専門家でも3割が“脆弱性悪用による大惨事”を防ぐ「セキュアソフトウェア開発」に不慣れ Linux FoundationとOpenSSFの調査：企業におけるセキュアソフトウェア開発の取り組みの課題とは

Linux FoundationとOpenSSFは、セキュアソフトウェア開発の現状と課題を調査したレポート「Secure Software Development Education 2024 Survey: Understanding Current Needs」を発表した。

[＠IT]

　Linux Foundation ResearchとOpen Source Security Foundation（OpenSSF）は、2024年7月16日（米国時間）、セキュアソフトウェア開発の現状と課題を調査したレポート「Secure Software Development Education 2024 Survey: Understanding Current Needs」を発表した。同レポートは、ソフトウェア開発に携わる関係者約400人を対象に実施された調査に基づくものだ。

　攻撃者は常時、ソフトウェアの脆弱（ぜいじゃく）性を発見し、悪用している。そのため、堅牢（けんろう）なソフトウェアセキュリティの重要性が増している。にもかかわらず、多くの開発者は「セキュアソフトウェア開発」を効果的に実施するために不可欠な知識やスキルが不足しているという。

「あらゆるレベルの開発者が、セキュアなコードを書くための十分な知識とスキルを身に付ける必要がある」

　調査結果によると、開発とデプロイに直接関与している全ての関係者（運用担当者、ソフトウェア開発者、コミッター、メンテナーを含む）の約3分の1が、セキュアソフトウェア開発の実践について不慣れだと回答している。

　Linux Foundationのオープンソースサプライチェーンのセキュリティディレクターであるデイビッド・A・ウィーラー氏は「ソフトウェアの脆弱性が悪用された結果、大惨事につながるケースを何度も目にしてきた。これは、あらゆるレベルの開発者が、セキュアなコードを書くための十分な知識とスキルを身に付ける必要があることを裏付けるものであり、調査結果は、セキュアソフトウェア開発に関するトレーニング不足を明らかにしている。現場は何から始めればよいのか分からず、行き当たりばったりでセキュアソフトウェア開発を学んでいる。業界全体でセキュアソフトウェア開発教育を推進することが重要だ」と述べている。

　調査によると、セキュリティ意識の欠如は「現在の教育プログラムのほとんどが機能性と効率性を優先した結果、本質的なセキュリティトレーニングを軽視していることが原因である可能性が高い」としている。関係者の大半（69％）は、主な学習リソースとして実務経験に依存しているが、最低レベルのセキュリティ知識を習得するのでさえ、少なくとも5年間の実務経験が必要だ。

　他の主要な調査結果は以下の通り。

• セキュアソフトウェア開発を組織内で実施する際の課題として「時間が足りない」（58％）、「意識とトレーニングが不足している」（50％）が上位2位を占めていた
• セキュアソフトウェア開発に関するコースを受講しない理由のトップ（44％）は、「このテーマを扱ったコースの中で、どれがよいのか分からないから」だった
• 「自習」が最も一般的な学習法で、回答者の74％がオンラインチュートリアル、ビデオ、書籍などを利用して勉強していると回答した
• 新しく登場したセキュリティの懸念として、AI（人工知能）（57％）やサプライチェーン（56％）が挙げられている。これらは今後、重要なイノベーションが起こり、注目を集める領域と見なされている

　OpenSSF Education SIG（Special Interest Group）の共同議長であり、OpenSSF TAC（Technical Advisory Council）の議長でもあるIntelのクリストファー・ロビンソン氏は「セキュアソフトウェア開発に取り組むための第一歩は、既存の知識とのギャップを認識し、追加のトレーニングを作成するための優先分野を特定することだ。今回の調査結果に基づき、OpenSSFは2024年後半にも、セキュリティアーキテクチャに関する新しいコースを公開予定だ。同コースは『セキュリティ・バイ・デザイン』（※ソフトウェアやシステムの設計段階からセキュリティを組み込む方法）のアプローチを促進するのに役立つだろう」と述べている。