コンプライアンスを超える:Secure Code Warrior 、Netskopeの開発者はどのようにしてクラウドソリューションを大規模にコーディングできるようになったのか。
背景
SASEのグローバルリーダーであるNetskopeは、組織がゼロトラスト原則とAI/MLイノベーションを適用してデータを保護し、サイバー脅威から防御するのを支援します。迅速で使いやすいNetskopeプラットフォームは、人、デバイス、データがどこにいても最適化されたアクセスとリアルタイムのセキュリティを提供します。Netskopeは、お客様がリスクを削減し、パフォーマンスを加速し、あらゆるクラウド、ウェブ、プライベートアプリケーションのアクティビティに比類のない可視性を得ることを支援します。Netskopeとその強力なNewEdgeネットワークは、進化する脅威、新たなリスク、テクノロジーのシフト、組織やネットワークの変更、新たな規制要件に対応するために、何千ものお客様から信頼を得ています。
状況
クラウドコンピューティングとA.I.の技術革新のスピードは、ソフトウェア開発ライフサイクルを大幅に加速させている。NetskopeのCISOであるジェームス・ロビンソンは、ほんの一握りの言語のセキュア開発に関するビデオでコンプライアンス目標を満たすという開発者向けトレーニングのやり方は、今日の市場では持続可能ではないことを認識していました。Netskopeの開発者が新しい言語や技術に対応し、かつセキュリティのスキルを維持し続けるには、その急速な普及と組織内の急速な変化が課題となっていました。
Netskopeは、開発者が受ける言語とカバレッジを広げるために、より多くのカスタム接続を作成しようとしましたが、エンゲージメントはまだ非常に低く、すぐにトレーニングは生産性に挑戦し始めました。ジェームズは、より実践的な学習アプローチを通じて、開発者がこのテーマに熱中できるようなアプローチに変えたいと考えていました。
アクション
毎年行われるトレーニングや、その場限りのトレーニングでは、コードスキャナーのようなインフラストラクチャや、Netskope の CI や CD のセキュリティステップに統合できる様々な SAST ツールを総合的に扱うことはできませんでした。Netskope は、開発者のセキュリティへの参加を、分析とテストのプロセスに統合できるようにする必要がありました。これにより、コンプライアンス要件を補足する安全な開発教育のベースラインが提供された。
左シフト
Netskopeが "シフト・レフト "について議論し始めたとき、それは疑問を投げかけた。どこまでシフトする必要があるのか?リーダーシップは、社内で「セルフサービス・アダプション」という名称に変更する決断を下した。これは原則的に、開発者がセキュアなコード教育について積極的に行動できるようにすることだった。と協働することで Secure Code Warriorと連携することで、開発者が未検証のソリューションに迷い込むことがないよう、セキュリティに関するコンテンツを可視化し、開発者がアクセスできるようにするプログラムを構築した。
行動力と価値
からのカスタマイズ可能なコンテンツと無数の実践的な学習アクティビティは、セキュリティ・チームと開発者チームがよりオープンで生産的な会話をする場を提供した。 Secure Code Warriorによって、セキュリティチームと開発者チームの間で、よりオープンで生産的な会話ができるようになりました。開発者は、単にコンプライアンスを達成するだけでなく、その価値を認識するようになり、セキュリティにより深く関与し、興味を持つようになった。また、重大な脆弱性や繰り返し発生する脆弱性に注目し、プログラムを補完する教育コンテンツをさらに作成する機会も広がった。
結果
プログラムを展開した後、Netskopeは開発者からのフィードバックを熱心に収集し、彼らがプラットフォームから最大の価値を得ていることを確認しました。その結果は圧倒的にポジティブなものでした。
ネットスコープのCISOであるジェームス・ロビンソンによれば:
私たちの開発者チームは、Secure Code Warriorのプラットフォームのおかげで、より魅力的なセルフサービスの学習アプローチを採用し、学習経路をより早く開発者の手に届けることで、左遷に成功しました。さらに重要なことに、私たちは次のようにより良い投資効果を得ていると感じています。 投資収益率なぜなら、参加者が増え、これらの取り組みが、もはやチェック・ザ・ボックスのような、コンプライアンスに義務付けられた活動だとは感じられなくなったからです。この副産物として、開発者がセキュリティ・チャンピオンになれるようになりました」。
要点
- 強力なアプリケーション・セキュリティ・チームに投資 しない組織は、コードを通じてより多くのリスクを導入することを許して しまう。その結果、脆弱性を修正し、セキュリティ問題に対処するための時間とコストが浪費される。
- コンプライアンス重視の1年に1回の1時間のトレーニングではなく、関連するコンテンツを通じて毎月2、3回のキー・ラーニングを行うだけで、時間の節約につながるプログラムを活用しよう。 開発者を教育することによって節約された時間は、そもそも導入されるべきではなかった脆弱性を修正するために必要な手戻りを減らすという形で現れる。
- クラウド・ソリューションを大規模にコーディングすることが新たに求められている。 数年前までは、開発者が1つのプログラミング言語を通じてコードの安全性を確保することに全面的に投資することが期待されていた。今日のハイテク市場では、もはやそうではない。企業が構築し追求したいクラウド・インフラやアプリケーションに最適な複数の言語を選択する必要がある。
このケーススタディでは、Netskope がSecure Code Warrior を使って開発者のセキュリティ教育をどのように変革し、開発者に積極的で積極的なセキュリティ・チャンピオンになる力を与えたかについて説明します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
背景
SASEのグローバルリーダーであるNetskopeは、組織がゼロトラスト原則とAI/MLイノベーションを適用してデータを保護し、サイバー脅威から防御するのを支援します。迅速で使いやすいNetskopeプラットフォームは、人、デバイス、データがどこにいても最適化されたアクセスとリアルタイムのセキュリティを提供します。Netskopeは、お客様がリスクを削減し、パフォーマンスを加速し、あらゆるクラウド、ウェブ、プライベートアプリケーションのアクティビティに比類のない可視性を得ることを支援します。Netskopeとその強力なNewEdgeネットワークは、進化する脅威、新たなリスク、テクノロジーのシフト、組織やネットワークの変更、新たな規制要件に対応するために、何千ものお客様から信頼を得ています。
状況
クラウドコンピューティングとA.I.の技術革新のスピードは、ソフトウェア開発ライフサイクルを大幅に加速させている。NetskopeのCISOであるジェームス・ロビンソンは、ほんの一握りの言語のセキュア開発に関するビデオでコンプライアンス目標を満たすという開発者向けトレーニングのやり方は、今日の市場では持続可能ではないことを認識していました。Netskopeの開発者が新しい言語や技術に対応し、かつセキュリティのスキルを維持し続けるには、その急速な普及と組織内の急速な変化が課題となっていました。
Netskopeは、開発者が受ける言語とカバレッジを広げるために、より多くのカスタム接続を作成しようとしましたが、エンゲージメントはまだ非常に低く、すぐにトレーニングは生産性に挑戦し始めました。ジェームズは、より実践的な学習アプローチを通じて、開発者がこのテーマに熱中できるようなアプローチに変えたいと考えていました。
アクション
毎年行われるトレーニングや、その場限りのトレーニングでは、コードスキャナーのようなインフラストラクチャや、Netskope の CI や CD のセキュリティステップに統合できる様々な SAST ツールを総合的に扱うことはできませんでした。Netskope は、開発者のセキュリティへの参加を、分析とテストのプロセスに統合できるようにする必要がありました。これにより、コンプライアンス要件を補足する安全な開発教育のベースラインが提供された。
左シフト
Netskopeが "シフト・レフト "について議論し始めたとき、それは疑問を投げかけた。どこまでシフトする必要があるのか?リーダーシップは、社内で「セルフサービス・アダプション」という名称に変更する決断を下した。これは原則的に、開発者がセキュアなコード教育について積極的に行動できるようにすることだった。と協働することで Secure Code Warriorと連携することで、開発者が未検証のソリューションに迷い込むことがないよう、セキュリティに関するコンテンツを可視化し、開発者がアクセスできるようにするプログラムを構築した。
行動力と価値
からのカスタマイズ可能なコンテンツと無数の実践的な学習アクティビティは、セキュリティ・チームと開発者チームがよりオープンで生産的な会話をする場を提供した。 Secure Code Warriorによって、セキュリティチームと開発者チームの間で、よりオープンで生産的な会話ができるようになりました。開発者は、単にコンプライアンスを達成するだけでなく、その価値を認識するようになり、セキュリティにより深く関与し、興味を持つようになった。また、重大な脆弱性や繰り返し発生する脆弱性に注目し、プログラムを補完する教育コンテンツをさらに作成する機会も広がった。
結果
プログラムを展開した後、Netskopeは開発者からのフィードバックを熱心に収集し、彼らがプラットフォームから最大の価値を得ていることを確認しました。その結果は圧倒的にポジティブなものでした。
ネットスコープのCISOであるジェームス・ロビンソンによれば:
私たちの開発者チームは、Secure Code Warriorのプラットフォームのおかげで、より魅力的なセルフサービスの学習アプローチを採用し、学習経路をより早く開発者の手に届けることで、左遷に成功しました。さらに重要なことに、私たちは次のようにより良い投資効果を得ていると感じています。 投資収益率なぜなら、参加者が増え、これらの取り組みが、もはやチェック・ザ・ボックスのような、コンプライアンスに義務付けられた活動だとは感じられなくなったからです。この副産物として、開発者がセキュリティ・チャンピオンになれるようになりました」。
要点
- 強力なアプリケーション・セキュリティ・チームに投資 しない組織は、コードを通じてより多くのリスクを導入することを許して しまう。その結果、脆弱性を修正し、セキュリティ問題に対処するための時間とコストが浪費される。
- コンプライアンス重視の1年に1回の1時間のトレーニングではなく、関連するコンテンツを通じて毎月2、3回のキー・ラーニングを行うだけで、時間の節約につながるプログラムを活用しよう。 開発者を教育することによって節約された時間は、そもそも導入されるべきではなかった脆弱性を修正するために必要な手戻りを減らすという形で現れる。
- クラウド・ソリューションを大規模にコーディングすることが新たに求められている。 数年前までは、開発者が1つのプログラミング言語を通じてコードの安全性を確保することに全面的に投資することが期待されていた。今日のハイテク市場では、もはやそうではない。企業が構築し追求したいクラウド・インフラやアプリケーションに最適な複数の言語を選択する必要がある。
背景
SASEのグローバルリーダーであるNetskopeは、組織がゼロトラスト原則とAI/MLイノベーションを適用してデータを保護し、サイバー脅威から防御するのを支援します。迅速で使いやすいNetskopeプラットフォームは、人、デバイス、データがどこにいても最適化されたアクセスとリアルタイムのセキュリティを提供します。Netskopeは、お客様がリスクを削減し、パフォーマンスを加速し、あらゆるクラウド、ウェブ、プライベートアプリケーションのアクティビティに比類のない可視性を得ることを支援します。Netskopeとその強力なNewEdgeネットワークは、進化する脅威、新たなリスク、テクノロジーのシフト、組織やネットワークの変更、新たな規制要件に対応するために、何千ものお客様から信頼を得ています。
状況
クラウドコンピューティングとA.I.の技術革新のスピードは、ソフトウェア開発ライフサイクルを大幅に加速させている。NetskopeのCISOであるジェームス・ロビンソンは、ほんの一握りの言語のセキュア開発に関するビデオでコンプライアンス目標を満たすという開発者向けトレーニングのやり方は、今日の市場では持続可能ではないことを認識していました。Netskopeの開発者が新しい言語や技術に対応し、かつセキュリティのスキルを維持し続けるには、その急速な普及と組織内の急速な変化が課題となっていました。
Netskopeは、開発者が受ける言語とカバレッジを広げるために、より多くのカスタム接続を作成しようとしましたが、エンゲージメントはまだ非常に低く、すぐにトレーニングは生産性に挑戦し始めました。ジェームズは、より実践的な学習アプローチを通じて、開発者がこのテーマに熱中できるようなアプローチに変えたいと考えていました。
アクション
毎年行われるトレーニングや、その場限りのトレーニングでは、コードスキャナーのようなインフラストラクチャや、Netskope の CI や CD のセキュリティステップに統合できる様々な SAST ツールを総合的に扱うことはできませんでした。Netskope は、開発者のセキュリティへの参加を、分析とテストのプロセスに統合できるようにする必要がありました。これにより、コンプライアンス要件を補足する安全な開発教育のベースラインが提供された。
左シフト
Netskopeが "シフト・レフト "について議論し始めたとき、それは疑問を投げかけた。どこまでシフトする必要があるのか?リーダーシップは、社内で「セルフサービス・アダプション」という名称に変更する決断を下した。これは原則的に、開発者がセキュアなコード教育について積極的に行動できるようにすることだった。と協働することで Secure Code Warriorと連携することで、開発者が未検証のソリューションに迷い込むことがないよう、セキュリティに関するコンテンツを可視化し、開発者がアクセスできるようにするプログラムを構築した。
行動力と価値
からのカスタマイズ可能なコンテンツと無数の実践的な学習アクティビティは、セキュリティ・チームと開発者チームがよりオープンで生産的な会話をする場を提供した。 Secure Code Warriorによって、セキュリティチームと開発者チームの間で、よりオープンで生産的な会話ができるようになりました。開発者は、単にコンプライアンスを達成するだけでなく、その価値を認識するようになり、セキュリティにより深く関与し、興味を持つようになった。また、重大な脆弱性や繰り返し発生する脆弱性に注目し、プログラムを補完する教育コンテンツをさらに作成する機会も広がった。
結果
プログラムを展開した後、Netskopeは開発者からのフィードバックを熱心に収集し、彼らがプラットフォームから最大の価値を得ていることを確認しました。その結果は圧倒的にポジティブなものでした。
ネットスコープのCISOであるジェームス・ロビンソンによれば:
私たちの開発者チームは、Secure Code Warriorのプラットフォームのおかげで、より魅力的なセルフサービスの学習アプローチを採用し、学習経路をより早く開発者の手に届けることで、左遷に成功しました。さらに重要なことに、私たちは次のようにより良い投資効果を得ていると感じています。 投資収益率なぜなら、参加者が増え、これらの取り組みが、もはやチェック・ザ・ボックスのような、コンプライアンスに義務付けられた活動だとは感じられなくなったからです。この副産物として、開発者がセキュリティ・チャンピオンになれるようになりました」。
要点
- 強力なアプリケーション・セキュリティ・チームに投資 しない組織は、コードを通じてより多くのリスクを導入することを許して しまう。その結果、脆弱性を修正し、セキュリティ問題に対処するための時間とコストが浪費される。
- コンプライアンス重視の1年に1回の1時間のトレーニングではなく、関連するコンテンツを通じて毎月2、3回のキー・ラーニングを行うだけで、時間の節約につながるプログラムを活用しよう。 開発者を教育することによって節約された時間は、そもそも導入されるべきではなかった脆弱性を修正するために必要な手戻りを減らすという形で現れる。
- クラウド・ソリューションを大規模にコーディングすることが新たに求められている。 数年前までは、開発者が1つのプログラミング言語を通じてコードの安全性を確保することに全面的に投資することが期待されていた。今日のハイテク市場では、もはやそうではない。企業が構築し追求したいクラウド・インフラやアプリケーションに最適な複数の言語を選択する必要がある。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する背景
SASEのグローバルリーダーであるNetskopeは、組織がゼロトラスト原則とAI/MLイノベーションを適用してデータを保護し、サイバー脅威から防御するのを支援します。迅速で使いやすいNetskopeプラットフォームは、人、デバイス、データがどこにいても最適化されたアクセスとリアルタイムのセキュリティを提供します。Netskopeは、お客様がリスクを削減し、パフォーマンスを加速し、あらゆるクラウド、ウェブ、プライベートアプリケーションのアクティビティに比類のない可視性を得ることを支援します。Netskopeとその強力なNewEdgeネットワークは、進化する脅威、新たなリスク、テクノロジーのシフト、組織やネットワークの変更、新たな規制要件に対応するために、何千ものお客様から信頼を得ています。
状況
クラウドコンピューティングとA.I.の技術革新のスピードは、ソフトウェア開発ライフサイクルを大幅に加速させている。NetskopeのCISOであるジェームス・ロビンソンは、ほんの一握りの言語のセキュア開発に関するビデオでコンプライアンス目標を満たすという開発者向けトレーニングのやり方は、今日の市場では持続可能ではないことを認識していました。Netskopeの開発者が新しい言語や技術に対応し、かつセキュリティのスキルを維持し続けるには、その急速な普及と組織内の急速な変化が課題となっていました。
Netskopeは、開発者が受ける言語とカバレッジを広げるために、より多くのカスタム接続を作成しようとしましたが、エンゲージメントはまだ非常に低く、すぐにトレーニングは生産性に挑戦し始めました。ジェームズは、より実践的な学習アプローチを通じて、開発者がこのテーマに熱中できるようなアプローチに変えたいと考えていました。
アクション
毎年行われるトレーニングや、その場限りのトレーニングでは、コードスキャナーのようなインフラストラクチャや、Netskope の CI や CD のセキュリティステップに統合できる様々な SAST ツールを総合的に扱うことはできませんでした。Netskope は、開発者のセキュリティへの参加を、分析とテストのプロセスに統合できるようにする必要がありました。これにより、コンプライアンス要件を補足する安全な開発教育のベースラインが提供された。
左シフト
Netskopeが "シフト・レフト "について議論し始めたとき、それは疑問を投げかけた。どこまでシフトする必要があるのか?リーダーシップは、社内で「セルフサービス・アダプション」という名称に変更する決断を下した。これは原則的に、開発者がセキュアなコード教育について積極的に行動できるようにすることだった。と協働することで Secure Code Warriorと連携することで、開発者が未検証のソリューションに迷い込むことがないよう、セキュリティに関するコンテンツを可視化し、開発者がアクセスできるようにするプログラムを構築した。
行動力と価値
からのカスタマイズ可能なコンテンツと無数の実践的な学習アクティビティは、セキュリティ・チームと開発者チームがよりオープンで生産的な会話をする場を提供した。 Secure Code Warriorによって、セキュリティチームと開発者チームの間で、よりオープンで生産的な会話ができるようになりました。開発者は、単にコンプライアンスを達成するだけでなく、その価値を認識するようになり、セキュリティにより深く関与し、興味を持つようになった。また、重大な脆弱性や繰り返し発生する脆弱性に注目し、プログラムを補完する教育コンテンツをさらに作成する機会も広がった。
結果
プログラムを展開した後、Netskopeは開発者からのフィードバックを熱心に収集し、彼らがプラットフォームから最大の価値を得ていることを確認しました。その結果は圧倒的にポジティブなものでした。
ネットスコープのCISOであるジェームス・ロビンソンによれば:
私たちの開発者チームは、Secure Code Warriorのプラットフォームのおかげで、より魅力的なセルフサービスの学習アプローチを採用し、学習経路をより早く開発者の手に届けることで、左遷に成功しました。さらに重要なことに、私たちは次のようにより良い投資効果を得ていると感じています。 投資収益率なぜなら、参加者が増え、これらの取り組みが、もはやチェック・ザ・ボックスのような、コンプライアンスに義務付けられた活動だとは感じられなくなったからです。この副産物として、開発者がセキュリティ・チャンピオンになれるようになりました」。
要点
- 強力なアプリケーション・セキュリティ・チームに投資 しない組織は、コードを通じてより多くのリスクを導入することを許して しまう。その結果、脆弱性を修正し、セキュリティ問題に対処するための時間とコストが浪費される。
- コンプライアンス重視の1年に1回の1時間のトレーニングではなく、関連するコンテンツを通じて毎月2、3回のキー・ラーニングを行うだけで、時間の節約につながるプログラムを活用しよう。 開発者を教育することによって節約された時間は、そもそも導入されるべきではなかった脆弱性を修正するために必要な手戻りを減らすという形で現れる。
- クラウド・ソリューションを大規模にコーディングすることが新たに求められている。 数年前までは、開発者が1つのプログラミング言語を通じてコードの安全性を確保することに全面的に投資することが期待されていた。今日のハイテク市場では、もはやそうではない。企業が構築し追求したいクラウド・インフラやアプリケーションに最適な複数の言語を選択する必要がある。
始めるためのリソース
セキュア・バイ・デザインベストプラクティスの定義、開発者の能力向上、予防的セキュリティ成果のベンチマーク
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士、そして専門家であるクリス・イングリス(Chris Inglis)氏(元米国サイバーディレクター、現パラディン・キャピタル・グループ戦略顧問)、デヴィン・リンチ(Devin Lynch)氏(パラディン・グローバル・インスティテュート・シニアディレクター)が、CISO、アプリケーション・セキュリティ担当副社長、ソフトウェア・セキュリティの専門家など、企業のセキュリティ・リーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします。
セキュリティ スキルのベンチマーク: 企業におけるセキュアな設計の合理化
セキュアバイデザイン(SBD)構想の成功に関する有意義なデータを見つけることは、非常に困難である。CISO は、セキュリティプログラム活動の投資収益率(ROI)とビジネス価値を、従業員レベルと企業レベルの両方で証明しようとすると、しばしば困難に直面します。言うまでもなく、企業にとって、現在の業界標準に対して自社の組織がどのようにベンチマークされているかを把握することは特に困難です。大統領の国家サイバーセキュリティ戦略は、関係者に「デザインによるセキュリティとレジリエンスを受け入れる」ことを求めている。セキュアバイデザインの取り組みを成功させる鍵は、開発者にセキュアなコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが整っていることを保証することである。本プレゼンテーションでは、25万人以上の開発者から収集した社内データ、データに基づく顧客の洞察、公的研究など、複数の一次ソースから得られた無数の定性的・定量的データを紹介します。こうしたデータ・ポイントの集積を活用することで、複数の業種におけるセキュア・バイ・デザイン・イニシアチブの現状をお伝えすることを目的としています。本レポートでは、この領域が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティのリスク軽減に与える大きな影響、コードベースから脆弱性のカテゴリーを排除できる可能性について詳述しています。
