背景
エンベストネットは、5兆3,000億ドルの資産と1,850万以上の投資家口座を有する上場フィンテック企業です。エンベストネットの使命は、革新的なテクノロジー、ソリューション、インテリジェンスによって、アドバイザーや金融サービス・プロバイダーに力を与え、すべての人にファイナンシャル・ウェルネスを実現することです。エンベストネットは、世界中の資産運用におけるファイナンシャル・アドバイザーが使用するサービスとソフトウェアを統合したフラッグシップ・アドバイザリー・プラットフォームにより、資産運用テクノロジーのマーケット・リーダーとしての地位を確立しています。
エンベストネットのデータ管理のベストプラクティスへのコミットメントには、継続的なリスクベースのコンプライアンス対策によるウェルス・マネジメント・プラットフォームの継続的なモニタリングが含まれ、コンプライアンス上の問題や潜在的な障害を迅速に特定し、是正することができます。エンベストネットは、サービスの提供において世界最高水準のセキュリティ対策を採用することで、顧客のデータ保護をリードしています。
Envestnetのプロダクト・セキュリティ責任者であり、「アプリケーション・セキュリティ・ハンドブック」の著者でもあるデレク・フィッシャーが、Secure Code Warrior 、開発者チームのためにアジャイルでセキュアなコードを実現し、脆弱性を減らすための総合的なアプローチを開発した方法を紹介する。デレクは10年以上アプリケーション・セキュリティに携わり、数々のセキュリティの成功と失敗を目の当たりにしてきました。エンベストネットでは、開発者のためのセキュアなコード学習環境の開発において、その卓越した専門知識を発揮しています。
状況
Derek が最初にアプリケーションセキュリティの職に就いたとき、彼は OWASP のトップ 10 や基本的なコンプライアンストレーニングを超えることを望んでいました。彼らにはセキュア SDLC プロセスがいくつかあったが、それらは主に脆弱性を見つけることに重点を置いており、必ずしもソースで対処していたわけではなかった。
デレクによれば、「私たちは皆、どんな組織でも毎年受けるコンプライアンス研修に精通している。それはたいてい、私が "パワーポイントによる死 "と呼んでいるもので、たくさんのスライドを使い、最後にassessment ......実に非効率的で時間のかかるものだ。トレーニングはありましたが、それは通常のコンプライアンスに基づいたもので、セキュリティに特化したトレーニングはスライドやオーディオレコーディングに基づいたものでした。私たちは、開発者がその教材にあまり興味を示さず、学んでいないことに気づいたので、戦略を転換する必要がありました。"
OWASPに焦点を当てた受動的なコンプライアンス・トレーニングで開発者を育成するという従来の戦略は、デレクと彼のチームにとって特に苦痛だった。
デレクは、脆弱性の根源である、開発者が本番環境に出荷している安全でないコードに目を向けることが重要であり、ツールを増やすだけでは解決策にはならないと認識していた。
その代わりに、Derek と彼のチームは 2020 年に、最初からよりセキュアなコードを書くことを目標に、脆弱性の軽減に焦点を移した。Derek と彼のチームは、SDLC のかなり早い段階で脆弱性に対処し、修復するためのコストが大幅に少ないときに修復するために、"左遷 "戦略を採用した。
しかしその前に、既存のApp Sectrainingに対する開発者のエンゲージメントが歴史的に低いことに取り組む必要があった。彼は、セキュアコード学習戦略に単なる「チェックボックス」的な考え方を導入することを避け、Envestnetの開発者により効果的でアジャイルなセキュアコード学習体験を提供したいと考えていた。
「SCWとその機能を見て、より実践的でインタラクティブなアプローチが私たちに合っていると思いました。 エンジニアや開発者に、実際の問題点についてより実践的な知識を持ってトレーニングを受けてほしかった。 私たちは、「以前トレーニングで見たことがある、このコーディングの問題にどうアプローチすればいいかわかる」という筋肉記憶を作りたかったのです。Secure Code Warrior プラットフォームのおかげで、エンジニアや開発者が現場に入り、優れたセキュアコーディングの実践方法、悪いコーディングの実践方法、脆弱性を迅速に解決する方法を本当に理解できる、そのような環境を提供することができました」。
エンベストネットのプロダクト・セキュリティ責任者、デレク・フィッシャー氏
アクション
デレクは特に、セキュアなコードのスキルアップを認定で報いるベルト戦略の導入を強く望んでいた。この 4 段階のプログラムは、セキュリティ意識の強固な基盤を構築すること(レベル 1 と 2)に重点を置き、開発者がセキュリティチャンピオンになるための道を開くものである(レベル 3 と 4)。これにより、開発者がセキュアコードの概念をどの程度保持しているかを測定できないという問題が解決され、同時に、セキュリティ意識の高い開発者が、より複雑なセキュリティ課題に対応できるスキルを向上させるためのキャリアパスが確保された。
彼らは小規模な試験運用でテストし、関係した開発者からフィードバックを募った。フィードバックは非常にポジティブなものだった。とデレクは指摘した、
「トレーニングで肯定的なフィードバックが得られるのは珍しいことだ。これは正しいツールであることを示す良い指標だ。"
Envestnetは、2021年春に最初のtournament 。デレクはその後、DB、フロントエンド、API、クラウドの開発者を対象に、LMSに統合された一連のcourses 。2021年秋にEnvestnetが2回目のtournament を開催する頃には、参加する開発者の総数は倍増していた。
デレクによれば、エンベストネットはtournaments 、大きな支持を得た、
「私たちは皆、競争がモチベーションにつながることを知っている。私たちは皆、仲間に自分がどれだけのことをやっているかを認めてもらいたいと思っていますし、そうすることで、参加し、tournaments 。そのことと、開発ツールとの統合が、Secure Code Warrior の価値を示してくれました。"
デレクとチームはまた、Secure Code Warrior を Jira と統合することで、特定の脆弱性が繰り返し出てきたときに、開発者が Jira チケット内で、使い慣れた環境を離れることなく、即座に修正アドバイスにアクセスできるようにした。これにより、開発者は貴重なコンテキストを得られるだけでなく、その脆弱性に対処する方法に関するオンデマンドの教育を、必要なときに必要な場所で受けることができるようになった。デレクのチームはまた、Secure Code Warrior と協力して、セキュリティ・デーのイベントのスポンサーになりました。このイベントは、より広範なCEOの支援につながり、エンベストネットの成功においてエンジニアリングとセキュリティが果たす役割の重要性を強化しました。このような経営幹部と開発者の賛同を得て、Envestnetはプログラムを現在のように拡大することができました。現在、Envestnetは、特定されたすべてのセキュリティ・チャンピオンをプログラムに登録し、チーム全体の60%がレベル1またはレベル2の認定を完了しています。
結果
Envestnetがその成功を測定する方法の1つは、SCWの学習経験を経たチームを見て、彼らがより少ない脆弱性を生み出しているか、あるいはより速く脆弱性を修正しているかを測定することでした。彼らが発見したことは印象的だった:
- SCW教育を受けた開発者は、同世代の開発者の2.7倍の脆弱性を修正した
- SCWの教育を受けた100人の開発者が、短期間で450の脆弱性を修正した。
- SCWの教育を受けた1,200人の開発者により、Envestnetはそれぞれのキューで120%の修復率向上を達成した。
- 2つの製品ラインにわたる1年間で、SCWの教育を受けた開発者は、開発者1人当たり4.5件の割合で脆弱性の問題を解決した。
- すべてのセキュリティ・チャンピオンは2022年に認定プログラムを受けた。
- セキュリティ・アウェアの開発者の60%以上がレベル1と2を修了
要点
デレクは、セキュアコード学習の旅を始める人たちにこんなアドバイスをしている:
「セキュリティにおける私たちの仕事は、組織のリスクを減らすことです。 それが私たちのTrue Northであり、常に目指していることです。クリティカルな脆弱性は、組織にとって最もリスクが高いものでも、最も影響が大きいものでもないかもしれない。中程度の脆弱性、低レベルの脆弱性、そして高レベルの脆弱性の3つが連鎖して、より大きな影響を与えるかもしれない。時間の経過とともに脆弱性が積み重なれば積み重なるほど、リスクは増大する。Secure Code Warrior を使えば、アジャイルなセキュアコード学習を通じて、潜在的な脆弱性の連鎖を軽減するために、先手を打って予防的なアプローチを取ることができる。"
- 脆弱性のテストと報告だけに集中してはいけない。
- むしろ、AppSecは開発者のパートナーであるべきであり、セキュアなコード学習戦略を実装する前に、開発者の賛同を得るようにすべきである。
- ローマは一日にして成らず。リスク・プロフィールが変わり、会社が変わり、テクノロジーやツールが変われば、プログラムも進化する必要がある。
- 最も効果的な長期的戦略は、周囲の人々のセキュリティIQを高め、脆弱性の発生件数を減らすことである。