Fortifyとセキュリティトレーニングのインテグレーション

※本記事は以下の記事を翻訳・意訳したものです。
https://community.softwaregrp.com/t5/Protect-Your-Assets/Fortify-integration-helps-developers-code-securely/ba-p/1623170#.Wi9psWYUlhg

これからのソフトウェア開発ライフサイクル(SDLC)にはスピードが必要です。アプリの数とリリース回数は加速的に増加しています。DevOpsをより推進するため、SDLCにおいてセキュリティの「シフトレフト」が求められています。これまでのウォーターフォール型モデルにおいては開発終盤のテストでセキュリティ脆弱性の特定と修正が実施されてきましたが、「シフトレフト」により開発の序盤や中盤で脆弱性の特定と修正が可能になります。このようにセキュリティ対策を開発終盤から「シフトレフト」させたDevOpsモデルを「セキュアDevOps」あるいは「DevSecOps」と呼びます。しかし、これを実行するには、ただセキュリティ対策を「シフトレフト」させればいいわけではありません。セキュリティ対策をSDLCに統合し、自動化する必要があります。

セキュリティ対策の「シフトレフト」は、開発者に対し新しい脆弱性の混入を防止させる契機にもなります。統合開発環境にセキュリティツールを統合すれば、開発者はセキュアコーディングを学習しつつ、安全なコードを生成できるという一石二鳥のメリットが得ることができます。これを我々は、開発者がセキュアなコードを作成するための知識を提供する「DevOpsのスピードによる継続的なフィードバック」と呼んでいます。

Micro FocusのFortifyは「シフトレフト」のためのSDLCへの統合と自動化を実現できる業界トップクラスのアプリケーションセキュリティツールです。さらに、Fortifyにはアプリケーションの脆弱性を特定する以外にもコンピュータベースのトレーニングサービスもあり、開発者がセキュアなコードを作成できるように支援する優れた実績があります。Cox AutomotiveのCISOであるTony Spurlin氏は、Fortifyについて以下のように語っています。

「プリセールス段階のセッションから毎月のランチミーティングまで、Fortifyから我々の組織全体に渡り様々なサポートが提供され、我々が継続的に改善を行うためのフィードバックを得ています。」

最近では、Secure Code Warriorが、Fortify on Demand(FortifyのSaaS製品)に彼らのプラットフォームを統合したリアルタイムのセキュリティ脆弱性トレーニングを提供したと発表しています。

Fortifyは、Secure Code Warriorとの統合を実現した初めてのアプリケーションセキュリティソリューションです。この統合により、開発者はFortify on Demandで特定された脆弱性に対し、問題の原因、修正方法、予防方法などを教える実践的なトレーニングモジュールに直接リンクすることができます。それにより、開発者は日常的にトレーニングを受けることができます。

Fortifyのプロダクト責任者であるScott Johnson氏は、以下のように述べています。

「コミットされたコードの脆弱性を検出して修正することは、統合開発環境でコードを書くときに脆弱性を予防するより30倍もコストがかかります。FortifyとSecure Code Warriorの統合により、開発者が作成するすべてのコードセキュリティを最優先に保つために、ハンズオンテストによる短くて簡単なトレーニングアプローチが提供可能となりました。」

Secure Code Warriorは、ゲーミフィングにより、アプリケーション内の脆弱性を特定するだけでなく修正するところまで教える素晴らしいトレーニングを提供します。また、競争要素を提供することにより、開発者のゲーム的な心理にアピールし、楽しみつつ競いながらアプリケーションセキュリティを学ぶことができます。このトレーニングは、アプリケーション開発とITセキュリティの専門家たちによって設計されており、トレーニング内容はOWASPトップ10のアプリケーションセキュリティの弱点を含む業界標準に準拠しています。開発者は、慣れ親しんでいる言語フレームワークで遊ぶことで、安全なコーディングスキルを適用または改善できます。

アプリケーションセキュリティ対策には、開発者への定期的なトレーニングも非常に有効です。実際、SDLCにセキュリティ対策を組み込んでいる企業では、プロセスの一部としてセキュリティトレーニングを設けています。Fortifyは、セキュリティテスティングだけでなく、セキュリティトレーニングまでカバーする、DevSecOpsを推進するための力強い味方と言えます。

タグ:
カテゴリ: