オーストラリアの銀行が、アプリケーションセキュリティに対する「防衛の第一線としての開発者」のアプローチで先頭に立っている

オーストラリアの新興企業Secure Code Warriorの共同創設者であり、セキュアソフトウェアのトップエバンジェリストであり、Pieter Danhieuxによると、オーストラリアの銀行は、ソフトウェア開発者の間で強力なセキュリティマインドセットを育むために世界をリードしています。

Danhieux氏によると、オーストラリアの上位6行のうち5行は、Secure Code Warriorのオンラインで、自分のペースで進められるゲーミフィケーション型の学習環境を通じて、開発者とチームの強みと弱みを検証するためにリアルタイムの指標やレポートを見直し、開発者とチームの長所と短所を確認して、安全なコーディングスキルを身に付けるよう開発者を積極的に関与させているという。最初の契約は 2016 年 8 月に大手銀行の 1 行との AUDM で、その後さらに 4 行と契約が結ばれました。

「従来の銀行は、市場投入までの時間を短縮し、質を高め、柔軟性を高めるよう非伝統的な競合他社から強い圧力を受けています。そのため、セキュリティを犠牲にして機能や機能を迅速に開発することに重点を置いた、よりアジャイルな開発フレームワークを採用するようになりました」と Danhieux 氏は言います。

「現在、データ漏えいによる平均コストは600万米ドルで、企業が影響を受ける確率は4社に1社にも上ります。世界の主要なセキュリティ侵害のほとんどはコーディングエラーによるものです。これにより、ハッカーはコンピューターネットワーク上でより多くの権限を取得し、重要なデータを収集できるようになります」と彼は付け加えました。

Danhieux氏は、カタール国立銀行、VTech、Mossack-Fonseca（パナマ文書）、TalkTalkなど、ハッカーが不十分なソフトウェアセキュリティ慣行を利用した近年の侵害を挙げました。

長年の倫理的ハッカーであり、SANS Instituteの主任講師であり、AISAの2016年サイバー・セキュリティ・プロフェッショナル・オブ・ザ・イヤーでもあるDanhieuxは、最初からセキュリティを統合するアジャイル開発方法論と、多くのテクノロジー企業や増え続ける金融サービス機関で採用されているプラクティスを強く支持しています。

「アジャイル開発への移行は、企業や顧客にとってスピードの面で大きなメリットをもたらしますが、セキュリティの脆弱性を防ぐという点で新たな大きな課題が生じています。現在、すべての開発者は、スピードを維持しながら修正に費用がかかるセキュリティバグを減らすために、セキュリティをDNAに組み込む必要があります。」

Secure Code Warriorは、Danhieuxと彼のビジネスパートナーであるJohn Fitzgerald、その他3人のオーストラリア人サイバーセキュリティ専門家が、ソフトウェア開発者がセキュリティを仕事の中心的な責任として受け入れるのを支援したいと決心したときに、2015年にシドニーとロンドンで設立されました。

「現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル（SDLC）の右から左への移動に重点を置いています。これは、記述されたコード内の脆弱性を検出し、それに対応して修正するという検出と対応をサポートするアプローチです。私たちはSDLCの左端に焦点を当て、開発者を組織の最前線の防衛線とし、そもそも脆弱性の発生を防ぐ手助けをしています」とDanhieux氏は言います。

急成長中のこの新興企業は、現在、シドニー、ロンドン、ベルギー、ボストンにオフィスを構え、9か国に主要な金融サービス、通信、テクノロジーの顧客を抱えています。同社には現在 10,000 人のアクティブユーザーがおり、過去 6 か月で顧客数は 2 倍に増え、収益は 3 倍になりました。

オーストラリアサイバーセキュリティ成長ネットワーク（AustCyber）のCEOであるCraig Daviesは、この種の実践的なエビデンスに基づくトレーニングは、アプリケーションを開発する組織の基本的な活動になると予測しています。

「最初から安全にコーディングを行う企業は、リスクを大幅に軽減できるだけでなく、製品イノベーションに伴う莫大なコストや遅延を排除できます」とDavies氏は言います。

Danhieuxはオーストラリアの銀行に感銘を受けており、リスクが現実のものであることを認識し、リスクを迅速に減らしてきたと彼は言います。「世界中の新規顧客がSecure Code Warriorをオンボーディングするペースを見ると、世界中の金融サービス機関が、あらゆるコード行にセキュリティエクセレンスを組み込むことの重要性を認識していること、そしてSecure Code Warriorが課題に迅速かつ持続的に対処するための簡単なソリューションであることが明らかになっています。」

‍