2024年の予測:セキュリティ、AI、開発者リテンション、そして前途
今年もこの時期に突入した。起こったこと、起こると思っていたこと、起こらなかったこと、学んだこと、そして今後12カ月間の決断、行動、結果を形作るであろうことを振り返る時期だ。
挑戦的な経済力学、新たなサイバーセキュリティの脅威、そしてこれまでで最も身近になったAIへの社会的導入が、DevSecOpsにとって興味深い2023年を形作った。さらに不思議なことに、ページをめくって2024年に向かっても、これらの要素はどれもバックミラーには映っていない。これらの要素は、組織、その開発者チーム、サイバーセキュリティ・チーム、そして政府の規制当局にとって、最前線かつ中心的な存在なのだ。
優先順位が目まぐるしく変化する中、Secure Code Warrior 、今後12ヶ月で展開されるであろう予測のトップは以下の通りである:
組織は開発者のリテンションを重視する。
開発者は、組織とその顧客に計り知れない価値を提供している。今、その価値を実証し、開発者が自社の収益に何をもたらすかを評価するのは、組織側の責任である。開発者が現在の雇用主を長期的なキャリアの目的地とできるよう、定着戦略やプログラム、その他の取り組みにさらなる投資が行われるだろう。学習と開発は、これらの企業にとって大きな差別化要因となるだろう。
より多くのデベロッパーが、コンテンツと統合を中心に据えるだろう。
組織は、より多くのソフトウェアと、継続的なデジタルトランスフォーメーションを、より早く顧客の手に届けることを望んでいる。開発者が鋭敏であり続け、ソフトウェア開発ライフサイクル(SDLC)における新たな障害を予測し、イノベーションを加速するためにより多くのリソースにアクセスするためには、より多くの学習コンテンツとサードパーティの統合が最も重要になるだろう。
AIツールは新しいスタック・オーバーフロー
開発者がStack Overflowやオープンソースのフォーラムに助けを求めるのと同じように、開発者はAIツールに目を向けるようになるだろう。しかし、これは誤った安心感を生む。開発者はAIを「ヘルプ・チャネル」として利用するだろうが、組織はこのアプローチでは不十分だと気づくだろう。
AIによる救済は今後も続く
AIが明日開発者に取って代わるわけではないが、テクノロジーはソフトウェア開発ライフサイクル(SDLC)に組み込まれつつあり、脆弱性の導入を回避したり、互換性のある修正を特定したりするための、より確実なプロセスを生み出している。開発者の行動、組織への投資、人員の再配置、サイバーセキュリティのリスク管理への新たなアプローチに変化をもたらすことは避けられないだろう。
AIへの依存+APIの爆発的成長=規制対策
APIの加速的な作成と有効化を通じてビジネスを促進する企業の数は、API脅威のベクトルを大幅に拡大している。AIの利用傾向がAPIの作成と起動のスピードを指数関数的に増加させるため、APIセキュリティのためのより大きなガバナンスが焦点となる必要があり、新たな規制措置が導入されることは確実である。
セキュアなコードを出荷しないソフトウェア・ベンダーには、さらに多くの影響がある。
CISAのディレクターであるジェン・イースタリーは、自社製品のセキュリティに関して、ソフトウェア・ベンダーが「責任転嫁」することは許されないと明言している。CISAの権限は、連邦政府機関に販売するベンダーにセキュア・バイ・デザインの実践を強制する手助けをする程度にしか及ばないが、今年初めのMOVEit事件は、大規模なソフトウェア・ベンダーが新たなベンチマークを達成し、それを上回る必要があることを再確認させた。安全でないコードを出荷する常習犯に対しては、より多くの説明責任と結果を強制する必要がある。
2024年のOWASPトップ10では、設計上の欠陥に再び焦点が当てられるだろう
セキュア・バイ・デザインといえば、2021年にOWASPは「安全でない設計」カテゴリを導入し、アーキテクチャ上のセキュリティ問題や欠陥へのシフトに焦点を当てました。今後のトップ10リスト(おそらく2024年)を予想すると、重要な認証とアクセス制御の設定をサポートする完全な脅威モデリング手順を含む、安全なソフトウェア開発ライフサイクル(SSDLC)を開発するチームに重点を置いて、安全でない設計と安全でない実装の違いについて、より大きな、幹部レベルの会話が交わされるでしょう。
DevSecOpsベンダーは、さまざまなエグゼクティブの購買層をターゲットとするため、具体的なROIを証明する必要がある。
競争力のある販売サイクルで複数のグループに販売するためには、ベンダーはビジネスのさまざまな領域に合わせて会話を調整する必要がある。従来、セキュリティ・ベンダーは主にCISOやセキュリティ・リーダーを対象に営業活動を行ってきた。2024年には、セキュリティ/CISOに加え、L&DやDevOps/AppSecなどのエグゼクティブに対して、より具体的な文脈でリスク削減を証明する能力がより求められるようになるだろう。
「ゲートキーピング」がソフトウェア開発におけるセキュリティ成熟への切符となる
CISO は、サイバーセキュリティへの取り組みのビジネス上の価値と、長期的なプログラムの有効性を証明するよう、依然として厳しく求められている。開発者は、機密性の高いレポジトリを扱うプロジェクトを任される前に、セキュリティを意識していることを証明する必要がますます高まるだろう。ゲートキーピング」基準を採用し、ソフトウェア作成プロセスの初期段階からセキュアなコーディングを優先する CISO は、セキュリティの卓越性を確保するためにチームをより有利な立場に置くことができる。
リアクティブ・セキュリティは旧態依然と見なされる
サイバーレジリエンスを高めるという目標が、さまざまな業種のサイバー戦略を支配し続ける中、リアクションやインシデントレスポンスだけを計画の中核としている企業は、受け入れがたい暴露とリスクにさらされていることに気づくだろう。「私たちが当たり前のように使っているソフトウェアや重要なデジタル・インフラに携わる開発者のスキルアップと能力確認と並んで、コードレベルのセキュリティが優先されるべきである。今こそ、政府も企業も、予防的で意識の高いセキュリティ・プログラムに取り組み、スタッフ一人ひとりが責任を共有できるようにしなければならない。
セキュアコーディング教育と実装のリーダーとして、私たちはこれからの1年を楽しみにしており、これらの進化するダイナミクスを先取りするために600以上のお客様と協力しています。あなたの2024年はどのような年ですか?また、Secure Code Warrior はどのようなお手伝いができますか?
もっと知りたいですか?XとLinkedInで私たちをフォローし、すべてのアナウンスの最新情報を入手してください。
もっと詳しく知りたい方はこちら
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
Secure Code Warrior
Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
2024年の予測:セキュリティ、AI、開発者リテンション、そして前途
今年もこの時期に突入した。起こったこと、起こると思っていたこと、起こらなかったこと、学んだこと、そして今後12カ月間の決断、行動、結果を形作るであろうことを振り返る時期だ。
挑戦的な経済力学、新たなサイバーセキュリティの脅威、そしてこれまでで最も身近になったAIへの社会的導入が、DevSecOpsにとって興味深い2023年を形作った。さらに不思議なことに、ページをめくって2024年に向かっても、これらの要素はどれもバックミラーには映っていない。これらの要素は、組織、その開発者チーム、サイバーセキュリティ・チーム、そして政府の規制当局にとって、最前線かつ中心的な存在なのだ。
優先順位が目まぐるしく変化する中、Secure Code Warrior 、今後12ヶ月で展開されるであろう予測のトップは以下の通りである:
組織は開発者のリテンションを重視する。
開発者は、組織とその顧客に計り知れない価値を提供している。今、その価値を実証し、開発者が自社の収益に何をもたらすかを評価するのは、組織側の責任である。開発者が現在の雇用主を長期的なキャリアの目的地とできるよう、定着戦略やプログラム、その他の取り組みにさらなる投資が行われるだろう。学習と開発は、これらの企業にとって大きな差別化要因となるだろう。
より多くのデベロッパーが、コンテンツと統合を中心に据えるだろう。
組織は、より多くのソフトウェアと、継続的なデジタルトランスフォーメーションを、より早く顧客の手に届けることを望んでいる。開発者が鋭敏であり続け、ソフトウェア開発ライフサイクル(SDLC)における新たな障害を予測し、イノベーションを加速するためにより多くのリソースにアクセスするためには、より多くの学習コンテンツとサードパーティの統合が最も重要になるだろう。
AIツールは新しいスタック・オーバーフロー
開発者がStack Overflowやオープンソースのフォーラムに助けを求めるのと同じように、開発者はAIツールに目を向けるようになるだろう。しかし、これは誤った安心感を生む。開発者はAIを「ヘルプ・チャネル」として利用するだろうが、組織はこのアプローチでは不十分だと気づくだろう。
AIによる救済は今後も続く
AIが明日開発者に取って代わるわけではないが、テクノロジーはソフトウェア開発ライフサイクル(SDLC)に組み込まれつつあり、脆弱性の導入を回避したり、互換性のある修正を特定したりするための、より確実なプロセスを生み出している。開発者の行動、組織への投資、人員の再配置、サイバーセキュリティのリスク管理への新たなアプローチに変化をもたらすことは避けられないだろう。
AIへの依存+APIの爆発的成長=規制対策
APIの加速的な作成と有効化を通じてビジネスを促進する企業の数は、API脅威のベクトルを大幅に拡大している。AIの利用傾向がAPIの作成と起動のスピードを指数関数的に増加させるため、APIセキュリティのためのより大きなガバナンスが焦点となる必要があり、新たな規制措置が導入されることは確実である。
セキュアなコードを出荷しないソフトウェア・ベンダーには、さらに多くの影響がある。
CISAのディレクターであるジェン・イースタリーは、自社製品のセキュリティに関して、ソフトウェア・ベンダーが「責任転嫁」することは許されないと明言している。CISAの権限は、連邦政府機関に販売するベンダーにセキュア・バイ・デザインの実践を強制する手助けをする程度にしか及ばないが、今年初めのMOVEit事件は、大規模なソフトウェア・ベンダーが新たなベンチマークを達成し、それを上回る必要があることを再確認させた。安全でないコードを出荷する常習犯に対しては、より多くの説明責任と結果を強制する必要がある。
2024年のOWASPトップ10では、設計上の欠陥に再び焦点が当てられるだろう
セキュア・バイ・デザインといえば、2021年にOWASPは「安全でない設計」カテゴリを導入し、アーキテクチャ上のセキュリティ問題や欠陥へのシフトに焦点を当てました。今後のトップ10リスト(おそらく2024年)を予想すると、重要な認証とアクセス制御の設定をサポートする完全な脅威モデリング手順を含む、安全なソフトウェア開発ライフサイクル(SSDLC)を開発するチームに重点を置いて、安全でない設計と安全でない実装の違いについて、より大きな、幹部レベルの会話が交わされるでしょう。
DevSecOpsベンダーは、さまざまなエグゼクティブの購買層をターゲットとするため、具体的なROIを証明する必要がある。
競争力のある販売サイクルで複数のグループに販売するためには、ベンダーはビジネスのさまざまな領域に合わせて会話を調整する必要がある。従来、セキュリティ・ベンダーは主にCISOやセキュリティ・リーダーを対象に営業活動を行ってきた。2024年には、セキュリティ/CISOに加え、L&DやDevOps/AppSecなどのエグゼクティブに対して、より具体的な文脈でリスク削減を証明する能力がより求められるようになるだろう。
「ゲートキーピング」がソフトウェア開発におけるセキュリティ成熟への切符となる
CISO は、サイバーセキュリティへの取り組みのビジネス上の価値と、長期的なプログラムの有効性を証明するよう、依然として厳しく求められている。開発者は、機密性の高いレポジトリを扱うプロジェクトを任される前に、セキュリティを意識していることを証明する必要がますます高まるだろう。ゲートキーピング」基準を採用し、ソフトウェア作成プロセスの初期段階からセキュアなコーディングを優先する CISO は、セキュリティの卓越性を確保するためにチームをより有利な立場に置くことができる。
リアクティブ・セキュリティは旧態依然と見なされる
サイバーレジリエンスを高めるという目標が、さまざまな業種のサイバー戦略を支配し続ける中、リアクションやインシデントレスポンスだけを計画の中核としている企業は、受け入れがたい暴露とリスクにさらされていることに気づくだろう。「私たちが当たり前のように使っているソフトウェアや重要なデジタル・インフラに携わる開発者のスキルアップと能力確認と並んで、コードレベルのセキュリティが優先されるべきである。今こそ、政府も企業も、予防的で意識の高いセキュリティ・プログラムに取り組み、スタッフ一人ひとりが責任を共有できるようにしなければならない。
セキュアコーディング教育と実装のリーダーとして、私たちはこれからの1年を楽しみにしており、これらの進化するダイナミクスを先取りするために600以上のお客様と協力しています。あなたの2024年はどのような年ですか?また、Secure Code Warrior はどのようなお手伝いができますか?
もっと知りたいですか?XとLinkedInで私たちをフォローし、すべてのアナウンスの最新情報を入手してください。
