人間主導の安全なコーディングにより、リアクティブからプロアクティブへと焦点を移す
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
.avif)
.avif)
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業は、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。しかし、今回の調査では、人間が主導する新たな方向性が示されています。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード始めるためのリソース
セキュア・バイ・デザインベストプラクティスの定義、開発者の能力向上、予防的セキュリティ成果のベンチマーク
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士、そして専門家であるクリス・イングリス(Chris Inglis)氏(元米国サイバーディレクター、現パラディン・キャピタル・グループ戦略顧問)、デヴィン・リンチ(Devin Lynch)氏(パラディン・グローバル・インスティテュート・シニアディレクター)が、CISO、アプリケーション・セキュリティ担当副社長、ソフトウェア・セキュリティの専門家など、企業のセキュリティ・リーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします。
セキュリティ スキルのベンチマーク: 企業におけるセキュアな設計の合理化
セキュアバイデザイン(SBD)構想の成功に関する有意義なデータを見つけることは、非常に困難である。CISO は、セキュリティプログラム活動の投資収益率(ROI)とビジネス価値を、従業員レベルと企業レベルの両方で証明しようとすると、しばしば困難に直面します。言うまでもなく、企業にとって、現在の業界標準に対して自社の組織がどのようにベンチマークされているかを把握することは特に困難です。大統領の国家サイバーセキュリティ戦略は、関係者に「デザインによるセキュリティとレジリエンスを受け入れる」ことを求めている。セキュアバイデザインの取り組みを成功させる鍵は、開発者にセキュアなコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが整っていることを保証することである。本プレゼンテーションでは、25万人以上の開発者から収集した社内データ、データに基づく顧客の洞察、公的研究など、複数の一次ソースから得られた無数の定性的・定量的データを紹介します。こうしたデータ・ポイントの集積を活用することで、複数の業種におけるセキュア・バイ・デザイン・イニシアチブの現状をお伝えすることを目的としています。本レポートでは、この領域が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティのリスク軽減に与える大きな影響、コードベースから脆弱性のカテゴリーを排除できる可能性について詳述しています。
始めるためのリソース
明らかになった:サイバー業界はセキュア・バイ・デザインをどのように定義しているか
最新のホワイトペーパーでは、当社の共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士が、CISO、AppSecリーダー、セキュリティ専門家を含む20人以上の企業セキュリティリーダーと対談し、このパズルの重要なピースを見つけ出し、Secure by Design運動の背後にある現実を明らかにしました。セキュア・バイ・デザインは、セキュリティ・チーム全体で共有された野心ですが、共有されたプレイブックはありません。
