The Hacker Newsは8月1日(米国時間)、「Two Key Ways Development Teams Can Increase Their Security Maturity」において、開発チームのセキュリティ成熟度を高める2つの方法を紹介した。400を超える企業から得た洞察を深く掘り下げ、開発チームがセキュリティの成熟度を高めた時に生じる特徴や行動を明らかにしている。

サイバー攻撃者は昨今、ソフトウェアの脆弱性を積極的に悪用している。こうした脅威に対応するため、企業はこれまで以上に開発チームのセキュリティスキルを高める必要があるとされている。しかしながら、最近の調査で開発者の67%が、脆弱性が含まれているとわかっているコードを依然として出荷していることが明らかになっている。

The Hacker Newsは開発チームがセキュリティ成熟度を達成できるよう支援することは可能であり、ソフトウェア開発ライフサイクルのすべての段階において安全性を確保できるようになると提言している。

The Hacker Newsが紹介している方法は次のとおり。

  • その1:自社の「欠落部」を深く理解する

成熟度プログラムを作成する前に、まず開発チームそのものを理解する必要がある。開発チームの成熟度がどの程度か、どのような脆弱性に悩まされているのか、使用しているコーディング言語は何かなどを明らかにして初めて、開発チームの成熟度向上プログラムにおいて何を優先させるべきかが見えてくるという。

調査によると、セキュアコードを競うトーナメントを開催することで、上記の質問に対する答えを得られるとのことだ。というのも、トーナメントによって、開発者がどのような脆弱性で苦労しているのかを把握でき、成熟度向上プログラムで何を最初に取り組むべきか把握できるからという。

  • その2:成功のための計画を作成する

開発チームのセキュリティ成熟度の向上は1回だけチェックして終わりではなく、継続的な改善サイクルとして取り組む必要がある。成功したプログラムには、個々の開発者とチーム全体の現実的な目標が含まれている。目標を持つことで、開発者は達成感を得ることができ、成熟度プログラムに参加し続けられるとされている。リーダーボードや成果報酬などよりエキサイティングなプロジェクトの提供が大きなインセンティブとなったことも判明している。

The Hacker Newsはチームのセキュリティ成熟度の欠落部を深く理解し、関係者全員が支持する計画を立てれば、成熟度向上プログラムを成功させるための道筋は十分に開けるとし、その努力に見合うだけの報酬を得ることができるとアドバイスしている。