2022年のオープニング基調講演で 悪玉 セキュリティ会議、 クリスクレブス国土安全保障省の元サイバーセキュリティ ディレクターである は、セキュリティは改善される前に悪化すると述べました。 なんで? Krebs 氏は、「安全でない製品の利点が欠点をはるかに上回るため、ソフトウェアは脆弱なままです」と述べています。 セキュリティを確保することよりも、ソフトウェア開発ライフ サイクル (SDLC) 全体に焦点を当てることが、市場への競争を打ち負かしています。 実際、イノベーションはセキュリティと対立することがよくあります。前者はペースが速く生産的であると考えられており、後者は急速に変化するアプリケーション開発を妨げる障害となっています。 この見方は、現在の脅威の状況では時代遅れであることが証明されています。
サイバー攻撃が増加する中、ソフトウェア サプライ チェーンは、セキュリティで保護されていないコードに感染することで引き起こされる巨大な混乱を認識しているサイバー犯罪者にとって人気のある標的です。 たとえば、今では悪名高い ログ4シェル オープン ソースの Log4j は、世界中のソフトウェア アプリケーションやオンライン サービスで非常に一般的に使用されており、この脆弱性を悪用するには専門知識がほとんど必要ないため、この脆弱性はこのようなリスクをもたらしました。 最近では、 25,000 の悪意のあるプラグイン WordPress サイト全体で見られる .
したがって、イノベーションとセキュリティは単一のレンズを通して見る必要があります。 一方は他方なしでは不可能です。 さらに重要なことに、セキュリティはもはや XNUMX つのサイロ化されたチームの責任ではありません。 これは、SDLC 全体の全員にとって優先事項でなければなりません。
AppSec のジレンマ
アプリケーション開発への投資が増加しているにもかかわらず、同じ重要性がセキュリティに適用されていません。 このような競争の激しい分野では、先発者が報酬を得る傾向があります。 「最初に実行可能な製品」で市場に参入する企業は、その製品が安全に使用される方法ではなく、顧客にどのように役立つかを考えている可能性があります。 これらの高い期待により、開発者に対するコードの要求が高まっています 100回 過去 10 年間で、92% がコードをより速く書くようプレッシャーを感じています。 これを次の事実と組み合わせる 視聴者の38%が 専門的な安全なコーディングのトレーニングを受けていない一方で、新しい脆弱性の数は NIST National Vulnerability Database は過去数年間で 200% 以上増加しており、アプリケーション セキュリティのジレンマに陥っているようです。
しかし、それは解決不可能なジレンマではありません。 このソリューションには、人々の考え方に特に焦点を当てて、多くの人がコーディングとイノベーションを見る方法を完全に切り替える必要があります。 セキュリティを最優先し、最終製品がより安全であれば、市場投入が遅くなっても構わないことを認識しています。 によると ベームの法則、「欠陥を見つけて修正するためのコストは時間とともに指数関数的に増大します」 — これは、最初からセキュリティを優先する組織の収益に利益をもたらす概念です。
このセキュリティ ファーストの考え方を確立することは、開発チームだけでなく、SDLC 内で役割を果たすすべての人にとって非常に重要です。 製品およびプロジェクト マネージャー、DevOps、ユーザー エクスペリエンス (UX) デザイナー、および品質保証 (QA) の専門家はすべて最終結果に影響を与えるため、アプリケーション セキュリティに関する現在のジレンマと、この課題を克服する方法を認識する必要があります。
統合教育を正しく行う
チームが理解していない場合 なぜ セキュリティ第一の考え方はアプリケーション開発において非常に重要であり、彼らは決して同意しません の それは達成することができます。 したがって、開発組織全体に対する統合的かつ継続的なアプリケーション セキュリティ教育が、これまで以上に重要になっています。 コードを作成する人にとっては、日常的に直面する問題に直接取り組む実践的な演習の前に、基本的な学習を提供することが重要です。 この開発者固有の教育は、実践的な専門知識を必ずしも必要としない SDLC の役割を持つ開発者向けの基礎的および高度なアプリケーション セキュリティ トレーニング プログラムと並行して実施する必要があります。 この種のイニシアチブは、チーム全体が異なる考え方をし、より多くの情報に基づいた意思決定を行い、開発のあらゆる側面にわたってセキュリティを統合することを可能にします。
しかし、組織は、アプリケーション セキュリティが常に進化し、変化していることを理解することが重要です。 開発サイクルのすべてのステップで主要な AppSec 原則を適用する、セキュリティ志向のチームを構築することは、「XNUMX 回で完了する」トレーニング プログラムでは達成できません。 チームがこのセキュリティ ファーストの考え方を維持できるようにするには、継続的かつ進化する教育プログラムが重要です。
多くの組織は、チーム全体のセキュリティ行動の変化をリードするセキュリティ チャンピオンを認め、称賛することで、チームを関与させています。 日々の業務でセキュリティのベスト プラクティスを一貫して適用している人々にインセンティブや報酬を提供することで、チャンピオンが他の人々と関わり合い、有機的に変化に影響を与えるように促します。 たとえば、トレーニング プログラムの前後のコードの脆弱性の数などの結果を測定し、成功を認識することで、取締役会から賛同を得て、安全なコーディング教育への投資を意思決定者に正当化することもはるかに容易になります。 .
SDLC の従業員がセキュリティを最優先事項にすれば、迅速にイノベーションを起こし、市場競争に勝ちながらセキュリティを最優先することが可能になります。 実際、脆弱性の数が増加し、サイバー攻撃が減速する兆しを見せていないため、アプリケーションを成功させるには、安全にコーディングすることが不可欠です。 SDLC 全体が継続的でオーダーメイドの測定可能な教育イニシアチブで考慮されている限り、セキュリティはそうではありません。 持ってる 良くなる前に悪くなる。
