人間主導の安全なコーディングにより、リアクティブからプロアクティブへと焦点を移す
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
.avif)
.avif)
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業は、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。しかし、今回の調査では、人間が主導する新たな方向性が示されています。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード始めるためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
