測定しないものを改善することはできませんが、正直に言うと、ほとんどのセキュリティ測定基準はゴミのようなものです。見た目はきれいだが何も語らない円グラフ。重要な発見」を脈絡なく追跡するダッシュボード。開発者を支援するのではなく、役員会に好印象を与えるように設計されたレポート。正しいセキュリティ指標は、チームがより速く、より安全に出荷するのを助けるはずである。このセクションは、ふわふわしたものを切り捨て、コードのきれいさ、問題の修正の速さ、ツールが役に立っているのか、それともただ虚空に向かって叫んでいるのか、といったような、真の改善を促す数値に焦点を当てる。

プレースホルダ画像 画像の説明脆弱性密度のトレンド、スキャンカバレッジ率、誤検出率、MTTR棒グラフの4つのウィジェットを備えた開発者向けのダッシュボード。

脆弱性の密度：あなたのコードは本当にクリーンか？

脆弱性の密度は、1,000 行のコード（KLOC）あたり、実際に悪用可能なセキュリティ問題がいくつあるかを追跡します。これは、「バグの数」以上のものであり、コードベースが時間とともにどの程度リスキーになっているかを示すものです。もし、あなたのチームが2倍のコードを出荷しているにもかかわらず、脆弱性が横ばいだとしたら？それは進歩です。これを利用して、ホットスポットにフラグを立て、チームを比較し、最も必要なところにレビューの優先順位をつけましょう。

スキャン報道：あなたは正しい場所をすべて見ていますか？

もし1つのレポしかスキャンしていなかったり、IaCをスキップしているのであれば、あなたは盲目になっている。スキャン・カバレッジは、コード、コンテナ、シークレット、依存関係、インフラなど、スタックの何パーセントが実際にチェックされているかを教えてくれる。Aikido 、ツール間のカバレッジを一箇所で表示することで、これを簡単にする。もう、"Terraformファイルをスキャンしたっけ？"と悩む必要はない。これでわかる。

偽陽性率：あなたのツールは狼を泣かせているか？

アラート疲労は採用を妨げる。もし開発者がその結果を信用しなければ、見るのをやめてしまう。どれだけの発見が「問題なし」としてクローズされたかを追跡し、パターンを探しましょう。クリティカル」アラートの70％がゴミであれば、スキャナーは役に立っていない。Aikido 、悪用可能なもの、到達可能なもの、あなたのコードに関連するものだけを表示することで、この状況を打破する。

平均修復時間（MTTR）再考：プロセスの究極のテスト

MTTR は単なるセキュリティ指標ではなく、プロセス指標である。実際の脆弱性を検出してからパッチを当てるまで、あなたのチームが修正するのにかかる時間はどれくらいですか？MTTR が長いということは、摩擦があることを意味する。MTTR が短いということは、パイプラインが機能しているということです。MTTRをレポ、チーム、重大度ごとに追跡する。MTTRが低下したら祝う。急上昇したらブロッカーを修正する。MTTRは大規模で安全な開発の鼓動です。

洞察正しいメトリクスは、単に監査に合格するのを助けるだけではありません。最後に、神話上の「完璧な」セキュリティ体制を追い求めることなく、改善を続ける方法についてまとめましょう。