Paysafeは、金融取引を信頼に基づく体験へと変えるお手伝いをします。 また、年間152億ドル以上の取引量を処理する安全でシームレスなプラットフォームを提供するには、基本的なコンプライアンス基準を満たす以上のものが必要であることを認識しています。過去4年間、PaysafeはSecure Code Warriorとのパートナーシップを通じて、開発者リスク管理に対する包括的なアプローチを継続的に推進してきました。アプリケーションセキュリティプログラムは、以下を含むビジネス全体のニーズにプラスの影響を与えています。
要点
- 初期のコード開発サイクルにおいて、最初のSASTスキャンで特定された脆弱性が大幅に減少した。
- コードの手直し時間の短縮により、開発者の生産性が最大45%向上。
- SCW Trust Score®は、金融サービス業界内で4位にランクされています。
- AppSecチームと開発チームの連携と調整を強化
課題:Paysafe全体のセキュリティコード基準の強化
多国籍オンライン決済プロバイダーであるPaysafeは、常にセキュアコーディングを単なるPCI DSS準拠要件を満たすことを超えた戦略的優先事項と位置付けてきました。Paysafeの目標は、専門家主導の正式な教室型トレーニングセッションや技術評価を初期取り組みの一部としながらも、常にセキュリティコーディングイニシアチブの範囲と規模を継続的に拡大し、アプリケーションセキュリティに対する業界最高水準のアプローチを確保するとともに、エンジニアが最初から安全なコードを書くことを実現することでした。
「私たちにとって、教育を提供したチェックボックスにチェックを入れることは決して簡単なことではありません。私たちの目標は、従業員が進行中の開発状況を常に把握できるようにすることです。私たちは常により良い人間になり、より多くのことを成し遂げるよう努めています。エンジニアリングチームとセキュリティチームが協力することを望んでいます。自ら開発できるチームは、より多くの情報を得て、より優れたコードを設計することができます」と、Paysafe の人材開発パートナーである Boyan Hristov 氏は述べています。
Paysafeのビジョンは、セキュリティを阻害する要因を排除し、ソフトウェア開発ライフサイクルの全段階にセキュアコーディングのベストプラクティスを適用できる、セキュリティ意識の高いエンジニアを育成することでした。これを実現するには、PCI準拠のための監査証拠を提供するだけでなく、深遠かつ持続的な文化的変革を主導できる、拡張性が高く、参加意欲を高め、継続的なプログラムが必要でした。これにはゲーミフィケーションを活用した学習体験、定期的なトーナメント、開発者の参加を促し業界のセキュリティトレンドの最先端に立つよう導く継続的な教育などが含まれていました。
ソリューション:セキュリティコードウォリアーを用いた最先端アプローチ
ペイセーフは、セキュアコーディングの実践を拡大し、エンジニアの参加を促し、開発ライフサイクルの初期段階からセキュリティを組み込むことを支援するため、Secure Code Warriorの開発者向けリスク管理プラットフォームを採用しました。Secure Code Warriorがサイバーリスク予防目標の達成に重要な役割を果たすなど、セキュリティチャンピオンプログラムは時間とともに成長を続けています。
Paysafeは開発者がプラットフォームに有機的に参加できるようにし、トーナメントのようなゲーミフィケーション活動を奨励し魅力的な商品を提供することで、開発者の参加と興味を引き出しました。このプログラムが最初にリリースされた際、彼らはPCIコンプライアンス要件を満たすのに役立ついくつかの評価を義務化し、他のコンテンツや活動をオプションとして提供しました。
プログラムが人気を博したため、経営陣は追加支援を提供し、開発チームと情報セキュリティチームの目標をより緊密に連携させました。これによりPaysafeチームはプログラムを一段階引き上げ、指定されたKPIと成功インセンティブを含むより正式な認定プログラムを導入することができました。
プログラムの次の段階では、業界標準であるOWASP Top 10のテーマに焦点を当て、認証段階を通じて開発者は様々なレベルの成果を達成できます。現在、このプログラムは新たな規模と成熟度に到達し、正社員から非正規雇用者まで、開発者全体の基準が向上しました。
「私たちは過去4年間にわたりSCWと築いてきたパートナーシップを非常に大切に考えています」と、ペイセーフの最高情報セキュリティ責任者であるアラン・オズボーンは述べています。「この関係のおかげで、SDLCの初期段階で可能な限り迅速にセキュアなコードを開発するという共通の約束に基づき、カスタマイズされたアプリケーションセキュリティトレーニングを提供し、セキュリティチームとエンジニアリングチーム間の連携を強化することができました。」
エンジニアリング全般にわたるCISO、CTOおよび経営陣の継続的な支援と調整を通じて、PaysafeはSecure Code Warriorと連携しプログラムを継続的に発展させてきました。今日、このプログラムはビジネス要件と緊密に連携し、目に見える成果を提供するとともに、内部チームにとっても関連性が高く、参加意欲も高いものとなっています。
結果:組織全体のセキュリティコードに関する新たな標準
Paysafeのアプリケーションセキュリティイニシアチブは、4年前にその旅を始めて以来、改善を続けています。PaysafeはSecure Code Warriorとのパートナーシップを通じて、開発者リスク管理に対する包括的なアプローチが組織全体に及ぼす可能性のある多大な影響を実証しました。
PaysafeによるSASTスキャンデータの分析結果、Secure Code Warrior(SCW)でトレーニングを受けたチームが開発したアプリケーションでは、初期開発スキャンで検出された脆弱性が顕著に減少していることが明らかになりました。開発者がSCWプラットフォームをより積極的に活用しているチームでは、初回検査で発見された脆弱性の数がさらに減少しました。
Secure Code Warriorで活動および参加度が最も高いチームは、初期開発段階で発見される脆弱性が年々大幅に減少しました。これは、セキュリティコーディング習慣の強化において、継続的な技術ベースの教育がもたらす付加価値を強調するものです。最初からセキュアなコードを作成したため、当該チームおよび他のチームはSDLC(ソフトウェア開発ライフサイクル)の運用に要する時間を大幅に節約できました。開発初期段階でコード脆弱性を予防したため、脆弱性の特定・記録・修正作業が不要となり、数千時間の開発時間を節約できました。その結果、開発者生産性が45%向上し、セキュリティコーディングスキル向上の利点を実証するとともに、日常的な開発プロセスの改善に寄与しました。これはエンジニアリングチームとAppSecチーム双方にとってウィンウィンの機会です。
ペイセーフはセキュリティコードへの取り組みが評価され、SCW信頼スコアで第4位を獲得しました。® 銀行・金融サービス分野の ベンチマークにおいてペイセーフが誇るべき成果ではありますが、セキュリティコードイニシアチブへの取り組みはこれで終わりではありません。Secure Code Warriorとのパートナーシップで得た成果を礎に、ペイセーフはプログラムのさらなる発展を目指します。
ペイセーフの最高情報セキュリティ責任者であるアラン・オズボーン(Alan Osborne)は次のように述べています。「Secure Code Warriorは、開発者の生産性を向上させ、製品や改善点を市場に投入する能力を加速させ、時間の経過とともにコストとリスクを大幅に削減するのに役立ちました。」 「私たちは、強化された開発者教育に基づくセキュアコーディングが、単なる『あれば良い』ものではなく、開発者のスキル、経験、能力を強化すると同時に、実質的な投資利益率(ROI)をもたらす実証済みの投資であることを証明しました。」
次に、PaysafeはSCW Trust AgentがSecure Code Warriorとの長年のパートナーシップを強化し、サイバーセキュリティの卓越性への取り組みを実証することで、プロセスに追加のガバナンスおよびリスク管理措置を統合し、セキュリティ基準をさらに運用することを目指します。
%20(1).avif)