2021年、私たちは伝説的なOWASPトップ10の新時代の到来を告げました。この最新リリースでは、いくつかの重大な変化が明らかになっています。インジェクションの欠陥は、ブロークン・アクセス・コントロールの脆弱性を優先して、ついにトップの座から覆されました。Insecure Design や Software and Data Integrity Failures などの新しいエントリでは、単独のセキュリティバグではなく、脆弱性カテゴリへの傾向が示されており、最も一般的なバグによる脅威環境と潜在的な攻撃対象領域が拡大していることを証明しています。

OWASPは、私たちが日常的に使用するソフトウェアに見られる最も一般的で厄介なセキュリティ問題について、常に頼りになる存在でした。組織が取り組むべきベースラインがあるとすれば、セキュリティトレーニングを受けた開発者の助けを借りて、このトップ10を制覇しているのがOWASPです。多くの企業がこれを認識していますが、サイバーセキュリティのスキルギャップが縮小し、コードに対する途方もない需要に直面してソフトウェアの安全性にプラスの影響を与えるためには、開発者のスキルアップでより広いネットワークを構築し始める必要があります。

このホワイトペーパーでは、以下を含む新しいOWASPトップ10を分析します。

• 脆弱性カテゴリと個別の問題の影響
• 建築セキュリティが再び注目される理由
• OWASP Top 10のベースラインとしての価値と、企業が開発者のスキルアップの優先事項のリストを独自に計画する必要がある理由
• 脆弱性を軽減するための人間中心のソリューションが、ツールベースの防御よりも包括的なアプローチである理由

‍

開発者が生産性とコードセキュリティを向上させることができるようにする

Secure Code Warriorは、Gartner® の「ソフトウェアエンジニアリング：開発者の生産性の向上」レポートで選ばれた4社のうちの1つです。™

ガートナーによると、ソフトウェアエンジニアは、生産性を維持しながら、複雑なコード環境をナビゲートし、構築したシステムのセキュリティを向上させることに苦労しています。セキュリティおよびエンジニアリングのリーダーは、組織が開発者の生産性を高め、セキュリティリスクを軽減するのに役立つ革新的なソリューションを提供するこの調査対象の「クールベンダー」を検討すべきです。

今すぐレポート全文をご覧ください。

‍

Arun Batchu、Marty Resnick、Manjunath Bhat著、2022年5月16日のガートナー社のソフトウェアエンジニアリングにおけるクールなベンダー：開発者の生産性の向上に関するレポートをお読みください。

‍ *_{GARTNERは、米国および海外におけるGartner, Inc. および/またはその関連会社の登録商標およびサービスマークであり、ここでは許可を得て使用しています。すべての権利は留保されています。GARTNER COOL VENDOR バッジは Gartner, Inc. および/またはその関連会社の商標およびサービスマークであり、本書では許可を得て使用しています。すべての権利は留保されています。ガートナーは、自社の調査出版物に掲載されているベンダー、製品、サービスを推奨するものではなく、最高評価やその他の評価を得たベンダーのみを選択するようテクノロジーユーザーに助言するものでもありません。ガートナーのリサーチ出版物はガートナー・リサーチ・アンド・アドバイザリー組織の意見で構成されており、事実の記述と解釈されるべきではありません。ガートナーは、商品性または特定目的への適合性の保証を含め、明示または黙示を問わず、この調査に関するすべての保証を否認します。}

‍

開発チームが安全なコードのスキルアップにワクワクするようにしましょう。
‍セキュリティトレーニングは、開発者のワークフローにおけるもう一つのハードルのように感じるかもしれませんが、この1ページでは、開発者にとってどのようなメリットがあるのかを強調しています。

‍

Paysafeは、金融取引を信頼に根ざした体験に変える手助けをしており、年間1,520億ドルを超える取引量を処理する安全でシームレスなプラットフォームを提供するには、基本的なコンプライアンス基準を満たすだけでは不十分であることを認識しています。過去4年間、PaysafeはSecure Code Warriorとのパートナーシップを通じて、開発者のリスク管理に対する包括的なアプローチを推進し続けています。同社のアプリケーションセキュリティプログラムは、次のようなビジネスニーズ全体にプラスの影響を与えていることが実証されています。

課題:Paysafe全体のセキュアコード基準の向上

Paysafeは多国籍オンライン決済プロバイダーとして、セキュアコーディングを単なるPCI DSSコンプライアンス要件の達成にとどまらない戦略的優先事項として常に位置づけてきました。専門家による正式な教室型トレーニングセッションとスキル評価は初期の取り組みの一部でしたが、Paysafeの目標は常に、セキュアコーディングイニシアチブの範囲と規模を継続的に拡大し、アプリケーションセキュリティに対するクラス最高のアプローチを確保し、エンジニアが最初からセキュアなコードを作成できるようにすることでした。

「私たちにとって、トレーニングを提供してきたのは、単にチェックを入れるだけのことではありませんでした。私たちの目標は、進行中の開発状況を常にスタッフに知らせることです。私たちは常により良くなり、より多くのことを行うよう努めています。エンジニアリングチームとセキュリティチームに協力してもらいたいと考えています。自分で開発できるチームは、より多くの情報を得て、より優れたコードを設計できます」と、Paysafeの人材開発パートナーであるBoyan Hristov氏は言います。

Paysafeのビジョンは、セキュリティを左にシフトし、ソフトウェア開発ライフサイクルのあらゆる段階に安全なコーディングプラクティスを組み込むセキュリティ意識の高いエンジニアを育成することでした。これをサポートするには、PCIコンプライアンスのための監査証拠を提供するだけでなく、スケーラブルで魅力的かつ継続的なプログラムが必要でした。これには、開発者を惹きつけ、業界のセキュリティトレンドの最前線に留まるよう促すための、ゲーミフィケーションを活用した学習体験、定期的なトーナメント、常時実施のトレーニングなどが含まれていました。

解決策:安全なコードウォリアーによる最先端のアプローチ

PaysafeはSecure Code Warriorの開発者向けリスク管理プラットフォームを採用し、安全なコーディングプラクティスの拡大、エンジニアの関与、開発ライフサイクルの早い段階でのセキュリティ組み込みを支援しました。同社のセキュリティチャンピオンプログラムは時間とともに拡大し、Secure Code Warriorはサイバーリスク防止の目標達成において重要な役割を果たしてきました。

Paysafeは、開発者がプラットフォームと有機的に関わり合うことを可能にし、魅力的な賞品付きのトーナメントなどのゲーミフィケーション活動を通じて、開発者の参加と関心を促進しました。このプログラムが開始された当初、PCIコンプライアンス要件を満たすためにいくつかの評価が義務付けられており、オプションとして他のコンテンツや活動も提供されていました。

プログラムが勢いを増すにつれ、経営陣はさらなる支援を提供し、開発チームと情報セキュリティチームの目標をより一層一致させました。これにより、Paysafeチームはプログラムを次のレベルに引き上げ、指定されたKPIと成功インセンティブを備えたより正式な認定プログラムを導入することができました。

プログラムの次のフェーズでは、業界標準のOWASPトップ10のトピックに焦点を当て、開発者が様々なレベルの成果を上げることができる認定ステージを設けました。現在、このプログラムは新たな規模と成熟度に達し、正社員から派遣労働者まで、開発者のベースライン基準が全面的に引き上げられました。

「私たちは、過去4年間にSCWと築いてきたパートナーシップを非常に高く評価しています」と、Paysafeの最高情報セキュリティ責任者であるAlan Osborneは語っています。「これは、SDLCにおいて初めてセキュアコードを開発し、可能な限り早い段階でセキュアコードを開発するという共通のコミットメントに支えられ、対象を絞ったアプリケーションセキュリティトレーニングを提供し、セキュリティチームとエンジニアリングチーム間のより強固な関係を築くことができました。」

エンジニアリング分野のCISO、CTO、エグゼクティブリーダーの継続的なサポートと連携により、PaysafeはSecure Code Warriorと提携してプログラムを継続的に進化させてきました。現在、このプログラムはビジネスニーズと密接に連携し、目に見える成果をもたらし、社内チームにとって関連性が高く魅力的なものであり続けています。

結果: 組織全体で安全なコードを実現するための新たな基準

Paysafeのアプリケーションセキュリティへの取り組みは、4年前に開始されて以来、改善を続けています。Paysafeは、Secure Code Warriorとのパートナーシップを通じて、開発者リスク管理への包括的なアプローチが組織全体に多大な影響を与える可能性を実証しました。

PaysafeがSASTスキャンデータを分析したところ、Secure Code Warriorでトレーニングを受けたチームが開発したアプリケーションでは、開発の初期段階のスキャンで検出された脆弱性が著しく減少したことが示されました。最初のスキャンで見つかった脆弱性の数は、開発者がSCWプラットフォームに積極的に関与していたチームではさらに減少しました。

Secure Code Warriorの活動と関与レベルが最も高いチームでは、開発初期段階で発見された脆弱性が前年比で大幅に減少しました。これは、安全なコーディング習慣を強化するための継続的なスキルベースのトレーニングの付加価値を浮き彫りにしました。最初から安全なコードを作成したことで、彼らのチームや SDLC に所属する他のチームは、時間を大幅に節約できました。開発の初期段階で脆弱性を防ぐことで、コードの脆弱性を特定、記録、修正する必要がなくなり、何千もの開発時間が節約されました。その結果、開発者の生産性が 45% 向上し、安全なコードのスキルアップと日々の開発プロセスの改善のメリットを実証できました。エンジニアリングチームとアプリケーションセキュリティチームの両方にとってメリットがあります。

Paysafeのセキュアコードへの献身的な取り組みにより、Paysafeは目立つ存在となり、^{SCWトラストスコア®において銀行および金融サービスのベンチマーク内で4位にランクインしました} 。これは彼らが誇りに思う成果ですが、Paysafeのセキュアコード・イニシアチブへの取り組みはそれだけにとどまりません。Paysafeは、Secure Code Warriorとのパートナーシップを通じて得られた成果に勇気づけられ、プログラムのさらなる向上を目指しています。

ペイセーフの最高情報セキュリティ責任者であるアラン・オズボーンは、「Secure Code Warriorのおかげで、開発者の生産性を高め、製品や改善を市場に投入する能力を加速し、時間の経過とともにコストとリスクを大幅に削減することができました」と述べています。強化された開発者トレーニングによって推進されるセキュアコーディングは、単なる「あれば良い」ものではなく、開発者のスキル、経験、能力を強化しながら真のROIを実現する実証済みの投資であることを実証しました。

次に、Paysafeは、追加のガバナンスとリスク管理対策をプロセスに組み込むことで、セキュリティ基準をさらに運用することを目指しています。SCW Trust Agentは、Secure Code Warriorとの長年のパートナーシップを深め、サイバーセキュリティの卓越性への取り組みを示しています。

最近の Aberdeen 社のレポートによると、9 社中 8 社の組織が、自社のコードベースにコンプライアンスや脆弱性の問題があることに気づいていませんでした。問題を特定したある企業では、ソフトウェア監査によって最終的に明らかになった実際の問題の 9.5% しか把握していませんでした。これは、セキュリティとコンプライアンスのリスクを管理するうえで、回避策と是正策の両方にギャップがあることを意味します。

このギャップを埋めることは、エンジニアリングチームとそのリーダーが、リスクのないソリューションを開発して提供する組織の能力に対するオープンソースソフトウェアの影響をよりよく理解できるようにするために重要です。解決策の1つは、発見と修復のための適切なツールを確立するとともに、セキュリティとコンプライアンスの重要性やリスクを軽減する方法について開発者をトレーニングするクローズド・ループ・プロセスを構築することです。

開発者、エンジニアリングリーダー、またはセキュリティスペシャリストの方は、このウェビナーで当社の専門家であるReveneraの製品管理ディレクターであるAlex Rybak氏と、Secure Code WarriorのCTOであるMatias Madou氏による以下の内容についてご説明します。

-ソフトウェア開発ライフサイクル全体を通じて継続的なガバナンスを実施することの重要性。
-ソフトウェア部品表 (sBOM) がエンジニアリングリーダーの最大の味方である理由
-信頼できるソリューションの開発は、リスクの特定と是正のための部門横断的な合意方針を策定することから始まる方法
-コンプライアンスとセキュリティ管理をサポートするための構造変更を必要とする業界規制の導入
-より強固なオープンソース管理イニシアチブのためのマイクロトレーニングなどのプログラムを通じて開発者教育を確保する上で、企業が現在果たしている役割

テル; 試してください

コルゲート・パルモリーブについて

Colgate-Palmolive Companyは、世界中の家庭で知られ、愛されているマーキス・コンシューマー・プロダクツブランドです。2世紀以上の歴史があるにもかかわらず、彼らはデジタルを活用して人々、ペット、そして地球のより健康的な未来を再考する革新的な成長企業です。

状況

Colgate-Palmoliveは、他のほとんどの組織と同様に、顧客により良いサービスを提供するためにデジタル変革を進めており、これが組織のアプリケーションセキュリティへの取り組み方に変化をもたらしています。

コルゲート・パルモリーブのCISOであるアレックス・シューチマン氏は、このように述べています。

「当社にとって、お客様のデータを保護することで、製品だけでなく、お客様と当社とのデジタルインタラクションにおいても信頼を築くことが非常に重要です。」

しかし、アレックスにとっての課題は、潜在的な顧客データ侵害の根本原因、つまりコード自体を保護することでした。

「CISOとしての役割に転向したとき、アプリケーションのビルド側での作業は本当に役に立ちました。AppSecからチケットを取り戻すのが大変だったり、やり直しのせいで締め切りに間に合わなかったりするフラストレーションは理解できます。その結果、CISOとしての私の目標は、ソフトウェア開発ライフサイクルのセキュリティを強化することだけでなく、その実装方法を合理化することでもありました。」

アクション

Colgate-Palmolive は、セキュリティトレーニングを一口サイズの小さな単位に分割することで、この課題に取り組みました。これにより、開発者が慣れ親しんでいた長くて一枚岩のコンプライアンストレーニングではなく、自分のワークフローに組み込むことができるようになり、より受け入れやすくなりました。Secure Code Warriorのアジャイルで状況に応じたアプローチを活用して安全なコード学習を行うことで、開発者は実際のプロジェクトのコンテキストにおける脆弱性を理解できるようになりました。その結果、安全なコーディングスキルのエンゲージメントが高まり、長期的に定着できるようになりました。

「開発者のエンゲージメントを維持しながら、これらのベストプラクティスを展開したかったのです」と Alex 氏は言います。「私たちはまだプログラムの重要な部分を義務付けていますが、トレーニングを管理しやすく保ち、開発者のフィードバックに耳を傾けることが、プログラムの成功につながりました。」

Colgate-Palmolive は GitHub リポジトリをゲートする Okta ワークフローを実装し、以下の図に示すように、特定の SCW 評価に合格した開発者のみがプルリクエストにアクセスできるようにしました。

結果

アレックスによると、 「成功に向けて最適化するには、最初から開発者を参加させる必要があることを理解していました。そこで私たちは、開発者がプログラムの成功に欠かせない存在であることを開発者に確実に伝えました。その結果、セキュリティチームと開発者の関係が大幅に改善され、プログラムにおいてチームとして協力しているように感じました。私たちは、これまでの成功をさらに発展させながら、セキュリティ成熟度プログラムの拡大と拡大を続けています。」

重要なポイント

1. プログラムの目標を明確に定義し、開発者の意見とエンゲージメントを強調します。開発者は、自分のワークフローに組み込まれ、日常的に使用する開発ツールと統合された安全なコード学習プログラムに賛同する傾向があります。
2. Okta などの SSO ツールを使用してコードリポジトリをゲートすると、チームのモチベーションが高まります。プルリクエストを行うことができるのは、特定の SCW コースと評価で合格点を獲得した開発者のみです。
3. 時間をかけて、アプリケーションセキュリティチームと開発チーム間の強固な協力関係を促進するセキュリティ文化を構築してください。

‍