セキュア・コード・ウォリアーの報告書によれば、開発者が責任を問われる中、アプリケーションのセキュリティーが事後対応から防止へとシフトしていることが判明
ボストン & シドニー & ロンドン & ベルギー・ブルージュ & 米オレゴン州ポートランド--(BUSINESS WIRE)--(ビジネスワイヤ) -- 世界的なセキュア・コーディング企業のセキュア・コード・ウォリアーによる新しい調査は、ソフトウエア開発業界における態度のシフトを明らかにしており、組織は従来のプラクティスに抗い、DevOps(デブオプス)やセキュアDevOpsを求めています。
専門的開発者やその管理者らを対象とする今回の世界的調査によれば、10組織のうち7組織(70%)がセキュア・コーディング・プラクティスの重要性を認識しており、この結果は業界全体が事後対応から防止へとシフトしている最中であることを示しています。
セキュア・コード・ウォリアーの最高技術責任者(CTO)で共同設立者のMatias Madou博士は、次のように語っています。「私たちは世界規模で考え方が根本的にシフトしている状況を目にしており、業界は不正侵害の後で展開される事後対応としての応急措置的ソリューションから、まさに最初のキー打ちのときから本質的に脆弱性と無縁の高品質ソフトウエアを書くという、人間が主導して先を見越したプラクティスへと、ゆっくりと移行しています。」
「今回の調査はソフトウエア開発において『セキュアなコード』が『高品質のコード』と同義になっており、またセキュリティーが単にAppSec(アプリケーションセキュリティー)専門家のみならず開発チームや経営陣の責任になっていることを示しています。」
セキュア・コーディングを「事後対応」と連想
回答者がセキュアなコーディングのプラクティスとして連想した上位2件は、導入されたアプリケーション上でのツールの使用や手作業によるコード見直しで脆弱性に対応するような事後対応のプラクティスでした。しかし、先を見越した考え方へとシフトしていることは世界的に明確であり、調査対象となった開発者の半数以上(55%)はセキュア・コーディングを、脆弱性対策がなされたソフトウエアを書くという、積極的で継続的なプラクティスであることも認識しています。
管理者と開発者に足並みのずれ
調査対象となった管理者の半数以上(55%)はセキュア・コーディングが開発プロセス全体でプラクティスとして取り入れられ、統合されていると答えていますが、そう答えた開発者は43%にすぎません。逆に、管理者の3分の1未満(32%)とは対照的に、開発者の36%は開発中にセキュア・コーディングを考慮するが設計段階では考慮していません。
セキュアなコードはますます成功の指標となっている
調査対象者はソフトウエア開発における最も一般的な成功指標を「アプリケーションのパフォーマンス」や「機能と特性」であると見てとっていますが(それぞれ67%と62%)、回答者の5人中4人近く(79%)は「セキュアなコード」の重要性が目立って増していると答えています。
アプリケーションセキュリティーはシフトしている
回答者のほぼ半分(46%)は、AppSecチームではなく開発リーダーや開発チームがアプリケーションセキュリティーに責任を負うべきであると答えていますが、AppSecチームが負うべきと答えたのは24%でした。調査対象の開発者10人中8人以上(81%)は、生成コードの脆弱性すべてについて責任を負っていると答えています。
開発者のスキル向上の動機付け
セキュア・コーディングを学ぶための有力な本質的動機は、「生産性と効率の向上」、「興味」、「セキュアではないコードによる問題の回避」であるとされました(それぞれ20%、14%、11%)。個人的な動機としてキャリア向上を挙げた回答者は10%のみでしたが、管理者の5人中4人(81%)はセキュア・コーディングのスキルを持つ人材を雇用する可能性が高くなっています。
さらに研修が必要
回答者の圧倒的多数(97%)は十分な研修を受けたと考えているにもかかわらず、調査対象となった管理者の91%は自分たちの組織内でセキュア・コーディング・プラクティスを実践する際に平均以上の困難に直面していると答えています。これはおそらく、調査対象となった開発者の10人中9人近く(88%)がセキュアなコーディングは難しいと答えていることによるものと思われます。
Madouは、次のように付け加えています。「OWASPが発表した上位10件のソフトウエア脆弱性は過去20年間で他のどのような脆弱性よりもセキュリティーに関する多くの不正を招いていることから、今こそ企業は開発者のスキルを磨き、セキュアではないコードを根絶するとともに問題の発生を最初の段階で防止するために必要な知識やスキルの取得を図るべきです。」
「コードは日々の情報交換の中核を担っています。セキュア・コード・ウォリアーは、セキュリティースキルがあり、ネットワークで接続された私たちの世界のために素晴らしい安全確保ソフトウエアを創出できる開発者を応援することに傾注しています。」
本報告書「事後対応から防止へのシフト:変化するアプリケーションセキュリティーの様相(2021年版)」への早期アクセスをご利用になりたい方は、scw.buzz/earlyaccessにご登録ください。
調査の手法
セキュア・コード・ウォリアーは、IT業界における市場インテリジェンスのリーダー企業であるエバンズ・データ・コーポレーションに対し、ソフトウエア開発に積極的に関与している開発者や意思決定者を対象とする世界的調査を委託しました。2020年8月に北米、インド、英国、欧州、オーストラリア、ニュージーランド、東南アジアで400人から回答を得ました。
セキュア・コード・ウォリアーについて
セキュア・コード・ウォリアーは、セキュア・コーディングの強力なスキルを向上させるために開発者が選択するソリューションを提供しています。開発者にとってセキュア・コーディングを肯定的で魅力的なものにし、自分のソフトウエアセキュリティーのスキルを向上させることで、当社の人主導型手法はあらゆるコーディング技術者の中からセキュアな開発者を発掘し、開発チームが高品質のコードをより迅速に出荷できるよう支援します。
当社の使命は、セキュリティー意識の高い開発者から成る国際コミュニティーを鼓舞し、予防的なセキュア・コーディング手法を取り入れてもらうようにすることで、セキュリティースキルの向上において人物第一のソリューションで先駆者となり、貧弱なコーディングパターンを永遠に根絶することにあります。詳細については、securecodewarrior.comをご覧ください。
本記者発表文の公式バージョンはオリジナル言語版です。翻訳言語版は、読者の便宜を図る目的で提供されたものであり、法的効力を持ちません。翻訳言語版を資料としてご利用になる際には、法的効力を有する唯一のバージョンであるオリジナル言語版と照らし合わせて頂くようお願い致します。
Contacts
For media enquiries, to access the full report or arrange an interview:
Carly Ryan, Hotwire
E: securecodewarrior@hotwireglobal.com
