金融機関は、日進月歩の金融業界において、テクノロジーを効率的かつ効果的に活用できるかどうかが鍵となる、さまざまな課題に直面している。
組織は、クラウドベースの競争の激しいビジネス環境の中で、社内でも業界全体でも急速な変化の時を迎えている。例えば、現在進行中のデジタルトランスフォーメーションを追求する中で、企業は、決済プロセスやその他の手続きを加速させる人工知能などの新技術への投資を妨げる組織的な摩擦を回避しようと取り組んでいる。
もちろん、財務記録管理に関するサーベンス・オクスリー法(Sarbanes-Oxely Act)の要件や、カード会員データの保護に関するPCI DSS(Payment Card Industry Data Security Standard)の規則から、カリフォルニア州消費者プライバシー法(CCPA)やEUの一般データ保護規則(GDPR)に含まれる個人情報保護まで、さまざまな規制要件に準拠し続ける必要性は、彼らの頭から離れない。
コンプライアンス違反による罰金やその他のコストは、あっという間に膨れ上がる。IBMの「Cost of a Data Breach Report 2023」によると、「コンプライアンス違反のレベルが高い」組織の平均コストは合計505万ドルで、これは実際のデータ漏洩の平均コストを50万ドル以上上回る。
また、データ漏洩といえば、サイバー攻撃で2番目に狙われる業種である金融機関の惨劇が続いている。ソフォスの「State of Ransomware in Financial Services2023」レポートによると、ランサムウェアによる攻撃だけでも劇的に増加しており、2021年の34%から2022年には55%、2023年には64%にまで増加している。Statistaによると、米国の金融サービス業界におけるデータ漏洩(データ侵害や個人データの流出を含む)の件数は、2020年の138件から2023年には744件に増加している。
社内の効率性、コンプライアンス、セキュリティのどれをとっても、これらの分野での失敗は、組織の評判、ひいては金融サービスの生命線である顧客ロイヤルティを脅かす。競争力を維持し成功するためには、組織は顧客からの信頼を醸成する必要があり、そのためには、ソフトウェア、システム、プロセスを効率的かつ効果的にすることから始める必要がある。その核となるのが、安全なソフトウェア・コードである。
開発者は、これまで以上に速いペースでアプリケーションやサービスを作成、更新、展開しなければならないというプレッシャーにさらされている。そしてそれは、社内の開発者自身が書いたものであれ、AIによって作られたものであれ、オープンソースのリポジトリから得られたものであれ、サードパーティーによって提供されたものであれ、より多くのソフトウェアコードを開発し、扱うことを意味する。
そのコードの品質とセキュリティは、効果的な運用を確保するために最も重要ですが、組織があまりにも頻繁に不足する領域の1つです。そして、コードの量が増えるにつれて、ソフトウェア開発ライフサイクル(SDLC)の早い段階で修正しない限り、エラー、欠陥、脆弱性の数は増える一方です。
組織は、より安全なコードを作成し、早期にエラーを修正するために、左から始める必要がある。セキュアコーディングのベストプラクティスに関するアジャイルトレーニングは、安全で信頼できるアプリケーションの基礎を提供し、組織のリスクを低減するだけでなく、ビジネスの成功に貢献する。
トレンド1:AI開発ツール
人工知能、特にジェネレーティブAIは、商業、教育、そして日常生活に急速に浸透しつつある。ジェネレイティブAIが適用されてきた無数の用途の中で、注目すべき機能のひとつはコードを書くことだ。これは一般的に有益であることが証明されているが、AIの使用と密接に結びついているもう一つの問題、すなわちセキュリティも提起している。新技術をいち早く採用する金融機関は、生産性の向上と安全で責任あるAIの利用のバランスを確保する必要がある。
現在までのところ、AIは修復プロセスの自動化などではなく、コード開発の補助に使われることがほとんどで、その影響はほとんど肯定的なものだ。GitHubが実施した調査によると、米国在住の開発者10人のうち9人以上がAIコーディングツールを使用しており、その利点として、生産性の向上(53%)、開発者が反復的な作業ではなく創造的な作業に集中できるようになる(51%)、燃え尽き症候群の防止(41%)などを挙げている。
大手銀行やその他の金融サービス機関は、他の業界よりもAIを早期に採用する可能性が高い。結局のところ、金融機関は基本的にハイテク企業であり、大規模な新技術に投資する資金があり、常に競争力を求めているからだ。
AIが人間の労働者に取って代わるのではないかと危惧する声もあるが、このテクノロジーは実際には人間の労働者と組み合わせたときに最もうまく機能する。しかし、開発者がAIの使い方を学ぶには、必要最低限のチェックボックス・アプローチだけでは不十分だ。開発者自身が安全なコードを書けるようになるだけでなく、コードを書くAIアシスタントの作業を適切に監督できるようになるためには、実世界におけるセキュリティのベストプラクティスを真に把握するための精密なトレーニングが必要なのだ。
例えば、SCWのトレーニングのある演習では、LLMモデルが実際のコード・スニペットの内容を変更し、コードの機能を変更するよう促される。AIはコードブロックを生成して応答するが、そのブロックはクロスサイト・スクリプティング(XXS)の影響を受けやすい。トレーニングにより、開発者はその脆弱性を認識できるようになる。
AIと開発者は非常に生産的に協力することができるが、AIが安全なコードを生成できるように開発者が十分に訓練されている場合に限られる。
別のモデルがユーザーのために物語や詩を書く前に、散文や詩の何千もの例を摂取するのと同じように、コードを書くように訓練される際、AIモデルは何千ものコード記述の例を摂取する。しかし、AIモデルがエラーを含む例を用いていないという保証はない。AIモデルはそのプロセスについて透明ではないため、エラーは事後になって初めて明らかになる。そしてAIは、その誤りを修正するまで繰り返す。
AI研究者による初期の研究によると、AIが生成したコードには、クロスサイト・スクリプティング(XSS)の脆弱性、コード・インジェクション攻撃に対する感受性、プロンプト・インジェクションに関連した脆弱性など、AIが生成したコードに特有の新たな脆弱性など、重大な欠陥があることがわかった。もしAIツールがチェックされずにコード作成に使われた場合、悪いコードは瞬く間に広まり、すでに多くの脆弱性を抱えているソフトウェアが、これまで以上に安全でない世界になってしまう可能性がある。
人間の開発者とAIモデルが協力してコードを開発し、安全なコーディングのベストプラクティスが守られていることを確認することが不可欠であり、金融機関はスピードと効率の向上というメリットを得る一方で、人間の関与がなければ大惨事になりかねないリスクを抑えることができる。
AIの急速な成長、特にChatGPTのような大規模言語モデル(LLM)を使用するものや、独自のコンテンツを作成できる他の多くのジェネレーティブAIの実装には、誤動作があった。AIモデルはエラーや偏った調査結果、AIの幻覚を生み出し、規制を求める声が高まっている。例えばホワイトハウスは、AIの開発と利用に関する大統領令を発表した。また、AI関連のリスクから国民を保護することを目的とした「AI権利章典」も提案している。しかし、政府がどのようなイニシアチブをとるにしても、AIを開発するテクノロジー企業との協力・連携が不可欠である。
金融サービス業界もまた、強力な内部統制を導入する可能性が高い。組織は常に競争力を求めているかもしれないが、内部データと顧客の情報のセキュリティが最も重要であることを知っている。また、米国では通貨監督庁(OCC)、欧州では欧州中央銀行(ECB)のような規制の要件も満たさなければならない。
AIをいち早く採用した銀行や金融機関は、AIが効率性を向上させるために何ができるかに関心を持ち、イノベーション・ハブのスポンサーになるなど、AIの能力を探求する取り組みを行うだろう。しかし、組織にはセキュリティを確保するための管理も必要だ。早期の導入には常に固有のリスクが伴い、AIの利用が拡大するにつれて、リスクと報酬のバランスを取る必要がある。例えば、組織はAI活用の初期段階で、強み、弱み、機会、脅威(SWOT)分析を行うことが有益であろう。
金融業界がAIを効果的に活用できるかどうかはセキュリティにかかっており、それはAIが作成するコードが最初から安全であることを保証することにかかっている。組織は、AIのコード作成を綿密に監督し、エラーを特定し、迅速に修正する高度な訓練を受けたエンジニアを確保する必要がある。セキュリティとコンプライアンスを保証するアジャイルベースのトレーニングやその他のサービスを提供する企業と提携することは、強固なセキュリティ体制を育成するための良い第一歩となる。
リスクの状況は、特にソフトウェア開発サイクルの中で絶えず変化している。AIの早期導入者として、金融機関はAIの安全で責任ある利用のリーダーとして行動しなければならない。金融機関の中には、政府の政策に影響を与えることができるほど大規模なところもある。AIモデルと開発者が一緒に作業できるようにすることで、安全なコードを確保するための措置を講じることで、金融機関は他の業界が従うべきベストプラクティスを確立することができる。
傾向2:規制強化
セキュアコーディングプラクティスを導入する重要な原動力は、金融機関がその業務に適用される規制へのコンプライアンスを確保する必要性である。金融機関には適用される規制が数多くあり、その規制は取り扱う取引の種類によって異なります。
例えば、PCI DSS 4.0は、Payment Industry Data Security Standardの最新版であり、クレジット カードおよびペイメントカードのデータとトランザクションを保護するために策定された世界標準です。不正行為やその他の悪用を防止することを目的としており、カード会員データの保存、処理、送信を行うあらゆる組織に適用されます。この規格は法律ではないが、契約を通じて施行され、GDPRなどの他の規制違反となるデータ漏洩を防ぐのに役立つ。
もう一つの規制であるデジタル・オペレーショナル・レジリエンス法(DORA)は、金融サービス部門を対象とした拘束力のあるEUのリスク管理枠組みであり、金融機関とその第三者プロバイダーの両方を対象としている。DORAは、EUのリスク管理慣行を統一し、普遍的な基準を作ることを目的とした技術的基準を定めている。
スウィフトとして知られる世界銀行間金融通信協会は、世界の金融部門全体の資金移動のための標準を設定した協力的な取り組みです。スウィフト社のカスタマー・セキュリティ・プログラム(CSP)は、カスタマー・セキュリティ・コントロール・フレームワーク(CSCF)を開発し、毎年更新している。200カ国以上のスウィフトの11,000を超える加盟店は、独自のセキュリティ管理を計画し、その遵守レベルを証明するためにCSCFを使用しています。
これらの規制の共通点は、金融サービス業界におけるデータと取引を保護するための高い基準を設定しようとしていることである。コンプライアンスは顧客データと資金を保護するだけでなく、不十分なセキュリティがもたらす結果(コンプライアンス違反に対する罰金や罰則、評判の低下、情報漏洩が発生した場合の投資家からの信頼の失墜など)から金融機関を守ることにもつながる。
セキュアコーディングは、適用される規制の期待や、米国の通貨監督庁(OCC)や欧州の欧州中央銀行(ECB)の要件を満たそうとする組織にとって、強固な基礎となります。Secure Code Warriorのプラットフォームや他のプロバイダーのプラットフォームを採用する基本的な原動力のひとつは、開発者に実践的で魅力的な環境で安全なコーディングを教えることです。
このようなトレーニングは、時に複雑な規制要件に対処する際に違いを生む。規制は常に進化しており、新しい、しばしばより高度な要求事項が追加されている。要求事項によっては、規制がその年に劇的に変化することはないかもしれないが、組織は少なくとも2、3年ごとに大幅な変更を予想することができる。
たとえば、2024 年 4 月 1 日に強制適用される PCI DSS 4.0 は、PCI DSS 3.2.1(2022 年リリース)をいくつかの重要な方法で更新しています。PCI DSS 4.0 は、PCI DSS 3.2.1 (2022 年リリース)を更新するもので、いくつかの重要な点があります。また、認証管理、パスワードの長さ、共有アカウントなどに関する新しい要件も追加されている。また、各要件を満たすための役割と責任を明確に定義することも求めている。
また、バージョン4.0では、特注ソフトやカスタムソフトに携わる開発者に対し、安全な設計やコーディング技術、テストツールを使用する場合は脆弱性を検出するためのツールの使用方法など、ソフトウエアセキュリティに関するトレーニングを少なくとも12カ月に1回実施することも義務付けている。また、ペネトレーションテストで特定された脆弱性は、その重大性にかかわらず、すべて修正すること、チームが2回目のペネトレーションテストでフォローアップし、修正が成功したことを確認することも規定している。
通常、規制は徐々に変更されるものだが、大規模な情報漏えいが発生すると、突然、大規模な変更が行われることもある。例えば、1990年代半ばに起きたJPモルガン・チェースの8,700万件の口座流出事件は、規制のあり方を大きく揺るがし、規制当局は開発者/技術者コミュニティに対する期待を高め、銀行に対し、この流出事件から学んだ教訓をどのように生かし、どのような対策を講じているかを証明するよう求めた。
これらの要件を満たすために使用されるコードの品質は、新しい機能の性能に大きな影響を及ぼし、企業が毎年必要とされる長くて詳細な PCI DSS コンプライアンスレポートを完成させる際に問題となる可能性があります。規制が複雑化するにつれて、セキュアコーディングが与える影響も相応に大きくなり、リスクを低減し、組織のソフトウェアに対する管理を強化する上で、大きな違いが生じます。
金融機関にとって、顧客との信頼関係を確立することが重要であるため、コンプライアンスは不可欠です。また、セキュアコーディングは、信頼性の高いソフトウェアとのシームレスなインタラクションに大きく依存するため、顧客のエクスペリエンスを向上させ、顧客ロイヤルティの構築に役立ちます。
新しいアプリケーションやサービスを作成するためのコーディングは、企業全体に影響を与えます。効率性を高め、クラウド移行を管理し、めまぐるしく変化するビジネス環境でその他の機能を実現するために、コーディングは不可欠です。しかし、ビジネスが成功するためには、コードは絶対に安全でなければならず、コンプライアンス要件を満たしていなければなりません。
トレンド3:アジャイル学習
AIモデルの普及により、人工知能が人々から多くの仕事を奪うのではないかという懸念が再燃している。簿記やカスタマーサービスから、法律事務員やコンテンツクリエイターまで、一部の職業に就いている人々には心配の種があるかもしれないが、ソフトウェア開発者たちは、AIが自分たちの仕事を奪うことはないが、コードを書くといった時間のかかる仕事や反復的な仕事を軽減してくれる便利なアシスタントとして歓迎する傾向が強い。
実際、コードを書くことは開発者の仕事の一部に過ぎない。GitLabの2023 Global DevSecOps Reportによると、ほとんどの開発者はコードを書く時間の約4分の1を費やしていると答えている。残りは、コードの改善(17%)、テスト(11%)、会議の傍聴やその他の管理作業(同じく17%)など、他の作業に分けられている。
コードの改善は、AIモデルがコードを生成するようになったときに、より顕著になるであろう仕事の一側面である。AIはコード作成にスピードと効率をもたらすが、そのコードは完全に信頼できるものではない。AIモデルによって生成されたコードには、エラーや偏り、脆弱性の例が数え切れないほどある。セキュリティに精通した開発者は、脆弱性を修正し、ソフトウェアが開発標準に準拠していることを保証するために、AIが生成したコードのチェックに密接に関与しなければならない。
開発者自身にとっても、AIが生成したコードを扱うには、セキュリティのベストプラクティスや不適切なコーディングパターンを見抜く能力に関して、既存のスキルを磨き、新たなスキルを身につける必要がある。適切な訓練を受けた開発者は、デプロイ前にAIモデルの誤りを発見することができ、開発を加速するためにAIを使用する利点を高めることができる。
しかし、必要とされるスキルは複雑であり、標準的な静的なトレーニング方法を採用するだけでは、学んだり強化したりすることはできません。開発者は、仕事中に暇を持て余しているわけではありません。彼らは、コードを迅速に開発し、デプロイしなければならないというプレッシャーにこれまで以上にさらされています。彼らは、すでに行っている仕事に適した方法でスキルを向上させることができる必要があります。
組織は、セキュアコーディングに実践的なアプローチを取り、ソフトウェアの脆弱性の数を大幅に減らすことが示されている、アジャイルベースのトレーニングの完全なプログラムを開発者に提供する必要がある。
アジャイルトレーニングは、古くから使われているCOBOLからGoogle Goで書かれた先進的な新しいツールまで、開発者が遭遇するプログラミング言語を含むように調整することができます。また、開発者の好みの学習方法(視覚、聴覚、口頭、直接的な実習など)に適した形式で高度なコンテンツを提供し、個々の開発者とその作業スケジュールに最適なペースで提供するように設計することもできます。
トレーニングは、従業員の特定の役割やニーズに合わせることもできる。プラットフォームは、フィードバック・ループを利用してコンテンツを改善し、開発者が特定の分野で弱点を持つことを認識することができる。
また、Secure Code Warrior で採用されているような学習プログラムは、セキュリティ・トレーニングを長引かせたドライな教室形式のトレーニング・コースで提供する代わりに、現実世界の問題のコンテキスト内で開発者の興味を引くインタラクティブなマイクロバーストに分割することで、最適でカスタマイズされたトレーニングを提供する。また、マイクロラーニングは、従業員が必要なときにいつでも利用することができます。
アジャイルベースのトレーニングは、コーディングミスを減らすのに効果的であることが証明されている。Secure Code Warrior の調査によると、開発者は、本番に入る前に、すでにコードの約26%を手直ししている。これは、開発者一人当たり週に約13.5時間(年間約700時間)を技術的負債の整理に費やしていることになる。コードの修正に費やす時間は、生産性を妨げ、開発サイクルを遅らせる。
開発者の67%が脆弱性のあるコードを出荷したことがあると認めている。組織はまた、AI、オープンソース・リポジトリー、サードパーティなど、他のソースからのコードを使用している。これらのソースは、組織がこれまで以上に大量のコードを必要としている今、生産性を高めるのに役立つが、コードベースにおける脆弱性やエラーのリスクを高めることにもなる。
アジャイルベースのトレーニングは、この傾向を食い止めるのに役立つ。アジャイル・ベースのトレーニングは、第一線の防御を強化し、開発者は、自分自身やAI、サードパーティが作成したコードであろうと、コードの欠陥を発見するスキルに長けている。調査の一環として、Secure Code Warrior 、75,000人の開発者(同社のベースの約30%)のデータを調査したところ、アジャイルベースのトレーニングを使ってセキュリティを学んだ開発者は、同業者よりも脆弱性の発生が53%少ないことがわかった。AIが生成したコードのチェックにこれらのスキルを適用する開発者は、ソフトウェアが本番稼動する前に、AIパートナーのミスをより迅速に一掃することができる。
財務、人事、学生・教職員のライフサイクル管理クラウドアプリケーションを提供する Workday の開発者は、Secure Code Warriorのアジャイルベースのトレーニングにより、トレーニングの目的を明確に理解し、コードベースとソフトウェアライフサイクル内の問題を特定して対処する方法を短期間で習得しました。
Workday 社の経験は、アジャイルで実践的なトレーニングで何ができるかを示す明確な例となる。Secure Code Warrior と提携する前、Workday は、同社の開発者たちがスライドショーベースのセキュリティトレーニングに幻滅しているのを見ていた。しかし、開発者コミュニティ全体が、彼らのニーズと学習嗜好の両方に合わせたSecure Code Warrior トレーニングに好反応を示した。そして、その結果が物語っている。ほんの一例ですが、ダブリンのあるチームは、年間4,662件発生していたセキュリティ問題が、わずか18ヶ月でまったく発生しなくなりました。
ますます巧妙な攻撃が横行する脅威の状況において、金融サービス企業は、安全なデータとアプリケーションを確保するために、できる限りのことをする必要がある。ソフトウェア開発ライフサイクル(SDLC)の最初に安全なコードを作成することは、セキュリティの重要な要素である。適切な種類のアジャイル・トレーニングを受けた開発者は、ソフトウェアのセキュリティを確保すると同時に、会社全体のリスクを低減するために多くのことを行うことができる。
トレンド4:サードパーティ製アプリとAPIの成長
今日のハイパーコネクテッドなビジネス環境では、どの企業も真空の中で業務を行っているわけではない。金融機関は特定のサービスを提供するために他社とパートナーシップを結び、日々のコミュニケーションや取引にサードパーティーのアプリを活用し、多くの場合、外部の請負業者がソフトウェア・コードを書いている。また、企業内の開発者は、オープンソースソフトウェアのリポジトリや、最近ではAIが生成したコードを利用してアプリケーションを開発している。
ソフトウェアのソースにかかわらず、金融サービス会社と関わる人々は、彼らが使用するすべてのアプリケーションが同じ高水準のセキュリティを持っていることを期待しています。どのような取引や情報交換においても、ホスト企業には顧客のデータに対する責任がある。そして規制当局は、金融機関がコンプライアンス違反の責任を第三者に転嫁することを許さない。
金融機関はどのようにして、すべてのアプリケーションの安全性と信頼性を確保するのだろうか。それは、セキュアなコードから始まり、開発プロセスの初期段階で、セキュアなソフトウェア・コードを作成するために必要なスキルを開発者に与えることである。
企業は、セキュアコードについて開発者に教えるための、アジャイルで実践的なトレーニングプログラムを実施することが有益である。セキュアコーディングのトレーニングを受けた開発者は、トレーニングを受けていない開発者に比べて、脆弱性が53%少ないコードを作成する。また、サードパーティが生成したコードから、より多くのコーディングミスを発見することになる。
自社の開発者がセキュアなコードを書く訓練を受けていたとしても、サードパーティのコードに潜在する欠陥に対処する必要がある。多くの開発者チームは、正社員(FTE)と契約社員の両方で構成されており、特に、一次拠点、二次拠点、三次拠点など、国内外に遠く離れた場所に拠点を持つ大規模な機関ではそうである。
数十年前、業界では新しいアプリケーションの需要に対応するため、ソフトウェア開発をアウトソーシングする動きが盛んだった。この傾向は、5年か10年続いたが、その後、反転し始めた。しかし、金融機関の一部の拠点では、FTEと請負業者の複合チームがまだ残っている。非常に多くのアプリケーションが継続的に開発されているため、その一部はアウトソーシングされることになるだろう。
しかし、コードを開発するのがFTEであろうとサードパーティであろうと、顧客と規制当局の期待に変わりはない。企業が使用するソフトウェア・コードはすべて同じ基準を満たす必要があり、これはすべての開発者が同じレベルの能力を持つことを意味する。
企業は契約上、請負業者にトレーニングを義務付けることに制限を設けている場合があるが、少なくともトレーニングを受けられるようにすることは重要である。2016年にテック・カレッジを開設したキャピタル・ワンのように、独自の研修プログラムを設けている金融会社もある。シンクロニー・バンクやノース・アメリカン・バンカードなど、他の銀行や金融会社の多くも、機動的な継続学習という考え方を取り入れて、人材のレベルを高めている。
開発者が特定のシステムにアクセスすることを許可する前に、企業が特定の認証を要求する「コードへのライセンス」アプローチをとる可能性さえある。
ITスキル不足が続く中、企業は供給不足の市場で人材を奪い合うよりも、現在の従業員のスキルアップを図ることを選択している。トレーニングを提供することで、従業員は自身のキャリアを向上させることができ、企業にとっても、企業が必要とするスキルを持った従業員を確保できるというメリットがある。また、研修プログラムは従業員の経験を向上させることで、定着率を高めることもできる。
現在の環境では、継続的な学習が重要です。サイバーセキュリティの状況は絶えず進化し、より高度になっています。また、規制当局の要件も年々変化しており、コンプライアンスを維持するための複雑さが増しています。これらの要件を満たせなかった場合、罰金やその他のコスト、風評被害が発生し、企業に重大な影響を及ぼす可能性があります。
企業は、コンプライアンス・トレーニングを、年に 1 回のトレーニングでチェックボックスをチェックするような負担の大きいものから、開発者やその他の従業員がセキュリティに取り組むレベルを高めることを目的とした通年のトレーニングへと移行しつつある。重要なのは、従業員が必要なときに必要なトレーニングを、従業員の職場環境に適した形式で提供するアジャイル・プラットフォームを持つことである。
例えば、Secure Code Warriorのプラットフォームを採用した英国のソフトウェア・ソリューション企業Sageは、四半期ごとに、その時点で開発者が取り組んでいる技術に的を絞ったトレーニングを行っている。
トレーニングは可能な限り個別化され、開発者がどのように仕事をしたいかに合わせて行われる、とSage社のセキュリティ・スペシャリストであるMads Howard氏はSCWとの最近のウェビナーで語った。Sage社はまた、フィードバックのループを通じて双方向のコミュニケーションを奨励している。トレーニングは、チェックボックスのコンプライアンスよりもエンゲージメントに重点を置いており、定期的にtournaments 、セキュリティ問題に対する従業員のエンゲージメントを高めるために、トレーニングプログラムを他の会社の取り組みと組み合わせる努力をしている。
その結果、過去1年間で、セイジはソフトウェアの問題解決にかかる平均時間を82%短縮することができた、とハワード氏は言う。また、従業員のエンゲージメントも高まったという。
コーディングはセキュリティ文化の構築の一部であり、最終的な目標は顧客との信頼関係を築くことである、とハワード氏は言う。セキュリティ文化は、人々の態度、認識、信念を中心に展開され、経営陣も含めた会社全体の人々をも巻き込む。柔軟性のあるセキュア・コード・トレーニング・プログラムは、的を絞ったトレーニングを消費しやすいマイクロバーストで提供するものであり、このような企業文化に不可欠な部分となり得る。
トレンド5:チーム/ベンダーを超えたROI重視の 強化
金融サービス業界は、銀行業務や財務管理からクレジットカードやデジタル決済サービスまで、幅広い分野をカバーしている。また、保険も金融サービス業に含まれることが多い。各セクターの企業は、扱う取引や国内企業か多国籍企業かによって、重複することも多いが、異なるコンプライアンス要件に直面している。
しかし、どのような分野の企業であっても、経済的なことは経営戦略に影響を与える。株式市場は好調だが、株式市場が必ずしも将来の成功を示すとは限らない。一方、金融業界では景気後退の可能性やその他の重大な課題に対する不安がある。
その結果、多くの組織がベルトを締め、より高い効率性を求め、新たな出費に対して十分な投資収益率(ROI)を得ることの重要性を強調している。ROIを高める一つの方法は、安全なコード学習に投資することである。エンジニアリングとセキュリティが出会うソフトウェア開発ライフサイクル(SDLC)において、プロセスの最初の段階で安全なコードを作成し、可能な限り早い段階で欠陥を修正することは、ビジネスに明確で定量化可能な利益をもたらします。
データは金融機関の中核をなすものであり、そのデータを安全で非効率なソフトウェアで扱うことによるコストは、あっという間に膨れ上がる。Secure Code Warrior'sの調査によると、ソフトウェア品質の問題は、2022年に米国企業に総額2兆4,100億ドルのコストをもたらすという。そして、そのコストは開発者にまで及び、技術的負債の維持と改善に費やす時間が増えている。開発者は現在、技術的負債の維持に時間の約3分の1を費やしているが、2025年には40%に達すると予測されている。
セキュアコーディングのプラクティスに関するアジャイルベースのトレーニングは、これらのマイナスの数字を大幅に減らすことができる。Secure Code Warrior でトレーニングを受けた開発者は、トレーニングを受けていない同僚と比較して、脆弱性の発生が53%少なく、修正にかかる時間も半分に短縮されることが判明している。ある大手グローバル銀行では、SCWトレーニングによって脆弱性が50%減少し、SQLインジェクションの欠陥やクロスサイト・スクリプティング(XSS)がほとんどなくなりました。
また、アジャイルセキュアコードトレーニングの利点は、組織が左遷されればされるほど、かなり大きくなる。例えば、技術的負債にかかるコストは、テスト段階で対処すれば半分になるが、コーディング段階で対処すれば、その14倍も削減される。
セキュアコーディングのインパクトは、ROIにおいて測定可能な利益をもたらす可能性がある。ある例では、大手金融技術企業である Envestnet 社が、OWASP(Open Worldwide Application Security Project:オープン・ワールドワイド・アプリケーション・セキュリティ・プロジェクト)のウェブアプリケーションリスクトップ 10 を中心とした、受動的で「パワーポイントによる死」のようなセキュリティおよびコンプライアンス研修を超えることを望んでいました。
Envestnet 社は、セキュアなコードを記述し、SDLC の早い段階で問題に対処することに重点を置いたシフト・レフト戦略を採用しましたが、まず最初に、開発者が同社の既存のセキュリティトレーニングに参加しないことに対処する必要がありました。同社は SCW と共に、実世界のシナリオに関するトレーニングを含む 4 レベルの実践的なプログラムを実施し、各レベルの達成度に応じて開発者に修了証を授与しました。これは、アプリケーションのセキュリティを向上させるだけでなく、開発者のキャリアアップを支援するものでした。
最初の 2 つのレベルはセキュリティ意識に重点を置き、レベル 3 と 4 はセキュリティチャンピオンを認定した。この研修プログラムにはtournaments も含まれ、開発者の参加レベルも高まった。約半年間隔で実施した最初の 2 回(tournaments )の間に、参加者は倍増した。
その結果SCW のトレーニングを受けた開発者は、同業者の 2.7 倍の脆弱性を修正し、修正率は 120% 向上した。また、SCW のトレーニングを受けた開発者は、開発者一人当たり 4.5 件の脆弱性問題を修正したのに対し、SCW のトレーニングを受けなかった開発者は、開発者一人当たり 1.82 件の脆弱性問題を修正した。
アジャイル・セキュア・コーディング・プログラムは、提供する金融サービスの種類、システムの規模、個々の要件に応じて、企業ごとにカスタマイズすることができる。
例えば、Payment Card Industry Data Security Standard(PCI DSS)であれ、OWASP Application Security Verification Standard(ASVS)であれ、その他の要件であれ、企業はコンプライアンスを維持する必要がある。そして、常にセキュアなコードを書くことを保証する必要がある。しかし、単にチェックボックスにチェックを入れるだけのトレーニングプログラムでは、セキュアなコーディング手法を教えるには不十分であり、高度に訓練されたセキュリティ意識の高い開発者を確保することで得られる効率レベルの向上にもつながりません。
SDLC の早い段階でセキュアなコードを導入し、製品ライフサイクルを通じてそれを維持する戦略を支援する実践的なトレーニングは、リスクを低減し、市場投入までの時間を短縮し、必然的に ROI を増加させる。システム、プロセス、さらにはサイバー攻撃がますます高度化する中で、セキュアコーディングは切実に必要とされています。セキュアコーディングは、セキュリティだけでなく、あらゆる組織の利益に決定的な違いをもたらす力を持っている。
結論
金融機関は、人々のお金や非常に機密性の高い個人情報という非常に貴重な商品を扱っているが、ある意味、組織が持つ最も貴重なものは信頼である。それは、忠実な顧客を惹きつけ、維持するために不可欠なものである。そして、多くの金融取引がデジタルで処理されるため、その信頼性とソフトウェアの安全性は、安全なソフトウェア・コードにかかっている。
複雑なハイブリッド・クラウド環境では、金融機関は左遷し、ソフトウェア開発ライフサイクル(SDLC)の最初にセキュリティを導入しなければならない。つまり、セキュアなコードを書けるように開発者を訓練し、AIが生成したコードやサードパーティのコードの脆弱性を特定できるようにすることだ。
多くの企業では、開発者は1分1秒を争うスピードで仕事をこなし、増え続ける需要に応えるために新しいアプリケーションやサービスを立ち上げることに慣れている。重要なのは、社内にセキュリティ文化を醸成し、アジャイルで実践的なセキュアコード・トレーニングによって開発者を参加させることである。このアプローチの利点は明らかである。
Secure Code Warriorの調査によると、SCWでセキュアコーディングのプラクティスを学んだ開発者は、トレーニングを受けていない開発者に比べて、脆弱性の発生が53%少なく、これは多くの時間とコストの節約につながる。
開発者は現在、ソフトウェアコードの手直しにかかる時間の約3分の1を浪費しており、そのうちの67%は、脆弱性があることを知っていながらコードを出荷していることを認めています。SCWの顧客は、アジャイル学習の結果、リスク削減と開発者の生産性の両方で2倍から3倍の利益を得ている。
そして、組織が SDLC のスタート地点から離れれば離れるほど、節約は大きくなる。テスト段階で対処すればコストは半分に削減できるが、コーディング段階で対処すれば 14 倍に削減できる。
アジャイルトレーニングプラットフォームは、企業と開発者の両方に利益をもたらす。開発者は新しいスキルを身につけることでキャリアを向上させることができ、熟練した開発者は効果的なトレーニングとやりがいのある仕事体験を提供してくれる会社にとどまる可能性が高くなるため、会社にもメリットがある。
ちなみに、開発者の92%がもっとトレーニングを受けたいと答えている。しかし、それは適切なトレーニングでなければならない。従来の杓子定規な(あるいはスライドショーによる)コンプライアンス・トレーニングでは、目を丸くしたり、要件を満たすことを不承不承受け入れたりすることになりかねないが、SCWのようなアジャイル・プラットフォームは、開発者の関心を引きつけることがわかっている。SCWのようなアジャイル・プラットフォームは、開発者を引きつけることができる。また、開発者が現在直面している現実的な問題に対処するために、簡単に受講できる、的を絞ったマイクロバーストでトレーニングを提供することで、トレーニングの価値とエンゲージメントのレベルが高まります。
セキュアコード・トレーニングは、セキュリティ第一の組織への文化的転換の要となり、金融サービス機関のサイバーセキュリティ、パフォーマンス、ひいては収益性を高めることができる。
SCWのホワイトペーパーでは、AIがコード記述に果たす役割や、なぜ開発者が安全なコーディングパターンと安全でないコードから生じる脆弱性を認識するための徹底的なトレーニングが不可欠なのかを説明しています。
ホワイトペーパーのダウンロードセキュリティ専門家と開発マネージャが協力して強力なセキュリティプログラムを構築する方法など、開発チームを PCI DSS コンプライアンスに参加させるためのノーセンスガイドをお読みください。
ガイドを読むWorkday がどのようにセキュアなアジャイル学習の実現に注力し、開発者のエンゲージメントを高め、Workday の全体的なセキュリティ体制の向上という目標の達成に貢献したかをご紹介します。
さらに詳しくSage社がセキュアなコード学習プログラムを構築する上で、どのようにベストプラクティスを導入したのか、セキュアなコード学習プログラムの「やるべきこと」と「やってはいけないこと」を学び、生産性の向上や時間の節約など、ビジネスと財務に与える影響をご覧ください。
発見