より多くの違反、より多くの問題。サードパーティ製アプリへの信頼の代償
私たちの主な使命は、ソフトウェアとその開発を安全なものにすることであり、制作の初期段階からセキュリティを考慮して作られていることは周知の通りです。私たちのビジョンは、ソフトウェア開発の新しい基準を設定することです。開発者がスキルと知識を身につけることで、脆弱なコードを作成プロセス中に検出し、問題が発生する前に修正することができるようになります。
そういった意味では、世界中の企業に新たなデータ漏洩、サイバー攻撃、コードの不正利用が発生したというニュースは喜ばしいことだと思われるかもしれませんが、このような事件は、様々な分野における当社のサービスの必要性を明らかにするものです。しかし、実際のところ、これは非常にもどかしいことです。なぜなら、ほとんどのセキュリティ教育は、リスクを最小限に抑え、これらの侵害を阻止するのに十分な強度を持っていないからです。
最新のデータ漏洩の被害者はTicketmaster社です。被害に遭った数千人のお客様の中には、事件の発生とパスワードの変更を通知するメールを受け取った方もいらっしゃるでしょう。コンサートやスポーツイベントのチケットを購入しただけで個人情報が侵害されるとは誰も思っていませんが、このような事態になってしまいました。
これは誰にとっても最悪の事態であり、Ticketmaster社の評判を落とすことになり、まさに腐った顧客体験となりました。しかし、一つ問題があります。それは、完全に彼らのせいではないということです。
同社は、Inbenta Technologies社のカスタマーサポートアプリケーションを利用していました。Ticketmaster UKは、この製品に悪意のあるコードが含まれていることを発見し、全世界の顧客データの5%が侵害されました。
では、ハッカーたちはどのようにしてこのシステムを悪用したのでしょうか?Inbenta Technologies社がTicketmaster社の要求に合わせてカスタマイズした、1行のJavaScriptコードを操作したのです。Inbenta社によると、このコードは同社が対応していないページで使用されていたため、知っていればセキュリティ上の脆弱性として認識していただろうとのことです。
この脆弱性は、基本的にはファイルのアップロード/保存ライブラリのセキュリティ問題であり、たった1つの違反が、同じコードがロードされているすべてのサイトに影響を与える可能性があります。このコードは、個人情報を収集し、攻撃者に転送するように変更することができます。これは、広範囲に被害を及ぼす可能性のある単純な脆弱性であり、私たちは開発者向けにプラットフォーム内での様々なトレーニングを実施して、この問題に対する防御に取り組んでいます。
もちろん、サードパーティのアプリケーションに頼らずにビジネスを展開することは事実上不可能です。しかし、サードパーティがどのようにソフトウェアを構築しているかを管理することはできませんし、コードのセキュリティ強度についても基本的には見えません。これは信頼の問題です。もしサードパーティのパートナーが安全なコーディングを怠っていたら、あなたの会社にもセキュリティ侵害の可能性があるかもしれません。
では、その解決策とは?簡単に言えば、私たち全員がもっとうまくやらなければならないということです。私たちは、セキュリティを企業の革新の道を阻む厄介な障害物と考えるのをやめなければなりません。
開発チームに適切なツールと知識を与えてセキュリティを導入し、不正なコードを阻止することは、思ったよりも簡単です。私たちは、世界的に有名な金融、通信、小売、ハイテク企業の多くがこの新しいアプローチを採用していることを嬉しく思っていますが、セキュリティ教育に取り組むのはフォーチュン100社の企業だけではありません。しかし、セキュリティ教育に取り組むのはFortune 100企業だけではありません。開発者をスタッフに抱えるすべての企業は、チームが安全にコーディングできるようなトレーニングを実施する必要があります。
最近発表されたホワイトペーパーでは、CTOのMatias Madouと共同で執筆し、組織内にセキュリティ文化を構築することの利点を紹介しています。このホワイトペーパーでは、セキュリティ文化を構築することが、イノベーションを生み出し、アジャイル性を維持し、安全でないコードがもたらす財務上の影響を軽減するための鍵となる理由を詳しく説明しています。
などのヒントを見つけることができます。
セキュリティトレーニングを開発者にとって適切で魅力的なものにする方法
開発者が自分で問題を発見して解決する方法を教える方法
開発者が自らのコードを安全に構築するためにはどうすればよいか。
この資料をダウンロードして、組織内でセキュリティを擁護し、チームのスキルを高め、より高い水準のコードを設定するための第一線で活用してください。
私たちは、セキュリティを企業の革新の道を阻む厄介な障害物と考えるのをやめなければなりません。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
私たちの主な使命は、ソフトウェアとその開発を安全なものにすることであり、制作の初期段階からセキュリティを考慮して作られていることは周知の通りです。私たちのビジョンは、ソフトウェア開発の新しい基準を設定することです。開発者がスキルと知識を身につけることで、脆弱なコードを作成プロセス中に検出し、問題が発生する前に修正することができるようになります。
そういった意味では、世界中の企業に新たなデータ漏洩、サイバー攻撃、コードの不正利用が発生したというニュースは喜ばしいことだと思われるかもしれませんが、このような事件は、様々な分野における当社のサービスの必要性を明らかにするものです。しかし、実際のところ、これは非常にもどかしいことです。なぜなら、ほとんどのセキュリティ教育は、リスクを最小限に抑え、これらの侵害を阻止するのに十分な強度を持っていないからです。
最新のデータ漏洩の被害者はTicketmaster社です。被害に遭った数千人のお客様の中には、事件の発生とパスワードの変更を通知するメールを受け取った方もいらっしゃるでしょう。コンサートやスポーツイベントのチケットを購入しただけで個人情報が侵害されるとは誰も思っていませんが、このような事態になってしまいました。
これは誰にとっても最悪の事態であり、Ticketmaster社の評判を落とすことになり、まさに腐った顧客体験となりました。しかし、一つ問題があります。それは、完全に彼らのせいではないということです。
同社は、Inbenta Technologies社のカスタマーサポートアプリケーションを利用していました。Ticketmaster UKは、この製品に悪意のあるコードが含まれていることを発見し、全世界の顧客データの5%が侵害されました。
では、ハッカーたちはどのようにしてこのシステムを悪用したのでしょうか?Inbenta Technologies社がTicketmaster社の要求に合わせてカスタマイズした、1行のJavaScriptコードを操作したのです。Inbenta社によると、このコードは同社が対応していないページで使用されていたため、知っていればセキュリティ上の脆弱性として認識していただろうとのことです。
この脆弱性は、基本的にはファイルのアップロード/保存ライブラリのセキュリティ問題であり、たった1つの違反が、同じコードがロードされているすべてのサイトに影響を与える可能性があります。このコードは、個人情報を収集し、攻撃者に転送するように変更することができます。これは、広範囲に被害を及ぼす可能性のある単純な脆弱性であり、私たちは開発者向けにプラットフォーム内での様々なトレーニングを実施して、この問題に対する防御に取り組んでいます。
もちろん、サードパーティのアプリケーションに頼らずにビジネスを展開することは事実上不可能です。しかし、サードパーティがどのようにソフトウェアを構築しているかを管理することはできませんし、コードのセキュリティ強度についても基本的には見えません。これは信頼の問題です。もしサードパーティのパートナーが安全なコーディングを怠っていたら、あなたの会社にもセキュリティ侵害の可能性があるかもしれません。
では、その解決策とは?簡単に言えば、私たち全員がもっとうまくやらなければならないということです。私たちは、セキュリティを企業の革新の道を阻む厄介な障害物と考えるのをやめなければなりません。
開発チームに適切なツールと知識を与えてセキュリティを導入し、不正なコードを阻止することは、思ったよりも簡単です。私たちは、世界的に有名な金融、通信、小売、ハイテク企業の多くがこの新しいアプローチを採用していることを嬉しく思っていますが、セキュリティ教育に取り組むのはフォーチュン100社の企業だけではありません。しかし、セキュリティ教育に取り組むのはFortune 100企業だけではありません。開発者をスタッフに抱えるすべての企業は、チームが安全にコーディングできるようなトレーニングを実施する必要があります。
最近発表されたホワイトペーパーでは、CTOのMatias Madouと共同で執筆し、組織内にセキュリティ文化を構築することの利点を紹介しています。このホワイトペーパーでは、セキュリティ文化を構築することが、イノベーションを生み出し、アジャイル性を維持し、安全でないコードがもたらす財務上の影響を軽減するための鍵となる理由を詳しく説明しています。
などのヒントを見つけることができます。
セキュリティトレーニングを開発者にとって適切で魅力的なものにする方法
開発者が自分で問題を発見して解決する方法を教える方法
開発者が自らのコードを安全に構築するためにはどうすればよいか。
この資料をダウンロードして、組織内でセキュリティを擁護し、チームのスキルを高め、より高い水準のコードを設定するための第一線で活用してください。
私たちは、セキュリティを企業の革新の道を阻む厄介な障害物と考えるのをやめなければなりません。
私たちの主な使命は、ソフトウェアとその開発を安全なものにすることであり、制作の初期段階からセキュリティを考慮して作られていることは周知の通りです。私たちのビジョンは、ソフトウェア開発の新しい基準を設定することです。開発者がスキルと知識を身につけることで、脆弱なコードを作成プロセス中に検出し、問題が発生する前に修正することができるようになります。
そういった意味では、世界中の企業に新たなデータ漏洩、サイバー攻撃、コードの不正利用が発生したというニュースは喜ばしいことだと思われるかもしれませんが、このような事件は、様々な分野における当社のサービスの必要性を明らかにするものです。しかし、実際のところ、これは非常にもどかしいことです。なぜなら、ほとんどのセキュリティ教育は、リスクを最小限に抑え、これらの侵害を阻止するのに十分な強度を持っていないからです。
最新のデータ漏洩の被害者はTicketmaster社です。被害に遭った数千人のお客様の中には、事件の発生とパスワードの変更を通知するメールを受け取った方もいらっしゃるでしょう。コンサートやスポーツイベントのチケットを購入しただけで個人情報が侵害されるとは誰も思っていませんが、このような事態になってしまいました。
これは誰にとっても最悪の事態であり、Ticketmaster社の評判を落とすことになり、まさに腐った顧客体験となりました。しかし、一つ問題があります。それは、完全に彼らのせいではないということです。
同社は、Inbenta Technologies社のカスタマーサポートアプリケーションを利用していました。Ticketmaster UKは、この製品に悪意のあるコードが含まれていることを発見し、全世界の顧客データの5%が侵害されました。
では、ハッカーたちはどのようにしてこのシステムを悪用したのでしょうか?Inbenta Technologies社がTicketmaster社の要求に合わせてカスタマイズした、1行のJavaScriptコードを操作したのです。Inbenta社によると、このコードは同社が対応していないページで使用されていたため、知っていればセキュリティ上の脆弱性として認識していただろうとのことです。
この脆弱性は、基本的にはファイルのアップロード/保存ライブラリのセキュリティ問題であり、たった1つの違反が、同じコードがロードされているすべてのサイトに影響を与える可能性があります。このコードは、個人情報を収集し、攻撃者に転送するように変更することができます。これは、広範囲に被害を及ぼす可能性のある単純な脆弱性であり、私たちは開発者向けにプラットフォーム内での様々なトレーニングを実施して、この問題に対する防御に取り組んでいます。
もちろん、サードパーティのアプリケーションに頼らずにビジネスを展開することは事実上不可能です。しかし、サードパーティがどのようにソフトウェアを構築しているかを管理することはできませんし、コードのセキュリティ強度についても基本的には見えません。これは信頼の問題です。もしサードパーティのパートナーが安全なコーディングを怠っていたら、あなたの会社にもセキュリティ侵害の可能性があるかもしれません。
では、その解決策とは?簡単に言えば、私たち全員がもっとうまくやらなければならないということです。私たちは、セキュリティを企業の革新の道を阻む厄介な障害物と考えるのをやめなければなりません。
開発チームに適切なツールと知識を与えてセキュリティを導入し、不正なコードを阻止することは、思ったよりも簡単です。私たちは、世界的に有名な金融、通信、小売、ハイテク企業の多くがこの新しいアプローチを採用していることを嬉しく思っていますが、セキュリティ教育に取り組むのはフォーチュン100社の企業だけではありません。しかし、セキュリティ教育に取り組むのはFortune 100企業だけではありません。開発者をスタッフに抱えるすべての企業は、チームが安全にコーディングできるようなトレーニングを実施する必要があります。
最近発表されたホワイトペーパーでは、CTOのMatias Madouと共同で執筆し、組織内にセキュリティ文化を構築することの利点を紹介しています。このホワイトペーパーでは、セキュリティ文化を構築することが、イノベーションを生み出し、アジャイル性を維持し、安全でないコードがもたらす財務上の影響を軽減するための鍵となる理由を詳しく説明しています。
などのヒントを見つけることができます。
セキュリティトレーニングを開発者にとって適切で魅力的なものにする方法
開発者が自分で問題を発見して解決する方法を教える方法
開発者が自らのコードを安全に構築するためにはどうすればよいか。
この資料をダウンロードして、組織内でセキュリティを擁護し、チームのスキルを高め、より高い水準のコードを設定するための第一線で活用してください。
私たちは、セキュリティを企業の革新の道を阻む厄介な障害物と考えるのをやめなければなりません。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
私たちの主な使命は、ソフトウェアとその開発を安全なものにすることであり、制作の初期段階からセキュリティを考慮して作られていることは周知の通りです。私たちのビジョンは、ソフトウェア開発の新しい基準を設定することです。開発者がスキルと知識を身につけることで、脆弱なコードを作成プロセス中に検出し、問題が発生する前に修正することができるようになります。
そういった意味では、世界中の企業に新たなデータ漏洩、サイバー攻撃、コードの不正利用が発生したというニュースは喜ばしいことだと思われるかもしれませんが、このような事件は、様々な分野における当社のサービスの必要性を明らかにするものです。しかし、実際のところ、これは非常にもどかしいことです。なぜなら、ほとんどのセキュリティ教育は、リスクを最小限に抑え、これらの侵害を阻止するのに十分な強度を持っていないからです。
最新のデータ漏洩の被害者はTicketmaster社です。被害に遭った数千人のお客様の中には、事件の発生とパスワードの変更を通知するメールを受け取った方もいらっしゃるでしょう。コンサートやスポーツイベントのチケットを購入しただけで個人情報が侵害されるとは誰も思っていませんが、このような事態になってしまいました。
これは誰にとっても最悪の事態であり、Ticketmaster社の評判を落とすことになり、まさに腐った顧客体験となりました。しかし、一つ問題があります。それは、完全に彼らのせいではないということです。
同社は、Inbenta Technologies社のカスタマーサポートアプリケーションを利用していました。Ticketmaster UKは、この製品に悪意のあるコードが含まれていることを発見し、全世界の顧客データの5%が侵害されました。
では、ハッカーたちはどのようにしてこのシステムを悪用したのでしょうか?Inbenta Technologies社がTicketmaster社の要求に合わせてカスタマイズした、1行のJavaScriptコードを操作したのです。Inbenta社によると、このコードは同社が対応していないページで使用されていたため、知っていればセキュリティ上の脆弱性として認識していただろうとのことです。
この脆弱性は、基本的にはファイルのアップロード/保存ライブラリのセキュリティ問題であり、たった1つの違反が、同じコードがロードされているすべてのサイトに影響を与える可能性があります。このコードは、個人情報を収集し、攻撃者に転送するように変更することができます。これは、広範囲に被害を及ぼす可能性のある単純な脆弱性であり、私たちは開発者向けにプラットフォーム内での様々なトレーニングを実施して、この問題に対する防御に取り組んでいます。
もちろん、サードパーティのアプリケーションに頼らずにビジネスを展開することは事実上不可能です。しかし、サードパーティがどのようにソフトウェアを構築しているかを管理することはできませんし、コードのセキュリティ強度についても基本的には見えません。これは信頼の問題です。もしサードパーティのパートナーが安全なコーディングを怠っていたら、あなたの会社にもセキュリティ侵害の可能性があるかもしれません。
では、その解決策とは?簡単に言えば、私たち全員がもっとうまくやらなければならないということです。私たちは、セキュリティを企業の革新の道を阻む厄介な障害物と考えるのをやめなければなりません。
開発チームに適切なツールと知識を与えてセキュリティを導入し、不正なコードを阻止することは、思ったよりも簡単です。私たちは、世界的に有名な金融、通信、小売、ハイテク企業の多くがこの新しいアプローチを採用していることを嬉しく思っていますが、セキュリティ教育に取り組むのはフォーチュン100社の企業だけではありません。しかし、セキュリティ教育に取り組むのはFortune 100企業だけではありません。開発者をスタッフに抱えるすべての企業は、チームが安全にコーディングできるようなトレーニングを実施する必要があります。
最近発表されたホワイトペーパーでは、CTOのMatias Madouと共同で執筆し、組織内にセキュリティ文化を構築することの利点を紹介しています。このホワイトペーパーでは、セキュリティ文化を構築することが、イノベーションを生み出し、アジャイル性を維持し、安全でないコードがもたらす財務上の影響を軽減するための鍵となる理由を詳しく説明しています。
などのヒントを見つけることができます。
セキュリティトレーニングを開発者にとって適切で魅力的なものにする方法
開発者が自分で問題を発見して解決する方法を教える方法
開発者が自らのコードを安全に構築するためにはどうすればよいか。
この資料をダウンロードして、組織内でセキュリティを擁護し、チームのスキルを高め、より高い水準のコードを設定するための第一線で活用してください。
私たちは、セキュリティを企業の革新の道を阻む厄介な障害物と考えるのをやめなければなりません。
始めるためのリソース
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
