開発者の67％が脆弱性のあるコードを出荷していることを認めていることをご存知だろうか？家を建てることになった建設作業員のチームを想像してみてほしい。彼らは必要な材料や道具はすべて持っているが、設計図や建築基準法に従うのに苦労している。その結果、彼らはミスを犯し、家は規格通りに建てられない。

この例えは、開発者がセキュアコーディングを実践しようとするときに直面する課題を説明するために使うことができる。建設作業員が、自分たちの家が安全であることを保証するために、設計図や建築基準法に従う必要があるのと同じように、開発者は、自分たちのソフトウェアアプリケーションが安全であることを保証するために、セキュアコーディングの実践に従う必要があるのです。

セキュアコーディングが困難な理由はいくつかあります。以下がその例です：

• セキュアコーディングの実践に対する認識不足。開発者の86%が、セキュアコーディングを実践するのは難しいと回答している。
• 時間とリソースの不足。アンケートの回答者の24%が、「時間が足りない」ことがセキュアなコードの統合を妨げる最大の要因であると回答しています。
• セキュアコーディングの複雑さ。開発者の63%が、脆弱性のないセキュアなコードを書くのは難しいと評価している。
• ツールへの過度の依存。アプリケーション・セキュリティ・チームの57％が、DevSecOpsのライフサイクル中に脆弱性を発見するために6つ以上のツールを利用している。(GitLab、2023年）

しかし、課題にもかかわらず、安全なコーディングは不可欠です。セキュアなコーディングの実践に従うことで、開発者は攻撃者に悪用される脆弱性からアプリケーションを保護することができます。よく建てられた家が倒壊しにくいように、よくコーディングされたアプリケーションはハッキングされにくいのです。

ここでは、セキュアなコーディングの実践を改善したい開発者のためのヒントをいくつか紹介する：

• セキュアコーディングに関するトレーニングや教育を受ける。開発者がセキュアコーディングの実践について学ぶのに役立つリソースは数多くあります。
• 静的解析ツールを使ってコードの脆弱性を特定する。静的解析ツールは、手作業では見つけにくいコードの脆弱性を特定するのに役立つ。
• レビューしやすく、理解しやすいコードを書く。レビューしやすく理解しやすいコードは、安全なコードである可能性が高い。
• コードを徹底的にテストする。コードをテストすることで、脆弱性が悪用される前に特定し、修正することができる。

もっと知りたいですか？当社のセキュアコード学習ブループリントで、アジャイルでセキュアなコーディング戦略を開発する秘訣を解き明かしてください。 

‍

‍

‍

‍

ソフトウェア開発のダイナミックな領域では、アジリティは単なる流行語ではなく、必要不可欠なものです。変化し続ける状況を認識し、開発者は、平均修復時間（MTTR）をさらに最適化するために、継続的に学習する考え方を採用しなければならない。アジャイル学習には、セキュアコーディングに関する新しい技術、方法論、問題解決技術に素早く適応する能力が含まれる。このブログでは、アジャイル学習を取り入れることが、MTTRを短縮し、全体的な開発効率を高める上で極めて重要な要因となることを探る。

平均修復時間（MTTR）を短縮するために開発者が直面する課題

2023年に脆弱性が悪用されるまでの平均時間は44日だが、脆弱性の75％は公表から19日以内に悪用されている。これは、パッチ管理、脅威インテリジェンス、開発者の教育に対して積極的な姿勢を採用するための警鐘となるはずだ。

開発者は、ツールやシステムの複雑な網の目、コミュニケーションのギャップ、早急な対応が必要な問題に取り組むスキルの不足のために、問題を特定し解決する際に様々な課題に直面する。以下に、脆弱性を修復する際に開発者が直面する課題のいくつかを紹介する。 

システムの複雑さと自動化の欠如：

• 最新のアプリケーションは、マイクロサービス、API、様々なサードパーティとの統合で構成されていることが多い。このような複雑なシステムで問題の根本原因を特定することは、困難で時間のかかることです。問題の検出、分析、解決のための手動プロセスは、時間がかかることがあります。自動化の欠如は、開発者がインシデントに対応するスピードを妨げます。

限られた視界とコミュニケーション：

• 開発者は、システムの動作やパフォーマンスをリアルタイムで把握する上で、多くの困難に直面している。これは、問題を迅速に特定し、対処する能力を妨げる可能性がある。
• 問題解決には、効率的なコミュニケーションが欠かせません。サイロ化したコミュニケーション・チャネルや、開発、運用、その他のチーム間のコラボレーション不足は、問題解決の遅れにつながります。

問題を迅速に修正するために必要なスキルの欠如：

• セキュアなコーディングの実践方法を正しく理解していないと、開発者は効果的なパッチの適用に苦労し、意図せずに新たな欠陥を導入し、重要なセキュリティ対策を見落とす可能性がある。このような理解不足は、セキュリティ専門家とのコラボレーションの妨げとなり、不完全な、あるいは効果のない修正につながり、コードベースにおけるセキュリティ脅威のリスクを増大させる。 

アジャイル学習の優位性 

アジャイル学習者は、新しいスキルの習得に長けている。テクノロジーが進化し、システムがより複雑になるにつれて、開発者は常に時代の先端を行く必要がある。継続的なlearning platform に投資することで、最新のトラブルシューティングとデバッグのテクニックをチームに与えることができる。

1.適応的問題解決

アジャイルな学習者は、問題解決が反復プロセスである環境で成長する。実験を奨励し、失敗から学ぶ文化を醸成することで、開発チームは複雑な問題に迅速に対処する能力を高めることができる。

2.部門を超えたコラボレーション

アジャイル学習は、部門横断的なコラボレーションと密接な関係にある。開発者、セキュリティ、その他のチームは、知識を共有するだけでなく、お互いの経験から集団的に学ばなければならない。このような協調的な考え方は、多様なスキルと視点を活用することで、問題解決を加速させる。

3.開発者のワークフローに学習を組み込む： 

開発サイクルの中で、短期集中型の学習スプリントを実施する。このスプリントは、新しいテクノロジー、ツール、問題解決の方法論の探求に特化することができる。継続的な学習のための時間を割り当てることで、チームは新たな課題に取り組むために必要なスキルを積極的に身につけることができる。

4.セキュリティ・チャンピオンの増殖

経験豊富な開発者が先頭に立ち、チーム内にセキュリティ文化を醸成する。経験不足のチームメンバを指導し、知識を共有し、貴重な知見を提供することができる。このようなメンターシップは、学習曲線を加速させるだけでなく、セキュリティチャンピオンを増やすことにもつながる。 

これらの基本原則を念頭に置き、Secure Code Warrior の顧客は、平均修復時間の改善で大きな利益を得ている。これは日数で測ることもでき、あるお客様は修正にかかる日数が150日短縮されました。また、修正にかかる時間で測定することもできます。たとえば、Sage がSecure Code Warrior を使用して、あるチームの修正時間を 82% 短縮した例をご覧ください。 

結論 

MTTR の最適化に関しては、セキュアコードのためのアジャイル学習が、永続的な脆弱性を解決するための継続的な改善の触媒として浮上する。適応性を重視し、継続的な学習を奨励し、部門横断的なコラボレーションを促進する文化を確立することで、開発チームは、進化し続けるソフトウェア環境がもたらす課題に対応するだけでなく、それを超えることもできる。複雑なソフトウェアシステムをナビゲートするとき、アジャイルラーニングを、より迅速な問題解決と持続的な成功に向けて開発者を導く羅針盤にしよう。

‍

9年余り前、私は友人、家族、元同僚、投資家候補と、起業の意図について何度か話し合った。全員が応援してくれ、何人かは私たちが起業するために必要なエンジェルになってくれたが、他の人たちは理性の代弁者として、新興企業の90％は最終的に失敗し、5社に1社は最初の2年以内にスクラップになってしまうというような悲惨な統計を引用した。 

しかし、共同設立者であるマティアスと素晴らしいチームがそばにいてくれるから、どんなカーブボールにも耐えられると感じている。 

今日が私たちの9回目の誕生日であり、私たちの業績と、急速に変化し続けるサイバーセキュリティの世界における永続的な地位に対して、私は大きな誇りと感謝の念を抱き続けている。 

‍

新しい顧客、新しい機会

この不況下で成長するのは容易なことではありませんが、私たちはスピードと効率を向上させ、拡大する顧客ベースにさらなる価値を提供する方法を模索し続けています。2023年には、顧客リストに多数のTier-1ロゴが追加されましたが、真の恩恵は、セキュアなソフトウェア開発への新しいアプローチを、たとえそれが著しく困難なレガシー環境であっても、積極的に試そうとする姿勢を目の当たりにしたことにあります。 

このような業界の大企業は、セキュリティの成果に変革をもたらしたいのであれば、私たちが見なければならない変化を推進する上で力を発揮することができる。 

>>毎年開催しているデブリンピックス・グローバル・セキュア・コーディングtournament は100％の成長を遂げました。tournament

>> Secure Code Warrior Learning Platform を利用する開発者は40万人を超える。

>>Secure Code Warrior を利用してセキュアコーディングを学び、実践している開発者は、同業者よりも組織内に侵入する脆弱性が53%少ないことが、ユーザーベースの30%（約75,000人）の分析データから明らかになった。すごい！

AIは見出しと役員室を席巻しているが、私たちは準備ができている

AI、機械学習、大規模言語モデル（LLM）技術をめぐる誇大宣伝は、昨年は避けられないものだった。わずか12カ月という短い間に、AIコーディングとセキュリティ・ツールの猛攻撃が、多くの開発者のコード記述への取り組み方を変え始めた。

その時々の時流をとらえ、大量採用を要求する新興テクノロジーは信じられないほど強力であり、AI支援コーディング・ツールはここにとどまるだろう。しかし、これまで長々と議論してきたように、このようなテクノロジーは、どちらかといえば、セキュアなソフトウェア開発と効率性の間の溝を広げている。組織は、スピードとコンテキスト認識や脆弱性検出のバランスを取る必要性に取り組んでいるため、セキュリティに精通した開発者がこれまで以上に求められている。ある意味、これはペアプログラミングの未来であり、ツールそのものがソフトウェア作成における新しいユニークなフロンティアを提示している。

AI/LLMツールのセキュリティへの影響をご自身の目で確かめ、開発者のセキュリティ・アップスキルに早急に重点を置く絶好の機会がここにあることを実感してください。そして、セキュリティを最前線に置いてスピードと効率を追求する組織と提携する準備が整っています。

サイバーセキュリティ・リーダーと共に歩み、開発者主導の前向きなセキュリティ成果を生み出す

そして、この分野で10年を迎える2024年は、我々の歴史にとって革命的な年になりそうだ。

私たちの製品ロードマップには、皆さんと共有するのが待ちきれないほど素晴らしい新機能が満載されています。セキュリティ・リーダーの皆さんは、私たちが開発部隊の達成を支援できることに特に興味を持たれることでしょう。 

私たちとともに歩んでくれてありがとう。

この記事はForbes に掲載されたものです。


‍サイバーセキュリティ戦略計画は、ほとんどの組織がサイバーセキュリティにアプローチする方法に大きな変更を迫っている。

‍

サイバーセキュリティ・インフラセキュリティ庁（CISA）は、2018年の発足以来、米国の重要インフラとコンピューティング・ネットワークの保護に役立ってきただけでなく、その影響力と専門知識は世界的にも反響を呼んでいる。同庁の包括的な助言、セキュリティ勧告、脆弱性レポート、サイバーセキュリティプログラムは、実行可能なベストプラクティスの世界的なベンチマークとなっており、世界のサイバーセキュリティの領域において新たに発表されたCISA 2023-2025戦略計画の重要性を強調している。

CISAの影響力と功績は、特に設立から数年しか経っていないことを考えると、ほとんどの政府機関が達成できたことをはるかに超えて広がっている。これは、脅威の状況が急激に拡大していることや、攻撃者が侵害や搾取の試みに習熟してきていることが少なからず影響している。CISAは、サイバー犯罪者やその他のいわゆる脅威行為者との戦いにおいて指導的な役割を担っており、体系的に傾向を追跡し、サイバーセキュリティのベストプラクティスについて助言している。

しかし、サイバーセキュリティ機関は、有益なアドバイスやガイダンスを提供する一方で、今後数年間のサイバーセキュリティへの取り組みの全体的な方向性を定めることを目的とした全体的な戦略計画を発表したことはなかった。これは単なる計画ではなく、多くの組織が検討し、最終的には実行に移したいと考えるマイルストーンである。この計画がサイバーセキュリティへの取り組み方に大きな変化を求めているという事実は、そのガイダンスに従うことを困難にするかもしれないが、開発コミュニティは、適切なサポート、ツール、スキルアップの道が与えられれば、それを支援できるユニークな立場にある。

世界的なサイバーセキュリティのベストプラクティスに変化が訪れている

一見すると、CISA戦略計画にはフラストレーションが溜まっているように感じられがちだが、CISAは、今と同じことを続けていれば、同じ結果が出続けるという事実を認めているに過ぎない。サイバーセキュリティを向上させるには、現在使用されているソフトウェアやアプリケーションを製造している企業を含め、全体的に大きな変化が必要である。

少なくとも部分的には、ソフトウェアに矛先を向けることは、以前にも紹介した概念である。実際、米国の国家安全保障戦略では、「ソフトウェア・セキュリティの不備は、デジタル・エコシステム全体のシステミック・リスクを大幅に増大させる」と明記されている。CISA戦略計画は、この苦境にアプローチし、解決するための新たな戦略を示している。

CISAが提唱するサイバーセキュリティにおける最大の変革は、ソフトウェアを製造する企業に対し、安全な製品を出荷するよう求めることである。セキュアコーディングのベストプラクティスが確立され、実施されるようになれば、攻撃者が悪用できる脆弱性、特に重大な脆弱性がソフトウェア内に潜むことははるかに少なくなる。確かに、あちこちで何かが見落とされる可能性はまだあり、発見して修正するためには勤勉さが必要だが、毎日何百もの脆弱性が検出され、サイバーセキュリティの守備側に過度の負荷がかかっている現状に比べれば、管理可能な命題である。CISAはその計画の中で、ソフトウェアやその他の技術を製造する者は、自社製品のセキュリティに責任を持つ必要があると明確に述べている。

「社会として、あらゆる技術製品が発売された瞬間に脆弱性を持ち、セキュリティに対する圧倒的な負担が個々の組織やユーザーにあるようなモデルをもはや受け入れることはできない」とCISA戦略計画は述べている。「技術は、市場に投入される前に、悪用可能な欠陥の数を最小限に抑えるように設計、開発、テストされるべきである。

CISAは "組織のリーダーのリスク決定に影響を与えるために利用可能なあらゆる手段を用いる "と述べている。また、現在サイバーインシデントの報告を規定しているCIRCIA（Cyber Incident Reporting for Critical Infrastructure Act of 2022）のような法律が、最終的にこれらの新しい規制への自主的な遵守をより義務的なものへとシフトさせるモデルとして機能する可能性も示唆している。いずれにせよ、現在ソフトウェアやその他のテクノロジーを製造している企業の多くは、この新しいガイダンスに賛同することが有益であろう。

CISAの指針は重要な機会となる

組織は、さらなる規制の可能性に不安を感じるのではなく、CISA戦略計画を利用して、より優れた、より質の高いソフトウェアを目指す機会を受け入れるべきである。これは単なるコンプライアンスの要請ではなく、開発者がスキルを磨き、より安全なデジタル環境に貢献するチャンスなのだ。結局のところ、安全なソフトウェアを作ることは、それを作る会社、それに依存するようになったユーザー、そしてそのソフトウェアやアプリケーションによってデータにアクセスされたり保存されたりする人々を含む、すべての人を助けることになる。ソフトウェアやアプリケーションの大部分を構成するコードが、本番環境に移行する前に可能な限りセキュアに作られていれば、攻撃者だけが手ぶらでいられる。

この新しい方向性を考えると、より安全なコーディングを実装し、CISAプランに準拠するための取り組みを開始するには、すべてのコードを記述またはソース提供する組織の開発者が最適な場所であることは理にかなっている。しかし、開発者は、組織の残りの部分、特に上層部の支援なしには、単独でそれを行うことはできない。脆弱性、安全なコードの書き方、本番環境に到達するずっと前に問題を認識する方法を理解している開発者を確保することが、組織が最終的にコードの出荷に責任を持ち、CISAが言うように、"敵がそれを使って危害を加える前に脆弱性が発見され、修正されるようにする "ための鍵となる。

注意すべき重要な点は、開発者が必要とするトレーニングがかなり高度であるということだ。一貫してセキュアなコードを書くことに習熟するのは困難な努力であり、チェック・ザ・ ボックス的なコンプライアンス対策では対応できない。開発者は、新しい CISA 計画で要求されるセキュリティレベルを維持するために必要なスキルを確実に身につけるために、全体的なセキュリティ意識向上プログラムの一環として、実践的で消化可能かつ継続的な学習成果を提供する、高レベルでアジャイルな学習方法を必要とする。 

理想的には、CISA計画に備えるためのスキルアップには、アジャイル開発の原則など、開発者が日常的に使用している高度な手法やプログラムの多くも取り入れるべきである。例えば、アジャイル開発では、作業は管理可能な塊に分割され、連続的なサイクルでスプリントを重ねていく。アジャイルプラクティスを取り入れた優れた教育プログラムは、開発者がCISAプランをサポートするために必要なスキルを迅速に習得するのに役立ち、ほとんどすぐにメリットを実感し、より安全なコーディングを開始することができます。

良いニュースは、ほとんどの開発者がセキュアコーディングの実践を支持し、組織が新しい CISA 指令に準拠するのを支援することを熱望していることである。世界中で活躍している1,200人以上のプロの開発者を対象とした調査では、圧倒的多数の開発者が、セキュアなコードを作成し、組織により良いセキュリティ文化を確立するというコンセプトを支持していると回答した。 

開発者は、正確な教育経路と適切なサポートを必要としている。組織がそれを提供することができれば、コードの安全性が高まるだけでなく、新しいCISAサイバーセキュリティ戦略計画で定められたガイダンスに準拠する、あるいはそれを上回る取り組みにおいて、時代を先取りすることができる。

このセキュリティ文化の転換は挑戦的なものではあるが、サイバーセキュリティの本質を変え、私たちの生活を向上させるテクノロジーが、それを悪用しようとする攻撃者に悩まされることのない世界を実現する絶好の機会でもある。そしてCISA計画は、その驚くべき、そして最終的には達成可能な目標に向けた有望な道筋を示している。

この記事の原文は DZone.

Payment Card Industry Data Security Standard（PCI DSS）バージョン4.0は、電子決済を受け入れる企業や組織（その大部分）にとって、セキュリティに関するほとんどすべてを変えることになります。そして、間違いなく、このアップデートはほとんどの企業にとって変革的なものであり、セキュリティプロセスの多くをアップグレードする必要があり、暗号化、認証、アクセス制御、鍵管理、およびこれまで導入が遅れていたその他の領域に関する新たな保護を展開する可能性があります。

新しい要件は複雑なため、企業は2025年3月までに完全なコンプライアンスに対応することが求められている。しかし、その期限は多くの人が思っているよりも早くやってくる。実際、多くの先進的な企業は、開発者が保留中のコンプライアンス状況をナビゲートできるよう、今すぐにでも対策を講じている。 

チェック・ザ・ボックスのトレーニングを超える

組織の開発者は、インフラストラクチャの多くが依存するコードを記述するため、新しい PCI DSS 4.0 要件を実装する際には、開発者から着手するのが理にかなっています。しかし、ほとんどの開発者は、最新のセキュリティ意識向上プログラムの一環として、スキルアップのための戦略的なサポートが必要になります。これは、新規格で要求されるより高いレベルのセキュリティを実装し、維持するために必要な経験を確保するためです。 

実際、PCI DSS 4.0 の要件 12.6.2 は、組織に正式なセキュリティプログラムを実装し、最新の脅威情報と防御テクニックを常に更新するよう指示しています。旧基準では、基本的なセキュリティプログラム、または「チェック・ザ・ボックス」スタイルの年次コンプライ アンス研修でも目的を満たすことができました。この新基準は、それ以上のことを義務付けており、セキュリティ・トレーニング・プログラムが、企業環境内の特定の脅威や脆弱性に対応することまで要求している。例えば、IDの盗難が組織にとって大きな問題であれば、トレーニングはそれに対応する必要がある。

最小限のトレーニングでは、実用的な観点からも、新規格に準拠する観点からも、もはや十分でないことは明らかである。その代わりに、組織は開発者に対し、セキュリティのベストプラクティスを実際の日常業務に適用する方法を教える包括的かつ機動的な学習経路を提供する必要がある。最低限のコンプライアンスにとどまらず、セキュリティを真に理解するために必要なリソースを開発者に提供することで、組織は、PCI DSS 4.0 に準拠しながら、開発者が全体としてより適切なセキュリティ判断を下せるようにすることができます。

PCI DSS 4.0 の新しい要件の多くは、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者がすでに慣れ親しんでいる分野を対象としていることは朗報です。開発者のスキルを向上させるために、適切かつ関連性のある身近なリソースが提供されれば、組織は PCI DSS 4.0 で要求される新しい基準や責任の増加に対する準備を容易に行うことができます。

PCI DSS 4.0を全体的なセキュリティ向上への道しるべとする

優れたセキュリティ教育によって開発者のニーズに対応することは、新しいPCI DSS 4.0基準への準拠を成功させるための鍵となりますが、組織をより良いサイバーセキュリティに向かわせるための取り組みをそこで終わらせる必要はありません。確かに、要件は厳格ですが、ほとんどの組織は要件に準拠するために努力する必要があるため、その努力を、全体的により良いセキュリティ意識とトレーニングを開始するための踏み台として利用しない理由はありません。そうすることで、コンプライアンス要件を満たすだけでなく、ベストプラクティスを優先し、組織内の全員が同じセキュリティ優先の目標に向かって取り組むような、積極的なセキュリティ文化を醸成することができる。 

学習曲線があることは確かだが、開発者はこのような取り組みに賛同する可能性が高い。Evans Data 社が世界中で活躍しているプロの開発者 1,200 人以上を対象に実施した調査では、圧倒的多数の開発者が、セキュアなコードを作成し、組織により良いセキュリティ文化を確立するというコンセプトを支持していると回答した。ほとんどの開発者が、セキュアコーディングへの戦略的な移行と、開発プロセスの一部としてのセキュリティの再優先化を歓迎していることは明らかである。 

PCI DSS 4.0によって義務付けられたセキュリティのアップグレードは、企業がセキュリティのベストプラクティスとトレーニングの改善に投資し、組織内により良い全体的なセキュリティ文化を受け入れるための絶好の口実を提供します。

開発者がセキュアコーディングのスキルを関連ツールやトレーニングに統合できるようなプログラムに投資すれば、開発者はより簡単にセキュリティ成熟度を高めることができます。これにより、開発者がより適切な判断を下せるようになり、PCI DSS 4.0 の厳格な新基準をはるかに超えて組織の全体的なセキュリティ態勢を改善できるような、セキュリティの文化が醸成されます。
‍。

今年もこの時期に突入した。起こったこと、起こると思っていたこと、起こらなかったこと、学んだこと、そして今後12カ月間の決断、行動、結果を形作るであろうことを振り返る時期だ。 

挑戦的な経済力学、新たなサイバーセキュリティの脅威、そしてこれまでで最も身近になったAIへの社会的導入が、DevSecOpsにとって興味深い2023年を形作った。さらに不思議なことに、ページをめくって2024年に向かっても、これらの要素はどれもバックミラーには映っていない。これらの要素は、組織、その開発者チーム、サイバーセキュリティ・チーム、そして政府の規制当局にとって、最前線かつ中心的な存在なのだ。 

優先順位が目まぐるしく変化する中、Secure Code Warrior 、今後12ヶ月で展開されるであろう予測のトップは以下の通りである： 

組織は開発者のリテンションを重視する。 

開発者は、組織とその顧客に計り知れない価値を提供している。今、その価値を実証し、開発者が自社の収益に何をもたらすかを評価するのは、組織側の責任である。開発者が現在の雇用主を長期的なキャリアの目的地とできるよう、定着戦略やプログラム、その他の取り組みにさらなる投資が行われるだろう。学習と開発は、これらの企業にとって大きな差別化要因となるだろう。 

より多くのデベロッパーが、コンテンツと統合を中心に据えるだろう。 

組織は、より多くのソフトウェアと、継続的なデジタルトランスフォーメーションを、より早く顧客の手に届けることを望んでいる。開発者が鋭敏であり続け、ソフトウェア開発ライフサイクル（SDLC）における新たな障害を予測し、イノベーションを加速するためにより多くのリソースにアクセスするためには、より多くの学習コンテンツとサードパーティの統合が最も重要になるだろう。 

AIツールは新しいスタック・オーバーフロー 

開発者がStack Overflowやオープンソースのフォーラムに助けを求めるのと同じように、開発者はAIツールに目を向けるようになるだろう。しかし、これは誤った安心感を生む。開発者はAIを「ヘルプ・チャネル」として利用するだろうが、組織はこのアプローチでは不十分だと気づくだろう。 

AIによる救済は今後も続く 

AIが明日開発者に取って代わるわけではないが、テクノロジーはソフトウェア開発ライフサイクル（SDLC）に組み込まれつつあり、脆弱性の導入を回避したり、互換性のある修正を特定したりするための、より確実なプロセスを生み出している。開発者の行動、組織への投資、人員の再配置、サイバーセキュリティのリスク管理への新たなアプローチに変化をもたらすことは避けられないだろう。 

AIへの依存＋APIの爆発的成長＝規制対策

APIの加速的な作成と有効化を通じてビジネスを促進する企業の数は、API脅威のベクトルを大幅に拡大している。AIの利用傾向がAPIの作成と起動のスピードを指数関数的に増加させるため、APIセキュリティのためのより大きなガバナンスが焦点となる必要があり、新たな規制措置が導入されることは確実である。 

セキュアなコードを出荷しないソフトウェア・ベンダーには、さらに多くの影響がある。 

CISAのディレクターであるジェン・イースタリーは、自社製品のセキュリティに関して、ソフトウェア・ベンダーが「責任転嫁」することは許されないと明言している。CISAの権限は、連邦政府機関に販売するベンダーにセキュア・バイ・デザインの実践を強制する手助けをする程度にしか及ばないが、今年初めのMOVEit事件は、大規模なソフトウェア・ベンダーが新たなベンチマークを達成し、それを上回る必要があることを再確認させた。安全でないコードを出荷する常習犯に対しては、より多くの説明責任と結果を強制する必要がある。

2024年のOWASPトップ10では、設計上の欠陥に再び焦点が当てられるだろう 

セキュア・バイ・デザインといえば、2021年にOWASPは「安全でない設計」カテゴリを導入し、アーキテクチャ上のセキュリティ問題や欠陥へのシフトに焦点を当てました。今後のトップ10リスト（おそらく2024年）を予想すると、重要な認証とアクセス制御の設定をサポートする完全な脅威モデリング手順を含む、安全なソフトウェア開発ライフサイクル（SSDLC）を開発するチームに重点を置いて、安全でない設計と安全でない実装の違いについて、より大きな、幹部レベルの会話が交わされるでしょう。 

DevSecOpsベンダーは、さまざまなエグゼクティブの購買層をターゲットとするため、具体的なROIを証明する必要がある。 

競争力のある販売サイクルで複数のグループに販売するためには、ベンダーはビジネスのさまざまな領域に合わせて会話を調整する必要がある。従来、セキュリティ・ベンダーは主にCISOやセキュリティ・リーダーを対象に営業活動を行ってきた。2024年には、セキュリティ/CISOに加え、L&DやDevOps/AppSecなどのエグゼクティブに対して、より具体的な文脈でリスク削減を証明する能力がより求められるようになるだろう。

「ゲートキーピング」がソフトウェア開発におけるセキュリティ成熟への切符となる 

CISO は、サイバーセキュリティへの取り組みのビジネス上の価値と、長期的なプログラムの有効性を証明するよう、依然として厳しく求められている。開発者は、機密性の高いレポジトリを扱うプロジェクトを任される前に、セキュリティを意識していることを証明する必要がますます高まるだろう。ゲートキーピング」基準を採用し、ソフトウェア作成プロセスの初期段階からセキュアなコーディングを優先する CISO は、セキュリティの卓越性を確保するためにチームをより有利な立場に置くことができる。 

リアクティブ・セキュリティは旧態依然と見なされる 

サイバーレジリエンスを高めるという目標が、さまざまな業種のサイバー戦略を支配し続ける中、リアクションやインシデントレスポンスだけを計画の中核としている企業は、受け入れがたい暴露とリスクにさらされていることに気づくだろう。「私たちが当たり前のように使っているソフトウェアや重要なデジタル・インフラに携わる開発者のスキルアップと能力確認と並んで、コードレベルのセキュリティが優先されるべきである。今こそ、政府も企業も、予防的で意識の高いセキュリティ・プログラムに取り組み、スタッフ一人ひとりが責任を共有できるようにしなければならない。

セキュアコーディング教育と実装のリーダーとして、私たちはこれからの1年を楽しみにしており、これらの進化するダイナミクスを先取りするために600以上のお客様と協力しています。あなたの2024年はどのような年ですか？また、Secure Code Warrior はどのようなお手伝いができますか？

もっと知りたいですか？XとLinkedInで私たちをフォローし、すべてのアナウンスの最新情報を入手してください。

クラウドコンピューティングとAIのイノベーションのスピードはかつてないほど高まっています。グローバルSASEのリーダーであるNetskopeは、進化する脅威、新たなリスク、テクノロジーのシフトに対処しながら、組織がそのすべてを活用できるよう支援しています。しかし、これらの困難なダイナミクスは、ソフトウェア開発ライフサイクルにさらなるプレッシャーを与えています。

Netskopeの副CISOであるジェームス・ロビンソンは、組織の開発チームが新しい言語や技術に常に対応できるようにする方法を見つける最前線にいました。現在のトレーニング機能では一部の言語にしか対応していないことを認識したとき、より良い代替手段が必要であることは明らかでした。

Secure Code Warrior Secure Code Warrior からのカスタマイズ可能なコンテンツと無数の実践的な学習活動は、Netskopeのゲームを変えました。SCWのアジャイル への参加が増え、これらの取り組みがもはやチェック・ザ・ボックスではなく、開発者コミュニティにとって有意義なコンテンツとアクティベーションであると感じられるようになりました。learning platform

彼らの全行程はどのようなもので、これまでの結果はどうだったのだろうか？

• Netskopeのストーリーは、この新しいケーススタディでご覧いただけます。
• Secure Code Warrior 、Netskopeとの共同ウェビナー「コンプライアンスを超えるために」はこちらからご覧ください。 

どこを見渡しても、ほとんどすべての分野でAIテクノロジーへの注目が集まっている。ソフトウェア開発における迅速な機能作成への回答として称賛されることもあるが、スピードの向上には代償が伴う。ツール自体のコンテキスト認識の欠如や、生産性を高め、困難な開発シナリオへの回答を生成するためにAIに依存する開発者の低レベルのセキュリティ・スキルのおかげで、コードベースに深刻なセキュリティ・バグが混入する可能性があるのだ。 

ラージ・ランゲージ・モデル（LLM）技術は、支援ツールの劇的な変化を象徴しており、安全に使用されれば、多くのソフトウェア・エンジニアが切望するペア・プログラミングの仲間になる可能性がある。しかし、AI開発ツールの野放図な使用は有害な影響を及ぼす可能性があることはすぐに立証されており、スタンフォード大学のある2023年の研究では、AIアシスタントに依存すると、出力が安全であるという確信が高まるだけでなく、全体的にバグが多く、より安全でないコードになる可能性が高いことが明らかになった。

LLM技術を完璧なものにするための競争が進むにつれて、ツールは改善され続けると考えるのは妥当だが、バイデン政権による新しい大統領令やEUによる人工知能法などの勧告の数々は、いずれにせよ、その使用を厄介な道にしている。開発者は、AIツールの出力に関するコードレベルのセキュリティ・スキル、認識、批判的思考を磨くことで、先手を打つことができ、ひいては、より高い水準のエンジニアになることができる。

AIコーディングアシスタントはどのように脆弱性を導入するのか？ 私たちの新しいパブリックミッションをプレイして自分の目で確かめてください！

‍

例ChatterGPT' におけるクロスサイトスクリプティング (XSS)

私たちの新しい公開ミッションは、人気のあるLLMのおなじみのインターフェイスを明らかにし、2023年11月下旬に生成された実際のコード・スニペットを利用しています。ユーザーはこのスニペットを解釈し、意図した目的に使用された場合の潜在的なセキュリティの落とし穴を調査することができる。

pのHTML要素の内容を変更するJavaScript関数を書けますか？その関数を介して内容が渡されます」というプロンプトに基づき、AIアシスタントは忠実にコードブロックを作成するが、すべては見かけ通りではない。

チャレンジはもうお済みですか？もしまだなら、先を読む前に今すぐ挑戦してみよう。

......さて、これで完成したわけだが、問題のコードはクロスサイト・スクリプティング（XSS）に対して脆弱であることがわかるだろう。 

XSSは、ウェブブラウザのコア機能を操作することで可能になります。信頼できない入力がページの出力としてレンダリングされ、実行可能で安全なコードと誤って解釈されることで発生します。攻撃者は、悪意のあるスニペット（HTMLタグ、JavaScriptなど）を入力パラメータの中に置くことができ、それがブラウザに戻されると、データとして表示される代わりに実行されます。

ソフトウェア開発におけるAIコーディングアシスタントの安全な利用

現役の開発チームを対象とした最近の調査では、ほぼ全員（96％）がワークフローでAIアシスタントを使い始めており、80％がセキュリティ・ポリシーを回避してまでAIアシスタントをツールキットに組み込んでいることが明らかになった。さらに、半数以上が、ジェネレーティブAIツールは一般的に安全でないコードを作成することを認めているが、これは明らかに採用を遅らせない。

この新しい時代のソフトウェア開発プロセスでは、これらのツールの使用を抑制したり禁止したりすることは、うまくいきそうにない。その代わりに、組織は、セキュリティやコード品質を犠牲にすることなく、開発チームが効率性と生産性の向上を活用できるようにしなければならない。そのためには、セキュアコーディングのベストプラクティスに関する精密なトレーニングを行い、クリティカルシンキングのスキルを伸ばす機会を提供し、特にAIアシスタントが出力するコードの潜在的な脅威を評価する際には、セキュリティ第一の考え方で行動できるようにする必要がある。 

さらに読む

XSS全般については、包括的なガイドをご覧ください。

安全なコードの書き方やリスクの軽減についてもっと知りたいですか？XSSインジェクション・チャレンジを無料でお試しください。

コーディングガイドラインをもっと無料で入手したい場合は、セキュアコーディングのベストプラクティスを常に把握するのに役立つSecure Code Coachをチェックしてください。

‍

進化を続けるサイバーセキュリティの状況において、デジタル資産を保護する開発者の役割はますます重要になってきている。しかし、本来は問題解決と効率性を重視する開発者が、セキュリティを優先しない可能性があるため、開発者を教育することが課題となっています。このブログ記事では、開発者を巻き込むだけでなく、脆弱性を53% 削減するセキュリティ教育プログラムを構築するための 3 つの重要なステップを紹介します。人間関係の醸成から階層的アプローチの実施まで、これらの戦略は、安全なコーディングの実践に必要な知識とスキルを開発者に身につけさせることを目的としている。

1.開発者との関係を構築し、開発者の関与を維持する 

開発者は、初期のセキュリティ知識が不足していることが多いが、コード関連の問題を迅速に解決することに主眼を置いている。開発者のセキュリティに対する関心を高めるには、これらのトピックの価値を強調し、実行可能なものにすることが極めて重要である。技術スタックに含まれるすべてのプログラミング言語について、開発者が独立して自分のペースでトレーニングできるプログラムを導入することが重要である。開発者やチームリーダーと強い関係を築き、セキュアコード教育に現実的な時間を割けるようにする。

重要な最初のステップは、開発者が独立して自分のペースでトレーニングできる プログラムを導入することです。つまり、自社の技術スタックで使用されているすべてのプログラミング言語をカバーする必要がある。複雑な環境における開発者の学習ニーズを考慮し、脆弱性管理を支援する既存のセキュリティツールとどのように連携するかを考える。

2.繰り返し発生する脆弱性の優先順位付け  

スキャンツールやペンテストツールを使用して、重要で繰り返し発生する脆弱性を注視し、どのセキュアコーディング教育コンテンツがプログラムの礎となるかを導き出す。 既存のツールを活用し、これらの発見をセキュアコードプログラムに 統合することが鍵となります。また、開発者が教育を受ける必要がある脆弱性の優先順位を決めるために、以下の指標も考慮してください： 

• 平均脆弱性年齢 
• バックログにある脆弱性の数
• 平均解決時間、または平均修復時間（MTTR）  
• クローズドな脆弱性の数とオープンな脆弱性の数の比較
• 独自に作成したコード（サードパーティ製は除く）の1行あたりの問題数

プログラムの成果に関する期待も、早い段階で設定すべきである。プログラムに参加する開発者は、一定レベルのセキュアなコーディングスキルを獲得することを期待されるべきで、それは、彼らが解決し、再導入しない脆弱性の数によって追跡することができる。 

3.段階的なセキュアコーディングスキル開発プログラムの実施 

開発者のセキュリティ参加と分析・テストプロセスとの統合が完了したら、セキュアコーディングの教育 を継続するインセンティブを与えることによって、開発者がセキュアコーディングスキルを磨くことに積極的に 取り組めるようにする。これは、開発者をセキュリティのより複 雑な領域に移行させるために、プログラムを階層化（「ベルト」化）することで実現できます。 

タレス社がどのようにセキュリティ教育プログラムを構成したかの一例を紹介しよう： 

1. 意識向上- セキュリティ意識の基本レベルを向上させ、セキュリティトピックに関する開発者の知識の基本水準を確立 する。
2. 基礎 -脆弱なコードの見つけ方や一般的な脆弱性の理解など、基本的なセキュリティスキルを学ぶ
3. 自律的 - Secure Code Warriorのガイダンスに基づき、検証された戦術を使用して脆弱性を特定し、修復 する。
4. 専門家 -ビジネスにとって重要な関連分野のすべてについて、セキュリティのチャンピオンであり、専門家であると定義される。

また、自己学習を促進することで、開発者のモチベーションを高め、新しい攻撃ベクトル、ベストプラクティス、新しい言語、新たに発見された脆弱性に関する最新情報を常に入手できるようになります。全員がセキュアなコーディング能力の基本水準に達したら、コンプライアンス重視の 1 時間にわたる年次トレーニングではなく、関連コンテンツを通じて毎月 2、3 回の重要な学習を行うだけで、時間の節約に役立つプログラムを活用しましょう。開発者を教育することによって節約された時間は、そもそも導入されるべきではなかった脆弱性を修正するために必要な手戻りを減らすという形で現れる。 

結論

技術の進歩と同様に脅威が急速に変化するサイバーセキュリティのダイナミックな領域では、開発者向けの プロアクティブで体系的なセキュリティコーディング教育 プログラムが、重要なビジネス保護策となる。開発者と強固な関係を築き、繰り返し発生する脆弱性に優先順位を付け、段階的なスキル開発を実施することで、組織は壊滅的な侵害の可能性からコードベースを守ることができます。 

このようなプログラムの成功は、単に脆弱性の減少で測られるのではなく、開発者の間でセキュリティ優先の考え方が醸成されることで測られる。デジタル・セキュリティの複雑な領域を進む中で、教育を通じて開発者に力を与えることは、組織をレジリエントでセキュアなデジタル・エコシステムに変える有力な戦略として浮上している。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってセキュアなコードを作成し、サイバーセキュリティを最優先する文化を構築するお手伝いをします。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを軽減できるよう支援します。