オーストラリアのスタートアップ企業であるSecure Code Warrior の共同設立者であり、セキュアソフトウェアのエバンジェリストである Pieter Danhieux 氏は、オーストラリアの銀行は、ソフトウェア開発者の間で強固なセキュリティマインドを育むための取り組みを世界的にリードしていると述べています。
Danhieuxは、オーストラリアの上位6銀行のうち5銀行が、Secure Code Warrior's online, self-paced, gamified learning environmentを通して、開発者が安全なコーディングスキルを身につけることに積極的に取り組んでいるほか、リアルタイムのメトリクスやレポートを確認して、開発者やチームの強みと弱みを検証していると述べています。最初の契約は2016年8月に大手銀行1行とAUDMし、その後4行と契約しました。
"伝統的な銀行は、非伝統的な競合他社から、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるよう強い圧力を受けています。そのため、セキュリティを犠牲にして機能や特徴を迅速に開発することに重点を置いた、よりアジャイルな開発フレームワークを採用するようになりました」とDanhieuxは述べています。
"現在、データ侵害の平均コストは6百万米ドルで、企業が影響を受ける確率は4分の1にも達しています。世界の大規模なセキュリティ侵害のほとんどは、コーディングエラーが原因で、ハッカーがコンピューターネットワーク上でより多くの権限を得て、重要なデータを採取できるようになっています」と付け加えました。
Danhieux氏は、Qatar National Bank、VTech、Mossack-Fonseca(パナマ文書)、TalkTalkなど、ハッカーがソフトウェアのセキュリティ対策の不備を利用した近年の侵害事件を挙げています。
長年にわたり倫理的ハッカーとして活躍し、SANS Instituteのプリンシパルインストラクター、AISAの2016年サイバーセキュリティ・プロフェッショナル・オブ・ザ・イヤーを受賞したダンヒューは、多くのハイテク企業や増えつつある金融サービス機関が採用している、最初からセキュリティを統合したアジャイル開発手法を強く支持しています。
"アジャイル開発への移行は、企業や顧客にとってスピード面で大きなメリットがありますが、セキュリティの脆弱性を防ぐという点では、新たな大きな課題が生まれています。すべての開発者は、スピードを維持しつつ、一般的に修正に費用がかかるセキュリティバグを減らすために、DNAにセキュリティを組み込む必要があります」と述べています。
Secure Code Warrior は、DanhieuxとビジネスパートナーのJohn Fitzgerald、そして他の3人のオージーのサイバーセキュリティの専門家が、ソフトウェア開発者がセキュリティを仕事の中核的な責任として受け入れるのを支援したいと考え、2015年にシドニーとロンドンで設立されました。
"現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移行に焦点を当てています。これは、書かれたコードの脆弱性を検出し、それを修正するために反応するという、検出と反応をサポートするアプローチです。当社は、SDLCの左端に焦点を当て、開発者を組織の最初の防衛線とし、脆弱性の発生を未然に防ぐことを支援します」とDanhieux氏は述べています。
急成長中のスタートアップ企業である同社は、現在、シドニー、ロンドン、ベルギー、ボストンにオフィスを構え、9カ国で金融サービス、通信、テクノロジー分野の顧客をリードしています。同社は現在、1万人のアクティブユーザーを抱え、過去6ヶ月間で顧客数は2倍、収益は3倍に増加しています。
Australian Cyber Security Growth Network (AustCyber)のCEOであるCraig Davies氏は、このようなエビデンスに基づく実践的なトレーニングは、アプリケーションを開発する組織にとって基本的な活動になるだろうと予測しています。
"最初から安全なコーディングを行っている企業は、リスクを大幅に軽減できるだけでなく、製品のイノベーションにかかる莫大なコストと遅延を回避することができます」とデイビス氏は言います。
Danhieux氏は、オーストラリアの銀行が、このリスクが現実のものであることを認識し、迅速にリスクを軽減したことに感銘を受けたと述べています。"世界中で新規顧客がSecure Code Warrior にログオンするペースは、世界中の金融サービス機関が、コードの一行一行に優れたセキュリティを組み込むことの重要性を認識していることを明らかにしています。また、Secure Code Warrior は、この課題に迅速かつ持続的に対処するための簡単なソリューションです」。
