セキュアソフトウェア開発の専門家が「最も重視するトレーニング」とは？ Linux Foundation調査：半数以上が「セキュアな開発」のトレーニングを受けていない

Linux Foundation Japanは、調査レポート「2024年セキュアソフトウェア開発教育調査」を公開した。それによると、多くの開発者がトレーニング不足を認識しているものの、トレーニング講座などを受講している人は半分程度であることが分かった。

[＠IT]

　Linux Foundation Japanは2024年9月18日、調査レポート「2024年セキュアソフトウェア開発教育調査」を公開した。これはソフトウェアの開発やデプロイに直接携わる専門家を対象に、セキュアなソフトウェア開発について調査した結果をまとめたもので、398人から有効回答を得た。それによると、多くの開発者がトレーニング不足の課題に悩んでいることが分かった。

「2024年セキュアソフトウェア開発教育調査」の概要（提供：Linux Foundation Japan）

半数以上が「セキュアな開発」のトレーニングを受けていない

　調査結果によると回答者の28％が「セキュアなソフトウェア開発をよく知らない」と回答した。セキュアなソフトウェア開発に携わっている専門家の半数が、開発の主な課題を「トレーニング不足」と認識していた。特にデータサイエンスの分野では課題感が強く、73％の人がトレーニング不足を認識していた。

　市場にはセキュアなソフトウェア開発に関するトレーニングは幾つかある。だが、開発に携わる専門家の53％がそういったトレーニングを受講しておらず、システム運用の専門家に限ると72％が未受講だった。では、そういった専門家はどのようにトレーニングしているのか。調査結果によると69％が「実務経験（によるトレーニング）」を重視している。一方で、回答者からは「実務経験によって最低限のレベルの知識を習得するためには少なくとも5年の経験が必要」という意見も挙がっている。

　こうした背景もあり、79％が「セキュアなソフトウェア開発にはプログラミング言語に依存しないトレーニングが重要だ」と考えていた。プログラミング言語に依存しないトレーニングの中では「セキュリティアーキテクチャ」「セキュリティ教育とガイダンス」「セキュアな実装」などの人気が高かった。これに対してプログラミング言語固有のトレーニングでは、71％の人が「Python」を挙げた。