測定しないものを改善することはできませんが、正直に言うと、ほとんどのセキュリティ測定基準はゴミのようなものです。見た目はきれいだが何も語らない円グラフ。重要な発見」を脈絡なく追跡するダッシュボード。開発者を支援するのではなく、役員会に好印象を与えるように設計されたレポート。正しいセキュリティ指標は、チームがより速く、より安全に出荷するのを助けるはずである。このセクションは、ふわふわしたものを切り捨て、コードのきれいさ、問題の修正の速さ、ツールが役に立っているのか、それともただ虚空に向かって叫んでいるのか、といったような、真の改善を促す数値に焦点を当てる。

プレースホルダ画像 画像の説明脆弱性密度のトレンド、スキャンカバレッジ率、誤検出率、MTTR棒グラフの4つのウィジェットを備えた開発者向けのダッシュボード。

脆弱性の密度：あなたのコードは本当にクリーンか？

脆弱性の密度は、1,000 行のコード（KLOC）あたり、実際に悪用可能なセキュリティ問題がいくつあるかを追跡します。これは、「バグの数」以上のものであり、コードベースが時間とともにどの程度リスキーになっているかを示すものです。もし、あなたのチームが2倍のコードを出荷しているにもかかわらず、脆弱性が横ばいだとしたら？それは進歩です。これを利用して、ホットスポットにフラグを立て、チームを比較し、最も必要なところにレビューの優先順位をつけましょう。

スキャン報道：あなたは正しい場所をすべて見ていますか？

単一リポジトリのみをスキャンしている場合やIaCをスキップしている場合、それは目隠し運転と同じです。スキャンカバレッジは、スタックのどの部分が実際にチェックされているかを示します——コード、コンテナ、シークレット、依存関係、インフラストラクチャなど。Aikido ツール横断的なカバレッジを一元表示することでこれをAikido 。「あのTerraformファイルはスキャンしたか？」と悩む必要はもうありません。確実に把握できます。

偽陽性率：あなたのツールは狼を泣かせているか？

アラート疲労は採用を阻害する。開発者が結果を信頼できなければ、確認を止めてしまう。「問題なし」としてクローズされる検出件数を追跡し、パターンを探れ。もし「重大」アラートの70%がゴミなら、スキャナーは役に立っていない——むしろ害だ。Aikido 、悪用可能で到達可能、かつコードに関連するものだけを表示することでこの問題をAikido 。

平均修復時間（MTTR）再考：プロセスの究極のテスト

MTTR は単なるセキュリティ指標ではなく、プロセス指標である。実際の脆弱性を検出してからパッチを当てるまで、あなたのチームが修正するのにかかる時間はどれくらいですか？MTTR が長いということは、摩擦があることを意味する。MTTR が短いということは、パイプラインが機能しているということです。MTTRをレポ、チーム、重大度ごとに追跡する。MTTRが低下したら祝う。急上昇したらブロッカーを修正する。MTTRは大規模で安全な開発の鼓動です。

洞察正しいメトリクスは、単に監査に合格するのを助けるだけではありません。最後に、神話上の「完璧な」セキュリティ体制を追い求めることなく、改善を続ける方法についてまとめましょう。