Secure Code Warrior リサーチセキュア・バイ・デザインの開発者対応で前進する重要インフラ産業

パラディン・グローバル・インスティテュートと共同で行った新しい分析では、セキュア・バイ・デザインの進捗状況を適切に測定するために、開発者のスキルアップが極めて重要であることが明らかになった。 

‍

ボストン発 - 2024 年 10 月 15 日- 本日、世界的な開発者主導型セキュリティのリーダーである Secure Code Warriorは本日、開発者のスキルアップとそれが組織のセキュア・バイ・デザイン（SBD）構想に与える影響に関する新たな調査結果を発表しました。2024年4月以降、Secure Code Warrior を含む200社以上がSecure-by-Designの誓約書に署名しています。Secure Code Warrior によると、これらの業界の開発者チームは、開発者チームのセキュリ ティ能力を定量化するグローバルベンチマークであるSCW Trust Score で測定される平均的なセキュリ ティ態勢を、他の業界よりも高い水準で維持している。 

最高情報セキュリティ責任者(CISO)は、SBD の取り組みの初期段階において、真の ROI を証明することがますます難しくなっていることに気づいている。近年では、組織が業界標準に対してどのように追跡しているかを評価するベンチマークがないことが重要な課題となっている。セキュアバイデザインの取り組みを成功させる鍵は、開発者にセキュアなコードを保証するスキルを与えるだけでなく、業界や政府の規制当局にそれらのスキルが設定されていることを保証することである。

「パラディン・キャピタル・グループの上級戦略顧問であり、元国家サイバー部長であるクリス・イングリス氏は、 「今、我々はこれまで以上に、SBD のスキルアップ・プログラムを確実に実施する国家的責任がある。「リスク削減はこの最新の分析の中核であり、Secure Code Warrior は開発者のセキュリティ学習を強化し、サイバー攻撃を防ぎ、我が国の重要インフラを強化するために主導的役割を果たしている。"

主な調査結果： Secure Code Warrior重要なインフラ産業における開発者のスキルアップに関する分析は、世界中の600の企業顧客と25万人以上のアクティブな開発者の2,000万以上のデータポイントからの洞察に基づいている。分析の結果、以下のことが判明した：

• 現在、開発者中心のSBDスキルアップイニシアチブに参加している開発者の総数は、全世界の開発者の4％未満である。
• 金融サービス産業のような特定の重要インフラ部門は、SCW TrustScoreで測定した場合、非重要インフラの平均と比較して最も高いセキュリティ態勢を有していた。例えば、金融サービスの平均トラストスコアは336でした。 
• しかし意外なことに、コンプライアンスや規制の要件があっても、金融サービス部門は他のいくつかの重要部門と同様のセキュリティ態勢をとっていた。 
• セキュアバイデザインのスキルアップの取り組みは、大規模なものでも小規模なものでも成功する可能性があり、小規模な取り組みであれば迅速な立ち上げと実行が可能であるという調査結果もある。しかし、こうした取り組みを成功させ、測定可能な投資収益率（ROI）を早期に実現するためには、強制力を持たせる必要があることが調査で明らかになっている。
• スキルアップの取り組みがしっかりと行われていれば、開発者がアプリケーションに持ち込むリスクはかなり少なくなる。分析によると、大規模なアップスキリングイニシアチブの開発者（1社で7000人以上の開発者）は、脆弱性を47～53％削減できることが予測される。

セキュア・バイ・デザイン（Secure-By-Design）は、各国がより広範なサイバーセキュリティ戦略に同様のガイドラインを織り込むことで、世界中で勢いを増している。しかし、開発者にセキュアなデフォルトを提供し、セキュリ ティを理解するソフトウェア開発者の労働力を育成するには、開発者のスキ ルベンチマークを示す適切なデータポイントがなければ達成は困難である。確立されたベースラインに基づいて、開発者が実際に直面している問題に対処する実践的なセッションを実施することで、アジャイルなスキルアッププログラムを開発者の心に響かせることができる。

「パラディン・グローバル・インスティテュートのプレジデントであり、前国家サイバー局長代理のケンバ・ウォルデン氏は、「前例のない世界的なサイバー脅威の時代に、これらの新しい調査結果は、重要な脆弱性を減らすために、デジタルインフラ全体でSBDイニシアチブを強化する必要性を示している。「パラディン・グローバル・インスティチュートのプレジデントであり、前国家サイバー局長代理のケンバ・ウォルデン氏は、「この調査は、重要なサイバーセキュリティの目標を達成するために、人材のスキルアップとベンチマークの作成を明確に呼びかけるものである。

「ベースラインとベンチマークは、セキュアコーディングを組織のDNAの重要な一部とすることで、組織のセキュリティ態勢を大幅に最適化することができます」と、共同設立者兼CTOのマティアス・マドゥ（Matias Madou）氏（Secure Code Warrior ）は述べている。「SBD の取り組みが実際に進展しているかどうかを知るには、開発者のスキルアップの取り組みが効果的であり、開発者がセキュリティのベストプラクティスを仕事の習慣に取り入れているという定量的な証拠が必要です。開発者がコーディングのライセンスを真に獲得していることを完全に信頼する必要があります。"

多くのセキュリティリーダーは、企業のセキュリティプログラムのほとんどの要素、特に個々の要員の継続的なスキルアップとassessment を伴う要素の拡張が困難であることをしきりに強調する。これは妥当な懸念事項であるが、開発者に検証済みのセキュリティスキルを要求する世界的な法改正やガイドラインが相次いでいることから、これを克服する必要がある。世界中の多くの組織が行動を起こし、大規模なスキルアップ・イニシアチブを実施し、大きな効果を上げている。 

Secure Code Warriorの最新分析とSCWトラスト・スコアの詳細については、こちらをクリックしてください。

‍

Secure Code Warrior について ：

Secure Code Warrior は、デジタル世界を安全に保つための基準を設定するセキュアコーディングプラットフォームです。開発者がソフトウェアセキュリティの原則を学び、適用し、保持するための最も効果的なセキュアコーディングソリューションを提供する、世界をリードするアジャイルlearning platform 。 アジャイル学習セキュリティプログラムを実装し、リリースするアプリケーションに脆弱性がないことを保証するために、600社以上の企業がSecure Code Warrior を信頼しています。

Secure Code Warrior 、詳しくはwww.securecodewarrior.com。