背景
タレス・グループはフランスの多国籍企業で、航空宇宙、防衛、運輸、セキュリティ分野向けの電気システム、装置、機器の設計、開発、製造を行っている。ヴィスワナス・S・チラヴリは、タレスのソフトウェア・セキュリティ・テクニカル・ディレクターである。ヴィスワナス(ヴィス)は、当初プログラマーとしてセキュリティのキャリアをスタートさせた。現在はタレスのシニア・セキュリティ・リーダーとして、セキュリティ業界で18年以上の経験を持ち、CISSP、PMP、GSEなど30以上の資格を保有しています。また、18カ国以上で3,000人以上のソフトウェア専門家を教育してきました。さらに、ヴィスは国際的なサイバーセキュリティtournaments (Netwarsなど)で10回以上のSANSチャレンジコインを獲得し、GIAC諮問委員会のメンバーとしても活躍しています。タレス社でセキュアなコード学習プログラムを成功させるために、人材、プロセス、テクノロジーをどのように調整したのか、ヴィス氏に話を聞いた。
状況
ヴィスがタレスに入社したとき、彼は、技術的負債のバックログを減らす可能性のあるソリューションとして、ペンテストによって発見された脆弱性のソースに注目するようビジネスユニットを指導した。アプリケーション・セキュリティ・チームは、IAST/DASTツールからペン・テスト・ツールまで、セキュリティ態勢を固めるために7つの異なるベンダーを使用していました。Vis 社は、市場の動向を理解し、拡張性のある方法で脅威を管理し、プロセスとテクノロジーを強力に統合して緩和戦略を策定したいと考えていました。これは、純粋にツールベースのアプローチから、強力な学習要素を持つ戦略への移行を意味した。彼は、開発者の多くがセキュリティの素養やスキルを持っていないことに気づいた。彼の最初のアプローチは、OWASP Top 10 のようなトピックに関する教室ベースのトレーニングを開発者に提供することでしたが、彼はすぐに、直接教えるために必要なすべての出張と、世界中にいる何千人もの開発者に到達する必要性から、これでは規模が拡大しないことに気づきました。ヴィスは次のように述べた:
「セキュリティと開発の比率には常に不均衡があります。仮にセキュリティと開発者の比率を1:1にしたとしても、彼らを常に従事させ続けることはできません。新しい攻撃ベクトル、ベストプラクティス、新しい言語、新しく発見された脆弱性などについて、開発者を常に最新の状態に保つには、開発者の自己学習を促進し、自分のペースで進められるようにする必要がありました。彼らが助けを必要とするなら、私は彼らを助けることができますが、彼らが見つけた脆弱性の修正方法をすべて教える人間にはなれないと気づきました。"
当初は、開発マネージャから、多くの開発者が一からセキュアコードの学習に取り組 むことに時間を割かなければならないという反発があった。Visは、セキュアなコード学習に取り組むことで、ソフトウエアのリリースサイクルが乱れたり、ミッションクリティカルなスプリントが遅くなったりするかもしれないという認識を管理する必要があった。彼は、セキュアコードのためのアジャイル学習に時間を費やすよう、組織のモチベーションを適切に高める方法を見つける必要があった。ヴィスは、脆弱性を根源から解決するために、人を第一に考える姿勢をとった、 「セキュリティは開発から時間を奪っているとよく言われます。私としては、何かを開発してそれが安全でないなら、そもそも時間の無駄だと思います。常に安全なソフトウェアを開発し、簡単に回避できたはずの脆弱性を修正する手間を省くべきです。私たちは皆、信頼できるコードを出荷するという共通の目標を持つべきです」。
アクション
Visは、ソフトウェアのセキュリティ確保と、タレスの開発者チームのセキュリティ意識の向上という2つの主要目標を念頭に置いていました。開発者が自立し、自分のペースでトレーニングできるプログラムを導入することが重要だった。Vis 社の戦略は、時間をかけてセキュリティコミュニティを構築し、セキュアコーディングを企業方針と結びつけ、組織内でセキュアコードの学習を義務付けることであった。開発者、テスター、アーキテクト、エンジニアをつなぐコミュニティ文化を奨励することで、彼はモチベーションの相乗効果を見た。本業の一環としてセキュリ ティに情熱を燃やすセキュリティチャンピオンが出現し、セキュアコーディングの実践に対する認識が組織全体に広まった。ヴィスは10社以上のセキュリティトレーニングベンダーを評価し、2019年にSCWの顧客となった。タレスにとって、断片的なソリューションではなく、自社の環境にあるすべてのプログラミング言語とフレームワークをカバーするベンダーを持つことは大きなメリットだった。Visは、Secure Code Warriorの膨大なコンテンツを活用し、セキュリティ・プログラムの開発者がアクセスできるトレーニングや自習用ラーニングを構築した:
「OWASPのトップ10は、単に知っておくべき10のことだけを集めたものではありません。OWASPがカバーする脆弱性の深さと多様性は、プログラミング言語の数の多さと相まって、圧倒されることがあります。このようなものに関する幅広い課題とカバー範囲が、SCWを選んだ重要な要因でした。SCWは常に新しいものを追加しています。トピックの深さ、多様性、最新のコンテンツ、そしてセキュアなコード設計の原則に重点を置いていることが、SCWを際立たせています。SCWのトレーニングは1回限りのものではなく、継続的なプログラムを構築する機会を与えてくれました。
ヴィスと彼のチームは、セキュアコード学習プログラムの展開を4つのレベルに分け、エンジニアリングの役割ごとに異なるマイルストーンを設定した:
重要なのは、SCWが脆弱性修正の真実の情報源となったことだ。Visは、トラブルシューティングを導くかもしれないGoogle検索に頼る代わりに、開発者がコード内の脆弱性修正について信頼できる本物のソースを参照できるように、AppSecチームからのガイドラインとSCWのコンテンツライブラリからのガイドラインの両方を公開した。ヴィスによれば
「開発者が脆弱性の修正方法を自由に決められるべきではありませんし、その過程で新たな脆弱性が生じる可能性もあります。開発者が正しい方法で脆弱性を修正する方法を学べるように、SCWのSCORM統合により、SCWのビデオをLMSに統合しました。これにより、安全なソフトウェアを提供する開発者が認識されていることを確認する方法も得られました。私たちは開発者に一定レベルのセキュアコーディングを達成するよう求めており、開発者が解決した脆弱性と再導入していない脆弱性によって、そのレベルを追跡することができます。そうすることで、彼らの努力は社内で認められ、評価されるのです。"
結果
Visと彼のチームは毎月セキュアコードニュースレターを発行し、社内のトップ学習者を表彰している。彼らは SCW を使って、assessment のスコア、tournament の参加状況、そしてその達成度を高めるために行ったチャレンジに注目しています。これにより、他の開発者も学習意欲を高めている。彼が最初に設定した KPI は、2 年間で全体の脆弱性の数を減らすことに重点を置いていた。SCWを導入した後、彼は減少傾向にあることを指摘した。これらの脆弱性はソースコードレベルで再導入されることはありません。ヴィスはこう言う:
「私たちが経営陣に提示するKPIは、私たちが十分な情報に基づいて行った選択を反映したものです。私たちは、顧客にビジネスの信頼を提供するセキュアコード・トレーニングがあることを誇りに思っています。包括的なセキュア・コード・トレーニング・プログラムが評価され、顧客や同業者から尊敬されています。このようなプログラムがあれば、会社に大きな付加価値が生まれます」。
要点
Vis 社は、セキュリティの取り組みには、人、プロセス、技術のすべてに役割があることを認識した。ソフトウエアのセキュリティ、開発者の知識、コンプライアンス遵守に焦点を当てることで、ソースコードの脆弱性を長期にわたって低減するセキュアコードプログラムのためのアジャイル学習をまとめることができる。ヴィスは、開発者チームにセキュリティ・スキルを身につけさせたいと考えている同分野の専門家に対して、次のような提言を行っている。
