サイバーセキュリティにおけるヒューマンファクターを見落としてはならない理由
先日、当社の会長兼CEOであるピーテル・ダンヒューによるForbes Technology Councilの最初の投稿が公開され、非常に感激しました。この投稿では、開発者がより安全なコードを作成できるようにスキルアップすることが、サイバー攻撃やデータ漏洩を防ぐための鍵であることが詳しく説明されています。それだけでなく、セキュリティを意識した開発者が、より優れた、より安全なコードを、多くのIT部門が認識しているよりも早く提供することを支援できることも明らかにしています。このようなアプローチの必要性は確かにあります。最近の調査によると、サイバー攻撃は39秒に1回発生していると言われています。私たちは、Colonial Pipelineへのランサムウェアの攻撃が1回成功しただけで、その混乱を目の当たりにしましたが、大局的に見ればSolarWindsのハッキングほどの破壊力はありませんでした。
多くの一般的な脆弱性が存在し続けているのは、劣悪なコーディングパターンを、同じ機能をより安全でセキュアな方法で実現する優れた方法に置き換える方法を、誰も開発者に教えようとしなかったからです。また、開発の後半にソフトウェアを修正することの影響は、費やした時間とデプロイメントの遅れの両方において、非常に大きなコストとなります。特に、攻撃者がこれまで発見されていなかった脆弱性を悪用した後に、デプロイされた後にコードを修正することは、時には数百万ドルの費用がかかります。さらに、大規模なセキュリティ侵害が発生した場合の企業の評判への影響も考慮に入れていません。
セキュリティ教育を受けた開発者は、自然と優れたプログラマーになります。確かに、CISOはすぐにセキュリティツールをやめるべきではありません。しかし、包括的で予防的なセキュリティアプローチをトップから主導することで、CISOは企業の最大のリソースである人的要因を活用することができます。特に、ソフトウェア開発ライフサイクルの最初の段階から安全なコーディングを行うことが重要です。
そのために、押さえておきたい上位3つの戦略をご紹介します。
1.積極的に行動しよう
企業が陥りがちなのは、独自のビジョンを描き、それを追求するのではなく、競合他社の動きに対応するといった「リアクティブ(反応的)」な姿勢です。また、コードのセキュリティ脆弱性に関しても、多くの企業がこのようなアプローチをとっており、サイバーセキュリティに真剣に取り組まなければならないのは、侵入が成功した結果としてのみです。残念ながら、その時点では、罰金、復旧費用、顧客離れ、ブランド回復など、すべての面でダメージを受けてしまいます。行動ではなく反応というもう一つの形は、そもそも安全なコードを作ることに集中するのではなく、既存のコードの脆弱性を見つけるために自動または手動のコードスキャンに頼ることです。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに脆弱性があればあるほど、それをすり抜けてしまう可能性が高くなるのです。
積極的なアプローチをとり、開発者と協力して最初から安全なコードを作成することによってのみ、コードの脆弱性がユーザーに公開される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立することができます。
2.アップスキル、オーバーキルは禁物
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、その方法を賢く選ぶ必要があります。コーディングを中断させるような社内トレーニング・ワークショップは、開発者と管理者の両方を苛立たせる。夜間や週末に参加しなければならないオフサイトのcourses は、さらに人気がありません。最良のアプローチは、コーディングスキルを段階的に向上させることであり、コーディングプロセスの中で段階的に関連情報を提供することです。
3.仮定ではなく、インセンティブを与える
開発者は、セキュリティ・アップスキリングを罰や全くの徒労と考えてはならない。管理者は、安全なコードが会社の成功に果たす重要な役割を伝えることで、開発者を鼓舞しなければならない。また、安全なコードを書く人は会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要である。
バイデン政権の迎えた 大統領令は、サイバーセキュリティへの注目度を高め、"開発者やサプライヤー自身のセキュリティ対策を評価する基準を盛り込み、安全な対策への適合を証明するための革新的なツールや方法を特定する "必要があるとしています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。どんなツールでも、個人が何らかの方法で、導入されたシステムやツールを無視したり、誤解したり、悪用したり、その他の方法で回避する能力を完全に排除することはできません。企業のセキュリティを最大限に高めるためには、CISOはヒューマンファクターを活用し、開発者が進んでセキュリティを推進し、実践するように働きかける必要があります。
先日、当社の会長兼CEOであるピーテル・ダンヒューによるForbes Technology Councilの最初の投稿が公開され、非常に興奮しました。この投稿では、開発者がより安全なコードを作成できるようにスキルアップすることが、サイバー攻撃やデータ漏洩を防ぐための鍵となることが詳しく述べられています。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
先日、当社の会長兼CEOであるピーテル・ダンヒューによるForbes Technology Councilの最初の投稿が公開され、非常に感激しました。この投稿では、開発者がより安全なコードを作成できるようにスキルアップすることが、サイバー攻撃やデータ漏洩を防ぐための鍵であることが詳しく説明されています。それだけでなく、セキュリティを意識した開発者が、より優れた、より安全なコードを、多くのIT部門が認識しているよりも早く提供することを支援できることも明らかにしています。このようなアプローチの必要性は確かにあります。最近の調査によると、サイバー攻撃は39秒に1回発生していると言われています。私たちは、Colonial Pipelineへのランサムウェアの攻撃が1回成功しただけで、その混乱を目の当たりにしましたが、大局的に見ればSolarWindsのハッキングほどの破壊力はありませんでした。
多くの一般的な脆弱性が存在し続けているのは、劣悪なコーディングパターンを、同じ機能をより安全でセキュアな方法で実現する優れた方法に置き換える方法を、誰も開発者に教えようとしなかったからです。また、開発の後半にソフトウェアを修正することの影響は、費やした時間とデプロイメントの遅れの両方において、非常に大きなコストとなります。特に、攻撃者がこれまで発見されていなかった脆弱性を悪用した後に、デプロイされた後にコードを修正することは、時には数百万ドルの費用がかかります。さらに、大規模なセキュリティ侵害が発生した場合の企業の評判への影響も考慮に入れていません。
セキュリティ教育を受けた開発者は、自然と優れたプログラマーになります。確かに、CISOはすぐにセキュリティツールをやめるべきではありません。しかし、包括的で予防的なセキュリティアプローチをトップから主導することで、CISOは企業の最大のリソースである人的要因を活用することができます。特に、ソフトウェア開発ライフサイクルの最初の段階から安全なコーディングを行うことが重要です。
そのために、押さえておきたい上位3つの戦略をご紹介します。
1.積極的に行動しよう
企業が陥りがちなのは、独自のビジョンを描き、それを追求するのではなく、競合他社の動きに対応するといった「リアクティブ(反応的)」な姿勢です。また、コードのセキュリティ脆弱性に関しても、多くの企業がこのようなアプローチをとっており、サイバーセキュリティに真剣に取り組まなければならないのは、侵入が成功した結果としてのみです。残念ながら、その時点では、罰金、復旧費用、顧客離れ、ブランド回復など、すべての面でダメージを受けてしまいます。行動ではなく反応というもう一つの形は、そもそも安全なコードを作ることに集中するのではなく、既存のコードの脆弱性を見つけるために自動または手動のコードスキャンに頼ることです。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに脆弱性があればあるほど、それをすり抜けてしまう可能性が高くなるのです。
積極的なアプローチをとり、開発者と協力して最初から安全なコードを作成することによってのみ、コードの脆弱性がユーザーに公開される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立することができます。
2.アップスキル、オーバーキルは禁物
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、その方法を賢く選ぶ必要があります。コーディングを中断させるような社内トレーニング・ワークショップは、開発者と管理者の両方を苛立たせる。夜間や週末に参加しなければならないオフサイトのcourses は、さらに人気がありません。最良のアプローチは、コーディングスキルを段階的に向上させることであり、コーディングプロセスの中で段階的に関連情報を提供することです。
3.仮定ではなく、インセンティブを与える
開発者は、セキュリティ・アップスキリングを罰や全くの徒労と考えてはならない。管理者は、安全なコードが会社の成功に果たす重要な役割を伝えることで、開発者を鼓舞しなければならない。また、安全なコードを書く人は会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要である。
バイデン政権の迎えた 大統領令は、サイバーセキュリティへの注目度を高め、"開発者やサプライヤー自身のセキュリティ対策を評価する基準を盛り込み、安全な対策への適合を証明するための革新的なツールや方法を特定する "必要があるとしています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。どんなツールでも、個人が何らかの方法で、導入されたシステムやツールを無視したり、誤解したり、悪用したり、その他の方法で回避する能力を完全に排除することはできません。企業のセキュリティを最大限に高めるためには、CISOはヒューマンファクターを活用し、開発者が進んでセキュリティを推進し、実践するように働きかける必要があります。
先日、当社の会長兼CEOであるピーテル・ダンヒューによるForbes Technology Councilの最初の投稿が公開され、非常に感激しました。この投稿では、開発者がより安全なコードを作成できるようにスキルアップすることが、サイバー攻撃やデータ漏洩を防ぐための鍵であることが詳しく説明されています。それだけでなく、セキュリティを意識した開発者が、より優れた、より安全なコードを、多くのIT部門が認識しているよりも早く提供することを支援できることも明らかにしています。このようなアプローチの必要性は確かにあります。最近の調査によると、サイバー攻撃は39秒に1回発生していると言われています。私たちは、Colonial Pipelineへのランサムウェアの攻撃が1回成功しただけで、その混乱を目の当たりにしましたが、大局的に見ればSolarWindsのハッキングほどの破壊力はありませんでした。
多くの一般的な脆弱性が存在し続けているのは、劣悪なコーディングパターンを、同じ機能をより安全でセキュアな方法で実現する優れた方法に置き換える方法を、誰も開発者に教えようとしなかったからです。また、開発の後半にソフトウェアを修正することの影響は、費やした時間とデプロイメントの遅れの両方において、非常に大きなコストとなります。特に、攻撃者がこれまで発見されていなかった脆弱性を悪用した後に、デプロイされた後にコードを修正することは、時には数百万ドルの費用がかかります。さらに、大規模なセキュリティ侵害が発生した場合の企業の評判への影響も考慮に入れていません。
セキュリティ教育を受けた開発者は、自然と優れたプログラマーになります。確かに、CISOはすぐにセキュリティツールをやめるべきではありません。しかし、包括的で予防的なセキュリティアプローチをトップから主導することで、CISOは企業の最大のリソースである人的要因を活用することができます。特に、ソフトウェア開発ライフサイクルの最初の段階から安全なコーディングを行うことが重要です。
そのために、押さえておきたい上位3つの戦略をご紹介します。
1.積極的に行動しよう
企業が陥りがちなのは、独自のビジョンを描き、それを追求するのではなく、競合他社の動きに対応するといった「リアクティブ(反応的)」な姿勢です。また、コードのセキュリティ脆弱性に関しても、多くの企業がこのようなアプローチをとっており、サイバーセキュリティに真剣に取り組まなければならないのは、侵入が成功した結果としてのみです。残念ながら、その時点では、罰金、復旧費用、顧客離れ、ブランド回復など、すべての面でダメージを受けてしまいます。行動ではなく反応というもう一つの形は、そもそも安全なコードを作ることに集中するのではなく、既存のコードの脆弱性を見つけるために自動または手動のコードスキャンに頼ることです。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに脆弱性があればあるほど、それをすり抜けてしまう可能性が高くなるのです。
積極的なアプローチをとり、開発者と協力して最初から安全なコードを作成することによってのみ、コードの脆弱性がユーザーに公開される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立することができます。
2.アップスキル、オーバーキルは禁物
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、その方法を賢く選ぶ必要があります。コーディングを中断させるような社内トレーニング・ワークショップは、開発者と管理者の両方を苛立たせる。夜間や週末に参加しなければならないオフサイトのcourses は、さらに人気がありません。最良のアプローチは、コーディングスキルを段階的に向上させることであり、コーディングプロセスの中で段階的に関連情報を提供することです。
3.仮定ではなく、インセンティブを与える
開発者は、セキュリティ・アップスキリングを罰や全くの徒労と考えてはならない。管理者は、安全なコードが会社の成功に果たす重要な役割を伝えることで、開発者を鼓舞しなければならない。また、安全なコードを書く人は会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要である。
バイデン政権の迎えた 大統領令は、サイバーセキュリティへの注目度を高め、"開発者やサプライヤー自身のセキュリティ対策を評価する基準を盛り込み、安全な対策への適合を証明するための革新的なツールや方法を特定する "必要があるとしています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。どんなツールでも、個人が何らかの方法で、導入されたシステムやツールを無視したり、誤解したり、悪用したり、その他の方法で回避する能力を完全に排除することはできません。企業のセキュリティを最大限に高めるためには、CISOはヒューマンファクターを活用し、開発者が進んでセキュリティを推進し、実践するように働きかける必要があります。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
先日、当社の会長兼CEOであるピーテル・ダンヒューによるForbes Technology Councilの最初の投稿が公開され、非常に感激しました。この投稿では、開発者がより安全なコードを作成できるようにスキルアップすることが、サイバー攻撃やデータ漏洩を防ぐための鍵であることが詳しく説明されています。それだけでなく、セキュリティを意識した開発者が、より優れた、より安全なコードを、多くのIT部門が認識しているよりも早く提供することを支援できることも明らかにしています。このようなアプローチの必要性は確かにあります。最近の調査によると、サイバー攻撃は39秒に1回発生していると言われています。私たちは、Colonial Pipelineへのランサムウェアの攻撃が1回成功しただけで、その混乱を目の当たりにしましたが、大局的に見ればSolarWindsのハッキングほどの破壊力はありませんでした。
多くの一般的な脆弱性が存在し続けているのは、劣悪なコーディングパターンを、同じ機能をより安全でセキュアな方法で実現する優れた方法に置き換える方法を、誰も開発者に教えようとしなかったからです。また、開発の後半にソフトウェアを修正することの影響は、費やした時間とデプロイメントの遅れの両方において、非常に大きなコストとなります。特に、攻撃者がこれまで発見されていなかった脆弱性を悪用した後に、デプロイされた後にコードを修正することは、時には数百万ドルの費用がかかります。さらに、大規模なセキュリティ侵害が発生した場合の企業の評判への影響も考慮に入れていません。
セキュリティ教育を受けた開発者は、自然と優れたプログラマーになります。確かに、CISOはすぐにセキュリティツールをやめるべきではありません。しかし、包括的で予防的なセキュリティアプローチをトップから主導することで、CISOは企業の最大のリソースである人的要因を活用することができます。特に、ソフトウェア開発ライフサイクルの最初の段階から安全なコーディングを行うことが重要です。
そのために、押さえておきたい上位3つの戦略をご紹介します。
1.積極的に行動しよう
企業が陥りがちなのは、独自のビジョンを描き、それを追求するのではなく、競合他社の動きに対応するといった「リアクティブ(反応的)」な姿勢です。また、コードのセキュリティ脆弱性に関しても、多くの企業がこのようなアプローチをとっており、サイバーセキュリティに真剣に取り組まなければならないのは、侵入が成功した結果としてのみです。残念ながら、その時点では、罰金、復旧費用、顧客離れ、ブランド回復など、すべての面でダメージを受けてしまいます。行動ではなく反応というもう一つの形は、そもそも安全なコードを作ることに集中するのではなく、既存のコードの脆弱性を見つけるために自動または手動のコードスキャンに頼ることです。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに脆弱性があればあるほど、それをすり抜けてしまう可能性が高くなるのです。
積極的なアプローチをとり、開発者と協力して最初から安全なコードを作成することによってのみ、コードの脆弱性がユーザーに公開される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立することができます。
2.アップスキル、オーバーキルは禁物
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、その方法を賢く選ぶ必要があります。コーディングを中断させるような社内トレーニング・ワークショップは、開発者と管理者の両方を苛立たせる。夜間や週末に参加しなければならないオフサイトのcourses は、さらに人気がありません。最良のアプローチは、コーディングスキルを段階的に向上させることであり、コーディングプロセスの中で段階的に関連情報を提供することです。
3.仮定ではなく、インセンティブを与える
開発者は、セキュリティ・アップスキリングを罰や全くの徒労と考えてはならない。管理者は、安全なコードが会社の成功に果たす重要な役割を伝えることで、開発者を鼓舞しなければならない。また、安全なコードを書く人は会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要である。
バイデン政権の迎えた 大統領令は、サイバーセキュリティへの注目度を高め、"開発者やサプライヤー自身のセキュリティ対策を評価する基準を盛り込み、安全な対策への適合を証明するための革新的なツールや方法を特定する "必要があるとしています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。どんなツールでも、個人が何らかの方法で、導入されたシステムやツールを無視したり、誤解したり、悪用したり、その他の方法で回避する能力を完全に排除することはできません。企業のセキュリティを最大限に高めるためには、CISOはヒューマンファクターを活用し、開発者が進んでセキュリティを推進し、実践するように働きかける必要があります。
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード始めるためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
.png)
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.