DACHにおけるDevSecOps: セキュア・コーディング・パイロット・プログラムから得られた主な調査結果
サイバーセキュリティのベストプラクティスは、10年以上にわたって注目されてきた問題であり、世界中のほとんどの地域で政府レベルで頻繁に議論されています。サイバー攻撃は本質的に日常茶飯事であり、貴重な個人データをオンラインで保存しているあらゆる団体が潜在的な標的となります。ドイツだけでも、連邦教育研究省は次のように推定しています。 全中小企業の 96% がすでにITセキュリティインシデントを経験している。同報告書は、サイバーセキュリティに関する研究、法制化、啓発の緊急の必要性を強調するとともに、コンピュータ・サイエンスやIT関連分野におけるより強固なセキュリティ・トレーニングを含めることを強く求めています。
の出現とともに GDPR、ドイツ連邦政府のサーバーだけでなく、多くの著名人の機密データを公開した多段階攻撃を受けて、戦略が改訂されただけでなく、サイバーセキュリティの認識と行動がDACH地域の指導者にとって最優先事項であることは明らかです。2018年後半のハッキングは、比較的スキルの低い20歳の学生によって実行されました。彼の主なアクセスポイントは、パスワードを推測するだけで非常に機密性の高い情報にアクセスできるようになったからです。これは極めて懸念される認証の悪用でしたが、政府、企業、社会レベルでのセキュリティ意識をはるかに高める必要性が浮き彫りになりました。2019 年のレポートでは次のことが強調されています。 ドイツはサイバーセキュリティ防衛構想の面で遅れをとっていた、主な戦術は法律に頼っています。しかし、DevSecOps が理想的な開発方法論として登場したことで、多くの企業が、実践的なトレーニング、セキュリティを考慮した設計によるソフトウェア作成、全社的なセキュリティ意識向上プログラムの必要性を認識するようになりました。
DACH のソフトウェア・セキュリティ・ハートビート
のような組織 オワスプ そして マイター 最も頻繁に発生する脆弱性のデータ検証済みランキングを公開します。SQL インジェクションはすべての言語で第 1 位にランクされており、数十年前から存在しているにもかかわらず、よくある欠陥であり、しばしば悪用され、悲惨な結果を招きます。
スイスのBPCバンキングソフトウェア、スマートビスタ、 SQLi の脆弱性について警告されました しかし、SwissCertによると、クレジットカード番号などの機密性の高い顧客データが公開される可能性があるにもかかわらず、数か月間パッチが適用されないままでした。SQL インジェクションは、次のような危険な侵害につながる可能性があり、実際に引き起こすこともあります。 2017年、複数の政府機関や大学への違反事件 米国と英国で。これらのインシデントの多くは、攻撃者がアプリケーションのフロントエンドから悪意のあるコードを挿入できるようになる、緩い入力検証プロセスが原因です。もう 1 つの一般的な脆弱性の原因は、セキュリティバグのチェックが行われていない安全でないベンダーのコードを使用することです。これにより、以前にスキャンされクリアされた本番環境に欠陥が持ち込まれてしまいます。これらのアクセスポイントはいずれも DACH 地域特有のものではなく、むしろ、セキュリティ対策が不十分な例であり、コードが世界中で生産されても継続できない。
問題が発見されたらすぐにパッチを適用することが不可欠であり、SmartVistaが後れを取るという決定は大惨事だったかもしれません。DACH にも侵害はあったものの、より焦点を絞ったガイドラインとセキュリティ意識向上とトレーニングのサポートにより、組織レベルでの潜在的な問題が手に負えなくなることを防ぐことができます。そのためには、開発者向けの評価付きトレーニングを推進するうえで、はるかに具体的な法律が必要になります。
すべてのセキュアコードトレーニングが同じように作られているわけではありません。
世界中の多くのサイバーセキュリティ指令はより包括的になりつつありますが、効果的なセキュリティトレーニングの概要に関しては、まだ具体的ではありません。は NIS 指令 EUでは、国家レベルでの「意識向上、訓練、教育」の要件が含まれていますが、研修ソリューションを急いで導入しても、開発者のスキルアップと組織変革を推進する重要な要素が不足している場合、目に見えるリスク軽減という望ましい結果が得られない可能性があります。
教育ソリューションはさまざまであり、トレーニングは開発者の本業に特化したもの(希望する言語やフレームワークで学習する能力を含む)だけでなく、長期にわたって魅力的で測定可能なものでなければなりません。
コンピューターベースのビデオトレーニングなどの静的トレーニングソリューションは、あまりにも一般的すぎることが多く、記述中のコードに脆弱性が侵入するのを防ぐための認識とスキルを高めることに成功しているかどうかについて、再検討されたり評価されたりすることはめったにありません。 ダイナミック・トレーニングただし、ビジネス緩和プロセスに影響する指標を提供するだけでなく、状況に応じた例を用いて開発者のスキルを向上させるためにも不可欠です。この指標は頻繁に更新され、高いレベルの知識の定着を促し、職場の積極的なセキュリティ文化に貢献するセキュリティ意識の高い開発者の育成の一環でもあります。
DACHパイロットからの安全なコードウォリアーデータポイント:
Secure Code Warriorのセールスディレクター(サイバーセキュリティの修士課程)であるEma Rimeikeは、DACH地域の組織と緊密に連携し、開発者向けのパイロットプログラムを実施して、開発者の社内のセキュアコーディング能力、セキュリティのベストプラクティスへの関与、およびビジネス全体のセキュリティ文化を評価してきました。ゲーム化された動的で安全なコードトレーニングを活用した彼女の主な発見は、SDLCの開始から脆弱性削減を成功させる知識とツールを開発者に提供することによる明るい未来を明らかにしています。
パイロットプログラムでは、以下に基づいて統計情報を照合しました。 セキュア・コード・ウォリアー(SCW)プラットフォームでのユーザー 1 人あたりの平均使用時間:90 分、彼らが演奏したのは セキュア・コーディングに関する15の課題 (一口サイズの、ゲーミフィケーション型の自分のペースで進められるレッスン):
ユーザーが1つのチャレンジを完了するのに費やした平均時間は5.5分でしたが、他のグローバルSCWパイロットの平均時間は3分でした。
- 正確性と信頼性:DACHパイロットの課題への回答に対する自信の割合は平均88〜92%でしたが、これらの回答の正確性は53〜66%でした。
- 調査対象者の75%以上が、コンピューターベースのトレーニング(CBT)のような静的なアプローチとは対照的に、ゲーム化(動的)なトレーニング方法を好んでいます。
- 最もよく見られる脆弱性の中には、 インジェクションの欠陥、 セキュリティの設定ミス、 クロスサイトスクリプティング (XSS), プラットフォームの不適切な使用、 アクセスコントロール、 [認証]、 メモリ破損、 クロスサイトリクエストフォージェリ、 トランスポート層保護が不十分 そして 未検証のリダイレクトと転送
一般に、DACH地域の多くの人々が、強い労働倫理と精度へのこだわりを高く評価していることは周知の事実であり、パイロットプログラムを試みる開発者も例外ではありません。これらのデータポイントは、この種のトレーニングに慣れていないだけでなく、プレイを続け、スコアを向上させ、利用可能な「ヒント」機能の使用を避けたいという願望を物語っています。彼らが学び、向上したいという願望は明らかですが、効果的なトレーニングと意識向上を組織内で実施するためにはさらに努力が必要であることも示しています。
リスクを軽減し、脆弱性を阻止する優れたトレーニングは、1 回限りのトレーニングではなく、単なるコンプライアンスではありません。マネージャーとアプリケーションセキュリティ担当者は、中核となるセキュリティ目標を反映し、その目標を長期的に維持することを目指す戦略とサポートを備えたセキュリティ意識向上プログラムを展開するよう努力する必要があります。これは事実上、セキュリティ意識の高い開発者が参加するDevSecOpsプロセスを成功させるためのバックボーンです。
パイロットプログラムは組織に何を明らかにしますか?
Secure Code Warriorのパイロットプログラムは、企業が現在のセキュリティ状態(通常は65〜75%)のスナップショットを入手できるだけでなく、すぐに改善できる分野を提供する上で非常に貴重なツールです。その結果、以下のことが明らかになりました。
- どの脆弱性を優先事項として対処すべきか、またその指示を特定のチーム、事業部門、またはプログラミング言語に適用すべきかどうかを明確にする
- ソフトウェア開発のヒューマンファクターを含む、SDLC内のサイバーセキュリティリスク要因に関する正確で幅広い範囲の情報。
- SCWプラットフォームを活用することで、組織はペンテストの潜在的な結果を予測し、それらのリスクを事前に軽減する機会を得て、特定のプロジェクトに割り当てられる前にチームを準備することができます。
包括的で効果的なセキュリティプログラムの展開を開始した組織では、開発者がセキュアコーディングの知識を磨くのに役立つように、通常、週に1〜1.5時間の専門能力開発が管理レベルで承認されます。しかし、組織が「プラットフォームに費やす時間」から、「どのソフトウェア開発チームがビジネスにもたらすリスクが最も高く、最も低いか」へと移行しつつあることに気付きました。これは、正式な認定/制定、セキュリティチャンピオンの発見、最良の結果を得るためのメンタリングプログラムと密接に関連しています。セキュリティを好むだけでなく、ビジネスへのリスクをある程度軽減できる、セキュリティ意識の高い開発者を育成するには、時間を配分し、建設的かつ肯定的な評価を行うことが絶対的に重要です。
組織はすでにセキュアコードウォリアーをどのように使用していますか?
認知度を高め、開発者のスキルを高め、ポジティブなセキュリティ文化を築くために、すでにいくつかの企業がSecure Code Warriorを使用しています。
たとえば、あるユースケースでは、プラットフォームに関するトレーニングを受けたチームが SCW を使用してセキュリティの長所と短所を明らかにしました。
開発者アクション: 開発者は自分なりの結果を見ることができ、注力すべき分野や自分で取り組むべき分野を示し、将来のソフトウェア構築に役立つ特定の脆弱性や知識のギャップを軽減するためのトレーニングのペースを上げることができました。
管理アクション: チームレベルで全体的な強みと弱みを分析し、特定の懸念事項に対処するゲーミフィケーションアプローチを提案することができました。これにより、関連する知識を迅速に身に付けるための双方向の教育経路が生まれました。
結果: チームレベルでペンテストを実施すると、脆弱性が明らかになり、以前の結果を比較することで、一般的なセキュリティバグを減らすのにトレーニングが効果的であったかどうかを簡単に検証できました。
これはソフトウェア開発の初期段階に戻り、継続的な改善というチームの目標を事前にトレーニングし、最初にセキュリティのベストプラクティスを導入することが、効果的で展開しやすく、開発範囲全体で時間を節約できます。
DevSecOps プロジェクトチーム
理想的なDevSecOps環境では、複数のビジネスユニットがプロジェクトチームに所属し、主要な成果を決定して実現します。その1つがセキュリティのベストプラクティスです。
プロジェクト前の調査と計画という点では、SCWプラットフォームは、作業を開始する前に、提案された開発チームのセキュリティスキルを評価し、最終的なペンテストの結果やSDLCのセキュリティ関連の遅延を予測し、十分な準備をするのに十分な時間があればSDLCのセキュリティ関連の遅延を予測できます。プロジェクトのコードと構造に特化したトレーニングを作成し、チームが取り組むことができます。これには、全体的なセキュリティ意識向上のスキルを検証する評価/認定プロセスなどが含まれます。プロジェクトの成果物から解放される前に、事前に合格点を取得する必要があります。
これにより、脆弱性の修正コストの削減、セキュリティリスクの軽減、ペンテストにかかる時間の節約、高額な報奨金プログラムのコスト削減、および一元管理された、持続可能でスケーラブルで統一された方法での開発コホートのスキルアップといった点で、計り知れないビジネス価値をもたらすアプローチが得られます。
結論:
セキュリティを優先し、データを安全に保ち、世界的にますます厳しくなる規制を遵守するよう企業に求める圧力が高まっていますが、特に厳しいGDPRガイドラインに基づいてEUで取引している組織にとってはなおさらです。
DACH地域の企業にとって、トレーニングの取り組みと成果を、作成するコードの一般的な脆弱性の削減など、リスクの防止に関連する実際の活動に結び付けることで、実行可能なセキュリティ経路を作っていることは明らかです。
セキュリティ予算、認知度、および全体的なコンプライアンスを高めるための真に定量化可能なビジネスケースを構築するには、開発者にとって魅力的で、一貫性があり、適応可能で、測定可能なトレーニングが必要です。適切なトレーニングを調整するための現在の能力段階の追跡、セキュリティチャンピオンの発見、長期にわたるチームパフォーマンスの測定はすべて重要な取り組みであり、DACH全体で先見の明のある企業の多くは、包括的なSCWパイロットを経てそのメリットを実感しています。
多くの企業は、あまりにも一般的なセキュリティパフォーマンス指標に悩まされています。SCW プラットフォームを長期的かつ一貫して使用することで、企業は精度の高い評価、コース、管理指標を活用して次のことを発見できます。
- 長期にわたる脆弱性の減少
- 脆弱性の修正にかかる経費の長期的削減
- 長期にわたる個人およびチームのスキル開発
- ペンテスト段階でのコストと時間の削減
あなたの組織では現在どのような指標を追跡していますか?また、どれくらいの頻度で再測定されていますか?また、時間の経過とともに著しい改善が見られましたか?トレーニングの取り組みは、既存の開発者ワークフローとどの程度統合されていますか?
SCWのダイナミックでゲーム化された包括的なアプローチは、セキュアソフトウェア開発ライフサイクルワークフローの重要な部分と見なされています。企業は開発者に適切なツールとトレーニングを提供するだけでなく、SSDLC ワークフローの一部として SCW を組み込んでいます。
GDPRの到来と、ドイツ連邦政府のサーバーだけでなく、多くの著名人の機密データが漏洩した後の戦略の改訂により、サイバーセキュリティの認識と行動がDACH地域のリーダーにとって最優先事項であることは明らかです。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
サイバーセキュリティのベストプラクティスは、10年以上にわたって注目されてきた問題であり、世界中のほとんどの地域で政府レベルで頻繁に議論されています。サイバー攻撃は本質的に日常茶飯事であり、貴重な個人データをオンラインで保存しているあらゆる団体が潜在的な標的となります。ドイツだけでも、連邦教育研究省は次のように推定しています。 全中小企業の 96% がすでにITセキュリティインシデントを経験している。同報告書は、サイバーセキュリティに関する研究、法制化、啓発の緊急の必要性を強調するとともに、コンピュータ・サイエンスやIT関連分野におけるより強固なセキュリティ・トレーニングを含めることを強く求めています。
の出現とともに GDPR、ドイツ連邦政府のサーバーだけでなく、多くの著名人の機密データを公開した多段階攻撃を受けて、戦略が改訂されただけでなく、サイバーセキュリティの認識と行動がDACH地域の指導者にとって最優先事項であることは明らかです。2018年後半のハッキングは、比較的スキルの低い20歳の学生によって実行されました。彼の主なアクセスポイントは、パスワードを推測するだけで非常に機密性の高い情報にアクセスできるようになったからです。これは極めて懸念される認証の悪用でしたが、政府、企業、社会レベルでのセキュリティ意識をはるかに高める必要性が浮き彫りになりました。2019 年のレポートでは次のことが強調されています。 ドイツはサイバーセキュリティ防衛構想の面で遅れをとっていた、主な戦術は法律に頼っています。しかし、DevSecOps が理想的な開発方法論として登場したことで、多くの企業が、実践的なトレーニング、セキュリティを考慮した設計によるソフトウェア作成、全社的なセキュリティ意識向上プログラムの必要性を認識するようになりました。
DACH のソフトウェア・セキュリティ・ハートビート
のような組織 オワスプ そして マイター 最も頻繁に発生する脆弱性のデータ検証済みランキングを公開します。SQL インジェクションはすべての言語で第 1 位にランクされており、数十年前から存在しているにもかかわらず、よくある欠陥であり、しばしば悪用され、悲惨な結果を招きます。
スイスのBPCバンキングソフトウェア、スマートビスタ、 SQLi の脆弱性について警告されました しかし、SwissCertによると、クレジットカード番号などの機密性の高い顧客データが公開される可能性があるにもかかわらず、数か月間パッチが適用されないままでした。SQL インジェクションは、次のような危険な侵害につながる可能性があり、実際に引き起こすこともあります。 2017年、複数の政府機関や大学への違反事件 米国と英国で。これらのインシデントの多くは、攻撃者がアプリケーションのフロントエンドから悪意のあるコードを挿入できるようになる、緩い入力検証プロセスが原因です。もう 1 つの一般的な脆弱性の原因は、セキュリティバグのチェックが行われていない安全でないベンダーのコードを使用することです。これにより、以前にスキャンされクリアされた本番環境に欠陥が持ち込まれてしまいます。これらのアクセスポイントはいずれも DACH 地域特有のものではなく、むしろ、セキュリティ対策が不十分な例であり、コードが世界中で生産されても継続できない。
問題が発見されたらすぐにパッチを適用することが不可欠であり、SmartVistaが後れを取るという決定は大惨事だったかもしれません。DACH にも侵害はあったものの、より焦点を絞ったガイドラインとセキュリティ意識向上とトレーニングのサポートにより、組織レベルでの潜在的な問題が手に負えなくなることを防ぐことができます。そのためには、開発者向けの評価付きトレーニングを推進するうえで、はるかに具体的な法律が必要になります。
すべてのセキュアコードトレーニングが同じように作られているわけではありません。
世界中の多くのサイバーセキュリティ指令はより包括的になりつつありますが、効果的なセキュリティトレーニングの概要に関しては、まだ具体的ではありません。は NIS 指令 EUでは、国家レベルでの「意識向上、訓練、教育」の要件が含まれていますが、研修ソリューションを急いで導入しても、開発者のスキルアップと組織変革を推進する重要な要素が不足している場合、目に見えるリスク軽減という望ましい結果が得られない可能性があります。
教育ソリューションはさまざまであり、トレーニングは開発者の本業に特化したもの(希望する言語やフレームワークで学習する能力を含む)だけでなく、長期にわたって魅力的で測定可能なものでなければなりません。
コンピューターベースのビデオトレーニングなどの静的トレーニングソリューションは、あまりにも一般的すぎることが多く、記述中のコードに脆弱性が侵入するのを防ぐための認識とスキルを高めることに成功しているかどうかについて、再検討されたり評価されたりすることはめったにありません。 ダイナミック・トレーニングただし、ビジネス緩和プロセスに影響する指標を提供するだけでなく、状況に応じた例を用いて開発者のスキルを向上させるためにも不可欠です。この指標は頻繁に更新され、高いレベルの知識の定着を促し、職場の積極的なセキュリティ文化に貢献するセキュリティ意識の高い開発者の育成の一環でもあります。
DACHパイロットからの安全なコードウォリアーデータポイント:
Secure Code Warriorのセールスディレクター(サイバーセキュリティの修士課程)であるEma Rimeikeは、DACH地域の組織と緊密に連携し、開発者向けのパイロットプログラムを実施して、開発者の社内のセキュアコーディング能力、セキュリティのベストプラクティスへの関与、およびビジネス全体のセキュリティ文化を評価してきました。ゲーム化された動的で安全なコードトレーニングを活用した彼女の主な発見は、SDLCの開始から脆弱性削減を成功させる知識とツールを開発者に提供することによる明るい未来を明らかにしています。
パイロットプログラムでは、以下に基づいて統計情報を照合しました。 セキュア・コード・ウォリアー(SCW)プラットフォームでのユーザー 1 人あたりの平均使用時間:90 分、彼らが演奏したのは セキュア・コーディングに関する15の課題 (一口サイズの、ゲーミフィケーション型の自分のペースで進められるレッスン):
ユーザーが1つのチャレンジを完了するのに費やした平均時間は5.5分でしたが、他のグローバルSCWパイロットの平均時間は3分でした。
- 正確性と信頼性:DACHパイロットの課題への回答に対する自信の割合は平均88〜92%でしたが、これらの回答の正確性は53〜66%でした。
- 調査対象者の75%以上が、コンピューターベースのトレーニング(CBT)のような静的なアプローチとは対照的に、ゲーム化(動的)なトレーニング方法を好んでいます。
- 最もよく見られる脆弱性の中には、 インジェクションの欠陥、 セキュリティの設定ミス、 クロスサイトスクリプティング (XSS), プラットフォームの不適切な使用、 アクセスコントロール、 [認証]、 メモリ破損、 クロスサイトリクエストフォージェリ、 トランスポート層保護が不十分 そして 未検証のリダイレクトと転送
一般に、DACH地域の多くの人々が、強い労働倫理と精度へのこだわりを高く評価していることは周知の事実であり、パイロットプログラムを試みる開発者も例外ではありません。これらのデータポイントは、この種のトレーニングに慣れていないだけでなく、プレイを続け、スコアを向上させ、利用可能な「ヒント」機能の使用を避けたいという願望を物語っています。彼らが学び、向上したいという願望は明らかですが、効果的なトレーニングと意識向上を組織内で実施するためにはさらに努力が必要であることも示しています。
リスクを軽減し、脆弱性を阻止する優れたトレーニングは、1 回限りのトレーニングではなく、単なるコンプライアンスではありません。マネージャーとアプリケーションセキュリティ担当者は、中核となるセキュリティ目標を反映し、その目標を長期的に維持することを目指す戦略とサポートを備えたセキュリティ意識向上プログラムを展開するよう努力する必要があります。これは事実上、セキュリティ意識の高い開発者が参加するDevSecOpsプロセスを成功させるためのバックボーンです。
パイロットプログラムは組織に何を明らかにしますか?
Secure Code Warriorのパイロットプログラムは、企業が現在のセキュリティ状態(通常は65〜75%)のスナップショットを入手できるだけでなく、すぐに改善できる分野を提供する上で非常に貴重なツールです。その結果、以下のことが明らかになりました。
- どの脆弱性を優先事項として対処すべきか、またその指示を特定のチーム、事業部門、またはプログラミング言語に適用すべきかどうかを明確にする
- ソフトウェア開発のヒューマンファクターを含む、SDLC内のサイバーセキュリティリスク要因に関する正確で幅広い範囲の情報。
- SCWプラットフォームを活用することで、組織はペンテストの潜在的な結果を予測し、それらのリスクを事前に軽減する機会を得て、特定のプロジェクトに割り当てられる前にチームを準備することができます。
包括的で効果的なセキュリティプログラムの展開を開始した組織では、開発者がセキュアコーディングの知識を磨くのに役立つように、通常、週に1〜1.5時間の専門能力開発が管理レベルで承認されます。しかし、組織が「プラットフォームに費やす時間」から、「どのソフトウェア開発チームがビジネスにもたらすリスクが最も高く、最も低いか」へと移行しつつあることに気付きました。これは、正式な認定/制定、セキュリティチャンピオンの発見、最良の結果を得るためのメンタリングプログラムと密接に関連しています。セキュリティを好むだけでなく、ビジネスへのリスクをある程度軽減できる、セキュリティ意識の高い開発者を育成するには、時間を配分し、建設的かつ肯定的な評価を行うことが絶対的に重要です。
組織はすでにセキュアコードウォリアーをどのように使用していますか?
認知度を高め、開発者のスキルを高め、ポジティブなセキュリティ文化を築くために、すでにいくつかの企業がSecure Code Warriorを使用しています。
たとえば、あるユースケースでは、プラットフォームに関するトレーニングを受けたチームが SCW を使用してセキュリティの長所と短所を明らかにしました。
開発者アクション: 開発者は自分なりの結果を見ることができ、注力すべき分野や自分で取り組むべき分野を示し、将来のソフトウェア構築に役立つ特定の脆弱性や知識のギャップを軽減するためのトレーニングのペースを上げることができました。
管理アクション: チームレベルで全体的な強みと弱みを分析し、特定の懸念事項に対処するゲーミフィケーションアプローチを提案することができました。これにより、関連する知識を迅速に身に付けるための双方向の教育経路が生まれました。
結果: チームレベルでペンテストを実施すると、脆弱性が明らかになり、以前の結果を比較することで、一般的なセキュリティバグを減らすのにトレーニングが効果的であったかどうかを簡単に検証できました。
これはソフトウェア開発の初期段階に戻り、継続的な改善というチームの目標を事前にトレーニングし、最初にセキュリティのベストプラクティスを導入することが、効果的で展開しやすく、開発範囲全体で時間を節約できます。
DevSecOps プロジェクトチーム
理想的なDevSecOps環境では、複数のビジネスユニットがプロジェクトチームに所属し、主要な成果を決定して実現します。その1つがセキュリティのベストプラクティスです。
プロジェクト前の調査と計画という点では、SCWプラットフォームは、作業を開始する前に、提案された開発チームのセキュリティスキルを評価し、最終的なペンテストの結果やSDLCのセキュリティ関連の遅延を予測し、十分な準備をするのに十分な時間があればSDLCのセキュリティ関連の遅延を予測できます。プロジェクトのコードと構造に特化したトレーニングを作成し、チームが取り組むことができます。これには、全体的なセキュリティ意識向上のスキルを検証する評価/認定プロセスなどが含まれます。プロジェクトの成果物から解放される前に、事前に合格点を取得する必要があります。
これにより、脆弱性の修正コストの削減、セキュリティリスクの軽減、ペンテストにかかる時間の節約、高額な報奨金プログラムのコスト削減、および一元管理された、持続可能でスケーラブルで統一された方法での開発コホートのスキルアップといった点で、計り知れないビジネス価値をもたらすアプローチが得られます。
結論:
セキュリティを優先し、データを安全に保ち、世界的にますます厳しくなる規制を遵守するよう企業に求める圧力が高まっていますが、特に厳しいGDPRガイドラインに基づいてEUで取引している組織にとってはなおさらです。
DACH地域の企業にとって、トレーニングの取り組みと成果を、作成するコードの一般的な脆弱性の削減など、リスクの防止に関連する実際の活動に結び付けることで、実行可能なセキュリティ経路を作っていることは明らかです。
セキュリティ予算、認知度、および全体的なコンプライアンスを高めるための真に定量化可能なビジネスケースを構築するには、開発者にとって魅力的で、一貫性があり、適応可能で、測定可能なトレーニングが必要です。適切なトレーニングを調整するための現在の能力段階の追跡、セキュリティチャンピオンの発見、長期にわたるチームパフォーマンスの測定はすべて重要な取り組みであり、DACH全体で先見の明のある企業の多くは、包括的なSCWパイロットを経てそのメリットを実感しています。
多くの企業は、あまりにも一般的なセキュリティパフォーマンス指標に悩まされています。SCW プラットフォームを長期的かつ一貫して使用することで、企業は精度の高い評価、コース、管理指標を活用して次のことを発見できます。
- 長期にわたる脆弱性の減少
- 脆弱性の修正にかかる経費の長期的削減
- 長期にわたる個人およびチームのスキル開発
- ペンテスト段階でのコストと時間の削減
あなたの組織では現在どのような指標を追跡していますか?また、どれくらいの頻度で再測定されていますか?また、時間の経過とともに著しい改善が見られましたか?トレーニングの取り組みは、既存の開発者ワークフローとどの程度統合されていますか?
SCWのダイナミックでゲーム化された包括的なアプローチは、セキュアソフトウェア開発ライフサイクルワークフローの重要な部分と見なされています。企業は開発者に適切なツールとトレーニングを提供するだけでなく、SSDLC ワークフローの一部として SCW を組み込んでいます。
サイバーセキュリティのベストプラクティスは、10年以上にわたって注目されてきた問題であり、世界中のほとんどの地域で政府レベルで頻繁に議論されています。サイバー攻撃は本質的に日常茶飯事であり、貴重な個人データをオンラインで保存しているあらゆる団体が潜在的な標的となります。ドイツだけでも、連邦教育研究省は次のように推定しています。 全中小企業の 96% がすでにITセキュリティインシデントを経験している。同報告書は、サイバーセキュリティに関する研究、法制化、啓発の緊急の必要性を強調するとともに、コンピュータ・サイエンスやIT関連分野におけるより強固なセキュリティ・トレーニングを含めることを強く求めています。
の出現とともに GDPR、ドイツ連邦政府のサーバーだけでなく、多くの著名人の機密データを公開した多段階攻撃を受けて、戦略が改訂されただけでなく、サイバーセキュリティの認識と行動がDACH地域の指導者にとって最優先事項であることは明らかです。2018年後半のハッキングは、比較的スキルの低い20歳の学生によって実行されました。彼の主なアクセスポイントは、パスワードを推測するだけで非常に機密性の高い情報にアクセスできるようになったからです。これは極めて懸念される認証の悪用でしたが、政府、企業、社会レベルでのセキュリティ意識をはるかに高める必要性が浮き彫りになりました。2019 年のレポートでは次のことが強調されています。 ドイツはサイバーセキュリティ防衛構想の面で遅れをとっていた、主な戦術は法律に頼っています。しかし、DevSecOps が理想的な開発方法論として登場したことで、多くの企業が、実践的なトレーニング、セキュリティを考慮した設計によるソフトウェア作成、全社的なセキュリティ意識向上プログラムの必要性を認識するようになりました。
DACH のソフトウェア・セキュリティ・ハートビート
のような組織 オワスプ そして マイター 最も頻繁に発生する脆弱性のデータ検証済みランキングを公開します。SQL インジェクションはすべての言語で第 1 位にランクされており、数十年前から存在しているにもかかわらず、よくある欠陥であり、しばしば悪用され、悲惨な結果を招きます。
スイスのBPCバンキングソフトウェア、スマートビスタ、 SQLi の脆弱性について警告されました しかし、SwissCertによると、クレジットカード番号などの機密性の高い顧客データが公開される可能性があるにもかかわらず、数か月間パッチが適用されないままでした。SQL インジェクションは、次のような危険な侵害につながる可能性があり、実際に引き起こすこともあります。 2017年、複数の政府機関や大学への違反事件 米国と英国で。これらのインシデントの多くは、攻撃者がアプリケーションのフロントエンドから悪意のあるコードを挿入できるようになる、緩い入力検証プロセスが原因です。もう 1 つの一般的な脆弱性の原因は、セキュリティバグのチェックが行われていない安全でないベンダーのコードを使用することです。これにより、以前にスキャンされクリアされた本番環境に欠陥が持ち込まれてしまいます。これらのアクセスポイントはいずれも DACH 地域特有のものではなく、むしろ、セキュリティ対策が不十分な例であり、コードが世界中で生産されても継続できない。
問題が発見されたらすぐにパッチを適用することが不可欠であり、SmartVistaが後れを取るという決定は大惨事だったかもしれません。DACH にも侵害はあったものの、より焦点を絞ったガイドラインとセキュリティ意識向上とトレーニングのサポートにより、組織レベルでの潜在的な問題が手に負えなくなることを防ぐことができます。そのためには、開発者向けの評価付きトレーニングを推進するうえで、はるかに具体的な法律が必要になります。
すべてのセキュアコードトレーニングが同じように作られているわけではありません。
世界中の多くのサイバーセキュリティ指令はより包括的になりつつありますが、効果的なセキュリティトレーニングの概要に関しては、まだ具体的ではありません。は NIS 指令 EUでは、国家レベルでの「意識向上、訓練、教育」の要件が含まれていますが、研修ソリューションを急いで導入しても、開発者のスキルアップと組織変革を推進する重要な要素が不足している場合、目に見えるリスク軽減という望ましい結果が得られない可能性があります。
教育ソリューションはさまざまであり、トレーニングは開発者の本業に特化したもの(希望する言語やフレームワークで学習する能力を含む)だけでなく、長期にわたって魅力的で測定可能なものでなければなりません。
コンピューターベースのビデオトレーニングなどの静的トレーニングソリューションは、あまりにも一般的すぎることが多く、記述中のコードに脆弱性が侵入するのを防ぐための認識とスキルを高めることに成功しているかどうかについて、再検討されたり評価されたりすることはめったにありません。 ダイナミック・トレーニングただし、ビジネス緩和プロセスに影響する指標を提供するだけでなく、状況に応じた例を用いて開発者のスキルを向上させるためにも不可欠です。この指標は頻繁に更新され、高いレベルの知識の定着を促し、職場の積極的なセキュリティ文化に貢献するセキュリティ意識の高い開発者の育成の一環でもあります。
DACHパイロットからの安全なコードウォリアーデータポイント:
Secure Code Warriorのセールスディレクター(サイバーセキュリティの修士課程)であるEma Rimeikeは、DACH地域の組織と緊密に連携し、開発者向けのパイロットプログラムを実施して、開発者の社内のセキュアコーディング能力、セキュリティのベストプラクティスへの関与、およびビジネス全体のセキュリティ文化を評価してきました。ゲーム化された動的で安全なコードトレーニングを活用した彼女の主な発見は、SDLCの開始から脆弱性削減を成功させる知識とツールを開発者に提供することによる明るい未来を明らかにしています。
パイロットプログラムでは、以下に基づいて統計情報を照合しました。 セキュア・コード・ウォリアー(SCW)プラットフォームでのユーザー 1 人あたりの平均使用時間:90 分、彼らが演奏したのは セキュア・コーディングに関する15の課題 (一口サイズの、ゲーミフィケーション型の自分のペースで進められるレッスン):
ユーザーが1つのチャレンジを完了するのに費やした平均時間は5.5分でしたが、他のグローバルSCWパイロットの平均時間は3分でした。
- 正確性と信頼性:DACHパイロットの課題への回答に対する自信の割合は平均88〜92%でしたが、これらの回答の正確性は53〜66%でした。
- 調査対象者の75%以上が、コンピューターベースのトレーニング(CBT)のような静的なアプローチとは対照的に、ゲーム化(動的)なトレーニング方法を好んでいます。
- 最もよく見られる脆弱性の中には、 インジェクションの欠陥、 セキュリティの設定ミス、 クロスサイトスクリプティング (XSS), プラットフォームの不適切な使用、 アクセスコントロール、 [認証]、 メモリ破損、 クロスサイトリクエストフォージェリ、 トランスポート層保護が不十分 そして 未検証のリダイレクトと転送
一般に、DACH地域の多くの人々が、強い労働倫理と精度へのこだわりを高く評価していることは周知の事実であり、パイロットプログラムを試みる開発者も例外ではありません。これらのデータポイントは、この種のトレーニングに慣れていないだけでなく、プレイを続け、スコアを向上させ、利用可能な「ヒント」機能の使用を避けたいという願望を物語っています。彼らが学び、向上したいという願望は明らかですが、効果的なトレーニングと意識向上を組織内で実施するためにはさらに努力が必要であることも示しています。
リスクを軽減し、脆弱性を阻止する優れたトレーニングは、1 回限りのトレーニングではなく、単なるコンプライアンスではありません。マネージャーとアプリケーションセキュリティ担当者は、中核となるセキュリティ目標を反映し、その目標を長期的に維持することを目指す戦略とサポートを備えたセキュリティ意識向上プログラムを展開するよう努力する必要があります。これは事実上、セキュリティ意識の高い開発者が参加するDevSecOpsプロセスを成功させるためのバックボーンです。
パイロットプログラムは組織に何を明らかにしますか?
Secure Code Warriorのパイロットプログラムは、企業が現在のセキュリティ状態(通常は65〜75%)のスナップショットを入手できるだけでなく、すぐに改善できる分野を提供する上で非常に貴重なツールです。その結果、以下のことが明らかになりました。
- どの脆弱性を優先事項として対処すべきか、またその指示を特定のチーム、事業部門、またはプログラミング言語に適用すべきかどうかを明確にする
- ソフトウェア開発のヒューマンファクターを含む、SDLC内のサイバーセキュリティリスク要因に関する正確で幅広い範囲の情報。
- SCWプラットフォームを活用することで、組織はペンテストの潜在的な結果を予測し、それらのリスクを事前に軽減する機会を得て、特定のプロジェクトに割り当てられる前にチームを準備することができます。
包括的で効果的なセキュリティプログラムの展開を開始した組織では、開発者がセキュアコーディングの知識を磨くのに役立つように、通常、週に1〜1.5時間の専門能力開発が管理レベルで承認されます。しかし、組織が「プラットフォームに費やす時間」から、「どのソフトウェア開発チームがビジネスにもたらすリスクが最も高く、最も低いか」へと移行しつつあることに気付きました。これは、正式な認定/制定、セキュリティチャンピオンの発見、最良の結果を得るためのメンタリングプログラムと密接に関連しています。セキュリティを好むだけでなく、ビジネスへのリスクをある程度軽減できる、セキュリティ意識の高い開発者を育成するには、時間を配分し、建設的かつ肯定的な評価を行うことが絶対的に重要です。
組織はすでにセキュアコードウォリアーをどのように使用していますか?
認知度を高め、開発者のスキルを高め、ポジティブなセキュリティ文化を築くために、すでにいくつかの企業がSecure Code Warriorを使用しています。
たとえば、あるユースケースでは、プラットフォームに関するトレーニングを受けたチームが SCW を使用してセキュリティの長所と短所を明らかにしました。
開発者アクション: 開発者は自分なりの結果を見ることができ、注力すべき分野や自分で取り組むべき分野を示し、将来のソフトウェア構築に役立つ特定の脆弱性や知識のギャップを軽減するためのトレーニングのペースを上げることができました。
管理アクション: チームレベルで全体的な強みと弱みを分析し、特定の懸念事項に対処するゲーミフィケーションアプローチを提案することができました。これにより、関連する知識を迅速に身に付けるための双方向の教育経路が生まれました。
結果: チームレベルでペンテストを実施すると、脆弱性が明らかになり、以前の結果を比較することで、一般的なセキュリティバグを減らすのにトレーニングが効果的であったかどうかを簡単に検証できました。
これはソフトウェア開発の初期段階に戻り、継続的な改善というチームの目標を事前にトレーニングし、最初にセキュリティのベストプラクティスを導入することが、効果的で展開しやすく、開発範囲全体で時間を節約できます。
DevSecOps プロジェクトチーム
理想的なDevSecOps環境では、複数のビジネスユニットがプロジェクトチームに所属し、主要な成果を決定して実現します。その1つがセキュリティのベストプラクティスです。
プロジェクト前の調査と計画という点では、SCWプラットフォームは、作業を開始する前に、提案された開発チームのセキュリティスキルを評価し、最終的なペンテストの結果やSDLCのセキュリティ関連の遅延を予測し、十分な準備をするのに十分な時間があればSDLCのセキュリティ関連の遅延を予測できます。プロジェクトのコードと構造に特化したトレーニングを作成し、チームが取り組むことができます。これには、全体的なセキュリティ意識向上のスキルを検証する評価/認定プロセスなどが含まれます。プロジェクトの成果物から解放される前に、事前に合格点を取得する必要があります。
これにより、脆弱性の修正コストの削減、セキュリティリスクの軽減、ペンテストにかかる時間の節約、高額な報奨金プログラムのコスト削減、および一元管理された、持続可能でスケーラブルで統一された方法での開発コホートのスキルアップといった点で、計り知れないビジネス価値をもたらすアプローチが得られます。
結論:
セキュリティを優先し、データを安全に保ち、世界的にますます厳しくなる規制を遵守するよう企業に求める圧力が高まっていますが、特に厳しいGDPRガイドラインに基づいてEUで取引している組織にとってはなおさらです。
DACH地域の企業にとって、トレーニングの取り組みと成果を、作成するコードの一般的な脆弱性の削減など、リスクの防止に関連する実際の活動に結び付けることで、実行可能なセキュリティ経路を作っていることは明らかです。
セキュリティ予算、認知度、および全体的なコンプライアンスを高めるための真に定量化可能なビジネスケースを構築するには、開発者にとって魅力的で、一貫性があり、適応可能で、測定可能なトレーニングが必要です。適切なトレーニングを調整するための現在の能力段階の追跡、セキュリティチャンピオンの発見、長期にわたるチームパフォーマンスの測定はすべて重要な取り組みであり、DACH全体で先見の明のある企業の多くは、包括的なSCWパイロットを経てそのメリットを実感しています。
多くの企業は、あまりにも一般的なセキュリティパフォーマンス指標に悩まされています。SCW プラットフォームを長期的かつ一貫して使用することで、企業は精度の高い評価、コース、管理指標を活用して次のことを発見できます。
- 長期にわたる脆弱性の減少
- 脆弱性の修正にかかる経費の長期的削減
- 長期にわたる個人およびチームのスキル開発
- ペンテスト段階でのコストと時間の削減
あなたの組織では現在どのような指標を追跡していますか?また、どれくらいの頻度で再測定されていますか?また、時間の経過とともに著しい改善が見られましたか?トレーニングの取り組みは、既存の開発者ワークフローとどの程度統合されていますか?
SCWのダイナミックでゲーム化された包括的なアプローチは、セキュアソフトウェア開発ライフサイクルワークフローの重要な部分と見なされています。企業は開発者に適切なツールとトレーニングを提供するだけでなく、SSDLC ワークフローの一部として SCW を組み込んでいます。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
サイバーセキュリティのベストプラクティスは、10年以上にわたって注目されてきた問題であり、世界中のほとんどの地域で政府レベルで頻繁に議論されています。サイバー攻撃は本質的に日常茶飯事であり、貴重な個人データをオンラインで保存しているあらゆる団体が潜在的な標的となります。ドイツだけでも、連邦教育研究省は次のように推定しています。 全中小企業の 96% がすでにITセキュリティインシデントを経験している。同報告書は、サイバーセキュリティに関する研究、法制化、啓発の緊急の必要性を強調するとともに、コンピュータ・サイエンスやIT関連分野におけるより強固なセキュリティ・トレーニングを含めることを強く求めています。
の出現とともに GDPR、ドイツ連邦政府のサーバーだけでなく、多くの著名人の機密データを公開した多段階攻撃を受けて、戦略が改訂されただけでなく、サイバーセキュリティの認識と行動がDACH地域の指導者にとって最優先事項であることは明らかです。2018年後半のハッキングは、比較的スキルの低い20歳の学生によって実行されました。彼の主なアクセスポイントは、パスワードを推測するだけで非常に機密性の高い情報にアクセスできるようになったからです。これは極めて懸念される認証の悪用でしたが、政府、企業、社会レベルでのセキュリティ意識をはるかに高める必要性が浮き彫りになりました。2019 年のレポートでは次のことが強調されています。 ドイツはサイバーセキュリティ防衛構想の面で遅れをとっていた、主な戦術は法律に頼っています。しかし、DevSecOps が理想的な開発方法論として登場したことで、多くの企業が、実践的なトレーニング、セキュリティを考慮した設計によるソフトウェア作成、全社的なセキュリティ意識向上プログラムの必要性を認識するようになりました。
DACH のソフトウェア・セキュリティ・ハートビート
のような組織 オワスプ そして マイター 最も頻繁に発生する脆弱性のデータ検証済みランキングを公開します。SQL インジェクションはすべての言語で第 1 位にランクされており、数十年前から存在しているにもかかわらず、よくある欠陥であり、しばしば悪用され、悲惨な結果を招きます。
スイスのBPCバンキングソフトウェア、スマートビスタ、 SQLi の脆弱性について警告されました しかし、SwissCertによると、クレジットカード番号などの機密性の高い顧客データが公開される可能性があるにもかかわらず、数か月間パッチが適用されないままでした。SQL インジェクションは、次のような危険な侵害につながる可能性があり、実際に引き起こすこともあります。 2017年、複数の政府機関や大学への違反事件 米国と英国で。これらのインシデントの多くは、攻撃者がアプリケーションのフロントエンドから悪意のあるコードを挿入できるようになる、緩い入力検証プロセスが原因です。もう 1 つの一般的な脆弱性の原因は、セキュリティバグのチェックが行われていない安全でないベンダーのコードを使用することです。これにより、以前にスキャンされクリアされた本番環境に欠陥が持ち込まれてしまいます。これらのアクセスポイントはいずれも DACH 地域特有のものではなく、むしろ、セキュリティ対策が不十分な例であり、コードが世界中で生産されても継続できない。
問題が発見されたらすぐにパッチを適用することが不可欠であり、SmartVistaが後れを取るという決定は大惨事だったかもしれません。DACH にも侵害はあったものの、より焦点を絞ったガイドラインとセキュリティ意識向上とトレーニングのサポートにより、組織レベルでの潜在的な問題が手に負えなくなることを防ぐことができます。そのためには、開発者向けの評価付きトレーニングを推進するうえで、はるかに具体的な法律が必要になります。
すべてのセキュアコードトレーニングが同じように作られているわけではありません。
世界中の多くのサイバーセキュリティ指令はより包括的になりつつありますが、効果的なセキュリティトレーニングの概要に関しては、まだ具体的ではありません。は NIS 指令 EUでは、国家レベルでの「意識向上、訓練、教育」の要件が含まれていますが、研修ソリューションを急いで導入しても、開発者のスキルアップと組織変革を推進する重要な要素が不足している場合、目に見えるリスク軽減という望ましい結果が得られない可能性があります。
教育ソリューションはさまざまであり、トレーニングは開発者の本業に特化したもの(希望する言語やフレームワークで学習する能力を含む)だけでなく、長期にわたって魅力的で測定可能なものでなければなりません。
コンピューターベースのビデオトレーニングなどの静的トレーニングソリューションは、あまりにも一般的すぎることが多く、記述中のコードに脆弱性が侵入するのを防ぐための認識とスキルを高めることに成功しているかどうかについて、再検討されたり評価されたりすることはめったにありません。 ダイナミック・トレーニングただし、ビジネス緩和プロセスに影響する指標を提供するだけでなく、状況に応じた例を用いて開発者のスキルを向上させるためにも不可欠です。この指標は頻繁に更新され、高いレベルの知識の定着を促し、職場の積極的なセキュリティ文化に貢献するセキュリティ意識の高い開発者の育成の一環でもあります。
DACHパイロットからの安全なコードウォリアーデータポイント:
Secure Code Warriorのセールスディレクター(サイバーセキュリティの修士課程)であるEma Rimeikeは、DACH地域の組織と緊密に連携し、開発者向けのパイロットプログラムを実施して、開発者の社内のセキュアコーディング能力、セキュリティのベストプラクティスへの関与、およびビジネス全体のセキュリティ文化を評価してきました。ゲーム化された動的で安全なコードトレーニングを活用した彼女の主な発見は、SDLCの開始から脆弱性削減を成功させる知識とツールを開発者に提供することによる明るい未来を明らかにしています。
パイロットプログラムでは、以下に基づいて統計情報を照合しました。 セキュア・コード・ウォリアー(SCW)プラットフォームでのユーザー 1 人あたりの平均使用時間:90 分、彼らが演奏したのは セキュア・コーディングに関する15の課題 (一口サイズの、ゲーミフィケーション型の自分のペースで進められるレッスン):
ユーザーが1つのチャレンジを完了するのに費やした平均時間は5.5分でしたが、他のグローバルSCWパイロットの平均時間は3分でした。
- 正確性と信頼性:DACHパイロットの課題への回答に対する自信の割合は平均88〜92%でしたが、これらの回答の正確性は53〜66%でした。
- 調査対象者の75%以上が、コンピューターベースのトレーニング(CBT)のような静的なアプローチとは対照的に、ゲーム化(動的)なトレーニング方法を好んでいます。
- 最もよく見られる脆弱性の中には、 インジェクションの欠陥、 セキュリティの設定ミス、 クロスサイトスクリプティング (XSS), プラットフォームの不適切な使用、 アクセスコントロール、 [認証]、 メモリ破損、 クロスサイトリクエストフォージェリ、 トランスポート層保護が不十分 そして 未検証のリダイレクトと転送
一般に、DACH地域の多くの人々が、強い労働倫理と精度へのこだわりを高く評価していることは周知の事実であり、パイロットプログラムを試みる開発者も例外ではありません。これらのデータポイントは、この種のトレーニングに慣れていないだけでなく、プレイを続け、スコアを向上させ、利用可能な「ヒント」機能の使用を避けたいという願望を物語っています。彼らが学び、向上したいという願望は明らかですが、効果的なトレーニングと意識向上を組織内で実施するためにはさらに努力が必要であることも示しています。
リスクを軽減し、脆弱性を阻止する優れたトレーニングは、1 回限りのトレーニングではなく、単なるコンプライアンスではありません。マネージャーとアプリケーションセキュリティ担当者は、中核となるセキュリティ目標を反映し、その目標を長期的に維持することを目指す戦略とサポートを備えたセキュリティ意識向上プログラムを展開するよう努力する必要があります。これは事実上、セキュリティ意識の高い開発者が参加するDevSecOpsプロセスを成功させるためのバックボーンです。
パイロットプログラムは組織に何を明らかにしますか?
Secure Code Warriorのパイロットプログラムは、企業が現在のセキュリティ状態(通常は65〜75%)のスナップショットを入手できるだけでなく、すぐに改善できる分野を提供する上で非常に貴重なツールです。その結果、以下のことが明らかになりました。
- どの脆弱性を優先事項として対処すべきか、またその指示を特定のチーム、事業部門、またはプログラミング言語に適用すべきかどうかを明確にする
- ソフトウェア開発のヒューマンファクターを含む、SDLC内のサイバーセキュリティリスク要因に関する正確で幅広い範囲の情報。
- SCWプラットフォームを活用することで、組織はペンテストの潜在的な結果を予測し、それらのリスクを事前に軽減する機会を得て、特定のプロジェクトに割り当てられる前にチームを準備することができます。
包括的で効果的なセキュリティプログラムの展開を開始した組織では、開発者がセキュアコーディングの知識を磨くのに役立つように、通常、週に1〜1.5時間の専門能力開発が管理レベルで承認されます。しかし、組織が「プラットフォームに費やす時間」から、「どのソフトウェア開発チームがビジネスにもたらすリスクが最も高く、最も低いか」へと移行しつつあることに気付きました。これは、正式な認定/制定、セキュリティチャンピオンの発見、最良の結果を得るためのメンタリングプログラムと密接に関連しています。セキュリティを好むだけでなく、ビジネスへのリスクをある程度軽減できる、セキュリティ意識の高い開発者を育成するには、時間を配分し、建設的かつ肯定的な評価を行うことが絶対的に重要です。
組織はすでにセキュアコードウォリアーをどのように使用していますか?
認知度を高め、開発者のスキルを高め、ポジティブなセキュリティ文化を築くために、すでにいくつかの企業がSecure Code Warriorを使用しています。
たとえば、あるユースケースでは、プラットフォームに関するトレーニングを受けたチームが SCW を使用してセキュリティの長所と短所を明らかにしました。
開発者アクション: 開発者は自分なりの結果を見ることができ、注力すべき分野や自分で取り組むべき分野を示し、将来のソフトウェア構築に役立つ特定の脆弱性や知識のギャップを軽減するためのトレーニングのペースを上げることができました。
管理アクション: チームレベルで全体的な強みと弱みを分析し、特定の懸念事項に対処するゲーミフィケーションアプローチを提案することができました。これにより、関連する知識を迅速に身に付けるための双方向の教育経路が生まれました。
結果: チームレベルでペンテストを実施すると、脆弱性が明らかになり、以前の結果を比較することで、一般的なセキュリティバグを減らすのにトレーニングが効果的であったかどうかを簡単に検証できました。
これはソフトウェア開発の初期段階に戻り、継続的な改善というチームの目標を事前にトレーニングし、最初にセキュリティのベストプラクティスを導入することが、効果的で展開しやすく、開発範囲全体で時間を節約できます。
DevSecOps プロジェクトチーム
理想的なDevSecOps環境では、複数のビジネスユニットがプロジェクトチームに所属し、主要な成果を決定して実現します。その1つがセキュリティのベストプラクティスです。
プロジェクト前の調査と計画という点では、SCWプラットフォームは、作業を開始する前に、提案された開発チームのセキュリティスキルを評価し、最終的なペンテストの結果やSDLCのセキュリティ関連の遅延を予測し、十分な準備をするのに十分な時間があればSDLCのセキュリティ関連の遅延を予測できます。プロジェクトのコードと構造に特化したトレーニングを作成し、チームが取り組むことができます。これには、全体的なセキュリティ意識向上のスキルを検証する評価/認定プロセスなどが含まれます。プロジェクトの成果物から解放される前に、事前に合格点を取得する必要があります。
これにより、脆弱性の修正コストの削減、セキュリティリスクの軽減、ペンテストにかかる時間の節約、高額な報奨金プログラムのコスト削減、および一元管理された、持続可能でスケーラブルで統一された方法での開発コホートのスキルアップといった点で、計り知れないビジネス価値をもたらすアプローチが得られます。
結論:
セキュリティを優先し、データを安全に保ち、世界的にますます厳しくなる規制を遵守するよう企業に求める圧力が高まっていますが、特に厳しいGDPRガイドラインに基づいてEUで取引している組織にとってはなおさらです。
DACH地域の企業にとって、トレーニングの取り組みと成果を、作成するコードの一般的な脆弱性の削減など、リスクの防止に関連する実際の活動に結び付けることで、実行可能なセキュリティ経路を作っていることは明らかです。
セキュリティ予算、認知度、および全体的なコンプライアンスを高めるための真に定量化可能なビジネスケースを構築するには、開発者にとって魅力的で、一貫性があり、適応可能で、測定可能なトレーニングが必要です。適切なトレーニングを調整するための現在の能力段階の追跡、セキュリティチャンピオンの発見、長期にわたるチームパフォーマンスの測定はすべて重要な取り組みであり、DACH全体で先見の明のある企業の多くは、包括的なSCWパイロットを経てそのメリットを実感しています。
多くの企業は、あまりにも一般的なセキュリティパフォーマンス指標に悩まされています。SCW プラットフォームを長期的かつ一貫して使用することで、企業は精度の高い評価、コース、管理指標を活用して次のことを発見できます。
- 長期にわたる脆弱性の減少
- 脆弱性の修正にかかる経費の長期的削減
- 長期にわたる個人およびチームのスキル開発
- ペンテスト段階でのコストと時間の削減
あなたの組織では現在どのような指標を追跡していますか?また、どれくらいの頻度で再測定されていますか?また、時間の経過とともに著しい改善が見られましたか?トレーニングの取り組みは、既存の開発者ワークフローとどの程度統合されていますか?
SCWのダイナミックでゲーム化された包括的なアプローチは、セキュアソフトウェア開発ライフサイクルワークフローの重要な部分と見なされています。企業は開発者に適切なツールとトレーニングを提供するだけでなく、SSDLC ワークフローの一部として SCW を組み込んでいます。
始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
