セキュリティコードインサイト

AppSec管理者、CISO、CIO、サイバーセキュリティ専門家など、私はソフトウェア開発およびセキュリティ分野でキャリアを積みながら、世界中のあらゆる種類の企業で働き、多くの人々と対話してきました。

状況が異なろうと、チームの経験がどれほど違おうと、絶えず変化するデジタル世界でどれほどの時が流れていようと、常に同じ一つの問題があります。それは、セキュリティに関して開発チームを積極的に関与させることはほとんどないということです。セキュリティは依然として汚い言葉であり、チーム間の対立の根源であり、業界の裏側の厄介な問題でもあります。

しかしソフトウェアセキュリティは、私たちの一般的な考え方ではこの道をそのまま続けるにはあまりにも重要です。私たちは対話を変え、セキュリティをすべての開発者の業務生活において欠かせない要素とするよう努めなければなりません。そのための最良の方法の一つは、例えばゲーミフィケーションを通じて開発者のセキュリティ能力を強化し、参加を促すことだと考えています。

現在の風景

開発者は、セキュリティコード提供に関する実用的な知識がほとんどない状態で大学を卒業し、セキュリティ教育がほとんど優先順位ではない職場で働いています（そして優先順位が高い場合でも、通常は健康と安全に関する必須のコンプライアンスビデオの一部であるため、誰もセキュリティコーディングに関心を持たないでしょう）。セキュリティを初めて知るきっかけが監査やテストのバグ報告であることが多く、この場合、その後のリリースが突然中断され、瞬く間に創造性が損なわれます。彼らはセキュリティ報告責任者と議論するため、心の中で「セキュリティ」は「批判」と同義語として浮かび上がります。なんてこった。

ソフトウェアセキュリティに対するこうした否定的な認識が広く浸透していることは、率直に言って残念なことです。結局のところ、私のキャリアの中で最も記憶に残っていることの一部は、ソフトウェアセキュリティについて学んだことと関連しています。私はハッカーとしての初期の時代を、カンファレンスに参加しながら過ごしました。 カンファレンスでは、仲間たちに対して自分の技術を試すことができただけでなく（率直に言って少し自慢することもできました）、私のようにソフトウェアを壊すことを楽しむ同じ考えを持つ人々と出会い、本当に楽しい時間を過ごしました。

BruCon、DefCon、BlackHat... こうしたイベントは、私のような者たちが親善大会で技術を披露する機会を提供しました。反社会的行為に加担したことを認めるつもりは毛頭ありませんが、参加者たちの携帯電話に侵入し、プレゼン画面に自身の情報を全員に晒すことでハッキングの腕前を誇示する者もいました。ソフトウェアをより良くするためにこうした欠陥を見つけ出すこと、つまり悪用して修正することが一つのゲームとなりました。数年前、私は中東に住む数百人の子供たちの前でサイバーセキュリティを教える特権に恵まれました。生徒の中にいた8歳の女の子が今でも記憶に残っています。ゲームを通じてパスワード強制適用とBase64エンコーディングを学んでいたのです。

ゲーム化はコーディング技術の指導にも活用されています。世界中の教育機関では高校生から非常に幼い子供たちまでを対象に、このアプローチを用いてコーディングを教えています。今では4歳未満の子供たちも、次のような休暇プログラムに定期的に参加しています。コードキャンプそして子供たちにPythonや他の言語でコーディングする方法を教える素晴らしいオンラインプログラムが数多く存在します。驚くべきことに、スクリーンレスコーディングというツールまで購入しました。わずか1歳の娘のために。

しかし、こうした楽しさや発展にもかかわらず、格差は存在します。ゲーム化を活用して開発者にセキュリティコードの書き方を教育できるかどうかについて、誰も考えたことがなかったのです。

ええと…ほとんど誰もいません。数年前、私はセキュリティを再び魅力的にし、開発者が参加してゲームを始めたいと思えるように動機づけなければならないと気づきました。

ゲーミフィケーション：簡単な方法。

私の内面には、セキュリティ知識を備えた開発者の能力を高め、強化したいという深い意欲が込められています。私がSecure Code Warriorを作ったのも、まさにこの情熱によるものです。ソフトウェアセキュリティは非常に重要であり、本当に興味深いものになり得ます。

私の考えは私だけのものではありません。

ゲーミフィケーションは、最も日常的な作業さえもより楽しくし、人々がプレイを続け、勝利し、成長したいと思うほどに没入感を高めることができます。 ポケモンGOの手法を見てください！最も怠惰な人さえもソファに座ったまま屋外で架空の生物を探し求めたり、FitBitが多くの人の歩数目標を毎日設定したりするように…目標が達成されなかったり連続記録が途絶えてバッジがもらえなかったりすると、本当にがっかりするものです。

セキュリティ教育に戻ります。多くの顧客から実証されているように、ゲーミフィケーションは組織のセキュリティ文化を真に変革し、AppSecと開発チーム間の架け橋となるだけでなく、より高品質なソフトウェア構築を支援する上で極めて重要です。

現在のセキュリティは開発者の優先順位ではありません。トレーニング方法に親しみやすく、競争的で魅力的な要素を加えることで、開発者が単に「プレイ」するだけでなく、繰り返し戻ってきてより多くのスコアを獲得し、高得点を狙い、精度を高め、同僚チームメンバーに挑戦するよう動機づけられます。

成功する訓練は次の通りであるということを、すでに知っています。

• 開発者は実際のコードと自身の言語/フレームワークで作業できます。
• チャレンジは短く、一般的なセキュリティ脆弱性をすべて網羅します。
• チャレンジは継続的に拡張および更新されるため、開発者は時間の経過とともにスキルを積み重ね続けることができます。
• 課題は複雑性が多様であるため、上級開発者と経験の浅い開発者の双方にとって魅力的です。
• 開発者と管理者は、完了した課題、強みと弱み、教育に要した時間、全体的な正確性などの進捗状況を確認できます。

当社の主要顧客の一社は、ゲーミフィケーションプラットフォームの真の魔法を見せてくれました。開発者にテーマ別のチーム装備を提供し、ゲーム優勝者に素晴らしい賞品を提供し、トーナメントを記憶に残る一日にしたのです。その後、国際大会も開催し、チーム全体が今日に至るまで真剣なトレーニング時間を過ごしています。

皆様だけのソフトウェア革命はここから始まります。オーストラリアの銀行業界は、既存の（あるいは退屈な）教育を完全に変える真に革新的なアプローチで、悪いコードとの戦いにゲーミフィケーション教育を導入する先頭に立っています。当社の顧客が何を実現したかご覧ください。ネクストレベルトーナメント。準備はよろしいですか？チームレベルアップ、私たちと一緒に？

私たちは対話を変え、セキュリティをすべての開発者の業務生活において欠かせない要素とするよう努めなければなりません。そのための最良の方法の一つは、例えばゲーミフィケーションを通じて開発者のセキュリティ能力を強化し、参加を促すことだと考えています。

9月3日、私と数名のチームメンバーが主催した素晴らしいセキュリティアワードカンファレンスに参加しました。CSOオーストラリア 主催の2019年「ウーマン・イン・セキュリティ・アワード」は、オーストラリア初の同種アワードの一つであり、業界で最も高く評価されるセキュリティ専門家たちの驚くべき成果でした。これはサイバーセキュリティ分野における女性の貢献を称える場であるだけでなく、注目されることが少なく、驚くべき成果を上げるために努力する女性たちが生み出す素晴らしい才能と革新性を披露する、切実に必要とされていたプラットフォームでもありました。

セキュアコードウォリアーの顧客成功担当副社長（通称チーフ・オーサム）であるファテマ・ベイダウンがその日欠かせない存在だったと言えることに、大きな誇りを感じています。彼女は講演についてこう発表しました。未来のためのメンタリング：女性サイバーセキュリティ人材育成において私たち全員がより良くできる方法非常に受容的な聴衆に向けて。彼女が当社とサイバーセキュリティ業界全体に長年与えてきた影響を語る時間はわずか12分でしたが、彼女は（言うまでもなく）決定的で肯定的な変化を目の当たりにしてきました。

より包括的なアプローチ。

ファテマはこう語りました。「私がこの業界でキャリアを始めた当初、所属チームで数少ない女性の一人でした。ネットワーキングの機会もほとんどが男性中心だったため、参加して適切な人々と出会い、ビジネスに重要な価値を示すことが困難でした。可能な限り、より包括的な空間を作りながら、こうした力学を変えたいと思っていました。

例えば、業界イベントに参加すると、多くの企業ブースがプロモーションモデルを使ってブースへの関心を誘導しているのをよく目にしました。理論的には問題ありませんが、私がターゲット市場ではなかったため、無視されることが多かったのです。キャリア初期にイベント運営を担当した際、自社製品への関心を引く、より包括的で楽しい方法を考え出せるはずだと心に決めました。」と彼女は語りました。

ファテマと私は長年共に働いてきました。ファテマは常に、私たちが運営するビジネスにおいて包括性と多様性を擁護してきました。こうした取り組みは常に女性チームにより多くの支援をもたらし、主要な貢献に対する評価を得られるようにし、多様なアプローチ、意見、生活様式を通じて集団を強化することを可能にしてきました。

ファテマはこう言った。「ねえ、もちろん誰も真の女性になりたいとは思わないでしょう。しかし問題は、多様性に乏しい一部の経営陣が、自分と似たような人々にリーダーシップの指揮棒を渡す傾向があるという点かもしれません。 個人的な次元では共感できるかもしれません。こうした経営陣は、女性が実績と技術に基づいて貢献することで利益を得られると理解しつつも、彼女たちを見つけるのが難しいと感じることが多いのです。経営陣が多様性がもたらす強み（これは性別を超越したものです）を認識すれば、喜んでそのような道筋を作り、組織のために素晴らしい仕事をする準備ができている女性を育成し始めるでしょう」と彼女は語った。

業務の柔軟性：成功の核心要素。

会社を立ち上げた当初から、チームメンバーが息をつける空間があってこそ最高の成果を出せることをすぐに理解しました。柔軟性は誰にとっても重要ですが、働く家族を支援する政策は、重要な人材を維持する上で重要な役割を果たすことができます。

ここに初めて導入された政策の一つは、乳児就労政策（Infant-At-Work Policy）でした。この政策により、新生児を持つ親は約束に必要な柔軟性と判断への恐れなしに、乳児を職場に連れてくることができるからです。

ファテマはこう語った。「母親になることとキャリアのどちらかを選ばなければならなかったのは望まなかった。幼い息子を職場に連れて行けることは、私が支えられ、価値ある存在だと感じられる前向きな動きでした。私のスキルは出産後も消えません。スタートアップの創業メンバーになれば、またその仕事に飛び込みたくなりますよね！」

彼女はABCニュースとも柔軟な勤務の利点について話しました：

メンター文化は盛んになっていますか？

優れたキャリアをスタートさせ、推進力を維持するためには、誰にとってもメンターを持つことが望ましいです。IT、サイバーセキュリティ、男性中心の分野では、管理職クラスの女性の人数が男性に比べて著しく不均衡であるため、少し難しいかもしれません。

女性がリーダーシップ職において「自分自身」を見出すことも重要ですが、男性もチーム内で賢明な女性を励まし、可能であればメンターとして支援を提供できます。

「リーダーシップチームは組織の多様化に大きな影響を与えるだけでなく、優秀な女性が他の誰と変わらぬ正当な評価とキャリアパスを確保できるよう支援できます。ジェットスターのサイバーセキュリティ責任者であるイヴェット・レジンズ（Yvette Lejins）と共に、実際にこの取り組みを実践したことがあります。彼女は女性の擁護者であり、自身の成功と努力を通じて多くの成果を上げ、他の女性たちがトップに立つことができるという自信を呼び起こす手助けをしてきました」とファテマは語りました。

現在、セキュアコードウォリアーは従業員100名達成を記念しました。ビジネス全体で女性の比率が50％以上であるという事実を誇りに思います。ファテマは皆にとって卓越したロールモデルでありメンターです。

あらゆる企業はチームの多様性の中に大きな強みを見出すことができます。様々な分野や立場からの多様な意見は、良いアイデアを素晴らしいアイデアへと変えるために必要な秘訣となる可能性があります。いつもそうであるように、私たちは皆が力を合わせればより強くなれるのです。

ゴキブリは核爆発を含むあらゆる災害を生き延びられるというよく知られた説があります。この説はある程度事実ではありますが、体格が単純であるため、その大きさに対して非常に頑丈であり、ほとんどの環境下で根絶するのが困難です。

考えてみたのですが…デジタル世界でゴキブリに相当する問題があるとすれば、コードにSQLインジェクション（SQLi）の脆弱性があるのではないでしょうか。この脆弱性は20年以上前から知られているものですが、組織は今なお被害を受け続けています。広範に蔓延し、多大なコストを伴う標的型攻撃の事例と同様に、SQLインジェクションの結果でした。選挙ハッキングで20万人の有権者記録が流出したイリノイ州では、FBIが全IT管理者に対し、セキュリティ対策の強化を迅速に進めるよう勧告しました。

インペルバのハッカーインテリジェンスイニシアチブ報告書によると、2005年から2011年の間に報告された全データ侵害事例の83%でSQLインジェクション攻撃が使用されていました。今日でもインジェクション脆弱性は依然として米国における最大の脅威であり続けています。OWASPトップ10。比較的単純ですが、簡単には死にません。

このような脆弱性が依然として多くのアプリケーションセキュリティ検査で検出されるのは滑稽に思えます。私たちはこの問題の仕組みをよく理解しており、防止方法も把握しています。どうしてこのようなことが起こり得るのでしょうか？実際、ソフトウェアセキュリティには改善の余地が無限に存在します。

ベラコードのソフトウェアセキュリティ現状レポート- 2017年40万件のアプリケーションスキャンに基づく驚くべき統計が発表されました。OWASP Top 10ポリシーを通過したアプリケーションはわずか30%でした。新たにスキャンしたアプリケーション3件中ほぼ1件にSQLインジェクションが検出されるなど、過去5年間この傾向は変わっていません。これは根深い問題の証拠です。 私たちは過ちから教訓を得ておらず、CISOは十分なセキュリティ人材を確保する上で困難な戦いに直面しているようです。一般的に、アプリケーションセキュリティ専門家と開発者の比率は1:100であり、適切とは言えません。

ソフトウェアセキュリティが生命維持に含まれる理由は何か？

専門的なセキュリティ人材が不足していることは周知の事実です。しかし、開発者が問題が発生した際に解決せず、そもそも脆弱性を導入しない準備ができていないという事実にも注意を払う必要があります。同じVeracodeレポートによると、開発段階の脆弱性全体のうち、緩和策が文書化されていたのはわずか14.4%でした。つまり、大半の脆弱性は開発段階での緩和策なしに提出されていたのです。最初の90日間に解決された脆弱性は3分の1未満であり、42%の脆弱性は開発期間内に解消されませんでした。

筆者はセキュリティ専門家、CISO、CEOらと常に議論を交わしているが、多くの企業が（誤検知という災厄に加え）緩和不可能な脆弱性の数に不満を抱き、検索を完全に停止して指をくわえて最善の結果を期待しているという事実を知った。

AppSecの専門家たちがこのような状況を許容した理由は何でしょうか？

間違えないでください。AppSecのスタッフはコードの問題を身にしみて理解しています。結局のところ、これが彼らを貴重なチームリソースとする核心技術の一つなのです。しかし彼らはしばしば様々な要因によって困難に直面します。

例えば、AppSec管理者は問題を発見し、開発者に「コードを修正できますか？」と尋ねます。この重要な質問への答えは組織によって異なりますが、一般的に開発者は厳格な機能提供スプリントの遵守に神経を使いすぎており、こうした問題を解決する時間も、支援する適切なツールも持っていません。AppSec専門家は自ら脆弱性を特定することはできますが、これを即座に修正できる技術やアクセス権限を持たない場合がほとんどです。

また、あらゆる問題には解決策を見つけ、実装し、テストするプロセスが必要であることを認識しなければなりません。コードで見つかった些細な問題でさえ、解決に要する時間は膨大であり、必要なリソースは言うまでもありません。ソフトウェアに導入される可能性のある脆弱性は700を超えるため、一人の人間が全てを防御することは不可能です。こうした理由から、ほとんどの企業はOWASP Top 10のみに固執しています。その間、開発者は機能開発を続け、 その結果、自身が書いたコードに脆弱性を次々と導入し続けています。

解決策は何でしょうか？

端的に言えば、私たちは開発者に対してセキュリティコーディングの成功を促進するためのツールや教育を提供していません。組織内で開発者に適切なセキュリティスキルを保有するよう義務付ける規定も存在しません。ほとんどの大学やインターンシッププログラムも、ジュニア開発者が安全にコーディングできるよう準備できていないのが現状です。

飛行機に乗ろうとする人には、飛行前に訓練、実務経験、健康診断、安全知識および検査を保証する非常に厳格な手順があります。誰も、こうした広範な準備と技術的検証がなければ空に放たれることなど想像もできないでしょう。しかし、コード作成においては、毎日このようなことが起こっています。

開発者に対してセキュリティコードの記述について教育する時間を割く必要があります。しかし、ソフトウェア開発が急速に進み、優秀な開発者やセキュリティ専門家が不足している今日の世界では、これが決して優先事項ではないように思われます。今こそ、この議論を変える時です。

世界経済フォーラムの最近のヘッドラインは「セキュリティなしではデジタル経済も存在しえない」と訴え、これと併せて、あらゆるデジタル革新戦略の中核部分となるためにはセキュリティが必要であるという内容が盛り込まれています。「セキュリティは企業を保護し、企業が革新し、新たな製品やサービスを構築できるようにします。セキュリティは防御的な役割を超え、企業に戦略的な成長の優位性をもたらします。」

セキュリティコーディング技術と成果を向上させることで、組織に強力なサイバー保護層が追加され、より迅速かつ優れたコードを作成できるようになります。開発者がセキュリティの専門家である必要はありませんが、サイバー攻撃に対する第一防衛線となるためには、積極的かつ実質的な権限を与えられなければなりません。開発者は次世代のセキュリティとイノベーションのヒーローとなる可能性があります。彼らは非常に聡明で、創造的に問題を解決し、 通常、自らの技術を磨くことに熱心です。当然受けるべき専門教育を通じて強みを発揮し、より高いソフトウェアセキュリティ基準を遵守しましょう。ホワイトペーパーを読む詳細はこちら

飛行機に乗ろうとする人には、飛行前に訓練、実務経験、健康診断、安全知識および検査を保証する非常に厳格な手順があります。誰も、こうした広範な準備と技術的検証がなければ空に放たれることなど想像もできないでしょう。しかし、コード作成においては、毎日このようなことが起こっています。

不正なAIやロボット、人間の主人に牙をむく家電など、ポップカルチャーにはたくさん登場します。しかし、IoTやコネクテッドデバイスが家庭に普及するにつれ、サイバーセキュリティや安全性に関する話題も重要になってきています。ソフトウェアは私たちの身の回りにあふれていますが、私たちに多くの革新と利便性をもたらしてくれる巧妙な機能を実現するために、どれだけ多くのコードに依存しているかを忘れがちです。ウェブベースのソフトウェア、API、モバイル機器などと同様に、組み込みシステムの脆弱なコードは、攻撃者に発見されると悪用される可能性があります。 

サイバー攻撃の結果、電子レンジの軍隊が人類を奴隷にしにやってくるということは考えにくいですが（ただし、Tesla社のボットは少し気になります）、悪意のあるサイバーイベントが起こる可能性はあります。私たちが普段使っている自動車、飛行機、医療機器の中にも、重要なタスクを実行するために複雑な組み込みシステムのコードに依存しているものがあります。これらの対象物が侵害される可能性があるということは、憂慮すべきことであるだけでなく、生命を脅かす可能性もあります。

他のソフトウェアと同様に、開発者は、製品を作る段階で、最初にコードに触れることになります。そして、他のソフトウェアと同様に、このことが、製品が稼動する前に発見されない、陰湿で一般的な脆弱性の温床となる可能性があります。 

開発者はセキュリティの専門家ではありませんし、どの企業も開発者にその役割を期待するべきではありません。しかし、開発者に関連する種類の脅威に対処するためには、はるかに強力な武器を装備することができます。一般的にCやC++で書かれた組み込みシステムは、技術的なニーズが進化し続ける中で、より頻繁に使用されるようになるでしょう。このような環境で使用されるツールに関する開発者向けの専門的なセキュリティトレーニングは不可欠です。 

爆発するフライヤー、暴走する車......私たちはカモにされている？

私たちの安全を守るために、すべてのセキュアな開発にはいくつかの標準や規制がありますが、すべての種類のソフトウェアのセキュリティに対して、はるかに正確で意味のある前進をする必要があります。フライヤーにハッキングされて問題が発生するというのは突飛なことのように思えるかもしれませんが、リモートコード実行攻撃という形で実際に発生しています（脅威の行為者は危険なレベルまで温度を上げることができる）し、自動車の乗っ取りにつながる脆弱性もあります。

特に自動車は複雑で、複数の組み込みシステムが搭載されており、それぞれが自動ワイパーやエンジン、ブレーキ機能などの細かい機能を担っています。さらに、WI-Fi、Bluetooth、GPSなど、増え続ける通信技術が絡み合い、コネクテッド・ビークルは、複数の攻撃手段にさらされる複雑なデジタルインフラとなっています。2023年には7,630万台のコネクテッド・ビークルが世界各地で走行すると予想されており、真の安全性を確保するためには、膨大な数の防御基盤を構築しなければなりません。

MISRAは、組み込みシステムの脅威に対して善戦している重要な組織であり、組み込みシステムの文脈において、コードの安全性、セキュリティ、ポータビリティ、信頼性を促進するためのガイドラインを策定しています。

しかし、このゴールドスタンダードを遵守したコードを作成し、実行するには、ツールに自信を持ち、セキュリティを意識していることは言うまでもない組み込みシステムエンジニアが必要です。 

なぜ、組み込みシステムのセキュリティアップスキルは特殊なのか？

C および C++ プログラミング言語は，今日の基準では老朽化していますが，広く使用されています．

これらの言語のルーツはかなり古く、インジェクションの欠陥やバッファオーバーフローなどの一般的な問題に関して、似たような脆弱性の挙動を示していますが、開発者が本当に組み込みシステムのセキュリティバグを軽減することに成功するためには、彼らが働く環境を模倣したコードを実際に使用する必要があります。一般的なセキュリティ対策のための一般的な C 言語のトレーニングでは、組み込み C 言語での作業に特別な時間と注意を払った場合ほど効果的で記憶に残るものにはなりません。

最新の自動車には十数台から百数十台の組み込みシステムが搭載されています。開発者は、何を確認し、どのように修正するかについて、IDEの中で正確なトレーニングを受けることが必要です。

組込みシステムを一から守るのは全員の責任

多くの組織では、少なくとも開発者の責任という点では、開発スピードがセキュリティに勝るという現状があります。安全なコードを作成する能力が評価されることはほとんどありませんが、素晴らしい機能を迅速に開発することは金科玉条です。ソフトウェアへの需要はますます高まっていますが、このような文化は、脆弱性と、それが引き起こすサイバー攻撃との戦いで、私たちを敗北に導いています。 

開発者がトレーニングを受けていなくても、それは彼らのせいではありません。AppSecチームの誰かが、開発コミュニティ全体に適切でアクセス可能な（言うまでもなく評価可能な）スキルアッププログラムを推奨することで、その穴を埋める手助けをする必要があります。ソフトウェア開発プロジェクトの最初の段階で、セキュリティを最重要視し、全員（特に開発者）が自分の役割を果たすために必要なものを提供する必要があります。 

組込みシステムのセキュリティ問題を実践する

バッファオーバーフロー、インジェクションの欠陥、ビジネスロジックのバグなどは、いずれも組み込みシステムの開発でよく見られる落とし穴です。

バッファオーバーフローは特に多く発生しており、これがどのようにして前に話したエアフライヤーを危険にさらしたか（リモートでコードを実行できるようになったか）について深く知りたい場合は、CVE-2020-28592に関するこのレポートをご覧ください。

さて、いよいよ実際の組み込みC/C++コードで、バッファオーバーフローの脆弱性を体験してみましょう。このチャレンジでは、この陰湿なバグにつながるお粗末なコーディングパターンを見つけ出し、特定し、修正できるかどうかを確認します。

どうでしたか？組込みシステムのセキュリティに関する精密で効果的なトレーニングについては、www.securecodewarrior.com。

この記事はもともと に掲載されました。 DevOps.com.更新および修正されました。

「ブロックチェーン」「ビッグデータ」「デジタル変革」と同様に、「DevOps」という用語は現在、大規模組織のIT部門で台頭しているもう一つの流行語です。

多くの企業が、ビジネス目標と密接に連携したより精密なプロセスである、より迅速なソフトウェア開発ライフサイクルの必要性を（正確に）認識しています。 これにより開発チームと運用基盤チーム間の明確なワークフローと協業が可能となります。DevOpsは本質的に「アジャイル」開発であり、現代ビジネスの絶え間ない革新と迅速なデプロイメントという要求を満たす準備が整っています。セキュリティ専門家にとっては理想的な取り組みです。プロセスにセキュリティを早期に組み込むことで、バグ修正コストを削減し将来発生し得る重大な問題を未然に防げるからです。

問題は、DevOpsの実装に真に成功した企業がほとんどないことです。ビジネス全体にわたる適切な支援、育成、理解がなければ、企業は瞬く間に白象（無駄な投資）に成り下がる可能性があります。ご存知の通り、戦争は言うまでもなく、プロジェクトの一つに過ぎません。

では、何が問題なのでしょうか？興味深い議論ですが、DevOpsに取り組むいくつかの方法があり、それによってはるかに円滑な運用が可能になると考えます。効果的なプログラムは、いくつかの素晴らしい新しいツールや肩書き、チームミーティングを超えるものです。常に容易とは限りませんが、時間をかけて誤った戦略を修正するか、最初から正しい方法で実装することは、長期的にははるかに苦痛が少ないでしょう。そして最終的には、ソフトウェアの品質が向上し、セキュリティが強化されるはずです。

詳しく説明いたします。

「アジャイル」エプロンの紐を緩めてください。

組織がアジャイルとDevOpsのどちらか一方を選択しなければならないという誤解があります。 一つの道筋を設定したら決して振り返ってはならないという誤解があります。

問題は、開発プロセスが両者を一体として考慮し実装するときに最も効果を発揮する点にあります。DevOpsはアジャイル開発の革新ではありません。むしろアジャイル開発の延長線上にあるものです。プロセスが順調に進むと期待されると、車輪が外れる傾向があります。アジャイルでも、全く異なるアジャイルでも、まったく同じことが言えます。

アジャイルは当初から、デザイナー、テスター、開発者を一つにまとめ、プロジェクト全体を通じてオープンなコミュニケーションラインを構築することで、部門横断的なチームの原則を支えます。目標はサイロ化された提供を停止し、二重処理を減らすことであり、これら両方がDevOpsプロセスの利点でもあります。しかしDevOpsはさらに一歩進み、システム、セキュリティ、運用を統合することで、顧客に完全かつ機能的なソフトウェアを提供するという究極の目標を持つ、強力で包括的な手法を提供します。

DevOps中心のプロセスへの移行に伴い、避けられない課題が生じると、サイロ化された開発のリスクが再び発生する可能性があります。セキュリティおよび運用面の追加機能がまだ適切に実装されていない状態で、既存のアジャイルチームが共同作業を行うケースが少なくありません。これらをどのように組み込むべきか、何をすべきか、全体的な目標を正確に把握している者は誰もいません。

DevOpsは、明確に定義された目標、部門間のオンボーディング、すべての関係者との直接的なコミュニケーションなしには機能しません。もちろん調整期間には細心の変更管理が必要ですが、DevOps機能がもたらす改善点を全員が同じ理解のもとで業務を遂行できるようにすることだけで十分です。

DevOpsはプロセスの一部としてセキュリティのベストプラクティスに重点を置いており、これにより各段階を容易に説明し、セキュリティチームと他の全従業員間の隔たりを縮めています。前述の通り、開発者が最初から安全にコーディングできるようにするにはまだ道半ばですが、DevOps手法の成功した実装は、開発チーム内にセキュリティスキルを構築するための優れた基盤となります。

自動化がすべてではなく、最も安全なものでもありません。

DevOps手法のもう一つの特徴は、ソフトウェア開発プロセスの自動化です。継続的インテグレーションおよび継続的デリバリー（CI/CD）の原則はこの概念の基盤であり、ご想像の通りツールに大きく依存しています。

ツールは非常に優れています。コードリポジトリ、テスト、保守、ストレージ要素を比較的シームレスに管理することで、ソフトウェアデリバリープロセスをかつてない速さで実行できます。

しかしロボットが私たちの仕事をすべて奪い、いつかは私たちを監獄に閉じ込めるかもしれないが、ロボットはまだその段階には至っていない。ツールや自動化への依存度が高ければ、エラーが発生する可能性は大きく開かれている。スキャンやテストだけでは全てを確認できず、コードが検査されない可能性があり、これにより甚大な品質（セキュリティは言うまでもなく）問題が発生する恐れがあります。攻撃者はバックドア一つあれば悪用してデータを盗み出せます。品質及びセキュリティ管理において人的要素を放棄すれば、深刻な結果を招きかねません。

「幸福な媒体」とは人々のバランスを保つことです。そして道具。道具はプロジェクト目標を達成するために信頼できるチームの補助的役割を果たすべきです。以下を実践しなければなりません。

• 人々が選択したDevOpsツールチェーンに慣れるための十分な時間を確保してください。
• 効果的な協業（およびそれを支援するツール）に焦点を当てる
• 技術/知識であれツールベースであれ、プロセスのあらゆるギャップを解決してください。

簡単に言えば、ただ「道具」を持って最善を尽くすことを期待しないでください。

DevOpsは流行語ではなく文化です。育んでいますか？

変化管理は、せいぜい難しい仕事です。未知のものに対する恐れは、どれほど優秀なチームメンバーであっても、技術を磨き視野を広げる妨げになり得ます。

ご存知の通り、単に「DevOpsをやってみましょう」と言い、運用チームに机を移動させれば、魔法のように成功したプロセスが実現するわけではありません。多くの人々が混乱し、長年勤務してきたチームメンバーは不満を感じるでしょう。期待値のコミュニケーションは非常に重要であり、「歩み寄り」も重要です。DevOpsは開発手法であると同時に、文化的運動でもあります。 チームは複数の部門をまたぐ協働的な思考様式を身につけなければなりません。

優れたDevOps文化とはどのようなものなのでしょうか？

• 個人はリーダーだけでなく、プロセスにおいても自身の専門知識を活用できます。
• チーム間のオープンで誠実かつ尊重し合うコミュニケーション
• 各人は、開発プロセスに品質とセキュリティを組み込むという全体的な目標に対して責任を負います。
• すべての人がビジネスにおけるDevOpsの定義、ロードマップ、各個人の役割の方法・対象・理由について同じ理解を持っています。

筆者は数年にわたり、開発チームにポジティブなセキュリティ文化を構築することが重要だと強調してきたが、DevOpsも例外ではない。

セキュリティのベストプラクティスを達成し、発見された脆弱性を把握し、チームがデータ保護の重要性を認識できるようにするには、適切なツール、知識、サポートが不可欠です。DevOpsを活用するには、前向きな変化のための文化的基盤を整える必要があります。 つまり、全員が自身の役割、価値、期待、プロジェクト全体の目標、プロセス段階を理解できるようにする必要があります。

それをマスターされましたか？素晴らしいですね。では視点を変え、セキュリティの側面を拡大して、DevSecOpsをソフトウェアの卓越性に向けた究極の計画にしましょう。

退屈だ、退屈だ、退屈だ！これは、セキュリティコードのトレーニングが話題になるたびに、開発者たちからよく聞かれる反応のひとつです。Secure Code Warrior は、もっと良い方法があるはずだと信じているため、エヴァンス・データ社と協力し、セキュリティコーディング、セキュリティコードの実践、およびセキュリティ運用に関する開発者の意識について、一次調査を実施しました（ホワイトペーパーをダウンロード）。 こちら）。

まもなくリリース予定のバージョンにおける対応から予防への転換：アプリケーションセキュリティの変容する姿。開発者に対し、現在のセキュアコーディング教育における主要な課題について質問したところ、その答えが明らかになりました。

開発者の実力を低下させる教育

調査に参加した開発者の40%は、セキュアコーディングが真空状態で教えられていると感じました。また別の40%は、教育が理論的すぎて業務に関連性がなく、「実践」としても不十分だと感じました。 30%は日常的に使用する言語やフレームワークに関する教育が不足していると回答しました。これは深刻な問題であり、現在のセキュリティコード教育が状況に応じて無意味であり、開発者が日常的に行う業務と何ら意味のある関連性を持たないことを示しています。

ほとんどの開発者が直面する主な課題は、セキュリティを最優先に考えるよう促す効果的でもなく、インスピレーションを与えることもない、精神を麻痺させ、手軽な活動に没頭している間も目を覚ましておくことです。

真空状態での訓練は、開発者が実験室と現実世界を認知的に結びつけることを妨げます。

開発者がセキュリティコード研修で求める三つの事項：

1. 開発者は圧倒的に、日常業務とより実践的で状況に応じた教育を求めていると述べています。
2. 65%の開発者が、より多くの教育が必要だと述べています。言語別の脆弱性とOWASPトップ10について。
3. 調査に参加した開発者の75％が体系的な実務教育を好むと回答しました。

開発者の能力を高める教育

実務教育に関連して、開発者は一定レベルの経験と既存の知識を活用します。これは「スキャフォールド」学習が必要であることを意味します。これは開発者が既に知っている内容を基盤とした、構造化された、すなわちスキャフォールドされた教育です。スキャフォールド教育は、これまでの経験を活性化し向上させながら、同時に小さな単位で新しい技術を積み重ねていくことを可能にします。したがって、実務学習のための完璧な手段となり得ます。

粘り強い技術の伝授

開発者向けセキュリティ教育においては、開発者が理論に基づいた静的な学習の退屈さよりも、実践を通じた学習方法を好むことを認識しています。その点で、関連性の高い状況に応じた環境において安全なコーディング方法を学ぶことが核心となります。セキュリティコーディング分野の変化を主導するSecure Code Warriorは、関連するプログラミング言語やフレームワークに対する状況に応じた実践的なトレーニングを提供し、 開発者が現実世界で直面するものと類似した問題を解決します。学習コンテンツには、最も重要なOWASPトップ10、OWASPモバイルトップ10、OWASP APIセキュリティトップ10、CWE/SANSトップ25など、147種類以上の多様な脆弱性タイプを網羅する5,500以上の課題とミッションが含まれています。

セキュリティコードをより迅速に提供できるチームと、チームの能力に及ぼす潜在的な影響を把握するには デモを予約 今すぐ。

世界中の企業が変化しています。デジタルファーストビジネスに重点を置いているため、ほとんどの組織は事実上ソフトウェア会社と言っても過言ではありません。大企業には、俊敏なDevOps環境で継続的な機能開発とデプロイを担当する大規模な開発チームが存在します。こうした機能提供はイノベーションの速度と顧客の期待に応える必要があるため、セキュリティは必須ではなく障害と見なされることが多々あります。しかしソフトウェアへの依存度が史上最高を記録し、それに伴い潜在的なサイバーセキュリティ侵害やリスクに晒されている現状では、このようなシナリオは継続不可能です。

セキュリティチームはこれ以上規模を拡大しておらず、仮に可能であっても専門知識が不足しています。1:100以上の比率では不十分です。専任のセキュリティ専門家だけがサイバー脅威問題に対応できる唯一の解決策とは見なせません。

Secure Code WarriorのStephen Allorディレクター（米州）とCapital Oneのサイバーセキュリティ学部長であるRuss Wolfeが進行する今回のウェビナーでは、DevOpsが直面する現在の課題と、Capital Oneのような金融機関が開発チームのセキュリティコーディングへの参加を促し、スキルを向上させ、効果的にポジティブなセキュリティ文化を醸成し、成功裏に「左派化」するために何を行っているかを詳細に説明します。

以下を発見することになるでしょう。

• セキュリティ知識の「ブラックホール」の被害者である場合
• 数十年前と現在よりもセキュリティが強化された理由
• AppSecをコンプライアンスの「チェックボックス」として扱う従来の姿勢と、これがせいぜい表面的なものに過ぎない理由
• アプリケーション品質評価にセキュリティをベンチマークの一部として含めるべき理由：安全でないアプリケーションは、設計や機能に関係なく、高品質と見なすことはできません。
• 業界が一般開発者の思考様式と文化にソフトウェアセキュリティを導入しなかった理由（そしてこれが変わるべき理由）
• 共有されたセキュリティコーディング技術の欠如により、同じ脆弱性が繰り返し発生する理由
• アプリケーションスキャンツールがすべての脆弱性を検出できない理由と、十分な教育を受けたセキュリティエンジニア/開発者を活用して脆弱性を防止する方がより実用的な戦略である理由
• ソフトウェアの脆弱性増加問題及び根本原因
• 実質的なリスク軽減のため、学生ではないアプローチを変える必要がある理由
• ほとんどのセキュリティ教育が開発者の強みに影響を与えない理由と、開発者が卓越した成果を上げるために必要な教育の種類
• ソフトウェアエンジニアリングのコンプライアンスと構築に対する期待値が、他のエンジニアリング分野に比べて遅れている理由と、その解決策を開拓する方法
• キャピタル・ワンにおいて、ラス・ウルフと彼のチームが、開発者の参加を促し、実際のソースコードを通じて学習し、セキュリティのベストプラクティスのベンチマークを達成できるようにする、楽しくゲーミフィケーションされた教育を中心とした認定プログラムを設計した方法
• この認証プログラムが参加、情報保持、および継続的な学習を促進する方法
• インセンティブを通じて開発者が教育段階を経て主要なセキュリティポリシーに従い迅速に技術を向上させる方法
• 評価を通じてセキュリティチャンピオンを特定し、教育への参加を促す方法。

今すぐウェビナーを視聴し、オンデマンド講座を通じて、ポジティブなセキュリティ慣行に焦点を当て、最初から安全にコーディングするためのツールと知識を開発者に提供し、左シフト（セキュリティ左シフト）によって得られるメリットについて学びましょう。

キャピタル・ワンのような金融機関が、セキュリティコーディングに関して開発チームを巻き込み、技術を向上させ、効果的に健全なセキュリティ文化を醸成し、成功裏に「左派化」するために何をしているのかを探ってみましょう。

サイバーセキュリティ攻撃の数が増加し、その手口が巧妙化するにつれ、世界中のあらゆる分野と産業で変化が加速しています。誰もが可能な限り迅速にプロセスと手順に従ってセキュリティを維持し、「左派」を試みているのです。こうした状況は、サイバー防御のための全く新しい行動さえも実現させています。DevSecOpsのように、新しいソフトウェアやアプリケーションを構築するまさにそのシステムにセキュリティが組み込まれているのです。

こうした変化の多くが、敏感なコミュニティの足を引っ張っています。彼らは新しいソフトウェアやアプリケーションを作り、コーディングする人々です。より安全なコーディング環境を構築するための良いことを考えるべきでしょう。結局のところ、新しい環境を構築するための最初の左折はできません。

◆開発者コミュニティは、その責任についてどう考えているでしょうか？従来はほぼコーディング速度のみを基準に評価されてきましたが、今や開発者たちはセキュリティのチャンピオンとしての新たな役割をどう捉えているのでしょうか？そして、企業の経営陣が質の高い教育、確実な報酬、この重要かつ新たな責任を果たすことに対する正当な評価を提供できるよう、こうした努力を払うことができると考えたのでしょうか？

エバンズ・データ・コーポレーション（Evans Data Corporation）とのパートナーシップにより、世界中の開発者コミュニティを対象に、セキュリティ慣行に関する技術的認識、行動、およびソフトウェア開発ライフサイクル（SDLC）における影響力と関連性についての調査を実施しました。結果は非常に驚くべきものでした。

2022年 開発者主導セキュリティ調査の現状

#セキュアコードウォリアー開発者主導セキュリティポリシー調査は、2021年12月にエバンズデータコーポレーションが実施しました。アジア太平洋地域、欧州、北米で活動する現役ソフトウェア開発者1,200名を対象とし、セキュリティ、教育、サポート、権限付与、その他の課題に関する見解を収集しました。調査は正確なグローバルな結果を得るために加重処理が施されました。回答者には新規アプリケーション開発に携わる者や、開発コミュニティ内の管理職も含まれていました。

いくつかの驚くべき発見

詳細な白書（ソフトウェアセキュリティにおける課題と機会）およびレポート（開発者主導のセキュリティ、2022年）は、調査のあらゆる側面を詳細に説明するもので、4月11日（月）に発表予定です。白書には、セキュリティ慣行に関してコミュニティから提起された結果と妥協点に関する分析に加え、それに伴う懸念事項が記載されています。

これらの問題の一部は、組織の開発者と働く人々だけでなく、コミュニティに属する人々にも疑問を投げかける可能性があります。もちろん、私たちにもそうでした。

回答者のうちわずか14％のみがアプリケーションセキュリティを維持していました。* アプリケーションのパフォーマンス、評判、システムのコンプライアンスといったコンプライアンスと同等の指標に依然として全てを注ぎ込んでいました。

セキュリティの優先度が低すぎるため、調査対象となった開発者の67%が、普段認識している脆弱性や悪用事例をコードに残していると認めました。セキュリティよりも機能開発を優先するといった、開発スケジュールが逼迫している状況が原因であり、単に問題解決方法に関する教育や知識が不足していたわけではありません。

ほとんどの開発者は、自身の組織においてセキュリティコードの構成要素を定義しておらず、こうした状況を変えるための適切な教育や支援を受けることができません。

しかし、一部の否定的な結果にもかかわらず、態度が変化しつつあることは明らかでした。開発者の大多数（66％）は、今後12～18か月でセキュリティがより重要になると予想しており、調査回答者の82％は賢い人々に対して敬意を表しています。

アンケート調査を通じて #######################################日 ######################

詳細な調査結果を説明するホワイトペーパーやレポート、現在のセキュリティ慣行に関連する課題、そして組織がセキュリティ、そして最終的にはソフトウェア定義に向けて最善を尽くす機会に関する専門家の見解を引き続きご注目ください。

確認してください セキュアコードウォリアー ブログページでは、ますます危険化する脅威環境であるサイバーセキュリティについて詳しく学び、革新的な技術と教育を通じてお客様をより良く保護する方法を探ってみてください。

‍

ここ数年、ネットワークセキュリティ、テラバイト規模の機密顧客データ、計り知れないブランド評判など、多くのものが市場投入のスピードという名目の犠牲になってきました。新機能の リリースを加速しなければならないというプレッシャーが強まる中、チームは複雑で分散化しているため、脆弱性や多大なリスクについてほとんど認識しないまま、迅速な開発に集中することになりました。 これまで以上に新しい働き方が求められています。そこで 2020 年、Secure Code Warrior は Evans Data Corp. と提携し、セキュリティコーディング、セキュリティコードの実践、およびセキュリティ運用に関する開発者と管理者の意識に関する基礎調査*を実施しました（ホワイトペーパーのコピーをダウンロード）。 こちら）。

プロジェクト成功のための成果指標 — セキュリティはどこに適合するのでしょうか？

開発者と管理者はセキュリティコードが重要だと考えているが、他の要素ほど重要ではない。ソフトウェア開発プロセスの最重要優先事項について開発者と管理者に尋ねたところ：

• 76% 指定アプリケーション性能
• 62%が選択した特徴および機能
• そして50％を少し超えるセキュリティコードを選択しました。
  

セキュリティコーディングは、プロジェクト成功に関する他の成果指標と比較すると、現在わずか3分の1に過ぎません。

現在、開発者がプロジェクト完了後にのみコードを評価する成果指標でプロジェクトの成否を判断することは驚くべきことではありません。

しかし、将来これがどのように変化しうるかという質問を受けたとき、状況は完全に逆転します。組織がセキュリティを成功の指標として捉える方法が変化しつつあります。セキュリティコーディングがますます重要になっています。

今後のプロジェクト成功を測るための最重要優先事項を問う質問に対し、回答者の79%がセキュリティコーディングの重要性が増すと同意しました。驚くべき事実は、将来のセキュリティの重要性が他の成果指標よりも大きくなると答えた割合がさらに多かったことです。左傾化の流れと同様に、セキュリティコーディングへの認識も高まっています。セキュリティコーディングはその特性上、SDLCにおいてセキュリティをはるかに早い段階で考慮することを意味します。つまり、ソフトウェアを最初から後回しにせず、書かれた通りに積極的にセキュリティを組み込むことを意味します。

CIOが組織の俊敏性を高めるために努力するにつれ、セキュアコーディング機能は重要な革新の武器となるでしょう。CIOとCISOは、開発チームが最初の危険地帯なのか、それとも最前線の防衛ラインなのかを慎重に考える必要があります。

これらのインサイトは、組織が開発者を教育する方法に重要な影響を与えます。チームは最近発見された脆弱性について学び、各自の言語/フレームワークで学習する必要があります。簡単に言えば、日常的に使用する状況において、コードの既知の脆弱性を見つけ、特定し、修正する方法を理解しなければならないのです。

Secure Code Warriorは、セキュリティコーディングの変革を主導し、開発者がセキュリティコーディング技術を学び習得できるよう積極的に関与させる人間主導型のアプローチを採用しています。セキュリティを損なうことなく、最初からやり直してより迅速にセキュアなコードをリリースするチームの能力にどのような影響を与えるか知りたい場合は 今すぐデモを予約してください。

‍

*対応から予防への転換：アプリケーションセキュリティの変容する姿。セキュアコード・ウォリアー＆エバンズ・データ・コーポレーション 2020