Tweet

Pocket

セキュリティエンジニアに限らず、プロダクトの開発に携わるすべての開発者がセキュリティ知識を習得する──。そんな流れが国内外で徐々に加速しつつある。

特に海外ではエンジニア向けに「セキュアコーディングのトレーニングサービス」を提供するスタートアップが事業を拡大しています。

Secure Code Warrior、Immersive Labs、RangeForceなど累計で数十億円規模の資金を調達する企業が続々と生まれ、新たなニーズに応えている。

背景にはアプリケーションの普及と開発スタイルの変化が大きく影響している。

今や財布やカギ、自動車などさまざまなモノがインターネットと接続されている時代です。

生活において便利なソフトウェアやアプリケーションへの依存度が高まるほど、その脆弱性が放置されることのリスクも大きくなる。

特にフィンテックやヘルステック領域のサービスはお金や身体情報といったセンシティブな情報を扱う。そのような企業にとってはなおさらセキュリティ対策が重要です。

また日本でサイバーセキュリティ事業を展開するうえで、「シフトレフト」や「DevSecOps」が中核になっています。

ソフトウェアができ上がってからセキュリティ対策をするのではなく、開発プロセスの早い段階から脆弱性を潰していこうという考えです。

開発段階で脆弱性を無くしていければ、セキュリティを充実させながら開発手間を減少できる。

開発の進展を早めるのも可能です。

つもり、セキュリティエンジニアだけに限らずく、開発するエンジニア自身がセキュリティ知識を熟知するのが必須になります。

　セキュアコーディングは、防御的プログラミングと呼ばれていました。

脆弱性がないだけでなく、脆弱性につながるかもしれない要素をコーディングのあらゆるレイヤーで排除していくような方法です。

そのため、仕様変更や追加開発があっても堅牢さをいじることがしやすくなります。

日本では、発注する側がコーディングの技術を検証するできるほどの実力がない。

そのため外部に脆弱性の診断を発注することでセキュリティを担保したとみなすことが多いです。

しかし、担保できるのは、実際に脆弱性が無いというだけで、追加開発によって脆弱性が生まれないかを判別するのは難しいです。

また、脆弱性診断を依賴するとなると経費も時間を浪費してしまいます。

そのため、開発工程に動的解析と静的解析を組み込み、エンジニアにセキュアコーディングを訓練させるなど、企業内で改善を模索しているようです。