タレスが開発者主導型セキュリティを実装した方法

バックグラウンド

タレスグループはフランスの多国籍企業で、航空宇宙、防衛、輸送、セキュリティ分野向けの電気システムのほか、デバイスや機器の設計、開発、製造を行っています。Viswanath S. Chirravuri は、タレスのソフトウェアセキュリティテクニカルディレクターです。Viswanath、または Vis は、最初はプログラマーとしてセキュリティ業界でキャリアをスタートさせました。彼は現在タレスのシニアセキュリティリーダーであり、セキュリティ業界で18年以上の経験を積み、CISSP、PMP、GSEを含む30以上の認定を取得しています。18 か国以上で 3,000 人を超えるソフトウェア専門家を教育してきました。さらに、Vis は国際的なサイバーセキュリティトーナメント (Netwars など) で 10 枚以上の SANS チャレンジコインを獲得し、GIAC 諮問委員会の積極的なメンバーでもあります。私たちはVis氏に話を聞き、タレスで安全なコード学習プログラムを成功させるためにどのように人、プロセス、テクノロジーを結びつけたかを聞きました。

状況

Visがタレスに入社したとき、彼はビジネスユニットに、ペンテストで発見された脆弱性の原因を調べるよう指導しました。これは、未処理の技術債務を減らすための可能な解決策です。アプリケーションセキュリティチームは、IAST/DASTツールからペンテストツールまで、協力していた7つの異なるベンダーを使ってセキュリティ体制を強化しました。Visは、プロセスとテクノロジーの強固な統合を通じて緩和戦略を策定するために、市場動向を理解し、脅威をスケーラブルに管理したいと考えていました。つまり、純粋にツールベースのアプローチから、強力な学習要素を備えた戦略への移行が必要でした。彼は、開発者の多くがセキュリティのバックグラウンドもセキュリティスキルも持っていないことに気付きました。彼の当初のアプローチは、OWASP Top 10のようなトピックに関するクラスルームベースのトレーニングを開発者に提供することでしたが、対面で教えるのに必要な出張や、世界中の何千人もの開発者にリーチする必要があるため、これでは規模が合わないことにすぐに気付きました。Vis氏は次のように指摘しています。

「安全保障と開発の比率には常に不均衡が生じます。セキュリティと開発者の比率が 1:1 だったとしても、開発者を常に引き付けることはできませんでした。新しい攻撃ベクトル、ベストプラクティス、新しい言語、新たに発見された脆弱性について開発者に常に最新の情報を提供し続けるには、開発者による自己学習を促進し、自分のペースで進められるようにする必要がありました。彼らが助けを必要とするなら、私は彼らを助けることはできましたが、彼らが見つけたすべての脆弱性を修正する方法を私が教えることはできないと気づきました。」

当初は、非常に多くの開発者がゼロから始めたことを認識し、開発者が安全なコード学習に費やす必要がある時間について、開発マネージャーから反発がありました。Visは、安全なコード学習への取り組みがソフトウェアのリリースサイクルを混乱させたり、ミッションクリティカルなスプリントを遅らせたりする可能性があるという認識に対処する必要がありました。彼は、安全なコードのためのアジャイル学習に時間を費やすよう組織に適切な動機を与える方法を見つける必要がありました。Visは人を第一に考える姿勢で脆弱性の根源に対処しました。 「セキュリティは開発から時間を奪っているとよく言われます。私にとって、何かを開発したのにそれが安全でないと、そもそも時間の無駄でした。常に安全なソフトウェアを開発し、簡単に回避できたはずの脆弱性を修正する手間を省くべきです。信頼できるコードを提供するという共通の目標を、私たち全員が持つべきです。」

アクション

Visは、自社のソフトウェアを保護することと、タレスの開発チームのセキュリティ意識を高めることという2つの主要な目標を念頭に置いていました。開発者が独立し、自分のペースでトレーニングできるようなプログラムを実装することが重要でした。Visの戦略は、時間をかけてセキュリティコミュニティを構築し、安全なコーディングを企業ポリシーと結びつけるよう取り組み、組織内で安全なコード学習を義務付けることでした。開発者、テスター、アーキテクト、エンジニアをつなぐコミュニティ文化を奨励することで、モチベーションの相乗効果が見られました。日々の仕事の一環としてセキュリティに情熱を傾けるセキュリティチャンピオンが台頭したことで、安全なコーディング手法に対する意識が組織全体に広がりました。Visは十数社のセキュリティトレーニングベンダーを評価し、2019年にSCWの顧客になりました。タレスにとって、断片的なソリューションではなく、環境内のすべてのプログラミング言語とフレームワークをカバーするベンダーがいることは大きなメリットでした。Visは、Secure Code Warriorの膨大な量のコンテンツを利用して、セキュリティプログラムの開発者が利用できるトレーニングと自分のペースで学習できる学習を構築し、以下にアクセスできるようにしました。

「OWASPのトップ10は、知っておくべき10のことだけではありません。OWASP がカバーする脆弱性の深さと多様性、そして膨大な数のプログラミング言語が組み合わさると、圧倒的になりかねません。これらに関して私たちが抱えている課題と対象範囲が広いことが、SCW を選んだ主な要因でした。常に新しいものが追加されています。深さ、トピックの多様性、最新のコンテンツ、安全なコード設計の原則への注力が、SCW を本当に際立たせています。これによって、1 回限りのトレーニングではなく、継続的なプログラムを構築する機会を得ることができました。」

Visと彼のチームは、エンジニアリングの役割ごとに異なるマイルストーンを設定して、セキュアコードラーニングプログラムの展開を4つのレベルに分けて構成しました。

重要なのは、SCW が脆弱性修正の信頼できる情報源になったことです。。Visは、トラブルシューティングにつながる可能性のあるGoogleの検索に頼るのではなく、AppSecチームのガイドラインとSCWのコンテンツライブラリのガイドラインの両方を公開しました。これにより、開発者はコード内の脆弱性修正の信頼できるソースを参照できます。Vis によると:

「開発者が脆弱性を修正する方法や、その過程で新たな脆弱性を導入する方法を自由に決めるべきではありません。開発者が脆弱性を正しい方法で修正する方法を学べるように、SCW の SCORM 統合を通じて SCW ビデオを LMS に統合しました。これにより、安全なソフトウェアを提供する開発者が確実に認知される方法も得られました。私たちは開発者に一定レベルの安全なコーディングを行うよう求めています。そして、開発者が解決した脆弱性を追跡でき、再導入はしません。そうすれば、彼らが行ったハードワークが社内で認められ、評価されるのです。」

結果

Visと彼のチームは、社内でトップクラスの学習者を紹介するセキュアコードニュースレターを毎月発行しています。SCW を使用して、評価スコア、トーナメントへの参加、および達成度を高めるために行った課題を調べています。これにより、他の開発者も学ぶ意欲が高まります。彼が最初に設定した KPI は、2 年間で脆弱性の総数を減らすことに重点を置いていました。SCW を実装した後、トレンドラインが減少していることに気付きました。これらの脆弱性はソースコードレベルでは再導入されていません。Visはこう言っています。

「私たちが経営陣に提示するKPIは、私たちが行った十分な情報に基づいた選択を反映しています。私たちは、お客様にビジネス上の信頼をもたらす安全なコードトレーニングを受けていることを誇りに思っています。私たちは、包括的なセキュアコードトレーニングプログラムが評価され、お客様や同業他社から尊敬されています。このようなプログラムがあると、会社に大きな価値がもたらされます。」

重要なポイント

Visは、どのようなセキュリティイニシアチブにおいても、人、プロセス、テクノロジーがすべて果たすべき役割があることを認識していました。ソフトウェアのセキュリティ、開発者の知識、コンプライアンスへの対応に重点を置くことで、時間の経過とともにソースコードの脆弱性を軽減する安全なコードプログラムのためのアジャイルラーニングをまとめることができます。Visは、開発者チームでセキュリティスキルを身に付けたいと考えている同分野の専門家にこれらの推奨事項を提示しています。