コルゲート・パルモリーブ社が開発者のセキュリティスキルを向上させ、安全なコーディング文化を作り上げた方法。
TL;TR
コルゲート・パルモリーブについて
コルゲート・パルモリーブ・カンパニーは、世界中の家庭で知られ、愛されている消費財ブランドです。2世紀以上の歴史がありながら、デジタルを活用して人々とペット、そして地球にとってより健康的な未来を再構築する革新的な成長企業です。
状況
コルゲート・パルモライブは、他のほぼすべての組織と同様に、顧客により良いサービスを提供するためにデジタルトランスフォーメーションを進めている。
コルゲート・パルモリーブ社のCISO、アレックス・シュッチマンはこう言う:
「顧客のデータを保護し、製品だけでなく、顧客と当社とのデジタル・インタラクションにおいて信頼を築くことができることは、当社にとって非常に重要です」。
しかしアレックスにとっての課題は、潜在的な顧客データ漏洩の根源であるコードそのものを保護することだった。
「アプリケーションのビルドサイドで働いたことは、CISOとしての役割に切り替えたときに本当に役に立ちました。AppSecからチケットが戻ってくる苦痛や、再作業のために締め切りに間に合わないフラストレーションがよくわかります。その結果、CISOとしての私の目標は、単にソフトウェア開発ライフサイクルのセキュリティを高めるだけでなく、その実装方法を合理化することでした」。
アクション
Colgate-Palmolive社は、セキュリティトレーニングを一口サイズの小さな塊に分割することで、この課題に取り組んだ。こうすることで、開発者は、これまで慣れ親しんできた長くて一枚岩のコンプライアンス・トレーニングではなく、ワークフローに組み込むことができるようになった。Secure Code Warriorのセキュアコード学習へのアジャイル、インコンテクストアプローチを活用することで、開発者は実際のプロジェクトのコンテキストで脆弱性を理解できるようになり、セキュアコーディングスキルのエンゲージメント向上と長期的な定着につながりました。
「アレックスは言う。「私は、開発者の参加を維持しながら、これらのベスト・プラクティスを展開したかったのです。"プログラムの重要な部分はまだ義務付けていますが、トレーニングを管理しやすくし、開発者のフィードバックに耳を傾けることが、プログラムの成功に役立っています"
Colgate-Palmolive は、GitHub リポジトリをゲートする Okta ワークフローを実装し、特定の SCW 評価に合格した開発者だけがプル・リクエストにアクセスできるようにした。
結果
アレックスは言う、 「成功のために最適化するには、開発者を最初から参加させる必要があることを理解していました。そのため、開発者がプログラムの成功に欠かせない存在であることを認識させました。その結果、セキュリティ・チームと開発者たちの関係はより良いものになり、まるでチームでプログラムに取り組んでいるような感覚になりました。私たちは、すでに享受した成功を土台に、セキュリティ成熟度向上プログラムを拡大し、規模を拡大し続けています。"
要点
- プログラムの目標を明確に定義し、開発者の意見と参加を重視する。開発者は、ワークフローに組み込まれ、毎日使用している開発ツールと統合された安全なコード学習プログラムに賛同する可能性が高い。
- OktaのようなSSOツールを使ってコードリポジトリをゲートすることで、チームにインセンティブを与える。 特定の SCWcourses とassessment に合格した開発者だけが、プルリクエストを行うことを許される。
- 時間をかけて、AppSec チームと開発チームの間の強固な協力関係を促進するセキュリティ文化を構築する。
小売大手のColgate-Palmolive社が、デジタル・トランスフォーメーションの旅でアプリケーション・セキュリティをどのように再構築したかを紹介します。セキュアなコーディングに課題を抱えていた同社は、一口サイズのインコンテキストラーニングを開発者のワークフローに統合することでアプローチを革新しました。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
TL;TR
コルゲート・パルモリーブについて
コルゲート・パルモリーブ・カンパニーは、世界中の家庭で知られ、愛されている消費財ブランドです。2世紀以上の歴史がありながら、デジタルを活用して人々とペット、そして地球にとってより健康的な未来を再構築する革新的な成長企業です。
状況
コルゲート・パルモライブは、他のほぼすべての組織と同様に、顧客により良いサービスを提供するためにデジタルトランスフォーメーションを進めている。
コルゲート・パルモリーブ社のCISO、アレックス・シュッチマンはこう言う:
「顧客のデータを保護し、製品だけでなく、顧客と当社とのデジタル・インタラクションにおいて信頼を築くことができることは、当社にとって非常に重要です」。
しかしアレックスにとっての課題は、潜在的な顧客データ漏洩の根源であるコードそのものを保護することだった。
「アプリケーションのビルドサイドで働いたことは、CISOとしての役割に切り替えたときに本当に役に立ちました。AppSecからチケットが戻ってくる苦痛や、再作業のために締め切りに間に合わないフラストレーションがよくわかります。その結果、CISOとしての私の目標は、単にソフトウェア開発ライフサイクルのセキュリティを高めるだけでなく、その実装方法を合理化することでした」。
アクション
Colgate-Palmolive社は、セキュリティトレーニングを一口サイズの小さな塊に分割することで、この課題に取り組んだ。こうすることで、開発者は、これまで慣れ親しんできた長くて一枚岩のコンプライアンス・トレーニングではなく、ワークフローに組み込むことができるようになった。Secure Code Warriorのセキュアコード学習へのアジャイル、インコンテクストアプローチを活用することで、開発者は実際のプロジェクトのコンテキストで脆弱性を理解できるようになり、セキュアコーディングスキルのエンゲージメント向上と長期的な定着につながりました。
「アレックスは言う。「私は、開発者の参加を維持しながら、これらのベスト・プラクティスを展開したかったのです。"プログラムの重要な部分はまだ義務付けていますが、トレーニングを管理しやすくし、開発者のフィードバックに耳を傾けることが、プログラムの成功に役立っています"
Colgate-Palmolive は、GitHub リポジトリをゲートする Okta ワークフローを実装し、特定の SCW 評価に合格した開発者だけがプル・リクエストにアクセスできるようにした。
結果
アレックスは言う、 「成功のために最適化するには、開発者を最初から参加させる必要があることを理解していました。そのため、開発者がプログラムの成功に欠かせない存在であることを認識させました。その結果、セキュリティ・チームと開発者たちの関係はより良いものになり、まるでチームでプログラムに取り組んでいるような感覚になりました。私たちは、すでに享受した成功を土台に、セキュリティ成熟度向上プログラムを拡大し、規模を拡大し続けています。"
要点
- プログラムの目標を明確に定義し、開発者の意見と参加を重視する。開発者は、ワークフローに組み込まれ、毎日使用している開発ツールと統合された安全なコード学習プログラムに賛同する可能性が高い。
- OktaのようなSSOツールを使ってコードリポジトリをゲートすることで、チームにインセンティブを与える。 特定の SCWcourses とassessment に合格した開発者だけが、プルリクエストを行うことを許される。
- 時間をかけて、AppSec チームと開発チームの間の強固な協力関係を促進するセキュリティ文化を構築する。
TL;TR
コルゲート・パルモリーブについて
コルゲート・パルモリーブ・カンパニーは、世界中の家庭で知られ、愛されている消費財ブランドです。2世紀以上の歴史がありながら、デジタルを活用して人々とペット、そして地球にとってより健康的な未来を再構築する革新的な成長企業です。
状況
コルゲート・パルモライブは、他のほぼすべての組織と同様に、顧客により良いサービスを提供するためにデジタルトランスフォーメーションを進めている。
コルゲート・パルモリーブ社のCISO、アレックス・シュッチマンはこう言う:
「顧客のデータを保護し、製品だけでなく、顧客と当社とのデジタル・インタラクションにおいて信頼を築くことができることは、当社にとって非常に重要です」。
しかしアレックスにとっての課題は、潜在的な顧客データ漏洩の根源であるコードそのものを保護することだった。
「アプリケーションのビルドサイドで働いたことは、CISOとしての役割に切り替えたときに本当に役に立ちました。AppSecからチケットが戻ってくる苦痛や、再作業のために締め切りに間に合わないフラストレーションがよくわかります。その結果、CISOとしての私の目標は、単にソフトウェア開発ライフサイクルのセキュリティを高めるだけでなく、その実装方法を合理化することでした」。
アクション
Colgate-Palmolive社は、セキュリティトレーニングを一口サイズの小さな塊に分割することで、この課題に取り組んだ。こうすることで、開発者は、これまで慣れ親しんできた長くて一枚岩のコンプライアンス・トレーニングではなく、ワークフローに組み込むことができるようになった。Secure Code Warriorのセキュアコード学習へのアジャイル、インコンテクストアプローチを活用することで、開発者は実際のプロジェクトのコンテキストで脆弱性を理解できるようになり、セキュアコーディングスキルのエンゲージメント向上と長期的な定着につながりました。
「アレックスは言う。「私は、開発者の参加を維持しながら、これらのベスト・プラクティスを展開したかったのです。"プログラムの重要な部分はまだ義務付けていますが、トレーニングを管理しやすくし、開発者のフィードバックに耳を傾けることが、プログラムの成功に役立っています"
Colgate-Palmolive は、GitHub リポジトリをゲートする Okta ワークフローを実装し、特定の SCW 評価に合格した開発者だけがプル・リクエストにアクセスできるようにした。
結果
アレックスは言う、 「成功のために最適化するには、開発者を最初から参加させる必要があることを理解していました。そのため、開発者がプログラムの成功に欠かせない存在であることを認識させました。その結果、セキュリティ・チームと開発者たちの関係はより良いものになり、まるでチームでプログラムに取り組んでいるような感覚になりました。私たちは、すでに享受した成功を土台に、セキュリティ成熟度向上プログラムを拡大し、規模を拡大し続けています。"
要点
- プログラムの目標を明確に定義し、開発者の意見と参加を重視する。開発者は、ワークフローに組み込まれ、毎日使用している開発ツールと統合された安全なコード学習プログラムに賛同する可能性が高い。
- OktaのようなSSOツールを使ってコードリポジトリをゲートすることで、チームにインセンティブを与える。 特定の SCWcourses とassessment に合格した開発者だけが、プルリクエストを行うことを許される。
- 時間をかけて、AppSec チームと開発チームの間の強固な協力関係を促進するセキュリティ文化を構築する。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
TL;TR
コルゲート・パルモリーブについて
コルゲート・パルモリーブ・カンパニーは、世界中の家庭で知られ、愛されている消費財ブランドです。2世紀以上の歴史がありながら、デジタルを活用して人々とペット、そして地球にとってより健康的な未来を再構築する革新的な成長企業です。
状況
コルゲート・パルモライブは、他のほぼすべての組織と同様に、顧客により良いサービスを提供するためにデジタルトランスフォーメーションを進めている。
コルゲート・パルモリーブ社のCISO、アレックス・シュッチマンはこう言う:
「顧客のデータを保護し、製品だけでなく、顧客と当社とのデジタル・インタラクションにおいて信頼を築くことができることは、当社にとって非常に重要です」。
しかしアレックスにとっての課題は、潜在的な顧客データ漏洩の根源であるコードそのものを保護することだった。
「アプリケーションのビルドサイドで働いたことは、CISOとしての役割に切り替えたときに本当に役に立ちました。AppSecからチケットが戻ってくる苦痛や、再作業のために締め切りに間に合わないフラストレーションがよくわかります。その結果、CISOとしての私の目標は、単にソフトウェア開発ライフサイクルのセキュリティを高めるだけでなく、その実装方法を合理化することでした」。
アクション
Colgate-Palmolive社は、セキュリティトレーニングを一口サイズの小さな塊に分割することで、この課題に取り組んだ。こうすることで、開発者は、これまで慣れ親しんできた長くて一枚岩のコンプライアンス・トレーニングではなく、ワークフローに組み込むことができるようになった。Secure Code Warriorのセキュアコード学習へのアジャイル、インコンテクストアプローチを活用することで、開発者は実際のプロジェクトのコンテキストで脆弱性を理解できるようになり、セキュアコーディングスキルのエンゲージメント向上と長期的な定着につながりました。
「アレックスは言う。「私は、開発者の参加を維持しながら、これらのベスト・プラクティスを展開したかったのです。"プログラムの重要な部分はまだ義務付けていますが、トレーニングを管理しやすくし、開発者のフィードバックに耳を傾けることが、プログラムの成功に役立っています"
Colgate-Palmolive は、GitHub リポジトリをゲートする Okta ワークフローを実装し、特定の SCW 評価に合格した開発者だけがプル・リクエストにアクセスできるようにした。
結果
アレックスは言う、 「成功のために最適化するには、開発者を最初から参加させる必要があることを理解していました。そのため、開発者がプログラムの成功に欠かせない存在であることを認識させました。その結果、セキュリティ・チームと開発者たちの関係はより良いものになり、まるでチームでプログラムに取り組んでいるような感覚になりました。私たちは、すでに享受した成功を土台に、セキュリティ成熟度向上プログラムを拡大し、規模を拡大し続けています。"
要点
- プログラムの目標を明確に定義し、開発者の意見と参加を重視する。開発者は、ワークフローに組み込まれ、毎日使用している開発ツールと統合された安全なコード学習プログラムに賛同する可能性が高い。
- OktaのようなSSOツールを使ってコードリポジトリをゲートすることで、チームにインセンティブを与える。 特定の SCWcourses とassessment に合格した開発者だけが、プルリクエストを行うことを許される。
- 時間をかけて、AppSec チームと開発チームの間の強固な協力関係を促進するセキュリティ文化を構築する。
始めるためのリソース
セキュア・バイ・デザインベストプラクティスの定義、開発者の能力向上、予防的セキュリティ成果のベンチマーク
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士、そして専門家であるクリス・イングリス(Chris Inglis)氏(元米国サイバーディレクター、現パラディン・キャピタル・グループ戦略顧問)、デヴィン・リンチ(Devin Lynch)氏(パラディン・グローバル・インスティテュート・シニアディレクター)が、CISO、アプリケーション・セキュリティ担当副社長、ソフトウェア・セキュリティの専門家など、企業のセキュリティ・リーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします。
セキュリティ スキルのベンチマーク: 企業におけるセキュアな設計の合理化
セキュアバイデザイン(SBD)構想の成功に関する有意義なデータを見つけることは、非常に困難である。CISO は、セキュリティプログラム活動の投資収益率(ROI)とビジネス価値を、従業員レベルと企業レベルの両方で証明しようとすると、しばしば困難に直面します。言うまでもなく、企業にとって、現在の業界標準に対して自社の組織がどのようにベンチマークされているかを把握することは特に困難です。大統領の国家サイバーセキュリティ戦略は、関係者に「デザインによるセキュリティとレジリエンスを受け入れる」ことを求めている。セキュアバイデザインの取り組みを成功させる鍵は、開発者にセキュアなコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが整っていることを保証することである。本プレゼンテーションでは、25万人以上の開発者から収集した社内データ、データに基づく顧客の洞察、公的研究など、複数の一次ソースから得られた無数の定性的・定量的データを紹介します。こうしたデータ・ポイントの集積を活用することで、複数の業種におけるセキュア・バイ・デザイン・イニシアチブの現状をお伝えすることを目的としています。本レポートでは、この領域が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティのリスク軽減に与える大きな影響、コードベースから脆弱性のカテゴリーを排除できる可能性について詳述しています。
始めるためのリソース
明らかになった:サイバー業界はセキュア・バイ・デザインをどのように定義しているか
最新のホワイトペーパーでは、当社の共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士が、CISO、AppSecリーダー、セキュリティ専門家を含む20人以上の企業セキュリティリーダーと対談し、このパズルの重要なピースを見つけ出し、Secure by Design運動の背後にある現実を明らかにしました。セキュア・バイ・デザインは、セキュリティ・チーム全体で共有された野心ですが、共有されたプレイブックはありません。
