南アフリカで過去 12 か月間に発生した 2 件のハッキング (南アフリカ企業知的財産委員会 (CIPC) と有名小売業者に対するハッキング) は、堅牢なアプリケーション セキュリティを含むセキュリティに対する多層アプローチの必要性がいかに緊急であるかを改めて証明していると、CASA のセールス ディレクターである Sagaran Naidoo 氏は述べています。
「今日のビジネスの世界ではアプリが急増しており、アプリケーション エコノミーについて語るのは間違いありません。ソフトウェアを最初からセキュリティを考慮して設計することが必須になっています」と Naidoo 氏は言います。「開発者は通常、スピードを重視しているため、これには大きな考え方の変化が必要です。開発者は、新しいアプリケーションをすぐに使用できるようにするために、常にビジネスからプレッシャーを受けています。その結果、ソフトウェアの問題が初期段階では検出されず、開発ライフサイクルの後半で手動で修正する必要があることが多くなります。これは非常に時間と費用のかかるプロセスであり、新しい問題を引き起こす可能性があります。
「多くの問題は単純に修正されず、アプリケーションをハッカーに対してより脆弱にする『セキュリティ負債』を生み出します。」
Statistaの数字によると、世界的にアプリ経済は2016年の1.3兆米ドルから2021年には6.3兆米ドルへと年平均37%の成長を遂げており、一方南アフリカのアプリ経済は2020年から2022年にかけて10%成長し、今後もさらなる成長が見込まれている。
結論は明らかだとナイドー氏は主張する。つまり、この避けられない成長とサイバー攻撃の急増を考えると、ソフトウェアは最初からセキュリティを考慮して作成されなければならないということだ。
「大きな変化は、問題を見つけることから、それを迅速に修正することに移行しなければならないことです。開発者には、厳しい締め切りがあるため、手作業でバグを修正する時間がありません」とナイドー氏は言います。「もう 1 つの大きな要因は、DevOps、自動化、コーディングにおける AI 自体の使用など、ソフトウェア開発の進歩により、プロセスは高速化していますが、多くの場合、より安全ではありません。」
Veracode の 2023 年ソフトウェア状況レポートによると、Java アプリケーションの 56% でセキュリティ負債が横ばいまたは増加しており、大規模な欠陥の特定と修正の必要性が強調されています。
このセキュリティ負債が蓄積するにつれて、脆弱なアプリケーションの使用に伴うリスクが増大します。繰り返しになりますが、開発サイクルの後半でバグが特定されるほど、修正にかかるコストは高くなります。開発者は、優れたユーザー エクスペリエンスを提供して収益を伸ばすソフトウェアの作成に注力しているため、修正は気が散るものとみなされます。
つまり、バグを素早く見つける能力は、それを素早く修正する能力と結びつく必要がある、と Naidoo 氏は言います。Veracode はこの必要性を認識し、コーディングの欠陥を見つける能力とそれを素早く修正する能力のリーダーシップを強化しました。
「Veracode Fix は AI を使って修正案のリストを生成し、開発者はそれを確認して最適なものを選択できます。選択された修正案は、手動でコードを書くことなく自動的に実装されます」と彼は言います。「これは、AI が人間の能力を置き換えるのではなく、補完してより効果的にするために使用できることを示す素晴らしい例です。」
Veracode Fix の重要な差別化要因は、責任ある AI を使用してメリットを実現することです。これもまた、人間とアルゴリズムが効果的に連携する方法を独自に理解していることを示しています。
重要な要素の 1 つは、Veracode Fix が、独自に厳選された参照パッチのデータセットでトレーニングされていることです。数多くの例が示しているように、オープン データセットを使用すると、不正確な結果やばかげた結果が生じることもあります。たとえば、ChatGPT によって生成された架空の事実や、Google Gemini によって作成されたばかげた画像は、過去数か月にわたってメディアで大々的に取り上げられてきました。
Veracode Fix のトレーニングは、厳選された信頼性の高いデータセットを使用するだけでなく、人間のセキュリティ専門家によって監督され、最適な結果が保証されます。
「ここには AI のブラックボックスはありません」と Naidoo 氏はコメントしています。
Veracode Fix は責任ある AI のベスト プラクティスに準拠しており、顧客データは転送中も保存中も暗号化され、トレーニング目的で使用または保持されることはありません。
「Veracode Fix は、発見と修正を単一のプロセスに統合し、過重労働の開発者の活用を最適化し、今日のビジネス環境が要求するスピードを犠牲にすることなく、アプリケーションにセキュリティを組み込むというパラダイム シフトを表しています。カスタム コードとサードパーティ コードの両方で機能するため、組織のセキュリティ負債は継続的に削減されます。これがアプリケーション セキュリティの未来です」と Naidoo 氏は結論付けています。
詳細については、「Veracode Fix とインテリジェント ソフトウェア セキュリティの将来」をお読みください。
Veracode は、2024 年 6 月 4 日から 5 日までヨハネスブルグのサントンにあるサントン コンベンション センターで開催される年次 ITWeb セキュリティ サミット 2024 のスポンサーです。ぜひアクセスして登録してください。
ITWeb は、南アフリカ報道評議会の「FAIR」スタンプを誇らしげに掲げています。これは、当社の報道が真実、正確、公正であることを規定する印刷およびオンライン メディアの倫理規定を順守するという当社のコミットメントを示しています。当社のニュース報道について苦情を申し立てたい場合は、報道評議会の Web サイト www.presscouncil.org.za で苦情を申し立てるか、苦情を enquiries@ombudsman.org.za に電子メールで送信してください。報道評議会へのお問い合わせは、011 4843612 まで。
元記事: https://www.itweb.co.za/article/squaring-the-software-security-circle/KA3Ww7dzEjVqrydZ