セキュア・コード・トレーニングが金融サービスのデジタル変革をどのようにサポートするか

金融サービス機関は、目まぐるしく変化する金融業界でテクノロジーを効率的かつ効果的に活用する能力にかかっているさまざまな課題に直面しています。

組織は、競争の激しいクラウドベースのビジネス環境の中で、社内および業界全体で急速に変化している時代に事業を展開しています。たとえば、組織は継続的なデジタルトランスフォーメーションを追求する中で、次のような問題を回避するよう努めています。 組織的摩擦 そのため、支払いプロセスやその他の手続きを加速させる可能性のある人工知能などの新技術への投資が妨げられています。

もちろん、金融記録管理に関するサーベンス・オクスリー法の要件や、カード会員データの保護に関するペイメントカード業界データセキュリティ基準（PCI DSS）規則から、カリフォルニア州消費者プライバシー法（CCPA）やEUの一般データ保護規則（GDPR）に含まれる個人情報保護に至るまで、さまざまな規制要件への準拠を維持する必要性は、彼らの頭から離れることはありません。

コンプライアンス違反による罰金やその他の費用は、すぐに積み重なる可能性があります。IBM の データ漏えいのコストに関するレポート 2023 その結果、「コンプライアンス違反の度合いが高い」組織の平均コストは合計505万ドルでした。これは、実際のデータ侵害の平均コストを50万ドル以上上回っています。

また、データ漏えいについて言えば、サイバー攻撃は、サイバー攻撃の標的として2番目に多い業界である金融機関の悩みの種であり続けています。ソフォスによると、ランサムウェア攻撃だけでも劇的に増加しており、2021 年の 34% から 2022 年には 55% に、2023 年には最大 64% にまで増加しています。 金融サービスにおけるランサムウェアの現状 2023年のレポート。によると、米国の金融サービス業界におけるデータ漏えい（データ漏えいや個人データの漏洩を含む）件数は、2020年の138件から2023年には744件に増加しました。 スタティスタ。

社内の効率、コンプライアンス、セキュリティなど、これらの分野のいずれかに失敗すると、組織の評判、ひいては金融サービスの生命線である顧客ロイヤルティが脅かされます。競争力を維持し成功し続けるためには、組織はクライアント間の信頼を築く必要があります。そのためには、まず、自社のソフトウェア、システム、プロセスが効率的かつ効果的であることを保証する必要があります。その中核となるのが安全なソフトウェアコードです。

開発者は、これまで以上に速いペースでアプリケーションとサービスを作成、更新、展開しなければならないというプレッシャーにさらされています。つまり、社内の開発者自身が作成したものであれ、AI によって作成されたものであれ、オープンソースのリポジトリから収集されたものであれ、サードパーティが提供したものであれ、より多くのソフトウェアコードを開発して使用することになります。

そのコードの品質とセキュリティは、効果的な運用を確保する上で最も重要ですが、それは組織がしばしば不十分な分野の1つです。また、コード量が増えるにつれて、ソフトウェア開発ライフサイクル (SDLC) の早い段階で修正しない限り、エラー、欠陥、脆弱性の数は増加の一途をたどります。

組織は、より安全なコードを作成し、エラーを早期に修正するために、左から始める必要があります。セキュアコーディングのベストプラクティスに関するアジャイルトレーニングは、安全で信頼できるアプリケーションの基盤となり、組織のリスクを軽減するだけでなく、ビジネスの成功にもつながります。

トレンド 1: AI 開発ツール

AIによるイノベーションは安全なコードにかかっている

人工知能、特にジェネレーティブAIは、商取引、教育、日常生活において急速に普及しつつあります。ジェネレーティブAIが応用されてきた無数の用途の中で、注目すべき機能の1つがコードを書くことです。これは一般的に有益であることが証明されていますが、AI の使用と密接に関連する別の問題、つまりセキュリティも浮上します。金融機関は、新しいテクノロジーを早期に導入する企業として、生産性の向上と AI の安全で責任ある利用とのバランスを取る必要があります。

これまで、AIは、修正プロセスの自動化などよりも、主にコード開発の支援に使用されており、その影響はほとんどポジティブでした。への回答者 GitHub による調査によると、米国を拠点とする開発者の10人中9人以上がAIコーディングツールを使用していることがわかり、その利点には生産性の向上（53％）、開発者が反復作業ではなくクリエイティブな作業に集中できる自由の提供（51％）、燃え尽き症候群の防止（41％）などが含まれます。

大手銀行やその他の金融サービス組織は、他の業界の組織よりも AI を早期に採用している傾向にあります。結局のところ、金融機関は本質的にテクノロジー企業です。なぜなら、新しいテクノロジーに大規模に投資する資金があり、常に競争力を求めているからです。

AIが人間の労働者に取って代わるのではないかという懸念を表明する人もいますが、このテクノロジーは実際には人間のテクノロジーと組み合わせたときに最もよく機能します。しかし、開発者がAIの使用方法を学ぶには、必要最低限のチェックボックス型のアプローチだけでは不十分です。彼らには以下が必要です。 プレシジョン・トレーニング 実際の環境におけるセキュリティのベストプラクティスを真に把握することで、安全なコードを自分で記述できるだけでなく、コード作成AIアシスタントの作業を適切に監督できるようになります。

たとえば、での 1 つのエクササイズ SCW のトレーニング LLM モデルに、コードの機能を変更するために実際のコードスニペットの内容を変更するように促します。AI はコードブロックを生成して応答しますが、そのブロックはクロスサイトスクリプティング (XXS) の影響を受けやすくなります。このトレーニングにより、開発者はこの脆弱性を認識できるようになります。

AIと開発者は非常に生産的に協力できますが、それは開発者がAIが安全なコードを生成できるように十分なトレーニングを受けている場合に限られます。

AIのコーディングミスはすぐに広がる可能性があります

コードを書くためのトレーニングを受けると、別のモデルがユーザーにストーリーや詩を書く前に何千もの散文や詩の例を取り込むのと同じように、AIモデルはコード記述の何千もの例を取り込みます。しかし、AI モデルがエラーを含む例をもとにしていないという保証はありません。AI モデルはそのプロセスについて透明性が低いため、エラーは事後になって初めて明らかになります。そして、AI はエラーが修正されるまでエラーを繰り返します。

早い AI 研究者による研究 AI で生成されたコードには、クロスサイトスクリプティング（XSS）の脆弱性、コードインジェクション攻撃に対する感受性、およびプロンプトインジェクションに関連するものなど、AI 生成コードに特有の新しい脆弱性など、重大な欠陥が導入されていることがわかりました。AI ツールをそのまま使ってコードを書いてしまうと、不良コードがすぐに広がり、結果として、すでに存在するソフトウェアが存在する世界になってしまう可能性があります。 たくさんの脆弱性、これまで以上に安全性が低下します。

人間の開発者とAIモデルが協力してコードを開発し、安全なコーディングのベストプラクティスに従うことが不可欠です。これにより、金融機関は、人間の関与なしに壊滅的な被害をもたらす可能性のあるリスクを抑えながら、スピードと効率の向上というメリットを享受できます。

金融機関は安全な開発を先導できる

AIの急速な成長、特にChatGPTなどの大規模言語モデル（LLM）や、独自のコンテンツを作成できる他の多くのジェネレーティブAI実装を使用するAIの急速な成長には失敗がありました。AI モデルはエラーや偏った結果を生み出し、 人工知能による幻覚その結果、規制を求める声が高まっています。たとえば、ホワイトハウスは次のような声明を出しました。 行政命令 AIの開発と使用について。また、次のことも提案しました 人工知能権利章典 AI関連のリスクから一般市民を守ることを目的としています。しかし、政府のイニシアチブはすべて、人工知能を開発するテクノロジー企業との協力と協力にかかっています。企業の多くは、そうすることを約束しています。 倫理基準を守る。

金融サービス業界も強力な内部統制を実施する見込みです。組織は常に競争力を求めているかもしれませんが、自社の情報 (内部データと顧客データの両方) のセキュリティが最も重要であることを認識しています。また、米国の通貨監督局 (OCC) や欧州事業を行う欧州中央銀行 (ECB) などの規制要件を必ず満たす必要があります。

AIを早期に導入する銀行や金融機関は、AIが効率を向上させるために何ができるかを知りたい、イノベーションハブやその他のAIの能力を探求する取り組みを後援することに関心を持つようになるでしょう。しかし、組織にはセキュリティを確保するための統制も必要です。早期導入には必ず固有のリスクが伴い、AI の使用が拡大するにつれて、リスクと利益のバランスを取る必要があります。たとえば、組織は AI を使用する初期段階で強み、弱み、機会、脅威 (SWOT) 分析を行うことでメリットが得られます。

AI の効果的な使用は安全なコードから始まります

金融業界がAIを効果的に活用できるかどうかはセキュリティにかかっています。セキュリティは、AIが作成するコードが最初から安全であることを保証できるかどうかにかかっています。組織は、AI コードの記述を綿密に監督し、エラーを特定して迅速に修正する、高度な訓練を受けたエンジニアを確保する必要があります。セキュリティとコンプライアンスを確保するアジャイルベースのトレーニングやその他のサービスを提供する企業と提携することは、強固なセキュリティ体制を構築するための良い第一歩です。

リスク環境は、特にソフトウェア開発サイクルにおいて絶えず変化しています。また、金融機関は AI を早期に導入する企業として、AI の安全で責任ある利用においてリーダーとして行動しなければなりません。金融機関の中には、政府の政策に影響を与えることができるほど規模の大きい企業もあります。AI モデルと開発者が協力して安全なコードを確保するための措置を講じることで、金融機関は他の業界が従うべきベストプラクティスを確立できます。

Integrations

You can learn more from SCW’s whitepaper explaining the role AI can play in code writing and why it’s essential that developers are thoroughly trained in recognizing secure coding patterns and the vulnerabilities that result from unsecure code.

Download Whitepaper

‍トレンド 2: 規制の強化

コードは規制コンプライアンスの中心にあります

セキュア・コーディング・プラクティスを導入するうえで重要なのは、金融機関が事業を管理する規制を確実に遵守する必要があることです。金融機関には、取り扱う取引の種類によって異なるさまざまな適用規制があります。

たとえば、 ピクシーダス 4.0は、決済業界データセキュリティ基準の最新版であり、クレジットカードや決済カードのデータと取引を保護するために設計されたグローバル標準です。詐欺やその他の悪用を防止することを目的としており、カード会員データを保存、処理、送信するあらゆる組織に適用されます。この基準は法律ではありませんが、契約を通じて施行されるもので、GDPRなど他の規制に違反するデータ漏洩の防止に役立ちます。

もう一つの規制、 デジタル・オペレーショナル・レジリエンス法 （DORA）は、金融サービス部門を対象とした拘束力のあるEUリスク管理フレームワークであり、金融機関とその第三者プロバイダーの両方を対象としています。DORAは、リスク管理慣行をEUと統一するための技術基準を定め、普遍的な基準を策定しています。

ザの 世界銀行間金融通信学会はSwiftと呼ばれ、世界の金融セクター全体にわたる資金移動の基準を設定した協力的な取り組みです。Swiftのカスタマー・セキュリティ・プログラム (CSP) は、 カスタマー・セキュリティ・コントロール・フレームワーク (CSCF)。これは毎年更新されます。200 か国以上の Swift の 11,000 人以上のメンバーが CSCF を利用して独自のセキュリティ管理を計画し、コンプライアンスのレベルを証明しています。

これらの規制に共通しているのは、金融サービス業界におけるデータと取引を保護するための高い基準を設定しようとしていることです。コンプライアンスは顧客データとお金を保護するだけでなく、違反した場合の罰金や罰則、評判の低下、投資家からの信頼の喪失など、不十分なセキュリティによる影響から金融機関を保護するのにも役立ちます。

開発者は変化する規制環境に対応する必要があります

安全なコーディングは、適用される規制への期待や、米国の通貨監督局（OCC）またはヨーロッパの欧州中央銀行（ECB）の要件を満たすことを検討している組織にとって、確固たる基盤となります。Secure Code Warriorのプラットフォームや他のプロバイダーのプラットフォームを採用する基本的な動機の1つは、実用的で魅力的な環境で開発者にセキュアコーディングを教えることです。

この種のトレーニングは、複雑な規制要件に対処する場合に効果を発揮します。特に、規制要件が変化しないためです。規制は常に進化し、新しい、多くの場合より高度な要件が追加されています。要件によっては、規制がどの年でも大幅に変更されることはないかもしれませんが、組織は少なくとも2、3年ごとに大幅な変更が予想されます。

たとえば、2024 年 4 月 1 日に義務付けられた PCI DSS 4.0 は、PCI DSS 3.2.1 (2022 年にリリース) をいくつかの重要な方法で更新しています。カスタマイズされたアプローチが導入されているため、組織はチェックボックス方式よりも結果に重点を置いて、要件をより柔軟に満たすことができます。しかし、多くの更新のうちのいくつかを挙げると、認証制御、パスワードの長さ、共有アカウントに関する新しい要件も追加されています。また、組織はそれぞれの要件を満たすための役割と責任を明確に定義する必要があります。

重要なことに、バージョン4.0では、特注ソフトウェアやカスタムソフトウェアを開発する開発者が、少なくとも12か月に1回、安全な設計やコーディングのテクニックを含むソフトウェアセキュリティに関するトレーニングを受けることが義務付けられています。テストツールを使用する場合は、ツールを使用して脆弱性を検出する方法についてもトレーニングを受ける必要があります。また、ペネトレーションテスト中に特定されたすべての脆弱性は、その重大度に関係なく修正され、チームが 2 回目のペネトレーションテストを実施して修正が成功したことを確認することも規定されています。

通常、変更は徐々に行われますが、規制はイベント主導型でもあります。重大な違反が発生すると、突然の大規模な変更が引き起こされる可能性があります。たとえば、1990年代半ばにJPモルガン・チェースの8,700万の口座が侵害されたことで、規制環境は揺るがされました。規制当局は開発者/技術コミュニティへの期待を高め、銀行が取っている措置と、違反から学んだ教訓をどのように適用していたかを証明する書類の提出を求めました。

基礎となるコードの品質に関するコンプライアンス・バンク

これらの要件を満たすために使用されるコードの品質は、新しい機能のパフォーマンスに大きく影響します。また、企業が毎年必要とされる長くて詳細なPCI DSSコンプライアンスレポートを完成させる際には、コードの品質が重要になります。規制が複雑になるにつれて、セキュア・コーディングの影響はそれ相応に大きくなり、組織のソフトウェアに対するリスクの軽減と統制の強化に大きな違いをもたらします。

顧客との信頼関係を築くことが重要であるため、金融機関にとってコンプライアンスは不可欠です。セキュアコーディングは顧客体験の向上にも役立ちます。顧客ロイヤルティの構築に役立つ信頼性の高いソフトウェアとのシームレスなやり取りに大きく依存しているからです。

新しいアプリケーションやサービスの作成に使用されるコーディングは、企業全体に影響を与えます。目まぐるしく変化するビジネス環境において、効率性の向上、クラウド移行の管理、その他の機能の有効化には不可欠です。しかし、ビジネスが成功するためには、コードが絶対に安全で、コンプライアンス要件を満たしている必要があります。

Integrations

Read the no-nonsense guide to getting your development team on board with PCI DSS compliance, including how security professionals and development managers can work together to build powerful security programs.

Read Guide

トレンド 3: アジャイル学習

アジャイルトレーニングとヒューマンAIチームが安全なコードを確保

AIモデルの普及により、人工知能が人々から多くの仕事を奪うのではないかという懸念が再び高まっています。簿記やカスタマーサービスから法律事務員やコンテンツクリエーターに至るまで、一部の職業の人々は心配する必要がありますが、ソフトウェア開発者は、仕事を引き受けなくても、時間のかかる作業や反復的な作業（コードを書くなど）を仕事から解放してくれる便利なアシスタントとしてAIを歓迎する傾向があります。

実際、コードを書くことは開発者の仕事の一部にすぎません。GitLab では 2023 グローバル・ディベロッパー・セキュリティ・オプス・レポート、ほとんどの開発者は、自分の時間の約4分の1をコードの作成に費やしていると答えています。残りは、コードの改善 (17%)、テスト (11%)、会議やその他の管理タスク (同じく 17%) など、他のタスクに分けられています。

コードの改善は、AI モデルがコードを生成する際により顕著になると考えられる仕事の 1 つです。AI はコード作成の速度と効率を高めますが、そのコードが完全に信頼できるわけではありません。AI モデルによって生成されるエラー、バイアス、脆弱なコードの例は無数にあります。セキュリティスキルのある開発者は、AIが生成したコードを綿密にチェックして脆弱性を修正し、ソフトウェアが開発標準に準拠していることを確認する必要があります。

開発者には実践的でアジャイルなトレーニングが必要

開発者自身にとって、AI が生成したコードを扱うには、セキュリティのベストプラクティスに関する既存のスキルを磨き、新しいスキルを身につける必要があります。また、不適切なコーディングパターンを見つける能力も必要です。適切なトレーニングを受けた開発者は、導入前に AI モデルの失敗を発見し、AI を活用して開発を加速することの利点を高めることができます。

ただし、必要なスキルは複雑であり、標準的な固定的なトレーニング方法を採用するだけでは習得したり強化したりすることはできません。開発者は仕事に余暇があることで知られていません。コードを迅速に開発してデプロイしなければならないというプレッシャーがかつてないほど高まっています。彼らは、すでに行っている仕事に合った方法でスキルを高めることができる必要があります。

組織は開発者に完全なプログラムを提供する必要があります アジャイルベースのトレーニング これは安全なコーディングに実践的なアプローチを採用しており、ソフトウェアの脆弱性の数を大幅に減らすことが示されています。

アジャイルトレーニングは、古くてもまだ使われているCOBOLから、Google Goで書かれた高度な新しいツールまで、開発者が遭遇するプログラミング言語を含むように調整できます。開発者が好む学習方法（視覚的、聴覚、口頭による学習など）に適した形式で高度なコンテンツを提供するように設計でき、個々の開発者とその作業スケジュールに最適なペースで提供できます。

トレーニングは、従業員の特定の役割やニーズに合わせて調整することもできます。プラットフォームでは、フィードバックループを利用してコンテンツを改善し、開発者が特定の分野で苦手な点を認識することで、その分野に対応するコンテンツを自動的にターゲットにすることができます。

また、Secure Code Warriorで採用されているような学習プログラムでは、セキュリティトレーニングを長引いた無意味なクラスルーム形式のトレーニングコースで実施するのではなく、現実世界の問題のコンテキスト内で開発者を参加させるインタラクティブなマイクロバーストに分割することで、カスタマイズされた最適なトレーニングを提供します。また、マイクロラーニングは、従業員が必要とするときにいつでも完全に利用できるようになっています。

アジャイルアプローチは成果を上げる

アジャイルベースのトレーニングは、コーディングエラーを減らすのに効果的であることが証明されています。によると 研究 Secure Code Warriorによると、開発者はすでにコードの約 26% を本番稼働前に作り直しています。つまり、開発者1人あたり週あたり約13.5時間（年間約700時間）が技術的負債の整理に費やされていることになります。コードの修正に費やされる時間は生産性を低下させ、開発サイクルを遅らせます。

そして、これらのミスのすべてが発見されるわけではなく、開発者の 67% が脆弱性のあるコードを出荷したことを認めています。組織は、AI、オープンソースリポジトリ、サードパーティなど、他のソースからのコードも使用しています。これらのソースは、組織がかつてないほど大量のコードを必要としているときに生産性を向上させるのに役立ちますが、コードベースの脆弱性やエラーのリスクも高めます。

アジャイルベースのトレーニングは、この傾向を食い止めるのに役立ちます。開発者が自分自身、AI、サードパーティのいずれによって作成されたものかにかかわらず、コードの欠陥をキャッチするスキルが高まるため、第一線の防衛線が強化されます。Secure Code Warriorは調査の一環として、75,000人の開発者（ベースの約30％）のデータを調査したところ、アジャイルベースのトレーニングを使用してセキュリティを研究した開発者は、同業他社よりも脆弱性が 53% 少ないことがわかりました。これらのスキルを AI で生成されたコードのチェックに応用する開発者は、ソフトウェアが本番環境に入る前に AI パートナーのミスをより迅速に修正できます。

Secure Code Warrior のアジャイルベースのトレーニングにより、財務、人事、学生/教職員のライフサイクル管理クラウドアプリケーションを提供する Workday の開発者は、トレーニングの目的を明確に把握し、コードベースとソフトウェアライフサイクル内の問題を特定して対処する方法をすぐに学びました。

Workday の経験は、アジャイル型のハンズオントレーニングで何ができるかを明確に示しています。Secure Code Warrior と提携する前は、Workday の開発者が同社のスライドショーベースのセキュリティトレーニングに幻滅していることに気づいていました。しかし、開発者コミュニティ全体が、彼らのニーズと学習の好みの両方に合わせて調整された Secure Code Warrior トレーニングに好意的な反応を示しました。そして、その結果はそれ自体を物語っています。一例を挙げると、ダブリンのチームは毎年 4,662 件のセキュリティ問題を経験していましたが、わずか 18 か月でまったく発生しなくなりました。

ますます巧妙化する攻撃が蔓延する脅威環境において、金融サービス企業はデータとアプリケーションの安全を確保するためにできる限りのことをする必要があります。ソフトウェア開発ライフサイクル (SDLC) の最初に安全なコードを作成することは、セキュリティの重要な要素です。適切な種類のアジャイルトレーニングを受けた開発者は、会社全体のリスクを軽減しつつ、ソフトウェアのセキュリティを確保するためにできることはたくさんあります。

Integrations

Learn how Workday focused on creating secure agile learning that drove developer engagement and helped achieve their goals of improving Workday’s overall security posture.

Learn More

トレンド 4: サードパーティのアプリと API の成長

セキュリティに対する責任はサードパーティのアプリにも適用されます

今日のハイパーコネクテッドビジネス環境では、孤立した状態で事業を営む企業はありません。金融機関は他の企業と提携して特定のサービスを提供したり、日常的なコミュニケーションや取引にサードパーティのアプリを利用したり、多くの場合、外部の請負業者にソフトウェアコードを書かせたりしています。企業内の開発者も、アプリケーションの開発にオープンソースのソフトウェアリポジトリを利用し、AI で生成されたコードを利用することも増えています。

ソフトウェアの提供元にかかわらず、金融サービス会社で働く人々は、使用するすべてのアプリケーションが同じように高いレベルのセキュリティを備えていることを期待しています。どのような取引や情報交換においても、顧客のデータに対する責任はホスト企業が負うことになります。また、規制当局は、機関がコンプライアンス違反の責任を第三者に転嫁することを許可しません。

金融機関は、すべてのアプリケーションの安全性と信頼性をどのように保証しているのでしょうか。まず安全なコードから始めて、開発プロセスの最初に安全なソフトウェアコードを作成するのに必要なスキルを開発者に提供すると同時に、使用しているサードパーティのコードでは不十分な場合を見極めることから始めます。

契約社員がトレーニングを受けられるようにする

企業は、開発者に安全なコードについて教えるためのアジャイルで実践的なトレーニングプログラムを実装することで恩恵を受けるでしょう。この種のトレーニングの結果は明らかです。セキュアコーディングのトレーニングを受けた開発者は、トレーニングを受けていない開発者に比べて、脆弱性が 53% 少ないコードを作成できます。また、第三者が生成したコードのコーディングミスを発見することも多くなるでしょう。

企業の開発者が安全なコードを書くためのトレーニングを受けていても、サードパーティのコードに潜む潜在的な欠陥に対処する必要があります。開発者チームの多くは、正社員 (FTE) と契約社員の両方で構成されています。特に、一次、二次、三次拠点など、全国または世界中に遠く離れた場所に拠点を置く大規模な機関ではそうです。

数十年前、企業が新しいアプリケーションの需要に遅れずについていけるように、ソフトウェア開発を外部委託することが業界で強く求められていました。この傾向は後戻りするまで5、10年続きました。しかし、金融機関の一部の場所では、FTEと契約社員を組み合わせたチームが未だに残っています。非常に多くのアプリケーションが継続的に開発されているため、そのうちのいくつかはアウトソーシングされるでしょう。

ただし、コードがFTEによって開発されたかサードパーティによって開発されたかにかかわらず、顧客と規制当局の期待は変わりません。企業が使用するソフトウェアコードはすべて同じ基準を満たしている必要があります。つまり、すべての開発者が同じレベルの能力を持っているということです。

契約社員にトレーニングを義務付けることについては、企業側が契約上の制限を設けている場合がありますが、少なくともトレーニングを提供することは重要です。金融会社の中には、Capital Oneが立ち上げたなど、独自の研修プログラムを作成しているところもあります。 テック・カレッジ 2016年に。シンクロニー銀行やノースアメリカンバンカードなど、他の多くの銀行や金融会社もアジャイルの考え方を採用しています。 継続的学習 彼らが持っている才能のレベルを上げるためです。

企業が「ライセンス・トゥ・コード」アプローチを採用し、開発者に特定のシステムへのアクセスを許可する前に特定の認定を受けることもあり得ます。

ITスキル不足が続く中、企業は供給不足の市場で人材を奪い合うよりも、現在の従業員のスキルアップを試みています。トレーニングを提供することは、自身のキャリアをさらに伸ばすことができる従業員と、会社が必要とするスキルを従業員に習得させる会社の両方に利益をもたらします。研修プログラムは、従業員体験を向上させることで定着率を高めることもできます。

現在の環境では継続的な学習が重要です。サイバーセキュリティ環境は絶えず進化し、より高度化しています。また、規制当局の要件も年々変化し、コンプライアンスを維持するうえでの複雑さも増しています。これらの要件を満たさないと、罰金、その他の費用、評判の低下を招き、会社に重大な影響を及ぼす可能性があります。

重要なのは、開発者を関与させることです

企業は、年に一度のトレーニングセッションによる負担の大きいチェックボックス形式のコンプライアンス研修から、開発者や他の従業員のセキュリティに対するエンゲージメントのレベルを高めることを目的とした通年研修へと移行しつつあります。重要なのは、従業員が必要なときに必要なトレーニングを、それぞれの作業環境に適した形式で提供するアジャイルプラットフォームを持つことです。

たとえば、英国を拠点とするソフトウェアソリューション企業 セージSecure Code Warriorのプラットフォームを採用した同社は、その時点で開発者が使用しているテクノロジーを対象としたトレーニングを四半期ごとに実施しています。

SageのセキュリティスペシャリストであるMads Howardは最近、トレーニングは可能な限りパーソナライズされており、開発者の好みに合わせて調整されていると述べています。 ウェブセミナー SCW を使います。Sageはフィードバックループによる双方向のコミュニケーションも奨励しています。このトレーニングは、チェックボックスの遵守よりもエンゲージメントに重点を置いており、定期的にトーナメントを開催したり、セキュリティ問題に対する従業員のエンゲージメントを高めることを目的とした他の企業イニシアチブとトレーニングプログラムを組み合わせる取り組みを行っています。

その結果の1つは、Sageがソフトウェアの問題の修正にかかる平均時間を過去1年間で82％短縮したことです、とHoward氏は言います。また、同社では従業員のエンゲージメントも高まっています。

ハワード氏によると、コーディングはセキュリティ文化の構築の一部であり、最終的な目標は顧客との信頼を築くことです。セキュリティ文化は人々の態度、認識、信念を中心に展開し、経営幹部を含む会社全体の人々も関与しています。簡単に利用できるマイクロバーストで的を絞ったトレーニングを提供する、柔軟で安全なコードのトレーニングプログラムは、その文化に欠かせないものになり得ます。

Integrations

Discover how Sage implemented best practices in building a secure code learning program, learn the do's and don'ts of a secure code learning program, and see the business and financial impacts including productivity gained and time saved.

Discover

‍トレンド 5: チーム/ベンダー全体の ROI 重視の強化

安全なコーディングが投資収益率に直接役立つ仕組み

金融サービス業界は、銀行や財務管理からクレジットカードやデジタル決済サービスまで、幅広い分野をカバーしています。多くの場合、保険もその範疇に入ります。各セクターの企業が直面するコンプライアンス要件は、扱う取引や国内企業か多国籍企業かによって、重複することが多いものの、それぞれ異なります。

しかし、企業が活動する分野に関係なく、経済的配慮は事業戦略に影響を及ぼします。株式市場は好調に推移していますが、株式市場は必ずしも将来の成功を示すものではありません。一方、金融セクターは、景気後退やその他の重大な課題が生じる可能性について、いくらか不安を感じています。

その結果、多くの組織は、効率性の向上を求め、新たな経費に対して優れた投資収益率（ROI）を得ることの重要性を強調し、厳しい姿勢をとっています。ROI を高める方法の 1 つは、安全なコードラーニングに投資することです。エンジニアリングとセキュリティが出会うソフトウェア開発ライフサイクル (SDLC) では、プロセスの最初に安全なコードを作成し、できるだけ早く欠陥を修正することで、ビジネスに明確で定量化可能な利益をもたらすことができます。

安全でないソフトウェアによる高コスト

データはあらゆる金融サービス機関の中核であり、そのデータを安全でない非効率的なソフトウェアで処理するコストは急速に高くなる可能性があります。セキュア・コード・ウォリアーズ 研究 ソフトウェア品質の問題により、2022年に米国企業は合計2.41兆ドルの損失を被ったことがわかりました。そして、そのコストは開発者にまで及んでおり、開発者は技術的負債の維持と是正に費やす時間が増えています。開発者は現在、約3分の1の時間を技術的負債の維持に費やしていますが、2025年までに 40% に達すると予測されています。

安全なコーディング手法に関するアジャイルベースのトレーニングは、これらのマイナスの数値を大幅に下げる可能性があります。Secure Code Warriorでトレーニングを受けた開発者は、トレーニングを受けていない開発者に比べて、導入する脆弱性が 53% 少なく、修復にかかる時間も半分に短縮されることがわかっています。ある大手グローバル銀行では、SCW トレーニングによって脆弱性が 50% 減少し、SQL インジェクションの欠陥やクロスサイトスクリプティング (XSS) が事実上排除されました。

アジャイル・セキュア・コード・トレーニングのメリットは、組織が左にシフトすればするほど大きくなります。たとえば、技術的負債のコストは、テスト中に対処すれば半分に削減されますが、コーディング段階で対処すれば14倍削減されます。

その好例:Envestnetが開発者とどのように関わったか

セキュアコーディングの影響により、ROIが目に見えて向上する可能性があります。で 一例大手金融テクノロジー企業であるEnvestnetは、主にオープンワールドワイドアプリケーションセキュリティプロジェクト（OWASP）のトップ10ウェブアプリケーションリスクに焦点を当てた、受動的な「デス・バイ・パワーポイント」のセキュリティとコンプライアンスのトレーニングを超えたいと考えていました。

Envestnetは、SDLCの早い段階で安全なコードを書き、あらゆる問題に対処することに重点を置いたシフトレフト戦略を採用しましたが、まずは、開発者が会社の既存のセキュリティトレーニングに参加していないことに対処する必要がありました。SCW では、現実世界のシナリオに関するトレーニングを含む 4 段階の実地プログラムを実施し、達成レベルごとに開発者に認定証を授与しました。これは、アプリケーションのセキュリティを向上させるだけでなく、開発者のキャリアアップを支援するためです。

最初の 2 つのレベルではセキュリティ意識が重視され、レベル 3 と 4 ではセキュリティチャンピオンが認定されました。トレーニングプログラムにはトーナメントも含まれていたため、開発者のエンゲージメントも高まりました。約 6 か月間隔で実施された最初の 2 つのトーナメントでは、参加者が倍増しました。

結果:SCW トレーニングを受けた開発者は、同業他社の 2.7 倍の脆弱性を修正し、修正率を 120% 向上させました。SCW の教育を受けた開発者も、トレーニングの恩恵を受けなかった同業者の開発者1人あたりの解決率が 1.82 であるのに対し、開発者 1 人あたり 4.5 件の割合で脆弱性問題を解決しました。

左から始めると収益が向上します

アジャイル・セキュア・コーディング・プログラムは、提供する金融サービスの種類、システムの規模、個々の要件に応じて、企業ごとにカスタマイズできます。

企業は、たとえば、ペイメントカード業界データセキュリティ基準（PCI DSS）、OWASPアプリケーションセキュリティ検証基準（ASVS）、またはその他の要件のいずれであっても、コンプライアンスを維持する必要があります。また、常に安全なコードを書いていることを確認する必要があります。しかし、単にチェックボックスにチェックを入れるだけのトレーニングプログラム以上のものが必要であり、安全なコーディング方法を教えたり、高度なトレーニングを受けたセキュリティ意識の高い開発者を雇うことで得られる効率性の向上を実現したりするには不十分です。

SDLCの早い段階で安全なコードを導入し、製品ライフサイクルを通じてそれを維持するという戦略をサポートするハンズオントレーニングは、リスクを軽減し、市場投入までの時間を短縮し、必然的にROIを向上させます。システム、プロセス、さらにはサイバー攻撃までもがますます高度化するにつれて、安全なコーディングが切実に必要とされています。コーディングには、セキュリティだけでなく、あらゆる組織の収益に決定的な違いをもたらす力があります。

Integrations

Explore how Envestnet adopted an agile secure code learning platform and tripled developer effectiveness in vulnerability reduction.

Explore

結論

安全なコーディングは、信頼を築きながらセキュリティと生産性を高めます

金融サービス機関は、人々のお金や非常に機密性の高い個人情報など、非常に貴重な商品を扱っていますが、ある意味では、組織が持つことができる最も貴重なものは信頼です。忠実な顧客を引き付け、維持するためには不可欠です。また、非常に多くの金融取引がデジタルで処理されるため、ソフトウェアの信頼性とセキュリティは安全なソフトウェアコードにかかっています。

複雑なハイブリッドクラウド環境では、金融機関は左にシフトし、ソフトウェア開発ライフサイクル（SDLC）の最初にセキュリティを導入する必要があります。つまり、安全なコードを書き、AI が生成したコードやサードパーティーのコードの脆弱性を特定できるように開発者を訓練する必要があるということです。

これは多くの企業にとって文化的な変化であり、開発者は増え続ける需要に応えるために、1分間に1マイルも働き、新しいアプリケーションやサービスを開発することに慣れています。重要なのは、社内にセキュリティ文化を醸成し、アジャイルで実践的なセキュア・コード・トレーニングを開発者に提供することです。このアプローチの利点は明らかです。

双方にメリットのある文化的変化の促進

セキュア・コード・ウォリアーの研究 は、SCW で安全なコーディング手法を学んだ開発者は、トレーニングを受けていない開発者に比べて、脆弱性が生じる脆弱性が 53% 少なくなり、時間と費用を大幅に節約できることがわかりました。

開発者は現在、ソフトウェアコードのリワークに費やす時間の約3分の1を占めており、そのうち 67% が脆弱性があるとわかっているコードをリリースしたことを認めています。SCW のお客様は、アジャイル学習の結果として、リスクの軽減と開発者の生産性の両方が 2 ～ 3 倍向上したと回答しています。

また、組織がSDLCのスタートシフトを左にすればするほど、節約額は大きくなります。テスト中に対処すればコストは半分に削減できますが、コーディング段階で対処すれば14倍に削減できます。

アジャイルトレーニングプラットフォームは、企業と開発者の両方に利益をもたらします。開発者は新しいスキルを身につけることでキャリアをさらに伸ばすことができます。熟練した開発者は、効果的なトレーニングとよりやりがいのある実務経験を提供する会社に留まる傾向が高いため、会社にもメリットがあります。

ちなみに、開発者の 92% がもっとトレーニングを受けたいと答えています。しかし、それには適切な種類のトレーニングが必要です。従来の (またはスライドショー形式の) コンプライアンストレーニングでは、目を引き、要件を満たすことを嫌がって受け入れられがちですが、SCW のようなアジャイルプラットフォームは開発者を引き付けることが示されています。トレーニングは、開発者が取り組んでいる内容や使用しているプログラミング言語に合わせて調整できます。また、開発者が直面している現在の現実世界の問題に対処する、受講しやすく的を絞ったマイクロバースト形式のトレーニングを提供することで、トレーニングの価値とエンゲージメントのレベルが高まります。

セキュア・コード・トレーニングは、金融サービス機関のサイバーセキュリティ、業績、ひいては収益性を向上させることで、セキュリティ第一の組織への文化転換の要となる可能性があります。