Envestnetがアジャイルなセキュリティコード学習プラットフォームを採用し、開発者の脆弱性低減効率を3倍に高めた方法
背景
エンベストネット社は上場フィンテック企業であり、5.3兆ドルの資産と1,850万を超える投資家口座を管理しています。エンベストネットの使命は、アドバイザーや金融サービスプロバイダーに革新的な技術、ソリューション、知見を提供し、あらゆる人の財務的健全性を実現することです。同社の主力アドバイザリープラットフォームは、世界中の資産管理で財務アドバイザーが利用するサービスとソフトウェアを統合し、資産管理技術の市場リーダーとしての地位を確立しています。
エンベストネットのデータ管理におけるベストプラクティスへの取り組みには、継続的なリスクベースのコンプライアンス対策による資産管理プラットフォームの監視が含まれます。これにより、コンプライアンス上の問題や潜在的な障害を迅速に特定・修正します。エンベストネットは、サービス提供時に世界最高水準のセキュリティ対策を採用することで、顧客データの保護において業界をリードしています。
Envestnetの製品セキュリティ責任者であり、『アプリケーションセキュリティハンドブック』の著者であるデレク・フィッシャーが、 Secure Code Warrior 、開発チームにアジャイルなセキュリティコードを実装させることで脆弱性を削減します。デレクはアプリケーションセキュリティ分野で10年以上の経験を持ち、数多くのセキュリティ上の成功と失敗を目の当たりにしてきました。彼はEnvestnetの開発者向けに安全なコード学習環境を構築する独自の専門知識を活用しています。
状況
デレックが初めてアプリケーションセキュリティ分野に足を踏み入れた時、彼はOWASPトップ10や基本的なコンプライアンス研修を超えることを目指していた。彼らはセキュアSDLCプロセスをいくつか持っていたが、主に脆弱性の発見に焦点を当てており、必ずしもそれらの脆弱性を根本から解決するものではなかった。
德里ックによれば、「私たちは皆、あらゆる組織が受ける年次コンプライアンス研修に精通しています。これは通常、私が言うところの『パワーポイントによる死』であり、大量のスライドと、最後に評価があるかもしれません... まったく効果もなく時間を浪費するだけです。研修は受けますが、コンプライアンスの多くはスライドや音声記録を基にした特定のセキュリティ研修に基づいています。開発者の参加率が低く、教材から学んでいないことに気づいたので、戦略を変える必要がありました。」
この受動的でOWASPに重点を置いたコンプライアンス研修を通じて開発者を訓練するという従来の手法は、デレクと彼のチームにとって特に苦痛であった。研修の効果を測定できなかったため、彼らは脆弱性管理に費やす時間がますます増えていることに気づいたのだ。
德里クは、重要なのは脆弱性の発生源(開発者が安全でないコードを本番環境に投入すること)を研究することであり、単にツールを追加投入するだけでは問題は解決しないことを認識した。
代わりに、デリックと彼のチームは2020年に脆弱性緩和に重点を移し、最初からより安全なコードを書くことを目標とした。デリックと彼のチームは、修正コストがはるかに低いSDLCの初期段階で脆弱性を解決・修正する「左にシフト」戦略を採用した。
しかしまず、彼らは開発者による既存のAppSecトレーニングへの参加率が過去最低であるという問題を解決する必要がある。彼は、自身のセキュリティコード学習戦略において単なる「チェックボックス」的な対応を避け、Envestnetの開発者により効果的で機敏なセキュリティコード学習体験を提供したいと考えている。
SCWとその機能を見たとき、より実践的でインタラクティブな方法が私たちに適していると確信しました。エンジニアや開発者がトレーニング終了後、実際の問題に対してより実践的な知識を持てるようにしたいのです。私たちはこのような筋肉記憶を構築したいと考えています:「これは以前トレーニングで見たものだ。目の前のプログラミング課題を解決する方法が分かる」Secure Code Warriorプラットフォームは、エンジニアや開発者が優れたセキュアコーディングの実践例と悪い慣行を真に理解し、脆弱性を迅速に修正する方法を学べる環境を提供します。」
德里克・费舍尔,Envestnet プロダクトセキュリティ責任者
行動
德里ックは特に、セキュリティコードスキルの向上を認証によって報いるインセンティブ戦略の実施に熱心だ。この4段階のプログラムは、セキュリティ意識の確固たる基盤構築(レベル1と2)に焦点を当てた後、開発者がセキュリティの守護者となる道(レベル3と4)を拓く。これにより、開発者がセキュリティコードの概念をいかに維持するかを測定できないという課題を解決すると同時に、セキュリティ意識を持つ開発者がより複雑なセキュリティ課題に対処する際にスキルを向上させるキャリアパスを確保する。
彼らは小規模なパイロットテストでこれを検証し、参加した開発者からフィードバックを求めました。フィードバックは非常に好意的でした。デリックは指摘しました。
「これらの側面から常に肯定的なフィードバックを得られるとは限らない——トレーニング中に肯定的なフィードバックを得られる時は、どれほど強調しても足りないほど——これは非常に珍しいことだ。これはまさに正しいツールであることを示している。」
エンベストネットは2021年春に初のコンテストを開催し、開発者の参加度という観点でより多くの積極的な成果が得られたことを確認した。その後、デリックはデータベース、フロントエンド、API、クラウド開発者向けに、自社のLMSに統合された一連のコースを立ち上げた。2021年秋にエンベストネットが第2回コンテストを開催した時点で、参加開発者の総数は倍増していた。
デリックによれば、エンベストネットはトーナメントで非常に注目を浴びた。なぜなら、
私たちは皆、競争が原動力となることを知っています。私たちは皆、同業者に自分たちの成果を認めさせたいと願っており、それが実際に人々にこれらのコンテストへの参加と優れた成績を収めるよう促しています。これと開発ツールとの統合が、セキュリティコード・ウォリアーズの真の価値を私たちに示してくれたのです。
Derek とチームはさらに、Secure Code Warrior Jira の統合にも取り組んでいます。これにより、特定の脆弱性が繰り返し検出された場合、開発者は慣れ親しんだ環境を離れることなく、Jira チケット内で即座に修正提案を受け取ることができます。これにより開発者は貴重な背景情報と、その場で必要な教育を受けられるため、脆弱性の修正方法を「必要な場所」と「影響点」の両方で理解できます。デレクのチームはSecure Code Warriorと共同で「セキュリティデー」イベントを主催し、CEOからの広範な支援を獲得するとともに、エンジニアリングとセキュリティがEnvestnetの成功に不可欠であることを強調しました。経営陣と開発者のこの支援により、Envestnetはプログラムを現在の規模まで拡大できました。現在、Envestnetは特定された全セキュリティ担当者(Security Guard)を本プログラムに登録し、チーム全体の60%がレベル1またはレベル2の認定を取得済みです。
結果
エンベストネットが成功を測る一つの方法は、SCWの学習プログラムを経験したチームを観察し、彼らがより少ない脆弱性を生み出しているか、あるいは脆弱性をより迅速に修正しているかを評価することです。彼らの発見は印象的でした:
- SCW教育を受けた開発者が修正した脆弱性は、同業他社よりも2.7倍多い
- SCW教育を受けた100名の開発者が短期間で450の脆弱性を修正した
- 1,200名のSCW教育を受けた開発者により、Envestnetは各キューにおける修復率を120%向上させることができた
- 1年間で、SCW教育を受けた開発者は2つの製品ラインにおいて、開発者1人あたり4.5件の脆弱性問題を解決した。一方、同業他社では開発者1人あたり1.82件の脆弱性しか解決できなかった。
- すべてのセキュリティガードは2022年に認証プログラムを通過しました
- 60%のセキュリティ意識開発者がレベル1とレベル2に合格した
重要なポイント
デレクは、安全なコード学習の旅を始めた人々に以下のアドバイスを提供しています:
セキュリティにおける私たちの仕事は、組織内のリスクを低減することです。それが私たちの真の目標であり、常に努力を続けている方向性です。深刻な脆弱性が、組織が直面する最大のリスクや影響力のある問題とは限りません。いくつかの中程度、低程度、高程度の脆弱性を組み合わせることで、より大きな影響力を持つ連鎖を形成することが可能です。時間の経過とともに蓄積される脆弱性が増えれば増えるほど、生み出すリスクは大きくなります。Secure Code WarriorWarriorを活用すれば、潜在的な脆弱性連鎖を軽減するアジャイルなセキュリティコード学習を通じて、先手を打つ積極的なアプローチを維持できます。」
- 脆弱性テストと脆弱性報告だけに集中してはいけない——それは開発者にノイズを生み出すだけだ
- 逆に、AppSecは開発者のパートナーとなるべきであり、安全なコード学習戦略を実施する前に、彼らの支持を得られるようにすべきである。
- ローマは一日にして成らず。リスク状況の変化、企業の変化、技術やツールの変化に伴い、計画は絶えず進化させる必要があります。
- 最も効果的な長期戦略は、周囲の人々のセキュリティ知能を高め、生じる脆弱性の総数を減らすことである。
Envestnetの製品セキュリティ責任者であり『アプリケーションセキュリティハンドブック』の著者であるDerek Fisherが、Secure Code Warrior とSecure Code Warrior ご紹介しますSecure Code Warrior 、Secure Code Warrior
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
背景
エンベストネット社は上場フィンテック企業であり、5.3兆ドルの資産と1,850万を超える投資家口座を管理しています。エンベストネットの使命は、アドバイザーや金融サービスプロバイダーに革新的な技術、ソリューション、知見を提供し、あらゆる人の財務的健全性を実現することです。同社の主力アドバイザリープラットフォームは、世界中の資産管理で財務アドバイザーが利用するサービスとソフトウェアを統合し、資産管理技術の市場リーダーとしての地位を確立しています。
エンベストネットのデータ管理におけるベストプラクティスへの取り組みには、継続的なリスクベースのコンプライアンス対策による資産管理プラットフォームの監視が含まれます。これにより、コンプライアンス上の問題や潜在的な障害を迅速に特定・修正します。エンベストネットは、サービス提供時に世界最高水準のセキュリティ対策を採用することで、顧客データの保護において業界をリードしています。
Envestnetの製品セキュリティ責任者であり、『アプリケーションセキュリティハンドブック』の著者であるデレク・フィッシャーが、 Secure Code Warrior 、開発チームにアジャイルなセキュリティコードを実装させることで脆弱性を削減します。デレクはアプリケーションセキュリティ分野で10年以上の経験を持ち、数多くのセキュリティ上の成功と失敗を目の当たりにしてきました。彼はEnvestnetの開発者向けに安全なコード学習環境を構築する独自の専門知識を活用しています。
状況
デレックが初めてアプリケーションセキュリティ分野に足を踏み入れた時、彼はOWASPトップ10や基本的なコンプライアンス研修を超えることを目指していた。彼らはセキュアSDLCプロセスをいくつか持っていたが、主に脆弱性の発見に焦点を当てており、必ずしもそれらの脆弱性を根本から解決するものではなかった。
德里ックによれば、「私たちは皆、あらゆる組織が受ける年次コンプライアンス研修に精通しています。これは通常、私が言うところの『パワーポイントによる死』であり、大量のスライドと、最後に評価があるかもしれません... まったく効果もなく時間を浪費するだけです。研修は受けますが、コンプライアンスの多くはスライドや音声記録を基にした特定のセキュリティ研修に基づいています。開発者の参加率が低く、教材から学んでいないことに気づいたので、戦略を変える必要がありました。」
この受動的でOWASPに重点を置いたコンプライアンス研修を通じて開発者を訓練するという従来の手法は、デレクと彼のチームにとって特に苦痛であった。研修の効果を測定できなかったため、彼らは脆弱性管理に費やす時間がますます増えていることに気づいたのだ。
德里クは、重要なのは脆弱性の発生源(開発者が安全でないコードを本番環境に投入すること)を研究することであり、単にツールを追加投入するだけでは問題は解決しないことを認識した。
代わりに、デリックと彼のチームは2020年に脆弱性緩和に重点を移し、最初からより安全なコードを書くことを目標とした。デリックと彼のチームは、修正コストがはるかに低いSDLCの初期段階で脆弱性を解決・修正する「左にシフト」戦略を採用した。
しかしまず、彼らは開発者による既存のAppSecトレーニングへの参加率が過去最低であるという問題を解決する必要がある。彼は、自身のセキュリティコード学習戦略において単なる「チェックボックス」的な対応を避け、Envestnetの開発者により効果的で機敏なセキュリティコード学習体験を提供したいと考えている。
SCWとその機能を見たとき、より実践的でインタラクティブな方法が私たちに適していると確信しました。エンジニアや開発者がトレーニング終了後、実際の問題に対してより実践的な知識を持てるようにしたいのです。私たちはこのような筋肉記憶を構築したいと考えています:「これは以前トレーニングで見たものだ。目の前のプログラミング課題を解決する方法が分かる」Secure Code Warriorプラットフォームは、エンジニアや開発者が優れたセキュアコーディングの実践例と悪い慣行を真に理解し、脆弱性を迅速に修正する方法を学べる環境を提供します。」
德里克・费舍尔,Envestnet プロダクトセキュリティ責任者
行動
德里ックは特に、セキュリティコードスキルの向上を認証によって報いるインセンティブ戦略の実施に熱心だ。この4段階のプログラムは、セキュリティ意識の確固たる基盤構築(レベル1と2)に焦点を当てた後、開発者がセキュリティの守護者となる道(レベル3と4)を拓く。これにより、開発者がセキュリティコードの概念をいかに維持するかを測定できないという課題を解決すると同時に、セキュリティ意識を持つ開発者がより複雑なセキュリティ課題に対処する際にスキルを向上させるキャリアパスを確保する。
彼らは小規模なパイロットテストでこれを検証し、参加した開発者からフィードバックを求めました。フィードバックは非常に好意的でした。デリックは指摘しました。
「これらの側面から常に肯定的なフィードバックを得られるとは限らない——トレーニング中に肯定的なフィードバックを得られる時は、どれほど強調しても足りないほど——これは非常に珍しいことだ。これはまさに正しいツールであることを示している。」
エンベストネットは2021年春に初のコンテストを開催し、開発者の参加度という観点でより多くの積極的な成果が得られたことを確認した。その後、デリックはデータベース、フロントエンド、API、クラウド開発者向けに、自社のLMSに統合された一連のコースを立ち上げた。2021年秋にエンベストネットが第2回コンテストを開催した時点で、参加開発者の総数は倍増していた。
デリックによれば、エンベストネットはトーナメントで非常に注目を浴びた。なぜなら、
私たちは皆、競争が原動力となることを知っています。私たちは皆、同業者に自分たちの成果を認めさせたいと願っており、それが実際に人々にこれらのコンテストへの参加と優れた成績を収めるよう促しています。これと開発ツールとの統合が、セキュリティコード・ウォリアーズの真の価値を私たちに示してくれたのです。
Derek とチームはさらに、Secure Code Warrior Jira の統合にも取り組んでいます。これにより、特定の脆弱性が繰り返し検出された場合、開発者は慣れ親しんだ環境を離れることなく、Jira チケット内で即座に修正提案を受け取ることができます。これにより開発者は貴重な背景情報と、その場で必要な教育を受けられるため、脆弱性の修正方法を「必要な場所」と「影響点」の両方で理解できます。デレクのチームはSecure Code Warriorと共同で「セキュリティデー」イベントを主催し、CEOからの広範な支援を獲得するとともに、エンジニアリングとセキュリティがEnvestnetの成功に不可欠であることを強調しました。経営陣と開発者のこの支援により、Envestnetはプログラムを現在の規模まで拡大できました。現在、Envestnetは特定された全セキュリティ担当者(Security Guard)を本プログラムに登録し、チーム全体の60%がレベル1またはレベル2の認定を取得済みです。
結果
エンベストネットが成功を測る一つの方法は、SCWの学習プログラムを経験したチームを観察し、彼らがより少ない脆弱性を生み出しているか、あるいは脆弱性をより迅速に修正しているかを評価することです。彼らの発見は印象的でした:
- SCW教育を受けた開発者が修正した脆弱性は、同業他社よりも2.7倍多い
- SCW教育を受けた100名の開発者が短期間で450の脆弱性を修正した
- 1,200名のSCW教育を受けた開発者により、Envestnetは各キューにおける修復率を120%向上させることができた
- 1年間で、SCW教育を受けた開発者は2つの製品ラインにおいて、開発者1人あたり4.5件の脆弱性問題を解決した。一方、同業他社では開発者1人あたり1.82件の脆弱性しか解決できなかった。
- すべてのセキュリティガードは2022年に認証プログラムを通過しました
- 60%のセキュリティ意識開発者がレベル1とレベル2に合格した
重要なポイント
デレクは、安全なコード学習の旅を始めた人々に以下のアドバイスを提供しています:
セキュリティにおける私たちの仕事は、組織内のリスクを低減することです。それが私たちの真の目標であり、常に努力を続けている方向性です。深刻な脆弱性が、組織が直面する最大のリスクや影響力のある問題とは限りません。いくつかの中程度、低程度、高程度の脆弱性を組み合わせることで、より大きな影響力を持つ連鎖を形成することが可能です。時間の経過とともに蓄積される脆弱性が増えれば増えるほど、生み出すリスクは大きくなります。Secure Code WarriorWarriorを活用すれば、潜在的な脆弱性連鎖を軽減するアジャイルなセキュリティコード学習を通じて、先手を打つ積極的なアプローチを維持できます。」
- 脆弱性テストと脆弱性報告だけに集中してはいけない——それは開発者にノイズを生み出すだけだ
- 逆に、AppSecは開発者のパートナーとなるべきであり、安全なコード学習戦略を実施する前に、彼らの支持を得られるようにすべきである。
- ローマは一日にして成らず。リスク状況の変化、企業の変化、技術やツールの変化に伴い、計画は絶えず進化させる必要があります。
- 最も効果的な長期戦略は、周囲の人々のセキュリティ知能を高め、生じる脆弱性の総数を減らすことである。
背景
エンベストネット社は上場フィンテック企業であり、5.3兆ドルの資産と1,850万を超える投資家口座を管理しています。エンベストネットの使命は、アドバイザーや金融サービスプロバイダーに革新的な技術、ソリューション、知見を提供し、あらゆる人の財務的健全性を実現することです。同社の主力アドバイザリープラットフォームは、世界中の資産管理で財務アドバイザーが利用するサービスとソフトウェアを統合し、資産管理技術の市場リーダーとしての地位を確立しています。
エンベストネットのデータ管理におけるベストプラクティスへの取り組みには、継続的なリスクベースのコンプライアンス対策による資産管理プラットフォームの監視が含まれます。これにより、コンプライアンス上の問題や潜在的な障害を迅速に特定・修正します。エンベストネットは、サービス提供時に世界最高水準のセキュリティ対策を採用することで、顧客データの保護において業界をリードしています。
Envestnetの製品セキュリティ責任者であり、『アプリケーションセキュリティハンドブック』の著者であるデレク・フィッシャーが、 Secure Code Warrior 、開発チームにアジャイルなセキュリティコードを実装させることで脆弱性を削減します。デレクはアプリケーションセキュリティ分野で10年以上の経験を持ち、数多くのセキュリティ上の成功と失敗を目の当たりにしてきました。彼はEnvestnetの開発者向けに安全なコード学習環境を構築する独自の専門知識を活用しています。
状況
デレックが初めてアプリケーションセキュリティ分野に足を踏み入れた時、彼はOWASPトップ10や基本的なコンプライアンス研修を超えることを目指していた。彼らはセキュアSDLCプロセスをいくつか持っていたが、主に脆弱性の発見に焦点を当てており、必ずしもそれらの脆弱性を根本から解決するものではなかった。
德里ックによれば、「私たちは皆、あらゆる組織が受ける年次コンプライアンス研修に精通しています。これは通常、私が言うところの『パワーポイントによる死』であり、大量のスライドと、最後に評価があるかもしれません... まったく効果もなく時間を浪費するだけです。研修は受けますが、コンプライアンスの多くはスライドや音声記録を基にした特定のセキュリティ研修に基づいています。開発者の参加率が低く、教材から学んでいないことに気づいたので、戦略を変える必要がありました。」
この受動的でOWASPに重点を置いたコンプライアンス研修を通じて開発者を訓練するという従来の手法は、デレクと彼のチームにとって特に苦痛であった。研修の効果を測定できなかったため、彼らは脆弱性管理に費やす時間がますます増えていることに気づいたのだ。
德里クは、重要なのは脆弱性の発生源(開発者が安全でないコードを本番環境に投入すること)を研究することであり、単にツールを追加投入するだけでは問題は解決しないことを認識した。
代わりに、デリックと彼のチームは2020年に脆弱性緩和に重点を移し、最初からより安全なコードを書くことを目標とした。デリックと彼のチームは、修正コストがはるかに低いSDLCの初期段階で脆弱性を解決・修正する「左にシフト」戦略を採用した。
しかしまず、彼らは開発者による既存のAppSecトレーニングへの参加率が過去最低であるという問題を解決する必要がある。彼は、自身のセキュリティコード学習戦略において単なる「チェックボックス」的な対応を避け、Envestnetの開発者により効果的で機敏なセキュリティコード学習体験を提供したいと考えている。
SCWとその機能を見たとき、より実践的でインタラクティブな方法が私たちに適していると確信しました。エンジニアや開発者がトレーニング終了後、実際の問題に対してより実践的な知識を持てるようにしたいのです。私たちはこのような筋肉記憶を構築したいと考えています:「これは以前トレーニングで見たものだ。目の前のプログラミング課題を解決する方法が分かる」Secure Code Warriorプラットフォームは、エンジニアや開発者が優れたセキュアコーディングの実践例と悪い慣行を真に理解し、脆弱性を迅速に修正する方法を学べる環境を提供します。」
德里克・费舍尔,Envestnet プロダクトセキュリティ責任者
行動
德里ックは特に、セキュリティコードスキルの向上を認証によって報いるインセンティブ戦略の実施に熱心だ。この4段階のプログラムは、セキュリティ意識の確固たる基盤構築(レベル1と2)に焦点を当てた後、開発者がセキュリティの守護者となる道(レベル3と4)を拓く。これにより、開発者がセキュリティコードの概念をいかに維持するかを測定できないという課題を解決すると同時に、セキュリティ意識を持つ開発者がより複雑なセキュリティ課題に対処する際にスキルを向上させるキャリアパスを確保する。
彼らは小規模なパイロットテストでこれを検証し、参加した開発者からフィードバックを求めました。フィードバックは非常に好意的でした。デリックは指摘しました。
「これらの側面から常に肯定的なフィードバックを得られるとは限らない——トレーニング中に肯定的なフィードバックを得られる時は、どれほど強調しても足りないほど——これは非常に珍しいことだ。これはまさに正しいツールであることを示している。」
エンベストネットは2021年春に初のコンテストを開催し、開発者の参加度という観点でより多くの積極的な成果が得られたことを確認した。その後、デリックはデータベース、フロントエンド、API、クラウド開発者向けに、自社のLMSに統合された一連のコースを立ち上げた。2021年秋にエンベストネットが第2回コンテストを開催した時点で、参加開発者の総数は倍増していた。
デリックによれば、エンベストネットはトーナメントで非常に注目を浴びた。なぜなら、
私たちは皆、競争が原動力となることを知っています。私たちは皆、同業者に自分たちの成果を認めさせたいと願っており、それが実際に人々にこれらのコンテストへの参加と優れた成績を収めるよう促しています。これと開発ツールとの統合が、セキュリティコード・ウォリアーズの真の価値を私たちに示してくれたのです。
Derek とチームはさらに、Secure Code Warrior Jira の統合にも取り組んでいます。これにより、特定の脆弱性が繰り返し検出された場合、開発者は慣れ親しんだ環境を離れることなく、Jira チケット内で即座に修正提案を受け取ることができます。これにより開発者は貴重な背景情報と、その場で必要な教育を受けられるため、脆弱性の修正方法を「必要な場所」と「影響点」の両方で理解できます。デレクのチームはSecure Code Warriorと共同で「セキュリティデー」イベントを主催し、CEOからの広範な支援を獲得するとともに、エンジニアリングとセキュリティがEnvestnetの成功に不可欠であることを強調しました。経営陣と開発者のこの支援により、Envestnetはプログラムを現在の規模まで拡大できました。現在、Envestnetは特定された全セキュリティ担当者(Security Guard)を本プログラムに登録し、チーム全体の60%がレベル1またはレベル2の認定を取得済みです。
結果
エンベストネットが成功を測る一つの方法は、SCWの学習プログラムを経験したチームを観察し、彼らがより少ない脆弱性を生み出しているか、あるいは脆弱性をより迅速に修正しているかを評価することです。彼らの発見は印象的でした:
- SCW教育を受けた開発者が修正した脆弱性は、同業他社よりも2.7倍多い
- SCW教育を受けた100名の開発者が短期間で450の脆弱性を修正した
- 1,200名のSCW教育を受けた開発者により、Envestnetは各キューにおける修復率を120%向上させることができた
- 1年間で、SCW教育を受けた開発者は2つの製品ラインにおいて、開発者1人あたり4.5件の脆弱性問題を解決した。一方、同業他社では開発者1人あたり1.82件の脆弱性しか解決できなかった。
- すべてのセキュリティガードは2022年に認証プログラムを通過しました
- 60%のセキュリティ意識開発者がレベル1とレベル2に合格した
重要なポイント
デレクは、安全なコード学習の旅を始めた人々に以下のアドバイスを提供しています:
セキュリティにおける私たちの仕事は、組織内のリスクを低減することです。それが私たちの真の目標であり、常に努力を続けている方向性です。深刻な脆弱性が、組織が直面する最大のリスクや影響力のある問題とは限りません。いくつかの中程度、低程度、高程度の脆弱性を組み合わせることで、より大きな影響力を持つ連鎖を形成することが可能です。時間の経過とともに蓄積される脆弱性が増えれば増えるほど、生み出すリスクは大きくなります。Secure Code WarriorWarriorを活用すれば、潜在的な脆弱性連鎖を軽減するアジャイルなセキュリティコード学習を通じて、先手を打つ積極的なアプローチを維持できます。」
- 脆弱性テストと脆弱性報告だけに集中してはいけない——それは開発者にノイズを生み出すだけだ
- 逆に、AppSecは開発者のパートナーとなるべきであり、安全なコード学習戦略を実施する前に、彼らの支持を得られるようにすべきである。
- ローマは一日にして成らず。リスク状況の変化、企業の変化、技術やツールの変化に伴い、計画は絶えず進化させる必要があります。
- 最も効果的な長期戦略は、周囲の人々のセキュリティ知能を高め、生じる脆弱性の総数を減らすことである。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
背景
エンベストネット社は上場フィンテック企業であり、5.3兆ドルの資産と1,850万を超える投資家口座を管理しています。エンベストネットの使命は、アドバイザーや金融サービスプロバイダーに革新的な技術、ソリューション、知見を提供し、あらゆる人の財務的健全性を実現することです。同社の主力アドバイザリープラットフォームは、世界中の資産管理で財務アドバイザーが利用するサービスとソフトウェアを統合し、資産管理技術の市場リーダーとしての地位を確立しています。
エンベストネットのデータ管理におけるベストプラクティスへの取り組みには、継続的なリスクベースのコンプライアンス対策による資産管理プラットフォームの監視が含まれます。これにより、コンプライアンス上の問題や潜在的な障害を迅速に特定・修正します。エンベストネットは、サービス提供時に世界最高水準のセキュリティ対策を採用することで、顧客データの保護において業界をリードしています。
Envestnetの製品セキュリティ責任者であり、『アプリケーションセキュリティハンドブック』の著者であるデレク・フィッシャーが、 Secure Code Warrior 、開発チームにアジャイルなセキュリティコードを実装させることで脆弱性を削減します。デレクはアプリケーションセキュリティ分野で10年以上の経験を持ち、数多くのセキュリティ上の成功と失敗を目の当たりにしてきました。彼はEnvestnetの開発者向けに安全なコード学習環境を構築する独自の専門知識を活用しています。
状況
デレックが初めてアプリケーションセキュリティ分野に足を踏み入れた時、彼はOWASPトップ10や基本的なコンプライアンス研修を超えることを目指していた。彼らはセキュアSDLCプロセスをいくつか持っていたが、主に脆弱性の発見に焦点を当てており、必ずしもそれらの脆弱性を根本から解決するものではなかった。
德里ックによれば、「私たちは皆、あらゆる組織が受ける年次コンプライアンス研修に精通しています。これは通常、私が言うところの『パワーポイントによる死』であり、大量のスライドと、最後に評価があるかもしれません... まったく効果もなく時間を浪費するだけです。研修は受けますが、コンプライアンスの多くはスライドや音声記録を基にした特定のセキュリティ研修に基づいています。開発者の参加率が低く、教材から学んでいないことに気づいたので、戦略を変える必要がありました。」
この受動的でOWASPに重点を置いたコンプライアンス研修を通じて開発者を訓練するという従来の手法は、デレクと彼のチームにとって特に苦痛であった。研修の効果を測定できなかったため、彼らは脆弱性管理に費やす時間がますます増えていることに気づいたのだ。
德里クは、重要なのは脆弱性の発生源(開発者が安全でないコードを本番環境に投入すること)を研究することであり、単にツールを追加投入するだけでは問題は解決しないことを認識した。
代わりに、デリックと彼のチームは2020年に脆弱性緩和に重点を移し、最初からより安全なコードを書くことを目標とした。デリックと彼のチームは、修正コストがはるかに低いSDLCの初期段階で脆弱性を解決・修正する「左にシフト」戦略を採用した。
しかしまず、彼らは開発者による既存のAppSecトレーニングへの参加率が過去最低であるという問題を解決する必要がある。彼は、自身のセキュリティコード学習戦略において単なる「チェックボックス」的な対応を避け、Envestnetの開発者により効果的で機敏なセキュリティコード学習体験を提供したいと考えている。
SCWとその機能を見たとき、より実践的でインタラクティブな方法が私たちに適していると確信しました。エンジニアや開発者がトレーニング終了後、実際の問題に対してより実践的な知識を持てるようにしたいのです。私たちはこのような筋肉記憶を構築したいと考えています:「これは以前トレーニングで見たものだ。目の前のプログラミング課題を解決する方法が分かる」Secure Code Warriorプラットフォームは、エンジニアや開発者が優れたセキュアコーディングの実践例と悪い慣行を真に理解し、脆弱性を迅速に修正する方法を学べる環境を提供します。」
德里克・费舍尔,Envestnet プロダクトセキュリティ責任者
行動
德里ックは特に、セキュリティコードスキルの向上を認証によって報いるインセンティブ戦略の実施に熱心だ。この4段階のプログラムは、セキュリティ意識の確固たる基盤構築(レベル1と2)に焦点を当てた後、開発者がセキュリティの守護者となる道(レベル3と4)を拓く。これにより、開発者がセキュリティコードの概念をいかに維持するかを測定できないという課題を解決すると同時に、セキュリティ意識を持つ開発者がより複雑なセキュリティ課題に対処する際にスキルを向上させるキャリアパスを確保する。
彼らは小規模なパイロットテストでこれを検証し、参加した開発者からフィードバックを求めました。フィードバックは非常に好意的でした。デリックは指摘しました。
「これらの側面から常に肯定的なフィードバックを得られるとは限らない——トレーニング中に肯定的なフィードバックを得られる時は、どれほど強調しても足りないほど——これは非常に珍しいことだ。これはまさに正しいツールであることを示している。」
エンベストネットは2021年春に初のコンテストを開催し、開発者の参加度という観点でより多くの積極的な成果が得られたことを確認した。その後、デリックはデータベース、フロントエンド、API、クラウド開発者向けに、自社のLMSに統合された一連のコースを立ち上げた。2021年秋にエンベストネットが第2回コンテストを開催した時点で、参加開発者の総数は倍増していた。
デリックによれば、エンベストネットはトーナメントで非常に注目を浴びた。なぜなら、
私たちは皆、競争が原動力となることを知っています。私たちは皆、同業者に自分たちの成果を認めさせたいと願っており、それが実際に人々にこれらのコンテストへの参加と優れた成績を収めるよう促しています。これと開発ツールとの統合が、セキュリティコード・ウォリアーズの真の価値を私たちに示してくれたのです。
Derek とチームはさらに、Secure Code Warrior Jira の統合にも取り組んでいます。これにより、特定の脆弱性が繰り返し検出された場合、開発者は慣れ親しんだ環境を離れることなく、Jira チケット内で即座に修正提案を受け取ることができます。これにより開発者は貴重な背景情報と、その場で必要な教育を受けられるため、脆弱性の修正方法を「必要な場所」と「影響点」の両方で理解できます。デレクのチームはSecure Code Warriorと共同で「セキュリティデー」イベントを主催し、CEOからの広範な支援を獲得するとともに、エンジニアリングとセキュリティがEnvestnetの成功に不可欠であることを強調しました。経営陣と開発者のこの支援により、Envestnetはプログラムを現在の規模まで拡大できました。現在、Envestnetは特定された全セキュリティ担当者(Security Guard)を本プログラムに登録し、チーム全体の60%がレベル1またはレベル2の認定を取得済みです。
結果
エンベストネットが成功を測る一つの方法は、SCWの学習プログラムを経験したチームを観察し、彼らがより少ない脆弱性を生み出しているか、あるいは脆弱性をより迅速に修正しているかを評価することです。彼らの発見は印象的でした:
- SCW教育を受けた開発者が修正した脆弱性は、同業他社よりも2.7倍多い
- SCW教育を受けた100名の開発者が短期間で450の脆弱性を修正した
- 1,200名のSCW教育を受けた開発者により、Envestnetは各キューにおける修復率を120%向上させることができた
- 1年間で、SCW教育を受けた開発者は2つの製品ラインにおいて、開発者1人あたり4.5件の脆弱性問題を解決した。一方、同業他社では開発者1人あたり1.82件の脆弱性しか解決できなかった。
- すべてのセキュリティガードは2022年に認証プログラムを通過しました
- 60%のセキュリティ意識開発者がレベル1とレベル2に合格した
重要なポイント
デレクは、安全なコード学習の旅を始めた人々に以下のアドバイスを提供しています:
セキュリティにおける私たちの仕事は、組織内のリスクを低減することです。それが私たちの真の目標であり、常に努力を続けている方向性です。深刻な脆弱性が、組織が直面する最大のリスクや影響力のある問題とは限りません。いくつかの中程度、低程度、高程度の脆弱性を組み合わせることで、より大きな影響力を持つ連鎖を形成することが可能です。時間の経過とともに蓄積される脆弱性が増えれば増えるほど、生み出すリスクは大きくなります。Secure Code WarriorWarriorを活用すれば、潜在的な脆弱性連鎖を軽減するアジャイルなセキュリティコード学習を通じて、先手を打つ積極的なアプローチを維持できます。」
- 脆弱性テストと脆弱性報告だけに集中してはいけない——それは開発者にノイズを生み出すだけだ
- 逆に、AppSecは開発者のパートナーとなるべきであり、安全なコード学習戦略を実施する前に、彼らの支持を得られるようにすべきである。
- ローマは一日にして成らず。リスク状況の変化、企業の変化、技術やツールの変化に伴い、計画は絶えず進化させる必要があります。
- 最も効果的な長期戦略は、周囲の人々のセキュリティ知能を高め、生じる脆弱性の総数を減らすことである。
%20(1).avif)
.avif)
