背景

エンベストネット社は上場フィンテック企業であり、5.3兆ドルの資産と1,850万を超える投資家口座を管理しています。エンベストネットの使命は、アドバイザーや金融サービスプロバイダーに革新的な技術、ソリューション、知見を提供し、あらゆる人の財務的健全性を実現することです。同社の主力アドバイザリープラットフォームは、世界中の資産管理で財務アドバイザーが利用するサービスとソフトウェアを統合し、資産管理技術の市場リーダーとしての地位を確立しています。

エンベストネットのデータ管理におけるベストプラクティスへの取り組みには、継続的なリスクベースのコンプライアンス対策による資産管理プラットフォームの監視が含まれます。これにより、コンプライアンス上の問題や潜在的な障害を迅速に特定・修正します。エンベストネットは、サービス提供時に世界最高水準のセキュリティ対策を採用することで、顧客データの保護において業界をリードしています。

Envestnetの製品セキュリティ責任者であり、『アプリケーションセキュリティハンドブック』の著者であるデレク・フィッシャーが、 Secure Code Warrior 、開発チームにアジャイルなセキュリティコードを実装させることで脆弱性を削減します。デレクはアプリケーションセキュリティ分野で10年以上の経験を持ち、数多くのセキュリティ上の成功と失敗を目の当たりにしてきました。彼はEnvestnetの開発者向けに安全なコード学習環境を構築する独自の専門知識を活用しています。

状況

デレックが初めてアプリケーションセキュリティ分野に足を踏み入れた時、彼はOWASPトップ10や基本的なコンプライアンス研修を超えることを目指していた。彼らはセキュアSDLCプロセスをいくつか持っていたが、主に脆弱性の発見に焦点を当てており、必ずしもそれらの脆弱性を根本から解決するものではなかった。

德里ックによれば、「私たちは皆、あらゆる組織が受ける年次コンプライアンス研修に精通しています。これは通常、私が言うところの『パワーポイントによる死』であり、大量のスライドと、最後に評価があるかもしれません... まったく効果もなく時間を浪費するだけです。研修は受けますが、コンプライアンスの多くはスライドや音声記録を基にした特定のセキュリティ研修に基づいています。開発者の参加率が低く、教材から学んでいないことに気づいたので、戦略を変える必要がありました。」

この受動的でOWASPに重点を置いたコンプライアンス研修を通じて開発者を訓練するという従来の手法は、デレクと彼のチームにとって特に苦痛であった。研修の効果を測定できなかったため、彼らは脆弱性管理に費やす時間がますます増えていることに気づいたのだ。



德里クは、重要なのは脆弱性の発生源（開発者が安全でないコードを本番環境に投入すること）を研究することであり、単にツールを追加投入するだけでは問題は解決しないことを認識した。

代わりに、デリックと彼のチームは2020年に脆弱性緩和に重点を移し、最初からより安全なコードを書くことを目標とした。デリックと彼のチームは、修正コストがはるかに低いSDLCの初期段階で脆弱性を解決・修正する「左にシフト」戦略を採用した。

しかしまず、彼らは開発者による既存のAppSecトレーニングへの参加率が過去最低であるという問題を解決する必要がある。彼は、自身のセキュリティコード学習戦略において単なる「チェックボックス」的な対応を避け、Envestnetの開発者により効果的で機敏なセキュリティコード学習体験を提供したいと考えている。

SCWとその機能を見たとき、より実践的でインタラクティブな方法が私たちに適していると確信しました。エンジニアや開発者がトレーニング終了後、実際の問題に対してより実践的な知識を持てるようにしたいのです。私たちはこのような筋肉記憶を構築したいと考えています：「これは以前トレーニングで見たものだ。目の前のプログラミング課題を解決する方法が分かる」Secure Code Warriorプラットフォームは、エンジニアや開発者が優れたセキュアコーディングの実践例と悪い慣行を真に理解し、脆弱性を迅速に修正する方法を学べる環境を提供します。」

德里克・费舍尔，Envestnet プロダクトセキュリティ責任者

行動

德里ックは特に、セキュリティコードスキルの向上を認証によって報いるインセンティブ戦略の実施に熱心だ。この4段階のプログラムは、セキュリティ意識の確固たる基盤構築（レベル1と2）に焦点を当てた後、開発者がセキュリティの守護者となる道（レベル3と4）を拓く。これにより、開発者がセキュリティコードの概念をいかに維持するかを測定できないという課題を解決すると同時に、セキュリティ意識を持つ開発者がより複雑なセキュリティ課題に対処する際にスキルを向上させるキャリアパスを確保する。

彼らは小規模なパイロットテストでこれを検証し、参加した開発者からフィードバックを求めました。フィードバックは非常に好意的でした。デリックは指摘しました。

「これらの側面から常に肯定的なフィードバックを得られるとは限らない——トレーニング中に肯定的なフィードバックを得られる時は、どれほど強調しても足りないほど——これは非常に珍しいことだ。これはまさに正しいツールであることを示している。」

エンベストネットは2021年春に初のコンテストを開催し、開発者の参加度という観点でより多くの積極的な成果が得られたことを確認した。その後、デリックはデータベース、フロントエンド、API、クラウド開発者向けに、自社のLMSに統合された一連のコースを立ち上げた。2021年秋にエンベストネットが第2回コンテストを開催した時点で、参加開発者の総数は倍増していた。

デリックによれば、エンベストネットはトーナメントで非常に注目を浴びた。なぜなら、

私たちは皆、競争が原動力となることを知っています。私たちは皆、同業者に自分たちの成果を認めさせたいと願っており、それが実際に人々にこれらのコンテストへの参加と優れた成績を収めるよう促しています。これと開発ツールとの統合が、セキュリティコード・ウォリアーズの真の価値を私たちに示してくれたのです。

Derek とチームはさらに、Secure Code Warrior Jira の統合にも取り組んでいます。これにより、特定の脆弱性が繰り返し検出された場合、開発者は慣れ親しんだ環境を離れることなく、Jira チケット内で即座に修正提案を受け取ることができます。これにより開発者は貴重な背景情報と、その場で必要な教育を受けられるため、脆弱性の修正方法を「必要な場所」と「影響点」の両方で理解できます。デレクのチームはSecure Code Warriorと共同で「セキュリティデー」イベントを主催し、CEOからの広範な支援を獲得するとともに、エンジニアリングとセキュリティがEnvestnetの成功に不可欠であることを強調しました。経営陣と開発者のこの支援により、Envestnetはプログラムを現在の規模まで拡大できました。現在、Envestnetは特定された全セキュリティ担当者（Security Guard）を本プログラムに登録し、チーム全体の60％がレベル1またはレベル2の認定を取得済みです。

結果

エンベストネットが成功を測る一つの方法は、SCWの学習プログラムを経験したチームを観察し、彼らがより少ない脆弱性を生み出しているか、あるいは脆弱性をより迅速に修正しているかを評価することです。彼らの発見は印象的でした：

• SCW教育を受けた開発者が修正した脆弱性は、同業他社よりも2.7倍多い
• SCW教育を受けた100名の開発者が短期間で450の脆弱性を修正した
• 1,200名のSCW教育を受けた開発者により、Envestnetは各キューにおける修復率を120%向上させることができた
• 1年間で、SCW教育を受けた開発者は2つの製品ラインにおいて、開発者1人あたり4.5件の脆弱性問題を解決した。一方、同業他社では開発者1人あたり1.82件の脆弱性しか解決できなかった。
• すべてのセキュリティガードは2022年に認証プログラムを通過しました
• 60%のセキュリティ意識開発者がレベル1とレベル2に合格した


重要なポイント

デレクは、安全なコード学習の旅を始めた人々に以下のアドバイスを提供しています：

セキュリティにおける私たちの仕事は、組織内のリスクを低減することです。それが私たちの真の目標であり、常に努力を続けている方向性です。深刻な脆弱性が、組織が直面する最大のリスクや影響力のある問題とは限りません。いくつかの中程度、低程度、高程度の脆弱性を組み合わせることで、より大きな影響力を持つ連鎖を形成することが可能です。時間の経過とともに蓄積される脆弱性が増えれば増えるほど、生み出すリスクは大きくなります。Secure Code WarriorWarriorを活用すれば、潜在的な脆弱性連鎖を軽減するアジャイルなセキュリティコード学習を通じて、先手を打つ積極的なアプローチを維持できます。」

• 脆弱性テストと脆弱性報告だけに集中してはいけない——それは開発者にノイズを生み出すだけだ
• 逆に、AppSecは開発者のパートナーとなるべきであり、安全なコード学習戦略を実施する前に、彼らの支持を得られるようにすべきである。
• ローマは一日にして成らず。リスク状況の変化、企業の変化、技術やツールの変化に伴い、計画は絶えず進化させる必要があります。
• 最も効果的な長期戦略は、周囲の人々のセキュリティ知能を高め、生じる脆弱性の総数を減らすことである。

長文なので要約

コルゲート・パルモリーブについて

コルゲート・パルモリーブ社は、世界中の家庭で広く知られ愛されているマーキス消費財ブランドです。2世紀以上の歴史を持ちながらも、同社は革新的な成長企業として、デジタル技術を活用し、人間、ペット、そして地球のためのより健康的な未来を再構想しています。

状況

他のほとんどの組織と同様に、コルゲート・パルモリーブは顧客サービス向上のためのデジタル変革を進めており、これにより同組織のアプリケーションセキュリティへの取り組み方が変化している。

高露洁棕榄の最高情報セキュリティ責任者アレックス・シューマンはこう述べた：

「当社にとって、お客様のデータを保護し、信頼を築くことが極めて重要です——それは当社の製品内だけでなく、お客様と当社のデジタルインタラクションにおいても同様です。」

しかしアレックスにとっての課題は、潜在顧客データの漏洩源であるコードそのものを保護することだった。

私が最高情報セキュリティ責任者（CISO）の職に異動した際、アプリケーション構築の分野での経験が確かに役立ちました。アプリケーションセキュリティ（AppSec）からチケットが戻ってくる苦労も、手戻り作業で期限に間に合わない苛立ちも理解しています。そのため、CISOとしての私の目標は、ソフトウェア開発ライフサイクル（SDLC）のセキュリティを向上させるだけでなく、その実施方法を簡素化することにあります。

行動

コルゲート・パルモリーブはこの課題に対処するため、セキュリティ研修をより小さな単位に分割しました。これにより開発者は研修を受け入れやすくなり、従来の長い単一のコンプライアンス研修ではなく、自身のワークフローに組み込むことが可能になりました。Secure Code Warrior 開発者は実際のプロジェクト環境における脆弱性を理解できるようになり、関与度を高め、長期的にセキュアコーディングスキルを維持できるようになります。

アレックスは言った。「開発者の関与を維持しながら、これらのベストプラクティスを導入したいと考えています。」「計画の重要な部分は依然として規定していますが、トレーニングの管理可能性を維持し、開発者のフィードバックに耳を傾けることが、この計画の成功につながっています。」

高露洁棕榄は、GitHubリポジトリへのアクセスを制御するOktaワークフローを実現し、特定のSCW評価を通過した開発者のみがプルリクエストにアクセスできるようにしています。下図の通りです。

結果

アレックスによれば 「成功を収めるための最適化を行うには、開発者を最初から関与させる必要があることを私たちは理解していました。そのため、開発者たちがこの計画の成功に不可欠な役割を担うことを確実に認識させました。その結果、セキュリティチームと開発者の関係が大幅に改善され、まるでチームとして一体となって計画を構築しているかのような感覚を得られました。これまでの成功を基盤に、今後もセキュリティ成熟度プログラムの拡大と拡張を継続していきます。」

重要なポイント

1. プロジェクト目標を明確に定義し、開発者の意見と参加度を重視する。開発者は、自身のワークフローに組み込まれ、日常的に使用する開発ツールと連携する安全なコード学習プログラムをより受け入れやすい。
2. OktaなどのSSOツールを使用してコードリポジトリをロックすることで、チームを動機付けられます。特定のSCWコースと評価で合格点を取得した開発者のみがプルリクエストを提出できます。
3. 時間の経過とともに、安全文化を構築し、AppSecと開発チーム間の強固な協力関係を促進する。

‍

最近のAberdeenレポートによると、9つの組織のうち8つは、自社のコードベースにコンプライアンスや脆弱性の問題が存在することを認識していません。問題を発見した1社でさえ、認識していた問題はソフトウェア監査で最終的に発見された実際の問題のわずか9.5％に過ぎませんでした。セキュリティとコンプライアンスリスクの管理において、これは回避面と是正面の両方でギャップが存在することを示しています。

このギャップを埋めることは、エンジニアリングチームとそのリーダーが、オープンソースソフトウェアが組織のリスクのないソリューション構築・提供能力に与える影響をより深く理解する上で極めて重要です。解決策の一部は、開発者に対してセキュリティとコンプライアンスの重要性、およびリスク低減方法を教育する閉ループプロセスを構築すると同時に、適切な発見・是正ツールを導入することです。

開発者、エンジニアリング責任者、セキュリティ専門家の方は、本ウェビナーで当社の専門家であるRevenera製品管理ディレクターAlexSecure Code Warrior Madouの議論をお聞きください：

- ソフトウェア開発ライフサイクル全体における継続的ガバナンス実施の重要性。
- ソフトウェア部品表（sBOM）がエンジニアリングリーダーにとって最良の選択肢である理由。
-信頼できるソリューションの開発は、リスクを特定・是正するための合意されたクロスファンクショナルポリシーの策定から始まる。
-業界規制が施行されつつあり、コンプライアンスとセキュリティ管理を支える構造的変革が必要。
-企業がより強力なオープンソース管理計画を実施するために、マイクロラーニングなどのプログラムを通じた開発者教育を保証する役割。

ペイセーフは金融取引を信頼に基づく体験へと変革する支援を提供しています。年間152億ドルを超える取引量を処理する安全でシームレスなプラットフォームを提供するには、基本的なコンプライアンス基準を満たすだけでは不十分であることを理解しています。過去4年間、ペイセーフはSecure Code Warriorとの協業を通じて、開発者向けリスク管理の包括的アプローチを推進し続けてきました。そのアプリケーションセキュリティプログラムは、以下を含む事業全体のニーズにプラスの影響をもたらしています：

課題：Paysafeのセキュリティコード基準の向上

国際的なオンライン決済プロバイダーとして、Paysafeは常に安全なコーディングを戦略的優先事項と位置付けており、その範囲はPCI DSS準拠要件を満たすだけにとどまりません。専門家主導の正式な教室研修やスキル評価が初期段階の取り組みの一部ではあったものの、Paysafeの目標は一貫して安全なコーディングプログラムの範囲と規模を拡大し、最先端のアプリケーションセキュリティ手法を採用するとともに、エンジニアが最初から安全なコードを書くことを確実にすることにあります。

「私たちにとって、提供するトレーニングは決してチェックボックスを埋めるだけのものではありません。私たちの目標は、従業員に継続的な状況の変化を理解してもらうことです。私たちは常により良く、より多くを達成しようと努力しています。エンジニアリングチームとセキュリティチームが協力することを望んでいます。自ら開発できるチームは状況をより深く理解し、より優れたコードを設計できるでしょう」と、Paysafeの人事開発パートナーであるボヤン・フリストフ氏は述べています。

Paysafeのビジョンは、セキュリティを左シフトし、セキュリティ意識の高いエンジニアを育成し、安全なコーディング実践をソフトウェア開発ライフサイクルの各段階に組み込むことです。これを支援するためには、PCIコンプライアンス目的の監査証拠を提供するだけでなく、深く持続的な文化変革を推進する、拡張性があり魅力的で継続的なプログラムが必要です。これにはゲーミフィケーションを活用した学習体験、定期的なコンテスト、継続的なトレーニングが含まれ、開発者を惹きつけ、業界のセキュリティ動向の最先端に立つよう促します。

解決策：セキュリティコード戦士による最先端の手法を活用する

PaysafeSecure Code Warrior を採用しSecure Code Warrior 安全なコーディング実践の拡大、エンジニアの惹きつけ、開発ライフサイクルの早期段階でのセキュリティ組み込みを支援しています。時間の経過とともに、同社のセキュリティチャンピオンプログラムは発展を続け、Secure Code Warriorはサイバーリスク防止目標の達成において重要な役割を果たしました。

Paysafeは開発者がプラットフォームに有機的に参加することを可能にし、魅力的な賞品を提供するトーナメントなどのゲーミフィケーション活動を奨励することで、開発者の参加意欲と興奮を高めています。プログラム開始当初は、PCIコンプライアンス要件を満たすための評価を義務付けつつ、その他のコンテンツや活動をオプションとして提供していました。

この計画が注目を集めるにつれ、経営陣は追加支援を提供し、開発チームと情報セキュリティチームの目標をさらに調整しました。これによりPaysafeチームは計画を新たな段階へ引き上げ、特定の主要業績評価指標（KPI）と成功インセンティブを含む、より正式な認定プログラムを導入することが可能となりました。

このプログラムの次の段階では、業界標準であるOWASPトップ10のテーマに焦点を当て、認定段階では開発者が様々な達成レベルを通じて前進できるようになっています。現在、このプログラムの規模と成熟度は新たなレベルに到達し、正社員から臨時雇用者まで、開発者の基準を包括的に向上させています。

「過去4年間にSCWと築いてきたパートナーシップを非常に重視しています。ペイセーフの最高情報セキュリティ責任者であるアラン・オズボーンは次のように述べています。私たちは共同で、安全なコードを初期段階で開発し、SDLCの早い段階で対象を絞ったアプリケーションセキュリティトレーニングを提供することに注力し、セキュリティチームとエンジニアリングチーム間のより強固な関係構築を促進しています。」

最高情報セキュリティ責任者、最高技術責任者、およびエンジニアリング部門の経営陣による継続的な支援と調整のもと、Paysafeはセキュリティコード・ウォリアーズと協力し、プログラムを絶えず発展させてきました。現在では、このプログラムはビジネスニーズと密接に関連し、具体的な成果を提供するとともに、内部チームにとって依然として関連性と魅力を保っています。

成果：組織全体の安全コードの新基準

Paysafeは4年前から開始したアプリケーションセキュリティ対策を進化させてきました。Secure Code Warriorとの協業を通じて、Paysafeは開発者リスク管理の包括的アプローチが組織全体に大きな影響をもたらし得ることを実証しました。

PaysafeのSASTスキャンデータ分析によると、Secure Code Warrior（SCW）トレーニングを受けたチームが開発したアプリケーションでは、初期開発段階のスキャンで検出される脆弱性が大幅に減少していることが明らかになりました。開発者がSCWプラットフォームに積極的に関与しているチームでは、初回スキャン時に発見される脆弱性の数がさらに減少しています。

Secure Code Warrior 、開発初期段階で発見される脆弱性が前年比で大幅に減少していることを確認しました。これは継続的かつスキルベースのトレーニングが、安全なコーディング習慣の定着に付加価値をもたらすことを浮き彫りにしています。初期段階から安全なコードを作成することで、自チームおよびSDLC内の他チームに膨大な時間を節約しています。開発初期段階での脆弱性予防により、コードの脆弱性を特定・記録・修正する手間が不要となり、数千時間もの開発時間を節約しています。これにより開発者の生産性が45％向上し、セキュアコーディングスキルの向上と日常的な開発プロセスの改善がもたらすメリットを実証する一助となっています。これはエンジニアリングチームとAppSecチーム双方にとってWin-Winの関係です。

ペイセーフのセキュリティコードへのこだわりが評価され、^{同社は銀行・金融サービス分野のベンチマークにおいてSCWトラストスコア®で} 第4位を獲得しました。この栄誉ある成果にもかかわらず、ペイセーフのセキュリティコードプログラムへの取り組みはこれで終わりではありません。Secure Code Warriorとの協業で得た成果に勇気づけられた同社は、このプログラムをさらに高みへと導くことを目指しています。

ペイセーフの最高情報セキュリティ責任者アラン・オズボーン氏は次のように述べている：Secure Code Warriorは開発者の生産性向上、市場投入と改善の加速を実現し、長期的にコストとリスクを大幅に削減しました。」「開発者トレーニングの強化を推進する中で、セキュアコーディングが単なる『良い取り組み』ではなく、開発者のスキル・経験・能力を高めつつ真の投資対効果をもたらす実証済みの投資であることを証明しました。」

次に、Paysafeは追加のガバナンスおよびリスク管理措置をプロセスに組み込むことで、セキュリティ基準のさらなる実施を目指します。SCW Trust AgentはSecure Code Warriorとの長期的なパートナーシップを深化させ、卓越したサイバーセキュリティへの取り組みを表明します。

開発チームがセキュリティコーディングスキルの向上にワクワクする理由。
‍セキュリティトレーニングは開発者のワークフローにおけるもう一つの障害のように感じられるかもしれませんが、このブリーフィングでは開発者にとってのメリットに焦点を当てています。

‍

開発者の生産性とコードの安全性を向上させる

Secure Code Warriorは、Gartner® Cool Vendors™レポート「ソフトウェアエンジニアリング分野における優れたベンダー：開発者の生産性向上」で選出された4社のうちの1社です。

ガートナーによれば、ソフトウェアエンジニアは複雑なコード環境を管理し、生産性を維持しながら構築するシステムのセキュリティを向上させることに苦労している。本調査では、セキュリティおよびエンジニアリングのリーダーは、組織が開発者の生産性を向上させ、セキュリティリスクを低減するのを支援できる優れたベンダーが提供する革新的なソリューションを検討すべきである。

今すぐ完全なレポートをご覧ください。

‍

Arun Batchu、Marty Resnick、Manjunath Bhat 著『Gartner ソフトウェアエンジニアリング分野における優れたベンダー：開発者の生産性向上』レポート（2022年5月16日）を参照。

_{*GARTNER は、米国および国際的に Gartner, Inc. および/またはその関連会社が所有する登録商標およびサービスマークであり、本資料では許諾を得て使用しています。著作権所有。GARTNER COOL VENDOR バッジは、Gartner, Inc. および/またはその関連会社が所有する商標およびサービスマークであり、本資料では許諾を得て使用しています。著作権所有。Gartnerは、調査出版物に記載されているいかなるベンダー、製品、サービスも推奨するものではなく、技術ユーザーに対し、最高評価またはその他の称号を持つベンダーのみを選択するよう勧めるものではありません。Gartner調査出版物は、Gartner調査・コンサルティング組織の見解で構成されており、事実の表明として解釈されるべきではありません。Gartnerは、本調査について、商品性または特定目的適合性を含む、明示または黙示のいかなる保証も行いません。}

‍

2021年、我々は伝説的なOWASPトップ10に新たな時代を切り開いた。最新版はいくつかの重大な変化を明らかにし、インジェクション脆弱性がついにトップの座から引きずり下ろされ、代わりにアクセス制御の欠陥が首位に立った。 「不安全な設計」や「ソフトウェア・データ完全性の欠陥」といった新たな項目は、個別の脆弱性ではなく脆弱性カテゴリーの傾向を示しており、脅威の様相と最も一般的な過ちの潜在的な攻撃対象領域が拡大していることを証明しています。

OWASPは、私たちが日常的に使用するソフトウェアで発見される最も一般的かつ悪質なセキュリティ問題に関する第一人者であり、組織が目指すべきベンチマークが存在するとすれば、それはセキュリティ訓練を受けた開発者の支援を得てトップ10を制覇することです。多くの企業がこの認識を持っているにもかかわらず、サイバーセキュリティスキルギャップを縮小し、コードに対する狂乱的な需要に対処するためには、開発者のスキル向上を通じて人材プールを拡大し、ソフトウェアセキュリティに積極的な影響を与え始める必要があります。

本白書では、新たなOWASPトップ10を分析します。具体的には以下の通りです：

• 脆弱性の種類と個別の問題の影響
• なぜ建築安全が再び注目されるのか
• OWASPトップ10を基準とした価値、および企業が自社の開発者スキル向上優先順位リストを策定する必要性
• なぜ人間中心の脆弱性削減ソリューションが、ツールベースの防御よりも包括的なアプローチなのか。

‍