュリティ・スーパーヒーロー

競うわけではありませんが、Tanya JancaとTeri Radichelのカンファレンスでの貢献は私のお気に入りのひとつです。クラウドのセキュリティ評価をDIYで行うというチュートリアルの10分後には、彼らの驚くべき幅広い経験、資格、専門知識だけでなく、知識を共有して開発者コミュニティをサポートしたいという純粋な温かさが伝わってきました。彼らは一緒に、セキュリティポリシーの設定や最小特権の対策に関する実践的なアドバイスなど、Azureの実装の安全性を確保するための現実的で実行可能なアクションを提示しました。

彼らは、草の根レベルで開発者をサポートするために、豊富な無料のリソース、指導の機会、ソフトウェアセキュリティの楽しく魅力的な側面を促進するためのインタビューなどを行っており、Googleで検索すれば、その献身ぶりがわかるでしょう。次に参加するセキュリティカンファレンスで彼らが講演するとしたら、そのセッションを見逃すわけにはいかないでしょう。

大舞台に立つクライアント

多くのお客様が参加されただけでなく、ステージに立ってセキュリティに関する豊富な知識を披露されていたのは素晴らしいことでした。

Telstra社のAndrew Bailey氏が「Adding the "Sec'to DevOps"」という重要な講演を行っているのを見ることができました。シニア・ソフトウェア・エンジニアとしての豊富な経験を活かし、アプリケーション・セキュリティとセキュア・コーディングに焦点を当てた彼の講演は、非常に優れた内容でした。彼は、SDLCのすべての段階でセキュリティを導入するためのエンド・ツー・エンドのヒントを提供しました（もちろん、最初の段階で、より多くの開発者にセキュアコーディングのトレーニングを行うことも含みます）。

ケン・ジョンソンはGitHubのセキュリティチームに所属しており、カンファレンスの最後に行われた専門家によるパネルディスカッションに参加してくれました。彼は、他のパネリストとともに、メディアでは必ずしも注目されていないような質問も含めて、聴衆からの差し迫った質問に喜んで答えていました。彼は、業界についてのいくつかの洞察とともに、ウェルビーイングとワークライフバランスの重要性についてパネルで議論しました。これは、開発者の燃え尽き症候群の時代には非常に重要なことです。

ジュリアン・バートン氏をはじめとするOWASPメルボルンチームの皆さん、今回も素晴らしいカンファレンスを開催していただき、本当にありがとうございました。来年、またお会いしましょう（ステッカーをたくさん用意して）。

先日、ゲイリー・マグロウ氏がホストを務めるポッドキャスト「Silver Bullet」のインタビューを受け、学術研究よりも産業界の方が優れている点や、ヨーロッパでビジネスを始めることが容易ではない理由、アプリケーションセキュリティ業界が今後どのような方向に向かっていくのかなどについて話しました。

私は起業するつもりはありませんでしたが、多くの企業が同じ問題に直面しているのを見て、起業しました。安全なコードを書くことは、多くの開発者にとって困難なことです。コードのセキュリティ問題を発見することに焦点を当てた業界全体があり、これらの問題は山積みになっています。

見つかった問題の修正に苦労している組織やその開発チームを効率的に支援することに焦点を当てたソリューションは非常に少なく、コードにさらなる問題が発生するのを防ぐことに焦点を当てたソリューションはさらに少ないです。ますます多くの企業がこの悪循環に気づき、開発チームが最初から安全なコードを書くためのトレーニングを受け、それを可能にするツールとプロセスを備える必要があることを認識しています。

ゲイリー・マグロウと私が業界の今後をどのように見ているかについてもっと知りたい方は、theSilver Bulletポッドキャストをご覧ください。

Show 139: Matias Madou、セキュアな開発トレーニングとソフトウェア・セキュリティ・テストの研究について語る

https://www.synopsys.com/software-integrity/resources/podcasts/show-139.html