セキュア・バイ・デザインベストプラクティスの定義、開発者の能力向上、予防的セキュリティ成果のベンチマーク
米国政府のサイバーセキュリティ&インフラセキュリティ局(CISA)が包括的なセキュア・バイ・デザイン・ガイドラインを発表してから2年が経過し、ソフトウェアメーカーに影響を与える分水嶺となった。初めて、ソフトウェアの品質とセキュリティの基準を引き上げるためのトップレベルのサポートが目に見える形で行われ、脆弱性のないコードを出荷するためのエンドユーザーではなく、ベンダーの責任への取り組みが推進された。
しかし、これらの原則を企業レベルで実際に実施することに関するコンセンサスは、なかなか得られないことが判明した。セキュリティ専門家の間でも、セキュア・バイ・デザインを構成するものについてのコンセンサスは得られていないようであり、ましてやそれを達成するための標準的な道筋が示されているわけでもない。 Secure Code WarriorSecure Code Warrior は、ソフトウェアの構築に重点を置く企業のセキュリティ専門家にインタビューを行い、Secure by Design の原則に対する現在のアプローチ(現在のセキュリティ態勢とソフトウェア開発ライフサイクル(SDLC)にどのように実装されているかなど)を深く掘り下げました。その結果、CISA の指針を実施するための広く受け入れられている標準がないこと、また、展開が成功したかどうかを判断するためのアクティブなベンチマークがないことが明らかになりました。業界として、セキュリティの説明責任とソフトウエアの品質が高まるというメリットを享受するためには、これは迅速に修正されなければなりません。
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるPieter Danhieux氏とMatias Madou博士、そして専門家の寄稿者である元米国サイバーディレクター(現在はPaladin Capital Groupの戦略顧問)のChris Inglis氏、Paladin Global InstituteのシニアディレクターであるDevin Lynch氏が、CISO、アプリケーションセキュリティ担当副社長、ソフトウェアセキュリティの専門家など、企業のセキュリティリーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします:
- 企業で直面する一般的なセキュリティプログラムの課題についての洞察;
- セキュアバイデザイン・イニシアチブの役割;
- ソフトウェア開発におけるAIの役割、最新の脅威モデリング;
- ベストプラクティスの解釈、およびセキュア・バイ・デザイン戦略を業界全体で整合させるために精密データとベンチマーキングが果たす役割。
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士、そして専門家であるクリス・イングリス(Chris Inglis)氏(元米国サイバーディレクター、現パラディン・キャピタル・グループ戦略顧問)、デヴィン・リンチ(Devin Lynch)氏(パラディン・グローバル・インスティテュート・シニアディレクター)が、CISO、アプリケーション・セキュリティ担当副社長、ソフトウェア・セキュリティの専門家など、企業のセキュリティ・リーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
米国政府のサイバーセキュリティ&インフラセキュリティ局(CISA)が包括的なセキュア・バイ・デザイン・ガイドラインを発表してから2年が経過し、ソフトウェアメーカーに影響を与える分水嶺となった。初めて、ソフトウェアの品質とセキュリティの基準を引き上げるためのトップレベルのサポートが目に見える形で行われ、脆弱性のないコードを出荷するためのエンドユーザーではなく、ベンダーの責任への取り組みが推進された。
しかし、これらの原則を企業レベルで実際に実施することに関するコンセンサスは、なかなか得られないことが判明した。セキュリティ専門家の間でも、セキュア・バイ・デザインを構成するものについてのコンセンサスは得られていないようであり、ましてやそれを達成するための標準的な道筋が示されているわけでもない。 Secure Code WarriorSecure Code Warrior は、ソフトウェアの構築に重点を置く企業のセキュリティ専門家にインタビューを行い、Secure by Design の原則に対する現在のアプローチ(現在のセキュリティ態勢とソフトウェア開発ライフサイクル(SDLC)にどのように実装されているかなど)を深く掘り下げました。その結果、CISA の指針を実施するための広く受け入れられている標準がないこと、また、展開が成功したかどうかを判断するためのアクティブなベンチマークがないことが明らかになりました。業界として、セキュリティの説明責任とソフトウエアの品質が高まるというメリットを享受するためには、これは迅速に修正されなければなりません。
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるPieter Danhieux氏とMatias Madou博士、そして専門家の寄稿者である元米国サイバーディレクター(現在はPaladin Capital Groupの戦略顧問)のChris Inglis氏、Paladin Global InstituteのシニアディレクターであるDevin Lynch氏が、CISO、アプリケーションセキュリティ担当副社長、ソフトウェアセキュリティの専門家など、企業のセキュリティリーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします:
- 企業で直面する一般的なセキュリティプログラムの課題についての洞察;
- セキュアバイデザイン・イニシアチブの役割;
- ソフトウェア開発におけるAIの役割、最新の脅威モデリング;
- ベストプラクティスの解釈、およびセキュア・バイ・デザイン戦略を業界全体で整合させるために精密データとベンチマーキングが果たす役割。
米国政府のサイバーセキュリティ&インフラセキュリティ局(CISA)が包括的なセキュア・バイ・デザイン・ガイドラインを発表してから2年が経過し、ソフトウェアメーカーに影響を与える分水嶺となった。初めて、ソフトウェアの品質とセキュリティの基準を引き上げるためのトップレベルのサポートが目に見える形で行われ、脆弱性のないコードを出荷するためのエンドユーザーではなく、ベンダーの責任への取り組みが推進された。
しかし、これらの原則を企業レベルで実際に実施することに関するコンセンサスは、なかなか得られないことが判明した。セキュリティ専門家の間でも、セキュア・バイ・デザインを構成するものについてのコンセンサスは得られていないようであり、ましてやそれを達成するための標準的な道筋が示されているわけでもない。 Secure Code WarriorSecure Code Warrior は、ソフトウェアの構築に重点を置く企業のセキュリティ専門家にインタビューを行い、Secure by Design の原則に対する現在のアプローチ(現在のセキュリティ態勢とソフトウェア開発ライフサイクル(SDLC)にどのように実装されているかなど)を深く掘り下げました。その結果、CISA の指針を実施するための広く受け入れられている標準がないこと、また、展開が成功したかどうかを判断するためのアクティブなベンチマークがないことが明らかになりました。業界として、セキュリティの説明責任とソフトウエアの品質が高まるというメリットを享受するためには、これは迅速に修正されなければなりません。
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるPieter Danhieux氏とMatias Madou博士、そして専門家の寄稿者である元米国サイバーディレクター(現在はPaladin Capital Groupの戦略顧問)のChris Inglis氏、Paladin Global InstituteのシニアディレクターであるDevin Lynch氏が、CISO、アプリケーションセキュリティ担当副社長、ソフトウェアセキュリティの専門家など、企業のセキュリティリーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします:
- 企業で直面する一般的なセキュリティプログラムの課題についての洞察;
- セキュアバイデザイン・イニシアチブの役割;
- ソフトウェア開発におけるAIの役割、最新の脅威モデリング;
- ベストプラクティスの解釈、およびセキュア・バイ・デザイン戦略を業界全体で整合させるために精密データとベンチマーキングが果たす役割。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
米国政府のサイバーセキュリティ&インフラセキュリティ局(CISA)が包括的なセキュア・バイ・デザイン・ガイドラインを発表してから2年が経過し、ソフトウェアメーカーに影響を与える分水嶺となった。初めて、ソフトウェアの品質とセキュリティの基準を引き上げるためのトップレベルのサポートが目に見える形で行われ、脆弱性のないコードを出荷するためのエンドユーザーではなく、ベンダーの責任への取り組みが推進された。
しかし、これらの原則を企業レベルで実際に実施することに関するコンセンサスは、なかなか得られないことが判明した。セキュリティ専門家の間でも、セキュア・バイ・デザインを構成するものについてのコンセンサスは得られていないようであり、ましてやそれを達成するための標準的な道筋が示されているわけでもない。 Secure Code WarriorSecure Code Warrior は、ソフトウェアの構築に重点を置く企業のセキュリティ専門家にインタビューを行い、Secure by Design の原則に対する現在のアプローチ(現在のセキュリティ態勢とソフトウェア開発ライフサイクル(SDLC)にどのように実装されているかなど)を深く掘り下げました。その結果、CISA の指針を実施するための広く受け入れられている標準がないこと、また、展開が成功したかどうかを判断するためのアクティブなベンチマークがないことが明らかになりました。業界として、セキュリティの説明責任とソフトウエアの品質が高まるというメリットを享受するためには、これは迅速に修正されなければなりません。
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるPieter Danhieux氏とMatias Madou博士、そして専門家の寄稿者である元米国サイバーディレクター(現在はPaladin Capital Groupの戦略顧問)のChris Inglis氏、Paladin Global InstituteのシニアディレクターであるDevin Lynch氏が、CISO、アプリケーションセキュリティ担当副社長、ソフトウェアセキュリティの専門家など、企業のセキュリティリーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします:
- 企業で直面する一般的なセキュリティプログラムの課題についての洞察;
- セキュアバイデザイン・イニシアチブの役割;
- ソフトウェア開発におけるAIの役割、最新の脅威モデリング;
- ベストプラクティスの解釈、およびセキュア・バイ・デザイン戦略を業界全体で整合させるために精密データとベンチマーキングが果たす役割。
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード始めるためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
