ブログ

トラストスコアが明らかにするセキュア・バイ・デザインのアップスキリング・イニシアチブの価値

マティアス・マドゥ博士
2024年11月13日発行

組織のセキュリティ体制を改善する確実な方法は、開発者がセキュアコーディングのベストプラクティスを習得することである。しかし、セキュアコーディングは一度限りの修正ではなく、組織の DNA に刻み込まれた生活習慣にする必要があります。開発者は、左遷する、あるいは左遷を始めるだけでなく、左遷を続ける必要がある。 

単にトレーニングを提供するだけでは十分ではない。組織は、開発者がトレーニングを完全に吸収し、日常業務の一環としてソフトウェア開発ライフサイクル(SDLC)の最初の段階でベストプラクティスに従っていることを確認する必要があります。開発者のパフォーマンスを追跡し、社内標準と業界ベンチマークの両方に対する進捗を測定し、トレーニングに投資した ROI を効果的に測定する必要があります。

Secure Code WarriorTrust Score は、個々の開発者のパフォーマンスを可視化し、データを集計して組織全体のパフォーマンス(assessment )を提供します。アップスキリングプログラムの有効性を示すと同時に、改善が必要な分野を特定します。また、一般データ保護規則(GDPR)、Payment Card Industry Data SecurityStandard(PCI DSS)、California Consumer Privacy Act(CCPA)など、さまざまな規制コンプライアンス要件への準拠を保証するのに役立ちます。

セキュア・コード・トレーニングが有効であることは、私たちの調査で明らかになっています。トラストスコアは、600以上の組織で25万人以上の学習者が行った学習データから2000万以上の学習データを抽出したアルゴリズムを使用して、脆弱性を減少させる効果や、イニシアチブをさらに効果的にする方法を明らかにしています。

トレーニングはセキュリティを向上させる - 開発者がそれを得れば 

何年もの間、SDLC の開始時にセキュリティのベストプラクティスを使用することは、ソフトウェア業界ではほとんど願望に過ぎないように思われました。しかし、ソフトウェア開発のスピードがますます速くなり、洗練された破壊的なサイバー脅威(多くの場合、ソフトウェアの脆弱性を標的として構築される)のペースが加速しているため、安全なコーディングが不可欠になっています。サイバーセキュリティおよびインフラセキュリティ機関(CISA)は、国際的なムーブメントに成長しつつあるSecure-by-Designイニシアチブで、セキュアなコードを最前線に据えている。 

セキュアバイデザインのアプローチとソフトウェアの脆弱性削減の相関関係は明らかです。SCWの顧客ベースの26%から得られた脆弱性削減データを分析したところ、開発者のトレーニングによってソフトウェアの脆弱性が22%から84%削減されることがわかりました。この幅は、関係する企業の規模(開発者の数が比較的少ない小規模な企業ほど、より劇的な結果の幅が大きい)や、学習グループが特定の問題に集中しているかどうか(その場合、より高い割合の欠陥を排除しているかどうか)などの変数に起因しています。

大企業の結果は一貫している。開発者数が 7,000 人以上の企業では、開発者がセキュリティのスキルを向上させた結果、脆弱性が 47~53%減少すると予想される。例えば、1 万人以上の開発者を抱える統計的に平均的な企業では、脆弱性が 53%減少した。 

もちろん、最も効果的なトレーニングは、大雑把で画一的なアプローチではありません。開発者の職場環境や、彼らが行う開発の種類に合わせたものでなければならない。

企業は、開発者が安全なコードを書くことを、単にコードを書くことと同じように自然にできるように、開発者が持つべき基本的なスキルを確立することから始めるべきである。スキルアッププログラムは、開発者の仕事の種類や使用する言語に合った実世界のシナリオで、実践的でアジャイルなトレーニングから構成されるべきである。また、トレーニングセッションを仕事のスケジュールに合わせられるよう、柔軟性を持たせるべきである。 

開発者にとってのスキルセットは、コードを書くことだけではない。人工知能アシスタントや、オープンソースのリポジトリなどのサードパーティが作成したソフトウェアをチェックできる必要があるのだ。開発者たちは、生成AIモデルを積極的に活用しており、より多くのコードをより迅速に作成するのに役立つその利点を一般的に称賛している。しかし、Snykの調査では、回答者の76%がAIが生成したコードは人間が生成したコードよりも安全だと答えたものの、それでも56.4%がAIは時々または頻繁にエラーを引き起こすと回答している。また、同じ調査では、開発者の80%がAIコードのセキュリティポリシーの適用をスキップしていることが判明しており、AIコードにおけるコードの問題が対処されていないことが示唆されている。

セキュアバイデザインのアプローチでは、開発者は、セキュリティチームと別個にではなく、セキュリティチームと協働して、SDLC の早い段階でこれらの問題に取り組み、コードが本番稼動する前に欠陥を特定し、修正します。

信頼スコアは個人と企業のパフォーマンスを測定する

また、トレーニングを継続的に行うことも重要である。企業は、会社の上層部から下層部に至るまで、あらゆる場所に適用されるセキュリティ優先の文化を採用する必要があります。この文化は、SDLC 全体を通して、継続的な改善とベスト・セキュリティ・プラクティスの適用に焦点を当てるべきである。テクノロジーとサイバー犯罪者は進化を止めない。ソフトウェアを製造する組織にとって、セキュリティ訓練を受けた開発者は基礎である。

そのため、トレーニングが効果的に定着していることを実証することは、トレーニングそのものと同じくらい重要です。Trust Scoreは、開発者個人と組織全体のパフォーマンスを可視化するだけでなく、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てるために、パフォーマンスデータをドリルダウンすることができます。また、個人および集計されたパフォーマンス結果のデータは、トレーニングが開発者の日常的なパフォーマンスに望ましい効果をもたらしていない場合など、トレーニングの改善が必要な領域を特定するのに役立ちます。

Trust Score は、開発者のパフォーマンスを評価し、必要なセキュリティ・スキルを習得しているかどうか、またそれを使用しているかどうかを確認することで、開発者がコードを書くためのライセンスを確実に取得できるようにする。これによって、組織は、最も機密性の高いデータや重要なソフトウェア・プロジェクトへのアクセスを、資格のある開発者に自信を持って許可する一方、まだ準備が整っていない開発者のアクセスを拒否することができる。

セキュリティ文化の変化の証明

サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼす、ビジネス上の問題なのだ。深刻な侵害は、組織の運営、評判、そして潜在的には存続に影響を及ぼす。サイバーセキュリティの重要性は、規制当局も見逃してはいない。規制当局は、ますます厳しい規制を実施し、CISOやその他の上層部のメンバーに対して、Uberや SolarWindsのケースのように、刑事告訴までして追及する姿勢を見せている。 

今日の環境では、全社的なセキュリティ文化の導入が不可欠です。企業の価値の多くはデータ、アプリケーション、サービスにあるため、セキュアなコーディングは企業文化の中核をなす要素である。文化的な考え方の一環として的を絞ったトレーニングとスキルアップを行い、トレーニングが文化の変革に役立ったことを証明することで、企業はセキュリティ体制を強化する道を歩むことができる。 


開発者主導のセキュリティ・プログラムには価値がある。その証拠はトラストスコアにある。

リソースを見る
リソースを見る

セキュア・コード・トレーニングが有効であることは、私たちの調査で明らかになっています。トラストスコアは、600以上の組織で25万人以上の学習者が行った学習データから2000万以上の学習データを抽出したアルゴリズムを使用して、脆弱性を減少させる効果や、イニシアチブをさらに効果的にする方法を明らかにしています。

ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約する
シェアする
著者
マティアス・マドゥ博士
2024年11月13日発行

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする

組織のセキュリティ体制を改善する確実な方法は、開発者がセキュアコーディングのベストプラクティスを習得することである。しかし、セキュアコーディングは一度限りの修正ではなく、組織の DNA に刻み込まれた生活習慣にする必要があります。開発者は、左遷する、あるいは左遷を始めるだけでなく、左遷を続ける必要がある。 

単にトレーニングを提供するだけでは十分ではない。組織は、開発者がトレーニングを完全に吸収し、日常業務の一環としてソフトウェア開発ライフサイクル(SDLC)の最初の段階でベストプラクティスに従っていることを確認する必要があります。開発者のパフォーマンスを追跡し、社内標準と業界ベンチマークの両方に対する進捗を測定し、トレーニングに投資した ROI を効果的に測定する必要があります。

Secure Code WarriorTrust Score は、個々の開発者のパフォーマンスを可視化し、データを集計して組織全体のパフォーマンス(assessment )を提供します。アップスキリングプログラムの有効性を示すと同時に、改善が必要な分野を特定します。また、一般データ保護規則(GDPR)、Payment Card Industry Data SecurityStandard(PCI DSS)、California Consumer Privacy Act(CCPA)など、さまざまな規制コンプライアンス要件への準拠を保証するのに役立ちます。

セキュア・コード・トレーニングが有効であることは、私たちの調査で明らかになっています。トラストスコアは、600以上の組織で25万人以上の学習者が行った学習データから2000万以上の学習データを抽出したアルゴリズムを使用して、脆弱性を減少させる効果や、イニシアチブをさらに効果的にする方法を明らかにしています。

トレーニングはセキュリティを向上させる - 開発者がそれを得れば 

何年もの間、SDLC の開始時にセキュリティのベストプラクティスを使用することは、ソフトウェア業界ではほとんど願望に過ぎないように思われました。しかし、ソフトウェア開発のスピードがますます速くなり、洗練された破壊的なサイバー脅威(多くの場合、ソフトウェアの脆弱性を標的として構築される)のペースが加速しているため、安全なコーディングが不可欠になっています。サイバーセキュリティおよびインフラセキュリティ機関(CISA)は、国際的なムーブメントに成長しつつあるSecure-by-Designイニシアチブで、セキュアなコードを最前線に据えている。 

セキュアバイデザインのアプローチとソフトウェアの脆弱性削減の相関関係は明らかです。SCWの顧客ベースの26%から得られた脆弱性削減データを分析したところ、開発者のトレーニングによってソフトウェアの脆弱性が22%から84%削減されることがわかりました。この幅は、関係する企業の規模(開発者の数が比較的少ない小規模な企業ほど、より劇的な結果の幅が大きい)や、学習グループが特定の問題に集中しているかどうか(その場合、より高い割合の欠陥を排除しているかどうか)などの変数に起因しています。

大企業の結果は一貫している。開発者数が 7,000 人以上の企業では、開発者がセキュリティのスキルを向上させた結果、脆弱性が 47~53%減少すると予想される。例えば、1 万人以上の開発者を抱える統計的に平均的な企業では、脆弱性が 53%減少した。 

もちろん、最も効果的なトレーニングは、大雑把で画一的なアプローチではありません。開発者の職場環境や、彼らが行う開発の種類に合わせたものでなければならない。

企業は、開発者が安全なコードを書くことを、単にコードを書くことと同じように自然にできるように、開発者が持つべき基本的なスキルを確立することから始めるべきである。スキルアッププログラムは、開発者の仕事の種類や使用する言語に合った実世界のシナリオで、実践的でアジャイルなトレーニングから構成されるべきである。また、トレーニングセッションを仕事のスケジュールに合わせられるよう、柔軟性を持たせるべきである。 

開発者にとってのスキルセットは、コードを書くことだけではない。人工知能アシスタントや、オープンソースのリポジトリなどのサードパーティが作成したソフトウェアをチェックできる必要があるのだ。開発者たちは、生成AIモデルを積極的に活用しており、より多くのコードをより迅速に作成するのに役立つその利点を一般的に称賛している。しかし、Snykの調査では、回答者の76%がAIが生成したコードは人間が生成したコードよりも安全だと答えたものの、それでも56.4%がAIは時々または頻繁にエラーを引き起こすと回答している。また、同じ調査では、開発者の80%がAIコードのセキュリティポリシーの適用をスキップしていることが判明しており、AIコードにおけるコードの問題が対処されていないことが示唆されている。

セキュアバイデザインのアプローチでは、開発者は、セキュリティチームと別個にではなく、セキュリティチームと協働して、SDLC の早い段階でこれらの問題に取り組み、コードが本番稼動する前に欠陥を特定し、修正します。

信頼スコアは個人と企業のパフォーマンスを測定する

また、トレーニングを継続的に行うことも重要である。企業は、会社の上層部から下層部に至るまで、あらゆる場所に適用されるセキュリティ優先の文化を採用する必要があります。この文化は、SDLC 全体を通して、継続的な改善とベスト・セキュリティ・プラクティスの適用に焦点を当てるべきである。テクノロジーとサイバー犯罪者は進化を止めない。ソフトウェアを製造する組織にとって、セキュリティ訓練を受けた開発者は基礎である。

そのため、トレーニングが効果的に定着していることを実証することは、トレーニングそのものと同じくらい重要です。Trust Scoreは、開発者個人と組織全体のパフォーマンスを可視化するだけでなく、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てるために、パフォーマンスデータをドリルダウンすることができます。また、個人および集計されたパフォーマンス結果のデータは、トレーニングが開発者の日常的なパフォーマンスに望ましい効果をもたらしていない場合など、トレーニングの改善が必要な領域を特定するのに役立ちます。

Trust Score は、開発者のパフォーマンスを評価し、必要なセキュリティ・スキルを習得しているかどうか、またそれを使用しているかどうかを確認することで、開発者がコードを書くためのライセンスを確実に取得できるようにする。これによって、組織は、最も機密性の高いデータや重要なソフトウェア・プロジェクトへのアクセスを、資格のある開発者に自信を持って許可する一方、まだ準備が整っていない開発者のアクセスを拒否することができる。

セキュリティ文化の変化の証明

サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼす、ビジネス上の問題なのだ。深刻な侵害は、組織の運営、評判、そして潜在的には存続に影響を及ぼす。サイバーセキュリティの重要性は、規制当局も見逃してはいない。規制当局は、ますます厳しい規制を実施し、CISOやその他の上層部のメンバーに対して、Uberや SolarWindsのケースのように、刑事告訴までして追及する姿勢を見せている。 

今日の環境では、全社的なセキュリティ文化の導入が不可欠です。企業の価値の多くはデータ、アプリケーション、サービスにあるため、セキュアなコーディングは企業文化の中核をなす要素である。文化的な考え方の一環として的を絞ったトレーニングとスキルアップを行い、トレーニングが文化の変革に役立ったことを証明することで、企業はセキュリティ体制を強化する道を歩むことができる。 


開発者主導のセキュリティ・プログラムには価値がある。その証拠はトラストスコアにある。

リソースを見る
リソースを見る

以下のフォームに記入し、レポートをダウンロードしてください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

送信
フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。

組織のセキュリティ体制を改善する確実な方法は、開発者がセキュアコーディングのベストプラクティスを習得することである。しかし、セキュアコーディングは一度限りの修正ではなく、組織の DNA に刻み込まれた生活習慣にする必要があります。開発者は、左遷する、あるいは左遷を始めるだけでなく、左遷を続ける必要がある。 

単にトレーニングを提供するだけでは十分ではない。組織は、開発者がトレーニングを完全に吸収し、日常業務の一環としてソフトウェア開発ライフサイクル(SDLC)の最初の段階でベストプラクティスに従っていることを確認する必要があります。開発者のパフォーマンスを追跡し、社内標準と業界ベンチマークの両方に対する進捗を測定し、トレーニングに投資した ROI を効果的に測定する必要があります。

Secure Code WarriorTrust Score は、個々の開発者のパフォーマンスを可視化し、データを集計して組織全体のパフォーマンス(assessment )を提供します。アップスキリングプログラムの有効性を示すと同時に、改善が必要な分野を特定します。また、一般データ保護規則(GDPR)、Payment Card Industry Data SecurityStandard(PCI DSS)、California Consumer Privacy Act(CCPA)など、さまざまな規制コンプライアンス要件への準拠を保証するのに役立ちます。

セキュア・コード・トレーニングが有効であることは、私たちの調査で明らかになっています。トラストスコアは、600以上の組織で25万人以上の学習者が行った学習データから2000万以上の学習データを抽出したアルゴリズムを使用して、脆弱性を減少させる効果や、イニシアチブをさらに効果的にする方法を明らかにしています。

トレーニングはセキュリティを向上させる - 開発者がそれを得れば 

何年もの間、SDLC の開始時にセキュリティのベストプラクティスを使用することは、ソフトウェア業界ではほとんど願望に過ぎないように思われました。しかし、ソフトウェア開発のスピードがますます速くなり、洗練された破壊的なサイバー脅威(多くの場合、ソフトウェアの脆弱性を標的として構築される)のペースが加速しているため、安全なコーディングが不可欠になっています。サイバーセキュリティおよびインフラセキュリティ機関(CISA)は、国際的なムーブメントに成長しつつあるSecure-by-Designイニシアチブで、セキュアなコードを最前線に据えている。 

セキュアバイデザインのアプローチとソフトウェアの脆弱性削減の相関関係は明らかです。SCWの顧客ベースの26%から得られた脆弱性削減データを分析したところ、開発者のトレーニングによってソフトウェアの脆弱性が22%から84%削減されることがわかりました。この幅は、関係する企業の規模(開発者の数が比較的少ない小規模な企業ほど、より劇的な結果の幅が大きい)や、学習グループが特定の問題に集中しているかどうか(その場合、より高い割合の欠陥を排除しているかどうか)などの変数に起因しています。

大企業の結果は一貫している。開発者数が 7,000 人以上の企業では、開発者がセキュリティのスキルを向上させた結果、脆弱性が 47~53%減少すると予想される。例えば、1 万人以上の開発者を抱える統計的に平均的な企業では、脆弱性が 53%減少した。 

もちろん、最も効果的なトレーニングは、大雑把で画一的なアプローチではありません。開発者の職場環境や、彼らが行う開発の種類に合わせたものでなければならない。

企業は、開発者が安全なコードを書くことを、単にコードを書くことと同じように自然にできるように、開発者が持つべき基本的なスキルを確立することから始めるべきである。スキルアッププログラムは、開発者の仕事の種類や使用する言語に合った実世界のシナリオで、実践的でアジャイルなトレーニングから構成されるべきである。また、トレーニングセッションを仕事のスケジュールに合わせられるよう、柔軟性を持たせるべきである。 

開発者にとってのスキルセットは、コードを書くことだけではない。人工知能アシスタントや、オープンソースのリポジトリなどのサードパーティが作成したソフトウェアをチェックできる必要があるのだ。開発者たちは、生成AIモデルを積極的に活用しており、より多くのコードをより迅速に作成するのに役立つその利点を一般的に称賛している。しかし、Snykの調査では、回答者の76%がAIが生成したコードは人間が生成したコードよりも安全だと答えたものの、それでも56.4%がAIは時々または頻繁にエラーを引き起こすと回答している。また、同じ調査では、開発者の80%がAIコードのセキュリティポリシーの適用をスキップしていることが判明しており、AIコードにおけるコードの問題が対処されていないことが示唆されている。

セキュアバイデザインのアプローチでは、開発者は、セキュリティチームと別個にではなく、セキュリティチームと協働して、SDLC の早い段階でこれらの問題に取り組み、コードが本番稼動する前に欠陥を特定し、修正します。

信頼スコアは個人と企業のパフォーマンスを測定する

また、トレーニングを継続的に行うことも重要である。企業は、会社の上層部から下層部に至るまで、あらゆる場所に適用されるセキュリティ優先の文化を採用する必要があります。この文化は、SDLC 全体を通して、継続的な改善とベスト・セキュリティ・プラクティスの適用に焦点を当てるべきである。テクノロジーとサイバー犯罪者は進化を止めない。ソフトウェアを製造する組織にとって、セキュリティ訓練を受けた開発者は基礎である。

そのため、トレーニングが効果的に定着していることを実証することは、トレーニングそのものと同じくらい重要です。Trust Scoreは、開発者個人と組織全体のパフォーマンスを可視化するだけでなく、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てるために、パフォーマンスデータをドリルダウンすることができます。また、個人および集計されたパフォーマンス結果のデータは、トレーニングが開発者の日常的なパフォーマンスに望ましい効果をもたらしていない場合など、トレーニングの改善が必要な領域を特定するのに役立ちます。

Trust Score は、開発者のパフォーマンスを評価し、必要なセキュリティ・スキルを習得しているかどうか、またそれを使用しているかどうかを確認することで、開発者がコードを書くためのライセンスを確実に取得できるようにする。これによって、組織は、最も機密性の高いデータや重要なソフトウェア・プロジェクトへのアクセスを、資格のある開発者に自信を持って許可する一方、まだ準備が整っていない開発者のアクセスを拒否することができる。

セキュリティ文化の変化の証明

サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼす、ビジネス上の問題なのだ。深刻な侵害は、組織の運営、評判、そして潜在的には存続に影響を及ぼす。サイバーセキュリティの重要性は、規制当局も見逃してはいない。規制当局は、ますます厳しい規制を実施し、CISOやその他の上層部のメンバーに対して、Uberや SolarWindsのケースのように、刑事告訴までして追及する姿勢を見せている。 

今日の環境では、全社的なセキュリティ文化の導入が不可欠です。企業の価値の多くはデータ、アプリケーション、サービスにあるため、セキュアなコーディングは企業文化の中核をなす要素である。文化的な考え方の一環として的を絞ったトレーニングとスキルアップを行い、トレーニングが文化の変革に役立ったことを証明することで、企業はセキュリティ体制を強化する道を歩むことができる。 


開発者主導のセキュリティ・プログラムには価値がある。その証拠はトラストスコアにある。

始める

以下のリンクをクリックし、この資料のPDFをダウンロードしてください。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

レポートを見るデモを予約する
PDFをダウンロード
リソースを見る
シェアする
ご興味がおありですか?

シェアする
著者
マティアス・マドゥ博士
2024年11月13日発行

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする

組織のセキュリティ体制を改善する確実な方法は、開発者がセキュアコーディングのベストプラクティスを習得することである。しかし、セキュアコーディングは一度限りの修正ではなく、組織の DNA に刻み込まれた生活習慣にする必要があります。開発者は、左遷する、あるいは左遷を始めるだけでなく、左遷を続ける必要がある。 

単にトレーニングを提供するだけでは十分ではない。組織は、開発者がトレーニングを完全に吸収し、日常業務の一環としてソフトウェア開発ライフサイクル(SDLC)の最初の段階でベストプラクティスに従っていることを確認する必要があります。開発者のパフォーマンスを追跡し、社内標準と業界ベンチマークの両方に対する進捗を測定し、トレーニングに投資した ROI を効果的に測定する必要があります。

Secure Code WarriorTrust Score は、個々の開発者のパフォーマンスを可視化し、データを集計して組織全体のパフォーマンス(assessment )を提供します。アップスキリングプログラムの有効性を示すと同時に、改善が必要な分野を特定します。また、一般データ保護規則(GDPR)、Payment Card Industry Data SecurityStandard(PCI DSS)、California Consumer Privacy Act(CCPA)など、さまざまな規制コンプライアンス要件への準拠を保証するのに役立ちます。

セキュア・コード・トレーニングが有効であることは、私たちの調査で明らかになっています。トラストスコアは、600以上の組織で25万人以上の学習者が行った学習データから2000万以上の学習データを抽出したアルゴリズムを使用して、脆弱性を減少させる効果や、イニシアチブをさらに効果的にする方法を明らかにしています。

トレーニングはセキュリティを向上させる - 開発者がそれを得れば 

何年もの間、SDLC の開始時にセキュリティのベストプラクティスを使用することは、ソフトウェア業界ではほとんど願望に過ぎないように思われました。しかし、ソフトウェア開発のスピードがますます速くなり、洗練された破壊的なサイバー脅威(多くの場合、ソフトウェアの脆弱性を標的として構築される)のペースが加速しているため、安全なコーディングが不可欠になっています。サイバーセキュリティおよびインフラセキュリティ機関(CISA)は、国際的なムーブメントに成長しつつあるSecure-by-Designイニシアチブで、セキュアなコードを最前線に据えている。 

セキュアバイデザインのアプローチとソフトウェアの脆弱性削減の相関関係は明らかです。SCWの顧客ベースの26%から得られた脆弱性削減データを分析したところ、開発者のトレーニングによってソフトウェアの脆弱性が22%から84%削減されることがわかりました。この幅は、関係する企業の規模(開発者の数が比較的少ない小規模な企業ほど、より劇的な結果の幅が大きい)や、学習グループが特定の問題に集中しているかどうか(その場合、より高い割合の欠陥を排除しているかどうか)などの変数に起因しています。

大企業の結果は一貫している。開発者数が 7,000 人以上の企業では、開発者がセキュリティのスキルを向上させた結果、脆弱性が 47~53%減少すると予想される。例えば、1 万人以上の開発者を抱える統計的に平均的な企業では、脆弱性が 53%減少した。 

もちろん、最も効果的なトレーニングは、大雑把で画一的なアプローチではありません。開発者の職場環境や、彼らが行う開発の種類に合わせたものでなければならない。

企業は、開発者が安全なコードを書くことを、単にコードを書くことと同じように自然にできるように、開発者が持つべき基本的なスキルを確立することから始めるべきである。スキルアッププログラムは、開発者の仕事の種類や使用する言語に合った実世界のシナリオで、実践的でアジャイルなトレーニングから構成されるべきである。また、トレーニングセッションを仕事のスケジュールに合わせられるよう、柔軟性を持たせるべきである。 

開発者にとってのスキルセットは、コードを書くことだけではない。人工知能アシスタントや、オープンソースのリポジトリなどのサードパーティが作成したソフトウェアをチェックできる必要があるのだ。開発者たちは、生成AIモデルを積極的に活用しており、より多くのコードをより迅速に作成するのに役立つその利点を一般的に称賛している。しかし、Snykの調査では、回答者の76%がAIが生成したコードは人間が生成したコードよりも安全だと答えたものの、それでも56.4%がAIは時々または頻繁にエラーを引き起こすと回答している。また、同じ調査では、開発者の80%がAIコードのセキュリティポリシーの適用をスキップしていることが判明しており、AIコードにおけるコードの問題が対処されていないことが示唆されている。

セキュアバイデザインのアプローチでは、開発者は、セキュリティチームと別個にではなく、セキュリティチームと協働して、SDLC の早い段階でこれらの問題に取り組み、コードが本番稼動する前に欠陥を特定し、修正します。

信頼スコアは個人と企業のパフォーマンスを測定する

また、トレーニングを継続的に行うことも重要である。企業は、会社の上層部から下層部に至るまで、あらゆる場所に適用されるセキュリティ優先の文化を採用する必要があります。この文化は、SDLC 全体を通して、継続的な改善とベスト・セキュリティ・プラクティスの適用に焦点を当てるべきである。テクノロジーとサイバー犯罪者は進化を止めない。ソフトウェアを製造する組織にとって、セキュリティ訓練を受けた開発者は基礎である。

そのため、トレーニングが効果的に定着していることを実証することは、トレーニングそのものと同じくらい重要です。Trust Scoreは、開発者個人と組織全体のパフォーマンスを可視化するだけでなく、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てるために、パフォーマンスデータをドリルダウンすることができます。また、個人および集計されたパフォーマンス結果のデータは、トレーニングが開発者の日常的なパフォーマンスに望ましい効果をもたらしていない場合など、トレーニングの改善が必要な領域を特定するのに役立ちます。

Trust Score は、開発者のパフォーマンスを評価し、必要なセキュリティ・スキルを習得しているかどうか、またそれを使用しているかどうかを確認することで、開発者がコードを書くためのライセンスを確実に取得できるようにする。これによって、組織は、最も機密性の高いデータや重要なソフトウェア・プロジェクトへのアクセスを、資格のある開発者に自信を持って許可する一方、まだ準備が整っていない開発者のアクセスを拒否することができる。

セキュリティ文化の変化の証明

サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼす、ビジネス上の問題なのだ。深刻な侵害は、組織の運営、評判、そして潜在的には存続に影響を及ぼす。サイバーセキュリティの重要性は、規制当局も見逃してはいない。規制当局は、ますます厳しい規制を実施し、CISOやその他の上層部のメンバーに対して、Uberや SolarWindsのケースのように、刑事告訴までして追及する姿勢を見せている。 

今日の環境では、全社的なセキュリティ文化の導入が不可欠です。企業の価値の多くはデータ、アプリケーション、サービスにあるため、セキュアなコーディングは企業文化の中核をなす要素である。文化的な考え方の一環として的を絞ったトレーニングとスキルアップを行い、トレーニングが文化の変革に役立ったことを証明することで、企業はセキュリティ体制を強化する道を歩むことができる。 


開発者主導のセキュリティ・プログラムには価値がある。その証拠はトラストスコアにある。

目次

PDFをダウンロード
リソースを見る
ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約するダウンロード
シェアする
リソース・ハブ

始めるためのリソース

その他の記事
リソース・ハブ

始めるためのリソース

その他の記事