ヒーロー背景(区切りなし)
ブログ

企業のセキュア設計イニシアチブの意義ある成功を推進

マティアス・マドゥ博士
2024年10月15日 発行
最終更新日: 2024年10月15日
アプリケーションセキュリティ
開発者トレーニング
リサーチ
ビデオ再生ボタン。
ビデオ再生ボタン。

米国、オーストラリア、ニュージーランド、カナダ、シンガポール、日本、ドイ ツ、英国が、同様のガイドラインをより広範なサイバーセキュリティ戦略に織り込むことを約束し、これらの 国の多くも当初の提言に貢献していることから、CISA のセキュア・バイ・デザイン(SBD)運動が世界 的に勢いを増しているのを目の当たりにするのは心強いことである。

2024 年 4 月以降、以下を含む 200 社以上の企業がセキュア・バイ・デザインの誓約に署名している。 Secure Code Warriorを含む200社以上がセキュア・バイ・デザインの誓約書に署名しており、より高いソフトウェア品質とセキュリティ基準に対する業界の幅広いコミットメントを示しています。私たちは、これらのガイドラインが、サイバーセキュリティのリーダーにとって、ソフトウェア開発における重要な文化的変革に対する世界的な政府の支持を初めて得た、坩堝のような瞬間であると考えています。これらの勧告は、米国政府に直接販売するソフトウェア・ベンダー以外にはまだ義務付けられていませんが、私はこれを単なる未来ではなく、脅威行為者に対する反撃を開始する絶好の機会だと考えています。ガイドラインの中心にあるのは、脆弱性のカテゴリーを取り除く努力であり、この目標に業界全体で集中することで、デジタル・セーフティにここ数十年で最も重要でポジティブな影響を与えることができるだろう。

私たちは、この動きが非常に重要であると考えており、最新の研究論文を発表した、 セキュリティ・スキルのベンチマーク:企業におけるセキュア・バイ・デザインの合理化 は、企業レベルでの実際のSecure-by-Designイニシアチブを深く分析し、データに基づいた知見に基づいてベストプラクティスのアプローチを導き出した結果です。 

組織のセキュア設計の取り組みの ROI の測定

長年定着したソフトウェア開発手法の見直しは、決して簡単な作業ではありません。CISO は、個人レベルと企業レベルの両方でセキュリティ プログラム活動の投資収益率 (ROI) とビジネス価値を証明しようとすると、しばしば困難に直面します。予算削減や、新しいサイバー イニシアティブに対する最高経営責任者の賛同の欠如に不満を募らせる人が多くいます。しかし、データに裏付けられた提案は、ここで大きな違いを生みます。 

近年、業界標準に対する進捗状況を組織が評価できるスキル ベンチマークが存在しないことが大きな課題となっています。このため、適切な領域に影響を及ぼし、開発コホートの継続的な改善を促進するセキュリティ プログラムを考案して実装することが非常に困難になっています。これは、ソフトウェア セキュリティ プラクティスを成功させる上で重要な要素です。 

Secure-by-Design イニシアチブを成功させる鍵は、開発者に安全なコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが備わっていることを保証することです。そこで、私たちは開発者チームの準備状況を分析することにしました。その結果は驚くべきものになるかもしれません。

SBD イニシアチブの加速を目指す企業がトラスト スコアを活用する方法

どこから始めて、どこへ向かうべきかについて確固とした考えがなければ、効率的に改善することは事実上不可能です。しかし、何百もの企業顧客が、開発者チームのセキュリティ能力を定量化するグローバル ベンチマークであるSCW Trust Score を効果的に活用して、役立つ詳細なデータ ポイントを提供しています。これらの洞察は、Secure-by-Design イニシアチブの成功につながる、非常に効果的な開発者主導のセキュリティ プログラムを形成します。

当社のホワイト ペーパーで明らかにされた分析によると、主要な重要インフラ業界の組織は、SBD イニシアチブを推進するための開発者の準備を進めています。また、これらの業界の開発チームは平均的なセキュリティ体制を備えていることもわかりました。

Secure Code Warriorの重要インフラ業界における開発者のスキルアップに関する分析は、世界中の 600 社の企業顧客と 25 万人を超えるアクティブな開発者の 2,000 万を超えるデータ ポイントから得られた洞察に基づいています。分析の結果、次のことがわかりました。

  • 現在、開発者中心の SBD スキルアップ イニシアチブに関与している開発者の総数は、世界中のすべての開発者の 4% 未満です。
  • 金融サービス業界は、336 という最高の信頼スコアを獲得しました。
  • 大規模な Secure-by-Design スキル向上イニシアチブのほとんどは成功していますが、小規模なイニシアチブは散発的になる傾向があります。ただし、義務を与えられた場合、測定可能な投資収益率 (ROI) をより早く実現できることが実証されています。
  • スキルアップの取り組みがしっかりと実施されていれば、開発者がアプリケーションに持ち込むリスクは大幅に減少します。分析の結果、大規模なスキルアップの取り組みに参加している開発者 (1 つの企業で 7,000 人以上の開発者) は、脆弱性を 47 ~ 53% 削減できると予測されました。

解決策 | 結論

SCW Trust Score は、セキュリティ リーダーにとって強力な武器であり、組織内の特定の領域を包括的にドリルダウンできます。レポートは言語、チーム、またはカテゴリ別にフィルタリングでき、カスタマイズされたレポートを作成できます。これにより、企業は開発者やチームの特定のニーズに対応し、追加のトレーニングやコーチングが必要な領域を特定できます。結局のところ、セキュリティは終わりのない取り組みです。パフォーマンスを効果的にベンチマークすることで、継続的な改善の機会を特定できます。

ソフトウェアの開発と展開の加速、サイバー脅威の脅威がかつてないほど高まり、規制当局の監視が厳しくなる中で、サイバーセキュリティは最優先事項となっています。組織は、まだ取り組んでいないのであれば、企業全体でセキュリティを第一に考える文化を育むことを優先する必要があります。

リソースを見る
リソースを見る

当社の最新の研究論文「セキュリティ スキルのベンチマーク: 企業における Secure-by-Design の合理化」は、企業レベルでの実際の Secure-by-Design イニシアチブを詳細に分析し、データに基づく調査結果に基づいてベスト プラクティス アプローチを導き出した結果です。

ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

もっと詳しく

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約する
シェアする
リンクトインのブランドソーシャルx ロゴ
著者
マティアス・マドゥ博士
2024年10月15日公開

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする
リンクトインのブランドソーシャルx ロゴ
ビデオ再生ボタン。
ビデオ再生ボタン。

米国、オーストラリア、ニュージーランド、カナダ、シンガポール、日本、ドイ ツ、英国が、同様のガイドラインをより広範なサイバーセキュリティ戦略に織り込むことを約束し、これらの 国の多くも当初の提言に貢献していることから、CISA のセキュア・バイ・デザイン(SBD)運動が世界 的に勢いを増しているのを目の当たりにするのは心強いことである。

2024 年 4 月以降、以下を含む 200 社以上の企業がセキュア・バイ・デザインの誓約に署名している。 Secure Code Warriorを含む200社以上がセキュア・バイ・デザインの誓約書に署名しており、より高いソフトウェア品質とセキュリティ基準に対する業界の幅広いコミットメントを示しています。私たちは、これらのガイドラインが、サイバーセキュリティのリーダーにとって、ソフトウェア開発における重要な文化的変革に対する世界的な政府の支持を初めて得た、坩堝のような瞬間であると考えています。これらの勧告は、米国政府に直接販売するソフトウェア・ベンダー以外にはまだ義務付けられていませんが、私はこれを単なる未来ではなく、脅威行為者に対する反撃を開始する絶好の機会だと考えています。ガイドラインの中心にあるのは、脆弱性のカテゴリーを取り除く努力であり、この目標に業界全体で集中することで、デジタル・セーフティにここ数十年で最も重要でポジティブな影響を与えることができるだろう。

私たちは、この動きが非常に重要であると考えており、最新の研究論文を発表した、 セキュリティ・スキルのベンチマーク:企業におけるセキュア・バイ・デザインの合理化 は、企業レベルでの実際のSecure-by-Designイニシアチブを深く分析し、データに基づいた知見に基づいてベストプラクティスのアプローチを導き出した結果です。 

組織のセキュア設計の取り組みの ROI の測定

長年定着したソフトウェア開発手法の見直しは、決して簡単な作業ではありません。CISO は、個人レベルと企業レベルの両方でセキュリティ プログラム活動の投資収益率 (ROI) とビジネス価値を証明しようとすると、しばしば困難に直面します。予算削減や、新しいサイバー イニシアティブに対する最高経営責任者の賛同の欠如に不満を募らせる人が多くいます。しかし、データに裏付けられた提案は、ここで大きな違いを生みます。 

近年、業界標準に対する進捗状況を組織が評価できるスキル ベンチマークが存在しないことが大きな課題となっています。このため、適切な領域に影響を及ぼし、開発コホートの継続的な改善を促進するセキュリティ プログラムを考案して実装することが非常に困難になっています。これは、ソフトウェア セキュリティ プラクティスを成功させる上で重要な要素です。 

Secure-by-Design イニシアチブを成功させる鍵は、開発者に安全なコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが備わっていることを保証することです。そこで、私たちは開発者チームの準備状況を分析することにしました。その結果は驚くべきものになるかもしれません。

SBD イニシアチブの加速を目指す企業がトラスト スコアを活用する方法

どこから始めて、どこへ向かうべきかについて確固とした考えがなければ、効率的に改善することは事実上不可能です。しかし、何百もの企業顧客が、開発者チームのセキュリティ能力を定量化するグローバル ベンチマークであるSCW Trust Score を効果的に活用して、役立つ詳細なデータ ポイントを提供しています。これらの洞察は、Secure-by-Design イニシアチブの成功につながる、非常に効果的な開発者主導のセキュリティ プログラムを形成します。

当社のホワイト ペーパーで明らかにされた分析によると、主要な重要インフラ業界の組織は、SBD イニシアチブを推進するための開発者の準備を進めています。また、これらの業界の開発チームは平均的なセキュリティ体制を備えていることもわかりました。

Secure Code Warriorの重要インフラ業界における開発者のスキルアップに関する分析は、世界中の 600 社の企業顧客と 25 万人を超えるアクティブな開発者の 2,000 万を超えるデータ ポイントから得られた洞察に基づいています。分析の結果、次のことがわかりました。

  • 現在、開発者中心の SBD スキルアップ イニシアチブに関与している開発者の総数は、世界中のすべての開発者の 4% 未満です。
  • 金融サービス業界は、336 という最高の信頼スコアを獲得しました。
  • 大規模な Secure-by-Design スキル向上イニシアチブのほとんどは成功していますが、小規模なイニシアチブは散発的になる傾向があります。ただし、義務を与えられた場合、測定可能な投資収益率 (ROI) をより早く実現できることが実証されています。
  • スキルアップの取り組みがしっかりと実施されていれば、開発者がアプリケーションに持ち込むリスクは大幅に減少します。分析の結果、大規模なスキルアップの取り組みに参加している開発者 (1 つの企業で 7,000 人以上の開発者) は、脆弱性を 47 ~ 53% 削減できると予測されました。

解決策 | 結論

SCW Trust Score は、セキュリティ リーダーにとって強力な武器であり、組織内の特定の領域を包括的にドリルダウンできます。レポートは言語、チーム、またはカテゴリ別にフィルタリングでき、カスタマイズされたレポートを作成できます。これにより、企業は開発者やチームの特定のニーズに対応し、追加のトレーニングやコーチングが必要な領域を特定できます。結局のところ、セキュリティは終わりのない取り組みです。パフォーマンスを効果的にベンチマークすることで、継続的な改善の機会を特定できます。

ソフトウェアの開発と展開の加速、サイバー脅威の脅威がかつてないほど高まり、規制当局の監視が厳しくなる中で、サイバーセキュリティは最優先事項となっています。組織は、まだ取り組んでいないのであれば、企業全体でセキュリティを第一に考える文化を育むことを優先する必要があります。

リソースを見る
リソースを見る

以下のフォームに記入し、レポートをダウンロードしてください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

送信
SCW アイコン
ダウンロードありがとうございます!
その他のリソース
SCWエラーアイコン
フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。
ビデオ再生ボタン。
ビデオ再生ボタン。

米国、オーストラリア、ニュージーランド、カナダ、シンガポール、日本、ドイ ツ、英国が、同様のガイドラインをより広範なサイバーセキュリティ戦略に織り込むことを約束し、これらの 国の多くも当初の提言に貢献していることから、CISA のセキュア・バイ・デザイン(SBD)運動が世界 的に勢いを増しているのを目の当たりにするのは心強いことである。

2024 年 4 月以降、以下を含む 200 社以上の企業がセキュア・バイ・デザインの誓約に署名している。 Secure Code Warriorを含む200社以上がセキュア・バイ・デザインの誓約書に署名しており、より高いソフトウェア品質とセキュリティ基準に対する業界の幅広いコミットメントを示しています。私たちは、これらのガイドラインが、サイバーセキュリティのリーダーにとって、ソフトウェア開発における重要な文化的変革に対する世界的な政府の支持を初めて得た、坩堝のような瞬間であると考えています。これらの勧告は、米国政府に直接販売するソフトウェア・ベンダー以外にはまだ義務付けられていませんが、私はこれを単なる未来ではなく、脅威行為者に対する反撃を開始する絶好の機会だと考えています。ガイドラインの中心にあるのは、脆弱性のカテゴリーを取り除く努力であり、この目標に業界全体で集中することで、デジタル・セーフティにここ数十年で最も重要でポジティブな影響を与えることができるだろう。

私たちは、この動きが非常に重要であると考えており、最新の研究論文を発表した、 セキュリティ・スキルのベンチマーク:企業におけるセキュア・バイ・デザインの合理化 は、企業レベルでの実際のSecure-by-Designイニシアチブを深く分析し、データに基づいた知見に基づいてベストプラクティスのアプローチを導き出した結果です。 

組織のセキュア設計の取り組みの ROI の測定

長年定着したソフトウェア開発手法の見直しは、決して簡単な作業ではありません。CISO は、個人レベルと企業レベルの両方でセキュリティ プログラム活動の投資収益率 (ROI) とビジネス価値を証明しようとすると、しばしば困難に直面します。予算削減や、新しいサイバー イニシアティブに対する最高経営責任者の賛同の欠如に不満を募らせる人が多くいます。しかし、データに裏付けられた提案は、ここで大きな違いを生みます。 

近年、業界標準に対する進捗状況を組織が評価できるスキル ベンチマークが存在しないことが大きな課題となっています。このため、適切な領域に影響を及ぼし、開発コホートの継続的な改善を促進するセキュリティ プログラムを考案して実装することが非常に困難になっています。これは、ソフトウェア セキュリティ プラクティスを成功させる上で重要な要素です。 

Secure-by-Design イニシアチブを成功させる鍵は、開発者に安全なコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが備わっていることを保証することです。そこで、私たちは開発者チームの準備状況を分析することにしました。その結果は驚くべきものになるかもしれません。

SBD イニシアチブの加速を目指す企業がトラスト スコアを活用する方法

どこから始めて、どこへ向かうべきかについて確固とした考えがなければ、効率的に改善することは事実上不可能です。しかし、何百もの企業顧客が、開発者チームのセキュリティ能力を定量化するグローバル ベンチマークであるSCW Trust Score を効果的に活用して、役立つ詳細なデータ ポイントを提供しています。これらの洞察は、Secure-by-Design イニシアチブの成功につながる、非常に効果的な開発者主導のセキュリティ プログラムを形成します。

当社のホワイト ペーパーで明らかにされた分析によると、主要な重要インフラ業界の組織は、SBD イニシアチブを推進するための開発者の準備を進めています。また、これらの業界の開発チームは平均的なセキュリティ体制を備えていることもわかりました。

Secure Code Warriorの重要インフラ業界における開発者のスキルアップに関する分析は、世界中の 600 社の企業顧客と 25 万人を超えるアクティブな開発者の 2,000 万を超えるデータ ポイントから得られた洞察に基づいています。分析の結果、次のことがわかりました。

  • 現在、開発者中心の SBD スキルアップ イニシアチブに関与している開発者の総数は、世界中のすべての開発者の 4% 未満です。
  • 金融サービス業界は、336 という最高の信頼スコアを獲得しました。
  • 大規模な Secure-by-Design スキル向上イニシアチブのほとんどは成功していますが、小規模なイニシアチブは散発的になる傾向があります。ただし、義務を与えられた場合、測定可能な投資収益率 (ROI) をより早く実現できることが実証されています。
  • スキルアップの取り組みがしっかりと実施されていれば、開発者がアプリケーションに持ち込むリスクは大幅に減少します。分析の結果、大規模なスキルアップの取り組みに参加している開発者 (1 つの企業で 7,000 人以上の開発者) は、脆弱性を 47 ~ 53% 削減できると予測されました。

解決策 | 結論

SCW Trust Score は、セキュリティ リーダーにとって強力な武器であり、組織内の特定の領域を包括的にドリルダウンできます。レポートは言語、チーム、またはカテゴリ別にフィルタリングでき、カスタマイズされたレポートを作成できます。これにより、企業は開発者やチームの特定のニーズに対応し、追加のトレーニングやコーチングが必要な領域を特定できます。結局のところ、セキュリティは終わりのない取り組みです。パフォーマンスを効果的にベンチマークすることで、継続的な改善の機会を特定できます。

ソフトウェアの開発と展開の加速、サイバー脅威の脅威がかつてないほど高まり、規制当局の監視が厳しくなる中で、サイバーセキュリティは最優先事項となっています。組織は、まだ取り組んでいないのであれば、企業全体でセキュリティを第一に考える文化を育むことを優先する必要があります。

ウェビナーを見る
始める
もっと詳しく

以下のリンクをクリックし、この資料のPDFをダウンロードしてください。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

レポートを見るデモを予約する
PDFをダウンロード
リソースを見る
シェアする
リンクトインのブランドソーシャルx ロゴ
ご興味がおありですか?

シェアする
リンクトインのブランドソーシャルx ロゴ
著者
マティアス・マドゥ博士
2024年10月15日公開

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする
リンクトインのブランドソーシャルx ロゴ

米国、オーストラリア、ニュージーランド、カナダ、シンガポール、日本、ドイ ツ、英国が、同様のガイドラインをより広範なサイバーセキュリティ戦略に織り込むことを約束し、これらの 国の多くも当初の提言に貢献していることから、CISA のセキュア・バイ・デザイン(SBD)運動が世界 的に勢いを増しているのを目の当たりにするのは心強いことである。

2024 年 4 月以降、以下を含む 200 社以上の企業がセキュア・バイ・デザインの誓約に署名している。 Secure Code Warriorを含む200社以上がセキュア・バイ・デザインの誓約書に署名しており、より高いソフトウェア品質とセキュリティ基準に対する業界の幅広いコミットメントを示しています。私たちは、これらのガイドラインが、サイバーセキュリティのリーダーにとって、ソフトウェア開発における重要な文化的変革に対する世界的な政府の支持を初めて得た、坩堝のような瞬間であると考えています。これらの勧告は、米国政府に直接販売するソフトウェア・ベンダー以外にはまだ義務付けられていませんが、私はこれを単なる未来ではなく、脅威行為者に対する反撃を開始する絶好の機会だと考えています。ガイドラインの中心にあるのは、脆弱性のカテゴリーを取り除く努力であり、この目標に業界全体で集中することで、デジタル・セーフティにここ数十年で最も重要でポジティブな影響を与えることができるだろう。

私たちは、この動きが非常に重要であると考えており、最新の研究論文を発表した、 セキュリティ・スキルのベンチマーク:企業におけるセキュア・バイ・デザインの合理化 は、企業レベルでの実際のSecure-by-Designイニシアチブを深く分析し、データに基づいた知見に基づいてベストプラクティスのアプローチを導き出した結果です。 

組織のセキュア設計の取り組みの ROI の測定

長年定着したソフトウェア開発手法の見直しは、決して簡単な作業ではありません。CISO は、個人レベルと企業レベルの両方でセキュリティ プログラム活動の投資収益率 (ROI) とビジネス価値を証明しようとすると、しばしば困難に直面します。予算削減や、新しいサイバー イニシアティブに対する最高経営責任者の賛同の欠如に不満を募らせる人が多くいます。しかし、データに裏付けられた提案は、ここで大きな違いを生みます。 

近年、業界標準に対する進捗状況を組織が評価できるスキル ベンチマークが存在しないことが大きな課題となっています。このため、適切な領域に影響を及ぼし、開発コホートの継続的な改善を促進するセキュリティ プログラムを考案して実装することが非常に困難になっています。これは、ソフトウェア セキュリティ プラクティスを成功させる上で重要な要素です。 

Secure-by-Design イニシアチブを成功させる鍵は、開発者に安全なコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが備わっていることを保証することです。そこで、私たちは開発者チームの準備状況を分析することにしました。その結果は驚くべきものになるかもしれません。

SBD イニシアチブの加速を目指す企業がトラスト スコアを活用する方法

どこから始めて、どこへ向かうべきかについて確固とした考えがなければ、効率的に改善することは事実上不可能です。しかし、何百もの企業顧客が、開発者チームのセキュリティ能力を定量化するグローバル ベンチマークであるSCW Trust Score を効果的に活用して、役立つ詳細なデータ ポイントを提供しています。これらの洞察は、Secure-by-Design イニシアチブの成功につながる、非常に効果的な開発者主導のセキュリティ プログラムを形成します。

当社のホワイト ペーパーで明らかにされた分析によると、主要な重要インフラ業界の組織は、SBD イニシアチブを推進するための開発者の準備を進めています。また、これらの業界の開発チームは平均的なセキュリティ体制を備えていることもわかりました。

Secure Code Warriorの重要インフラ業界における開発者のスキルアップに関する分析は、世界中の 600 社の企業顧客と 25 万人を超えるアクティブな開発者の 2,000 万を超えるデータ ポイントから得られた洞察に基づいています。分析の結果、次のことがわかりました。

  • 現在、開発者中心の SBD スキルアップ イニシアチブに関与している開発者の総数は、世界中のすべての開発者の 4% 未満です。
  • 金融サービス業界は、336 という最高の信頼スコアを獲得しました。
  • 大規模な Secure-by-Design スキル向上イニシアチブのほとんどは成功していますが、小規模なイニシアチブは散発的になる傾向があります。ただし、義務を与えられた場合、測定可能な投資収益率 (ROI) をより早く実現できることが実証されています。
  • スキルアップの取り組みがしっかりと実施されていれば、開発者がアプリケーションに持ち込むリスクは大幅に減少します。分析の結果、大規模なスキルアップの取り組みに参加している開発者 (1 つの企業で 7,000 人以上の開発者) は、脆弱性を 47 ~ 53% 削減できると予測されました。

解決策 | 結論

SCW Trust Score は、セキュリティ リーダーにとって強力な武器であり、組織内の特定の領域を包括的にドリルダウンできます。レポートは言語、チーム、またはカテゴリ別にフィルタリングでき、カスタマイズされたレポートを作成できます。これにより、企業は開発者やチームの特定のニーズに対応し、追加のトレーニングやコーチングが必要な領域を特定できます。結局のところ、セキュリティは終わりのない取り組みです。パフォーマンスを効果的にベンチマークすることで、継続的な改善の機会を特定できます。

ソフトウェアの開発と展開の加速、サイバー脅威の脅威がかつてないほど高まり、規制当局の監視が厳しくなる中で、サイバーセキュリティは最優先事項となっています。組織は、まだ取り組んでいないのであれば、企業全体でセキュリティを第一に考える文化を育むことを優先する必要があります。

目次

PDFをダウンロード
リソースを見る
ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

もっと詳しく

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約するダウンロード
シェアする
リンクトインのブランドソーシャルx ロゴ
リソース・ハブ

始めるためのリソース

その他の記事

Trust Agent:AI - Secure and scale AI-Drive development

AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.

さらに詳しく
Apr 1, 2026
A minimalist illustration showing a stack of three white papers. The top document has a folded top-right corner and horizontal blue lines representing text, over a smooth blue-to-pink gradient background.
ポケットベル
ポケットベル

OpenText アプリケーションセキュリティのパワー + Secure Code Warrior

OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.

2026年3月23日
ポケットベル

Secure Code Warrior corporate overview

Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.

Mar 19, 2026
パンフレット

セキュアコード・トレーニングのトピックと内容

Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.

2026年3月11日
リソース・ハブ

始めるためのリソース

その他の記事

Enabler 3: Developer Communications Plan

Keep developers engaged in your secure coding program with a strong communications plan. Learn to highlight benefits, set the right tone, and celebrate wins.

さらに詳しく
Apr 16, 2026
Header graphic for the Secure Code Warrior "Enablers of Success Series" featuring the text "Developer Communications Plan" on a blue background with abstract circuit board lines.
ブログ
ブログ

The Agentic Era Arrived Early. Don’t Get Caught Off Guard by Late AI Governance.

Anthropic's Claude Mythos represents a permanent, fundamental shift in how every security leader must approach their security program, especially with patch management of legacy systems.

Apr 10, 2026
ブログ

Enabler 2: Senior Leadership Sponsorship

Explore Enabler 2: Senior Leadership Sponsorship. Learn why active buy-in from the CIO, CTO, and CISO is vital to drive developer adoption and program credibility.

Mar 19, 2026
ブログ

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI

While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.

Mar 17, 2026