One-third of dev professionals unfamiliar with secure coding practices
2024/07/19 HelpNetSecurity — OpenSSF と Linux Foundation によると、ソフトウェアの脆弱性を攻撃者は常に発見/悪用しており、堅牢なソフトウェア・セキュリティの重要性が増している。そこで浮き彫りにされる問題点は、セキュアなソフトウェア開発を効果的に実施するために不可欠な、知識とスキルを欠いている開発者が多いことである。
セキュアなソフトウェア開発に関する教育の不足
このレポートに記載された調査結果によると、開発およびデプロイメントにダイレクトに携わる専門家 (システム運用/ソフトウェア開発者/コミッター/メンテナ) の三人に一人が、セキュアなソフトウェア開発のプラクティスについて、よく知らないと回答している。それが、企業のアプリケーションやシステムを実行するコードの、作成と保守の最前線に立つ OpenSSF と Linux Foundation が、特に懸念している点である。
Linux Foundation の director of open source supply chain security である David A. Wheeler は、「ソフトウェアの脆弱性が悪用された結果が大惨事につながることを、何度も目にしてきた。我々の調査では、セキュアなソフトウェア開発に関する教育が不足していることが、重要な課題であることが判明した。実務者は何から始めればよいのか分からず、その都度学んでいるのが現状である。セキュアな開発のための教育を、最前線へと押し上げる業界全体としての取り組みが、優先課題であることは明らかだ」と述べている。
今回の調査結果においては、セキュリティ意識の欠如の理由も明らかにされている。現在の大半の教育プログラムでは機能性と効率性が優先され、本質的なセキュリティ教育が疎かになりがちである。さらに、69% のプロフェッショナルが、主な学習リソースとして実地での経験に頼っているが、最低レベルのセキュリティ知識を身につけるには、少なくとも5年の経験が必要だとされる。
組織内において、セキュアなソフトウエア開発手法を導入する際にも課題が生じている。その上位2つは、時間がないの 58% と、認識とトレーニングが不足しているの 50% である。また、セキュアなソフトウェア開発に関するコースを受講していない理由のトップ 44% は、このトピックに関する優れたコースについて知識が不足していることである。
なお、知識がないと回答した、経験年数が1年未満のソフトウェア開発者の割合は 75% と最も高く、経験年数が1~2年の場合は 72% に低下する。同様に、セキュア・ソフトウェア開発の、具体的な経験が1年未満の人の 72% が、この分野に精通していないと回答したが、経験年数が1~2年の場合は 47% に低下する。
言語にとらわれないコースで教育格差を埋める
ソフトウェア開発の専門家の多くは、大学の教育コースよりも非公式な方法を依然として好んでいる。
回答者の 74% が、オンライン・チュートリアル/ビデオ/書籍などのリソースを、主な学習方法として利用していると回答している。AI (57%) やサプライチェーン (56%) といった、新たなセキュリティ上の懸念は、将来的にイノベーションと注目を集める重要な分野だと考えられている。
OpenSSF Education Special Interest Group (SIG) の共同議長であり、OpenSSF Technical Advisory Council (TAC) の議長でもある、Intel の Christopher “CRob” Robinson は、「セキュアなソフトウェア開発に取り組む第一歩は、既存の知識ギャップを認識すること、そして、追加トレーニングを作成すべき優先分野を特定することである」と述べている。
ユーザー組織いとって必要とされるのは、教育上のギャップを埋め、IT スタッフによるセキュアなソフトウェア開発に適切に対処するための、言語にとらわれない各種のコースを用意することだ。
セキュリティに関する教育とガイダンスの目的は、従業員のセキュリティ意識を高めることにある。そして、セキュリティの知識と、デザインにおけるガイダンスを活用して、セキュアなソフトウェアの設計/開発/配備を行うための、トレーニングを提供することにある。
最後になるが、ソフトウェア開発におけるセキュアな実装には、一般的な脆弱性を回避して、サイバー攻撃に対して堅牢なソースコードを記述することが含まれる。このアプローチで記述されるソフトウェアのコードには、最初からセキュ リティが組み込まれる。つまり、防御層の追加が確保されることになる。
先日に、ある識者の方と話していて、もっとセキュリティ・フレームワークを使えばよいのにという意見を伺いました。この記事には、そのことが具体的に書かれていませんが、ダウンロードしたレポートでは、ちらっと触れられていました。関連するトピックとしては、CISA が提唱する Security-by-Design もあります。よろしければ、ご参照ください。
Secure Software Development Education 2024 Survey
IoT OT Security News 
You must be logged in to post a comment.