安全なコーディングのために組織を再編成する - 障壁、懸念、および積極的な解決策
ハイパー・コネクテッド・ワールドでは、ほとんどすべての組織が共通のアキレス腱を持っています。 たった1つの脆弱性、つまりコードの隙間を突かれただけで、顧客データの盗難、風評被害、多額の金銭的損失を引き起こす可能性があるのです。セキュアコーディングに関する組織の連携は、かつてないほど必要不可欠なものとなっていますが、それを実現するのは言うほど簡単ではありません。 そこで、2020年、Secure Code Warrior は、Evans Data Corp.と協力して、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者と管理者の意識に関する一次調査*を実施しました。
サイバーセキュリティが最重要視されるこの環境では、従来のプロジェクト成功のためのKPIは再定義されつつありますが、そのスピードは十分ではありません。
ソフトウェア開発プロセスにおいて最も重要な優先事項について、開発者と管理者に尋ねたところ、次のような答えが返ってきました。
- 76%がアプリケーション・パフォーマンスを指名
- 62%が機能・特徴を選んだ
- そして、50%強の人がセキュアコードを選択
今日では、見ての通り、セキュリティは重要な優先事項ではありません。
しかし、将来に目を向けると、状況は大きく変わります。プロジェクトの成功を測る上で最も重要な将来の優先事項について尋ねたところ、79%の開発者が「安全なコーディングがより重要になる」と回答しました。実際、開発者は、最も重要性が高まるKPIとしてセキュリティを挙げています。
しかし、安全なコーディングに対する意識が高まっているにもかかわらず、その導入には懸念があります。開発者にとっても管理者にとっても、脆弱性への対応やコードへの責任を負うことは、夜も眠れないほどの悩みです。私たちの調査*によると、この2つのグループは同じ基本的な懸念を共有しており、安全なコーディング方法のトレーニングが必要であることがわかりました。
安全なコーディング方法に関する懸念と障壁
開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。
開発者が2番目に懸念していることは、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアなコードについて学ぶことが難しいという点も、現在のトレーニング方法に対する開発者の不満を反映しています。
一方、マネージャーは、よりトップダウンの視点で物事を考えます。彼らの最大の関心事は、不良コードや過去の脆弱性を再現したコードの責任を負うことです。 結局のところ、自分のチームがお粗末なコードを作成した場合、その責任はマネージャーにあるのです。
3位の「学習プロセスが難しい」は、安全なコーディングを実践するための唯一の障壁ではありません。
45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%が、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。
現在のセキュアコードトレーニングのアプローチでは効果が得られず、マネージャーは新しいアプローチが必要であることを認識しています。
セキュア・コード・プラクティスの責任者は誰ですか?
その性質上、セキュアコーディングの実践は、SDLCのかなり早い段階でセキュリティを考慮することを意味します。つまり、後回しにするのではなく、最初からソフトウェアを書くときに積極的にセキュリティを組み込むということです。言い換えれば、「左にシフトする」ということです。この「左遷」は、セキュアコーディングの実践の本質です。そして、最終的には、組織の全員が安全なコードに責任を持つべきだということです。しかし、現在のところ、開発者の15%しか同意していません。
しかし、ほとんどの開発者がセキュリティを他人事のように考えている一方で、少数ではありますが、安全なコーディングを積極的に取り入れるだけでなく、組織の中でそれを支持する人たちも増えてきています。今回の調査では、29%の開発者が、そのような人材が職場にいることを認めています。問題は、これらの安全なコードのチャンピオンがまだ少ないことです。
セキュリティ・チャンピオンを増やす
開発マネージャーは、新たなセキュリティチャンピオンを発掘・創出し、開発者全般のセキュアコーディングスキルを向上させる必要性を認識しています。
また、多くのマネージャーは、新しい開発者を採用する際には、セキュアコーディングのスキルを重視し、すでにチームに所属している開発者のセキュアコーディングの経験を評価します。
調査対象となった管理職の83%が、開発者に安全なコーディング手法の習得や採用を依頼していると回答しています。また、調査対象となった管理職の約4分の3が、開発者が安全なコードのトレーニングに参加するためのインセンティブを提供していると回答しています。 これらのインセンティブは、正式な表彰、より大きな責任、より高い給与など多岐にわたる。
開発マネージャーは、組織レベルで安全なコーディング手法を採用する上で重要な影響力を持ち、セキュリティチャンピオンを見極めるのに役立つことは明らかです。
しかし、このようなチャンピオンをより多く生み出すためには、開発者はどのようなモチベーションで安全なコーディングを学べばよいのでしょうか。私たちの調査によると、開発者は生産性や効率性を高める手段としてセキュアコーディングを考えています。
では、なぜ開発者は、より安全なコードトレーニングを求めないのでしょうか?組織のニーズが高まっているにもかかわらず、それに応えることができないのはなぜでしょうか。
リアライメントに着手するためのソリューション
開発者は、座って講師の話を聞くのではなく、実際に手を動かして自分で試してみたいと思っています。彼らは、現在のトレーニングプログラムに欠けている、実践的なアプリケーションに焦点を当てたいと考えています。会社が提供するトレーニングをどのように改善すべきかを尋ねたところ、回答者の30%が、実践的なアプリケーション、特に本物の仕事のシナリオに焦点を当てたトレーニングを望んでいると答えました。
現在のトレーニング方法ではこれを実現できません。新しいアプローチが求められています。変革の担い手として、Secure Code Warrior は、人が主導するアプローチで、組織が安全なコーディングに向けて再編成するのを支援します。当社のサイバーセキュリティ Coursesは、開発者が現実世界で直面する課題を模した「ゲーム化された」ハンズオンのコーディング課題を含む、ガイド付きの学習経路を提供します。
このトレーニングは、一般的なトレーニングとは異なり、言語やフレームワークに特化しています。
文化を再編成する際には Tournamentsは、コーダーのセキュリティ・スキルを測定し、将来のスキル開発のためのベースラインを確立し、開発チーム内の潜在的なセキュリティ・チャンピオンを見つけるために使用することができます。
セキュアコーディングの未来に向けて、管理者、開発者、組織のニーズを一致させるセキュアコードトレーニングについて、もっと知りたい方は 今すぐデモを予約する.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
.avif)
ハイパー・コネクテッド・ワールドでは、ほとんどすべての組織が共通のアキレス腱を持っています。たった1つの脆弱性、つまりコードの隙間を突かれただけで、顧客データの盗難、風評被害、多額の金銭的損失を引き起こす可能性があるのです。セキュアコーディングに関する組織の連携はかつてないほど重要になっていますが、それを実現するのは言うは易く行うは難しです。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
ハイパー・コネクテッド・ワールドでは、ほとんどすべての組織が共通のアキレス腱を持っています。 たった1つの脆弱性、つまりコードの隙間を突かれただけで、顧客データの盗難、風評被害、多額の金銭的損失を引き起こす可能性があるのです。セキュアコーディングに関する組織の連携は、かつてないほど必要不可欠なものとなっていますが、それを実現するのは言うほど簡単ではありません。 そこで、2020年、Secure Code Warrior は、Evans Data Corp.と協力して、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者と管理者の意識に関する一次調査*を実施しました。
サイバーセキュリティが最重要視されるこの環境では、従来のプロジェクト成功のためのKPIは再定義されつつありますが、そのスピードは十分ではありません。
ソフトウェア開発プロセスにおいて最も重要な優先事項について、開発者と管理者に尋ねたところ、次のような答えが返ってきました。
- 76%がアプリケーション・パフォーマンスを指名
- 62%が機能・特徴を選んだ
- そして、50%強の人がセキュアコードを選択
今日では、見ての通り、セキュリティは重要な優先事項ではありません。
しかし、将来に目を向けると、状況は大きく変わります。プロジェクトの成功を測る上で最も重要な将来の優先事項について尋ねたところ、79%の開発者が「安全なコーディングがより重要になる」と回答しました。実際、開発者は、最も重要性が高まるKPIとしてセキュリティを挙げています。
しかし、安全なコーディングに対する意識が高まっているにもかかわらず、その導入には懸念があります。開発者にとっても管理者にとっても、脆弱性への対応やコードへの責任を負うことは、夜も眠れないほどの悩みです。私たちの調査*によると、この2つのグループは同じ基本的な懸念を共有しており、安全なコーディング方法のトレーニングが必要であることがわかりました。
安全なコーディング方法に関する懸念と障壁
開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。
開発者が2番目に懸念していることは、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアなコードについて学ぶことが難しいという点も、現在のトレーニング方法に対する開発者の不満を反映しています。
一方、マネージャーは、よりトップダウンの視点で物事を考えます。彼らの最大の関心事は、不良コードや過去の脆弱性を再現したコードの責任を負うことです。 結局のところ、自分のチームがお粗末なコードを作成した場合、その責任はマネージャーにあるのです。
3位の「学習プロセスが難しい」は、安全なコーディングを実践するための唯一の障壁ではありません。
45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%が、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。
現在のセキュアコードトレーニングのアプローチでは効果が得られず、マネージャーは新しいアプローチが必要であることを認識しています。
セキュア・コード・プラクティスの責任者は誰ですか?
その性質上、セキュアコーディングの実践は、SDLCのかなり早い段階でセキュリティを考慮することを意味します。つまり、後回しにするのではなく、最初からソフトウェアを書くときに積極的にセキュリティを組み込むということです。言い換えれば、「左にシフトする」ということです。この「左遷」は、セキュアコーディングの実践の本質です。そして、最終的には、組織の全員が安全なコードに責任を持つべきだということです。しかし、現在のところ、開発者の15%しか同意していません。
しかし、ほとんどの開発者がセキュリティを他人事のように考えている一方で、少数ではありますが、安全なコーディングを積極的に取り入れるだけでなく、組織の中でそれを支持する人たちも増えてきています。今回の調査では、29%の開発者が、そのような人材が職場にいることを認めています。問題は、これらの安全なコードのチャンピオンがまだ少ないことです。
セキュリティ・チャンピオンを増やす
開発マネージャーは、新たなセキュリティチャンピオンを発掘・創出し、開発者全般のセキュアコーディングスキルを向上させる必要性を認識しています。
また、多くのマネージャーは、新しい開発者を採用する際には、セキュアコーディングのスキルを重視し、すでにチームに所属している開発者のセキュアコーディングの経験を評価します。
調査対象となった管理職の83%が、開発者に安全なコーディング手法の習得や採用を依頼していると回答しています。また、調査対象となった管理職の約4分の3が、開発者が安全なコードのトレーニングに参加するためのインセンティブを提供していると回答しています。 これらのインセンティブは、正式な表彰、より大きな責任、より高い給与など多岐にわたる。
開発マネージャーは、組織レベルで安全なコーディング手法を採用する上で重要な影響力を持ち、セキュリティチャンピオンを見極めるのに役立つことは明らかです。
しかし、このようなチャンピオンをより多く生み出すためには、開発者はどのようなモチベーションで安全なコーディングを学べばよいのでしょうか。私たちの調査によると、開発者は生産性や効率性を高める手段としてセキュアコーディングを考えています。
では、なぜ開発者は、より安全なコードトレーニングを求めないのでしょうか?組織のニーズが高まっているにもかかわらず、それに応えることができないのはなぜでしょうか。
リアライメントに着手するためのソリューション
開発者は、座って講師の話を聞くのではなく、実際に手を動かして自分で試してみたいと思っています。彼らは、現在のトレーニングプログラムに欠けている、実践的なアプリケーションに焦点を当てたいと考えています。会社が提供するトレーニングをどのように改善すべきかを尋ねたところ、回答者の30%が、実践的なアプリケーション、特に本物の仕事のシナリオに焦点を当てたトレーニングを望んでいると答えました。
現在のトレーニング方法ではこれを実現できません。新しいアプローチが求められています。変革の担い手として、Secure Code Warrior は、人が主導するアプローチで、組織が安全なコーディングに向けて再編成するのを支援します。当社のサイバーセキュリティ Coursesは、開発者が現実世界で直面する課題を模した「ゲーム化された」ハンズオンのコーディング課題を含む、ガイド付きの学習経路を提供します。
このトレーニングは、一般的なトレーニングとは異なり、言語やフレームワークに特化しています。
文化を再編成する際には Tournamentsは、コーダーのセキュリティ・スキルを測定し、将来のスキル開発のためのベースラインを確立し、開発チーム内の潜在的なセキュリティ・チャンピオンを見つけるために使用することができます。
セキュアコーディングの未来に向けて、管理者、開発者、組織のニーズを一致させるセキュアコードトレーニングについて、もっと知りたい方は 今すぐデモを予約する.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
ハイパー・コネクテッド・ワールドでは、ほとんどすべての組織が共通のアキレス腱を持っています。 たった1つの脆弱性、つまりコードの隙間を突かれただけで、顧客データの盗難、風評被害、多額の金銭的損失を引き起こす可能性があるのです。セキュアコーディングに関する組織の連携は、かつてないほど必要不可欠なものとなっていますが、それを実現するのは言うほど簡単ではありません。 そこで、2020年、Secure Code Warrior は、Evans Data Corp.と協力して、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者と管理者の意識に関する一次調査*を実施しました。
サイバーセキュリティが最重要視されるこの環境では、従来のプロジェクト成功のためのKPIは再定義されつつありますが、そのスピードは十分ではありません。
ソフトウェア開発プロセスにおいて最も重要な優先事項について、開発者と管理者に尋ねたところ、次のような答えが返ってきました。
- 76%がアプリケーション・パフォーマンスを指名
- 62%が機能・特徴を選んだ
- そして、50%強の人がセキュアコードを選択
今日では、見ての通り、セキュリティは重要な優先事項ではありません。
しかし、将来に目を向けると、状況は大きく変わります。プロジェクトの成功を測る上で最も重要な将来の優先事項について尋ねたところ、79%の開発者が「安全なコーディングがより重要になる」と回答しました。実際、開発者は、最も重要性が高まるKPIとしてセキュリティを挙げています。
しかし、安全なコーディングに対する意識が高まっているにもかかわらず、その導入には懸念があります。開発者にとっても管理者にとっても、脆弱性への対応やコードへの責任を負うことは、夜も眠れないほどの悩みです。私たちの調査*によると、この2つのグループは同じ基本的な懸念を共有しており、安全なコーディング方法のトレーニングが必要であることがわかりました。
安全なコーディング方法に関する懸念と障壁
開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。
開発者が2番目に懸念していることは、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアなコードについて学ぶことが難しいという点も、現在のトレーニング方法に対する開発者の不満を反映しています。
一方、マネージャーは、よりトップダウンの視点で物事を考えます。彼らの最大の関心事は、不良コードや過去の脆弱性を再現したコードの責任を負うことです。 結局のところ、自分のチームがお粗末なコードを作成した場合、その責任はマネージャーにあるのです。
3位の「学習プロセスが難しい」は、安全なコーディングを実践するための唯一の障壁ではありません。
45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%が、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。
現在のセキュアコードトレーニングのアプローチでは効果が得られず、マネージャーは新しいアプローチが必要であることを認識しています。
セキュア・コード・プラクティスの責任者は誰ですか?
その性質上、セキュアコーディングの実践は、SDLCのかなり早い段階でセキュリティを考慮することを意味します。つまり、後回しにするのではなく、最初からソフトウェアを書くときに積極的にセキュリティを組み込むということです。言い換えれば、「左にシフトする」ということです。この「左遷」は、セキュアコーディングの実践の本質です。そして、最終的には、組織の全員が安全なコードに責任を持つべきだということです。しかし、現在のところ、開発者の15%しか同意していません。
しかし、ほとんどの開発者がセキュリティを他人事のように考えている一方で、少数ではありますが、安全なコーディングを積極的に取り入れるだけでなく、組織の中でそれを支持する人たちも増えてきています。今回の調査では、29%の開発者が、そのような人材が職場にいることを認めています。問題は、これらの安全なコードのチャンピオンがまだ少ないことです。
セキュリティ・チャンピオンを増やす
開発マネージャーは、新たなセキュリティチャンピオンを発掘・創出し、開発者全般のセキュアコーディングスキルを向上させる必要性を認識しています。
また、多くのマネージャーは、新しい開発者を採用する際には、セキュアコーディングのスキルを重視し、すでにチームに所属している開発者のセキュアコーディングの経験を評価します。
調査対象となった管理職の83%が、開発者に安全なコーディング手法の習得や採用を依頼していると回答しています。また、調査対象となった管理職の約4分の3が、開発者が安全なコードのトレーニングに参加するためのインセンティブを提供していると回答しています。 これらのインセンティブは、正式な表彰、より大きな責任、より高い給与など多岐にわたる。
開発マネージャーは、組織レベルで安全なコーディング手法を採用する上で重要な影響力を持ち、セキュリティチャンピオンを見極めるのに役立つことは明らかです。
しかし、このようなチャンピオンをより多く生み出すためには、開発者はどのようなモチベーションで安全なコーディングを学べばよいのでしょうか。私たちの調査によると、開発者は生産性や効率性を高める手段としてセキュアコーディングを考えています。
では、なぜ開発者は、より安全なコードトレーニングを求めないのでしょうか?組織のニーズが高まっているにもかかわらず、それに応えることができないのはなぜでしょうか。
リアライメントに着手するためのソリューション
開発者は、座って講師の話を聞くのではなく、実際に手を動かして自分で試してみたいと思っています。彼らは、現在のトレーニングプログラムに欠けている、実践的なアプリケーションに焦点を当てたいと考えています。会社が提供するトレーニングをどのように改善すべきかを尋ねたところ、回答者の30%が、実践的なアプリケーション、特に本物の仕事のシナリオに焦点を当てたトレーニングを望んでいると答えました。
現在のトレーニング方法ではこれを実現できません。新しいアプローチが求められています。変革の担い手として、Secure Code Warrior は、人が主導するアプローチで、組織が安全なコーディングに向けて再編成するのを支援します。当社のサイバーセキュリティ Coursesは、開発者が現実世界で直面する課題を模した「ゲーム化された」ハンズオンのコーディング課題を含む、ガイド付きの学習経路を提供します。
このトレーニングは、一般的なトレーニングとは異なり、言語やフレームワークに特化しています。
文化を再編成する際には Tournamentsは、コーダーのセキュリティ・スキルを測定し、将来のスキル開発のためのベースラインを確立し、開発チーム内の潜在的なセキュリティ・チャンピオンを見つけるために使用することができます。
セキュアコーディングの未来に向けて、管理者、開発者、組織のニーズを一致させるセキュアコードトレーニングについて、もっと知りたい方は 今すぐデモを予約する.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
ハイパー・コネクテッド・ワールドでは、ほとんどすべての組織が共通のアキレス腱を持っています。 たった1つの脆弱性、つまりコードの隙間を突かれただけで、顧客データの盗難、風評被害、多額の金銭的損失を引き起こす可能性があるのです。セキュアコーディングに関する組織の連携は、かつてないほど必要不可欠なものとなっていますが、それを実現するのは言うほど簡単ではありません。 そこで、2020年、Secure Code Warrior は、Evans Data Corp.と協力して、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者と管理者の意識に関する一次調査*を実施しました。
サイバーセキュリティが最重要視されるこの環境では、従来のプロジェクト成功のためのKPIは再定義されつつありますが、そのスピードは十分ではありません。
ソフトウェア開発プロセスにおいて最も重要な優先事項について、開発者と管理者に尋ねたところ、次のような答えが返ってきました。
- 76%がアプリケーション・パフォーマンスを指名
- 62%が機能・特徴を選んだ
- そして、50%強の人がセキュアコードを選択
今日では、見ての通り、セキュリティは重要な優先事項ではありません。
しかし、将来に目を向けると、状況は大きく変わります。プロジェクトの成功を測る上で最も重要な将来の優先事項について尋ねたところ、79%の開発者が「安全なコーディングがより重要になる」と回答しました。実際、開発者は、最も重要性が高まるKPIとしてセキュリティを挙げています。
しかし、安全なコーディングに対する意識が高まっているにもかかわらず、その導入には懸念があります。開発者にとっても管理者にとっても、脆弱性への対応やコードへの責任を負うことは、夜も眠れないほどの悩みです。私たちの調査*によると、この2つのグループは同じ基本的な懸念を共有しており、安全なコーディング方法のトレーニングが必要であることがわかりました。
安全なコーディング方法に関する懸念と障壁
開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。
開発者が2番目に懸念していることは、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアなコードについて学ぶことが難しいという点も、現在のトレーニング方法に対する開発者の不満を反映しています。
一方、マネージャーは、よりトップダウンの視点で物事を考えます。彼らの最大の関心事は、不良コードや過去の脆弱性を再現したコードの責任を負うことです。 結局のところ、自分のチームがお粗末なコードを作成した場合、その責任はマネージャーにあるのです。
3位の「学習プロセスが難しい」は、安全なコーディングを実践するための唯一の障壁ではありません。
45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%が、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。
現在のセキュアコードトレーニングのアプローチでは効果が得られず、マネージャーは新しいアプローチが必要であることを認識しています。
セキュア・コード・プラクティスの責任者は誰ですか?
その性質上、セキュアコーディングの実践は、SDLCのかなり早い段階でセキュリティを考慮することを意味します。つまり、後回しにするのではなく、最初からソフトウェアを書くときに積極的にセキュリティを組み込むということです。言い換えれば、「左にシフトする」ということです。この「左遷」は、セキュアコーディングの実践の本質です。そして、最終的には、組織の全員が安全なコードに責任を持つべきだということです。しかし、現在のところ、開発者の15%しか同意していません。
しかし、ほとんどの開発者がセキュリティを他人事のように考えている一方で、少数ではありますが、安全なコーディングを積極的に取り入れるだけでなく、組織の中でそれを支持する人たちも増えてきています。今回の調査では、29%の開発者が、そのような人材が職場にいることを認めています。問題は、これらの安全なコードのチャンピオンがまだ少ないことです。
セキュリティ・チャンピオンを増やす
開発マネージャーは、新たなセキュリティチャンピオンを発掘・創出し、開発者全般のセキュアコーディングスキルを向上させる必要性を認識しています。
また、多くのマネージャーは、新しい開発者を採用する際には、セキュアコーディングのスキルを重視し、すでにチームに所属している開発者のセキュアコーディングの経験を評価します。
調査対象となった管理職の83%が、開発者に安全なコーディング手法の習得や採用を依頼していると回答しています。また、調査対象となった管理職の約4分の3が、開発者が安全なコードのトレーニングに参加するためのインセンティブを提供していると回答しています。 これらのインセンティブは、正式な表彰、より大きな責任、より高い給与など多岐にわたる。
開発マネージャーは、組織レベルで安全なコーディング手法を採用する上で重要な影響力を持ち、セキュリティチャンピオンを見極めるのに役立つことは明らかです。
しかし、このようなチャンピオンをより多く生み出すためには、開発者はどのようなモチベーションで安全なコーディングを学べばよいのでしょうか。私たちの調査によると、開発者は生産性や効率性を高める手段としてセキュアコーディングを考えています。
では、なぜ開発者は、より安全なコードトレーニングを求めないのでしょうか?組織のニーズが高まっているにもかかわらず、それに応えることができないのはなぜでしょうか。
リアライメントに着手するためのソリューション
開発者は、座って講師の話を聞くのではなく、実際に手を動かして自分で試してみたいと思っています。彼らは、現在のトレーニングプログラムに欠けている、実践的なアプリケーションに焦点を当てたいと考えています。会社が提供するトレーニングをどのように改善すべきかを尋ねたところ、回答者の30%が、実践的なアプリケーション、特に本物の仕事のシナリオに焦点を当てたトレーニングを望んでいると答えました。
現在のトレーニング方法ではこれを実現できません。新しいアプローチが求められています。変革の担い手として、Secure Code Warrior は、人が主導するアプローチで、組織が安全なコーディングに向けて再編成するのを支援します。当社のサイバーセキュリティ Coursesは、開発者が現実世界で直面する課題を模した「ゲーム化された」ハンズオンのコーディング課題を含む、ガイド付きの学習経路を提供します。
このトレーニングは、一般的なトレーニングとは異なり、言語やフレームワークに特化しています。
文化を再編成する際には Tournamentsは、コーダーのセキュリティ・スキルを測定し、将来のスキル開発のためのベースラインを確立し、開発チーム内の潜在的なセキュリティ・チャンピオンを見つけるために使用することができます。
セキュアコーディングの未来に向けて、管理者、開発者、組織のニーズを一致させるセキュアコードトレーニングについて、もっと知りたい方は 今すぐデモを予約する.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード始めるためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
.png)
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.