トラストスコアは、セキュアバイデザイン教育プログラムの価値を示します
企業のセキュリティ態勢を強化する確実な方法の一つは、開発者に安全なプログラミングのベストプラクティスを教育することです。 これらは、開発者に必要な具体的な学習経路を提供する、ベースラインとベンチマークを含むフレームワークで提供されます。しかし、セキュアコーディングは単発の解決策ではありません——企業のDNAに組み込まれた生き方となる必要があります。開発者は左に切り替える、あるいは左から始めるだけでなく、左に留まり続ける必要があるのです。
研修を提供するだけでは不十分です。企業は開発者が研修を完全に修了し、ソフトウェア開発ライフサイクル(SDLC)の初期段階からベストプラクティスを日常業務の一部として実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、進捗を社内基準と業界基準の両方で測定しなければなりません。 これにより、研修投資から得られるROIを効果的に測定できます。
Code Warriorsセキュア・トラストワースは、個々の開発者のパフォーマンスを可視化し、データを集約することで、企業全体のパフォーマンス評価を可能にします。研修プログラムの効果を明らかにすると同時に、改善が必要な領域を特定します。 さらに、GDPR(一般データ保護規則)、PCI DSS(ペイメントカード業界データセキュリティ基準)、CCPA(カリフォルニア消費者プライバシー法)など、数多くの規制要件への準拠確保にも貢献します。
当社の調査により、安全なコードトレーニングが有効であることが実証されました。Trust Scoreは、600以上の組織における25万人以上の学習者の活動から得られた2000万以上の学習データポイントに基づくアルゴリズムを採用しています。これにより、セキュリティ上の脆弱性を解消する効果を可視化し、取り組みをさらに効果的にする方法を示します。
トレーニングは安全性を向上させる——開発者が受講すれば
長年にわたり、ソフトウェア業界ではSDLCの初期段階で確立されたセキュリティ手法を採用することが最も望ましいとされてきた。将来的に導入できれば理想的だが、今日ではもはや優先事項ではない。 しかし、ソフトウェア開発の速度が絶えず加速し、巧妙で破壊的なサイバー脅威(多くの場合ソフトウェア脆弱性を悪用するもの)のペースがますます速くなる中、安全なコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「設計段階からのセキュリティ」イニシアチブで安全なコードを中核に据え、これは国際的な運動へと発展している。
当社の調査が証明したように、セキュアバイデザインアプローチとソフトウェア脆弱性の削減との間には明確な相関関係があります。SCW顧客の26%におけるセキュリティギャップ削減データを分析した結果、開発者トレーニングがソフトウェア脆弱性の数を22%から84%削減することを確認しました。 この幅は、関与した企業の規模(開発者が比較的少ない小規模企業では結果の幅がより顕著に現れた)や、学習グループが特定の問題に焦点を当てていたかどうかといった変数によって生じました。後者の場合、より高い割合の欠陥が修正されました。
大企業における結果はかなり一貫していた。 開発者7,000名以上を擁する企業では、開発者のセキュリティスキル向上により脆弱性が47~53%減少すると予測されます。例えば、プラットフォームのトップ企業でも最高水準のベンチマーク企業でもない、統計的に平均的な10,000名以上の開発者を擁する企業では、脆弱性が53%減少しました。
もちろん、最も効果的なトレーニングには、すべての人に適した包括的なアプローチは必要ありません。開発者の作業環境や、彼らが実施する開発の性質に合わせて調整されるべきです。
企業は、開発者が安全なコードを書くことを、単純なコード記述と同じくらい自然に感じられるようにするための基礎的な能力開発を始めるべきです。研修プログラムは、実際のシナリオに基づいた実践的でアジャイルなトレーニングで構成され、彼らの業務内容や使用する言語に適合している必要があります。また、研修を業務スケジュールに組み込めるよう、十分な柔軟性を備えているべきです。
開発者にとって、スキルはコードを書くこと以上に広がっています。人工知能アシスタントやサードパーティ(例:オープンソースリポジトリ)によって作成されたソフトウェアを検証できる能力が求められます。開発者は生成AIモデルを積極的に活用しており、コード作成の効率化に貢献する点でその利点を概ね評価しています。Snykの調査によると、回答者の76%がAI生成コードは人間が作成したコードより安全だと回答した一方で、56.4%はAIが時々または頻繁にエラーを引き起こすと依然として指摘している。 さらに同調査では、開発者の80%がAIコードのセキュリティガイドライン適用を省略していることが判明。これはAIコード内の問題が修正されていない可能性を示唆している。
セキュア・バイ・デザインのアプローチでは、開発者はセキュリティチームと協力し(分離せず)、SDLCの早い段階でこれらの問題に取り組み、コードが本番環境に展開される前に欠陥を特定・修正します。
トラストスコアは個人および企業のパフォーマンスを測定します
継続的なトレーニングも重要です。企業は、最高経営層から現場レベルまで、あらゆる階層で適用される「セキュリティ最優先」の文化を根付かせる必要があります。これは継続的な改善と、ソフトウェア開発ライフサイクル(SDLC)全体におけるベストプラクティスの適用に焦点を当てるべきです。 技術とサイバー犯罪者は進化を止めない。サイバーセキュリティも同様だ。ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在である。
したがって、トレーニング自体が重要であるのと同様に、トレーニングが効果的に定着したことを証明することも同様に重要です。Trust Scoreは、個々の開発者や企業全体のパフォーマンスを可視化するだけでなく、企業がパフォーマンスデータを詳細に分析し、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てることを可能にします。 個別のパフォーマンス結果と集計結果のデータは、トレーニングの改善が必要な領域を特定するのにも役立ちます。例えば、開発者の日常業務におけるパフォーマンスに望ましい効果が現れていない場合などが挙げられます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、必要なセキュリティスキルを習得し活用しているかどうかを確認できるようにしました。これにより、開発者がプログラミングのライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを信頼して許可すると同時に、ツールを使用する準備がまだ整っていない者へのアクセスを拒否することが可能になります。
変化する安全文化の証明
サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの企業にとって最も貴重な資産であるデータの完全性を損なうビジネス上の問題である。重大な侵害は企業の業務、評判、そして収益性に悪影響を及ぼす。 サイバーセキュリティの重要性は規制当局も見逃していません。彼らはますます厳しい規制を導入し、UberやSolarWindsの事例のように、CISOや場合によっては他の上級管理職に対する訴訟手続きを進め、刑事告発に至るまで対応する姿勢を示しています。
企業全体にセキュリティ文化を導入することは、現代の環境において不可欠です。そして、企業の価値の大部分がデータ、アプリケーション、サービスに依存しているため、安全なコーディングはこの文化の中核をなす要素です。文化的思考様式の一部としての的を絞ったトレーニングと継続的なスキル向上、そしてトレーニングが企業文化の変化に貢献したことを実証することが、企業がセキュリティ対策の強化に向けた道筋を歩むための基盤となります。
開発者指向のセキュリティプログラムは価値がある。その証拠は信頼性にある。
当社の調査により、安全なコードトレーニングが有効であることが実証されました。Trust Scoreは、600以上の組織における25万人以上の学習者の活動から得られた2000万以上の学習データポイントに基づくアルゴリズムを採用しています。これにより、セキュリティ上の脆弱性を解消する効果を可視化し、取り組みをさらに効果的にする方法を示します。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
企業のセキュリティ態勢を強化する確実な方法の一つは、開発者に安全なプログラミングのベストプラクティスを教育することです。 これらは、開発者に必要な具体的な学習経路を提供する、ベースラインとベンチマークを含むフレームワークで提供されます。しかし、セキュアコーディングは単発の解決策ではありません——企業のDNAに組み込まれた生き方となる必要があります。開発者は左に切り替える、あるいは左から始めるだけでなく、左に留まり続ける必要があるのです。
研修を提供するだけでは不十分です。企業は開発者が研修を完全に修了し、ソフトウェア開発ライフサイクル(SDLC)の初期段階からベストプラクティスを日常業務の一部として実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、進捗を社内基準と業界基準の両方で測定しなければなりません。 これにより、研修投資から得られるROIを効果的に測定できます。
Code Warriorsセキュア・トラストワースは、個々の開発者のパフォーマンスを可視化し、データを集約することで、企業全体のパフォーマンス評価を可能にします。研修プログラムの効果を明らかにすると同時に、改善が必要な領域を特定します。 さらに、GDPR(一般データ保護規則)、PCI DSS(ペイメントカード業界データセキュリティ基準)、CCPA(カリフォルニア消費者プライバシー法)など、数多くの規制要件への準拠確保にも貢献します。
当社の調査により、安全なコードトレーニングが有効であることが実証されました。Trust Scoreは、600以上の組織における25万人以上の学習者の活動から得られた2000万以上の学習データポイントに基づくアルゴリズムを採用しています。これにより、セキュリティ上の脆弱性を解消する効果を可視化し、取り組みをさらに効果的にする方法を示します。
トレーニングは安全性を向上させる——開発者が受講すれば
長年にわたり、ソフトウェア業界ではSDLCの初期段階で確立されたセキュリティ手法を採用することが最も望ましいとされてきた。将来的に導入できれば理想的だが、今日ではもはや優先事項ではない。 しかし、ソフトウェア開発の速度が絶えず加速し、巧妙で破壊的なサイバー脅威(多くの場合ソフトウェア脆弱性を悪用するもの)のペースがますます速くなる中、安全なコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「設計段階からのセキュリティ」イニシアチブで安全なコードを中核に据え、これは国際的な運動へと発展している。
当社の調査が証明したように、セキュアバイデザインアプローチとソフトウェア脆弱性の削減との間には明確な相関関係があります。SCW顧客の26%におけるセキュリティギャップ削減データを分析した結果、開発者トレーニングがソフトウェア脆弱性の数を22%から84%削減することを確認しました。 この幅は、関与した企業の規模(開発者が比較的少ない小規模企業では結果の幅がより顕著に現れた)や、学習グループが特定の問題に焦点を当てていたかどうかといった変数によって生じました。後者の場合、より高い割合の欠陥が修正されました。
大企業における結果はかなり一貫していた。 開発者7,000名以上を擁する企業では、開発者のセキュリティスキル向上により脆弱性が47~53%減少すると予測されます。例えば、プラットフォームのトップ企業でも最高水準のベンチマーク企業でもない、統計的に平均的な10,000名以上の開発者を擁する企業では、脆弱性が53%減少しました。
もちろん、最も効果的なトレーニングには、すべての人に適した包括的なアプローチは必要ありません。開発者の作業環境や、彼らが実施する開発の性質に合わせて調整されるべきです。
企業は、開発者が安全なコードを書くことを、単純なコード記述と同じくらい自然に感じられるようにするための基礎的な能力開発を始めるべきです。研修プログラムは、実際のシナリオに基づいた実践的でアジャイルなトレーニングで構成され、彼らの業務内容や使用する言語に適合している必要があります。また、研修を業務スケジュールに組み込めるよう、十分な柔軟性を備えているべきです。
開発者にとって、スキルはコードを書くこと以上に広がっています。人工知能アシスタントやサードパーティ(例:オープンソースリポジトリ)によって作成されたソフトウェアを検証できる能力が求められます。開発者は生成AIモデルを積極的に活用しており、コード作成の効率化に貢献する点でその利点を概ね評価しています。Snykの調査によると、回答者の76%がAI生成コードは人間が作成したコードより安全だと回答した一方で、56.4%はAIが時々または頻繁にエラーを引き起こすと依然として指摘している。 さらに同調査では、開発者の80%がAIコードのセキュリティガイドライン適用を省略していることが判明。これはAIコード内の問題が修正されていない可能性を示唆している。
セキュア・バイ・デザインのアプローチでは、開発者はセキュリティチームと協力し(分離せず)、SDLCの早い段階でこれらの問題に取り組み、コードが本番環境に展開される前に欠陥を特定・修正します。
トラストスコアは個人および企業のパフォーマンスを測定します
継続的なトレーニングも重要です。企業は、最高経営層から現場レベルまで、あらゆる階層で適用される「セキュリティ最優先」の文化を根付かせる必要があります。これは継続的な改善と、ソフトウェア開発ライフサイクル(SDLC)全体におけるベストプラクティスの適用に焦点を当てるべきです。 技術とサイバー犯罪者は進化を止めない。サイバーセキュリティも同様だ。ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在である。
したがって、トレーニング自体が重要であるのと同様に、トレーニングが効果的に定着したことを証明することも同様に重要です。Trust Scoreは、個々の開発者や企業全体のパフォーマンスを可視化するだけでなく、企業がパフォーマンスデータを詳細に分析し、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てることを可能にします。 個別のパフォーマンス結果と集計結果のデータは、トレーニングの改善が必要な領域を特定するのにも役立ちます。例えば、開発者の日常業務におけるパフォーマンスに望ましい効果が現れていない場合などが挙げられます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、必要なセキュリティスキルを習得し活用しているかどうかを確認できるようにしました。これにより、開発者がプログラミングのライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを信頼して許可すると同時に、ツールを使用する準備がまだ整っていない者へのアクセスを拒否することが可能になります。
変化する安全文化の証明
サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの企業にとって最も貴重な資産であるデータの完全性を損なうビジネス上の問題である。重大な侵害は企業の業務、評判、そして収益性に悪影響を及ぼす。 サイバーセキュリティの重要性は規制当局も見逃していません。彼らはますます厳しい規制を導入し、UberやSolarWindsの事例のように、CISOや場合によっては他の上級管理職に対する訴訟手続きを進め、刑事告発に至るまで対応する姿勢を示しています。
企業全体にセキュリティ文化を導入することは、現代の環境において不可欠です。そして、企業の価値の大部分がデータ、アプリケーション、サービスに依存しているため、安全なコーディングはこの文化の中核をなす要素です。文化的思考様式の一部としての的を絞ったトレーニングと継続的なスキル向上、そしてトレーニングが企業文化の変化に貢献したことを実証することが、企業がセキュリティ対策の強化に向けた道筋を歩むための基盤となります。
開発者指向のセキュリティプログラムは価値がある。その証拠は信頼性にある。
企業のセキュリティ態勢を強化する確実な方法の一つは、開発者に安全なプログラミングのベストプラクティスを教育することです。 これらは、開発者に必要な具体的な学習経路を提供する、ベースラインとベンチマークを含むフレームワークで提供されます。しかし、セキュアコーディングは単発の解決策ではありません——企業のDNAに組み込まれた生き方となる必要があります。開発者は左に切り替える、あるいは左から始めるだけでなく、左に留まり続ける必要があるのです。
研修を提供するだけでは不十分です。企業は開発者が研修を完全に修了し、ソフトウェア開発ライフサイクル(SDLC)の初期段階からベストプラクティスを日常業務の一部として実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、進捗を社内基準と業界基準の両方で測定しなければなりません。 これにより、研修投資から得られるROIを効果的に測定できます。
Code Warriorsセキュア・トラストワースは、個々の開発者のパフォーマンスを可視化し、データを集約することで、企業全体のパフォーマンス評価を可能にします。研修プログラムの効果を明らかにすると同時に、改善が必要な領域を特定します。 さらに、GDPR(一般データ保護規則)、PCI DSS(ペイメントカード業界データセキュリティ基準)、CCPA(カリフォルニア消費者プライバシー法)など、数多くの規制要件への準拠確保にも貢献します。
当社の調査により、安全なコードトレーニングが有効であることが実証されました。Trust Scoreは、600以上の組織における25万人以上の学習者の活動から得られた2000万以上の学習データポイントに基づくアルゴリズムを採用しています。これにより、セキュリティ上の脆弱性を解消する効果を可視化し、取り組みをさらに効果的にする方法を示します。
トレーニングは安全性を向上させる——開発者が受講すれば
長年にわたり、ソフトウェア業界ではSDLCの初期段階で確立されたセキュリティ手法を採用することが最も望ましいとされてきた。将来的に導入できれば理想的だが、今日ではもはや優先事項ではない。 しかし、ソフトウェア開発の速度が絶えず加速し、巧妙で破壊的なサイバー脅威(多くの場合ソフトウェア脆弱性を悪用するもの)のペースがますます速くなる中、安全なコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「設計段階からのセキュリティ」イニシアチブで安全なコードを中核に据え、これは国際的な運動へと発展している。
当社の調査が証明したように、セキュアバイデザインアプローチとソフトウェア脆弱性の削減との間には明確な相関関係があります。SCW顧客の26%におけるセキュリティギャップ削減データを分析した結果、開発者トレーニングがソフトウェア脆弱性の数を22%から84%削減することを確認しました。 この幅は、関与した企業の規模(開発者が比較的少ない小規模企業では結果の幅がより顕著に現れた)や、学習グループが特定の問題に焦点を当てていたかどうかといった変数によって生じました。後者の場合、より高い割合の欠陥が修正されました。
大企業における結果はかなり一貫していた。 開発者7,000名以上を擁する企業では、開発者のセキュリティスキル向上により脆弱性が47~53%減少すると予測されます。例えば、プラットフォームのトップ企業でも最高水準のベンチマーク企業でもない、統計的に平均的な10,000名以上の開発者を擁する企業では、脆弱性が53%減少しました。
もちろん、最も効果的なトレーニングには、すべての人に適した包括的なアプローチは必要ありません。開発者の作業環境や、彼らが実施する開発の性質に合わせて調整されるべきです。
企業は、開発者が安全なコードを書くことを、単純なコード記述と同じくらい自然に感じられるようにするための基礎的な能力開発を始めるべきです。研修プログラムは、実際のシナリオに基づいた実践的でアジャイルなトレーニングで構成され、彼らの業務内容や使用する言語に適合している必要があります。また、研修を業務スケジュールに組み込めるよう、十分な柔軟性を備えているべきです。
開発者にとって、スキルはコードを書くこと以上に広がっています。人工知能アシスタントやサードパーティ(例:オープンソースリポジトリ)によって作成されたソフトウェアを検証できる能力が求められます。開発者は生成AIモデルを積極的に活用しており、コード作成の効率化に貢献する点でその利点を概ね評価しています。Snykの調査によると、回答者の76%がAI生成コードは人間が作成したコードより安全だと回答した一方で、56.4%はAIが時々または頻繁にエラーを引き起こすと依然として指摘している。 さらに同調査では、開発者の80%がAIコードのセキュリティガイドライン適用を省略していることが判明。これはAIコード内の問題が修正されていない可能性を示唆している。
セキュア・バイ・デザインのアプローチでは、開発者はセキュリティチームと協力し(分離せず)、SDLCの早い段階でこれらの問題に取り組み、コードが本番環境に展開される前に欠陥を特定・修正します。
トラストスコアは個人および企業のパフォーマンスを測定します
継続的なトレーニングも重要です。企業は、最高経営層から現場レベルまで、あらゆる階層で適用される「セキュリティ最優先」の文化を根付かせる必要があります。これは継続的な改善と、ソフトウェア開発ライフサイクル(SDLC)全体におけるベストプラクティスの適用に焦点を当てるべきです。 技術とサイバー犯罪者は進化を止めない。サイバーセキュリティも同様だ。ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在である。
したがって、トレーニング自体が重要であるのと同様に、トレーニングが効果的に定着したことを証明することも同様に重要です。Trust Scoreは、個々の開発者や企業全体のパフォーマンスを可視化するだけでなく、企業がパフォーマンスデータを詳細に分析し、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てることを可能にします。 個別のパフォーマンス結果と集計結果のデータは、トレーニングの改善が必要な領域を特定するのにも役立ちます。例えば、開発者の日常業務におけるパフォーマンスに望ましい効果が現れていない場合などが挙げられます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、必要なセキュリティスキルを習得し活用しているかどうかを確認できるようにしました。これにより、開発者がプログラミングのライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを信頼して許可すると同時に、ツールを使用する準備がまだ整っていない者へのアクセスを拒否することが可能になります。
変化する安全文化の証明
サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの企業にとって最も貴重な資産であるデータの完全性を損なうビジネス上の問題である。重大な侵害は企業の業務、評判、そして収益性に悪影響を及ぼす。 サイバーセキュリティの重要性は規制当局も見逃していません。彼らはますます厳しい規制を導入し、UberやSolarWindsの事例のように、CISOや場合によっては他の上級管理職に対する訴訟手続きを進め、刑事告発に至るまで対応する姿勢を示しています。
企業全体にセキュリティ文化を導入することは、現代の環境において不可欠です。そして、企業の価値の大部分がデータ、アプリケーション、サービスに依存しているため、安全なコーディングはこの文化の中核をなす要素です。文化的思考様式の一部としての的を絞ったトレーニングと継続的なスキル向上、そしてトレーニングが企業文化の変化に貢献したことを実証することが、企業がセキュリティ対策の強化に向けた道筋を歩むための基盤となります。
開発者指向のセキュリティプログラムは価値がある。その証拠は信頼性にある。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
企業のセキュリティ態勢を強化する確実な方法の一つは、開発者に安全なプログラミングのベストプラクティスを教育することです。 これらは、開発者に必要な具体的な学習経路を提供する、ベースラインとベンチマークを含むフレームワークで提供されます。しかし、セキュアコーディングは単発の解決策ではありません——企業のDNAに組み込まれた生き方となる必要があります。開発者は左に切り替える、あるいは左から始めるだけでなく、左に留まり続ける必要があるのです。
研修を提供するだけでは不十分です。企業は開発者が研修を完全に修了し、ソフトウェア開発ライフサイクル(SDLC)の初期段階からベストプラクティスを日常業務の一部として実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、進捗を社内基準と業界基準の両方で測定しなければなりません。 これにより、研修投資から得られるROIを効果的に測定できます。
Code Warriorsセキュア・トラストワースは、個々の開発者のパフォーマンスを可視化し、データを集約することで、企業全体のパフォーマンス評価を可能にします。研修プログラムの効果を明らかにすると同時に、改善が必要な領域を特定します。 さらに、GDPR(一般データ保護規則)、PCI DSS(ペイメントカード業界データセキュリティ基準)、CCPA(カリフォルニア消費者プライバシー法)など、数多くの規制要件への準拠確保にも貢献します。
当社の調査により、安全なコードトレーニングが有効であることが実証されました。Trust Scoreは、600以上の組織における25万人以上の学習者の活動から得られた2000万以上の学習データポイントに基づくアルゴリズムを採用しています。これにより、セキュリティ上の脆弱性を解消する効果を可視化し、取り組みをさらに効果的にする方法を示します。
トレーニングは安全性を向上させる——開発者が受講すれば
長年にわたり、ソフトウェア業界ではSDLCの初期段階で確立されたセキュリティ手法を採用することが最も望ましいとされてきた。将来的に導入できれば理想的だが、今日ではもはや優先事項ではない。 しかし、ソフトウェア開発の速度が絶えず加速し、巧妙で破壊的なサイバー脅威(多くの場合ソフトウェア脆弱性を悪用するもの)のペースがますます速くなる中、安全なコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「設計段階からのセキュリティ」イニシアチブで安全なコードを中核に据え、これは国際的な運動へと発展している。
当社の調査が証明したように、セキュアバイデザインアプローチとソフトウェア脆弱性の削減との間には明確な相関関係があります。SCW顧客の26%におけるセキュリティギャップ削減データを分析した結果、開発者トレーニングがソフトウェア脆弱性の数を22%から84%削減することを確認しました。 この幅は、関与した企業の規模(開発者が比較的少ない小規模企業では結果の幅がより顕著に現れた)や、学習グループが特定の問題に焦点を当てていたかどうかといった変数によって生じました。後者の場合、より高い割合の欠陥が修正されました。
大企業における結果はかなり一貫していた。 開発者7,000名以上を擁する企業では、開発者のセキュリティスキル向上により脆弱性が47~53%減少すると予測されます。例えば、プラットフォームのトップ企業でも最高水準のベンチマーク企業でもない、統計的に平均的な10,000名以上の開発者を擁する企業では、脆弱性が53%減少しました。
もちろん、最も効果的なトレーニングには、すべての人に適した包括的なアプローチは必要ありません。開発者の作業環境や、彼らが実施する開発の性質に合わせて調整されるべきです。
企業は、開発者が安全なコードを書くことを、単純なコード記述と同じくらい自然に感じられるようにするための基礎的な能力開発を始めるべきです。研修プログラムは、実際のシナリオに基づいた実践的でアジャイルなトレーニングで構成され、彼らの業務内容や使用する言語に適合している必要があります。また、研修を業務スケジュールに組み込めるよう、十分な柔軟性を備えているべきです。
開発者にとって、スキルはコードを書くこと以上に広がっています。人工知能アシスタントやサードパーティ(例:オープンソースリポジトリ)によって作成されたソフトウェアを検証できる能力が求められます。開発者は生成AIモデルを積極的に活用しており、コード作成の効率化に貢献する点でその利点を概ね評価しています。Snykの調査によると、回答者の76%がAI生成コードは人間が作成したコードより安全だと回答した一方で、56.4%はAIが時々または頻繁にエラーを引き起こすと依然として指摘している。 さらに同調査では、開発者の80%がAIコードのセキュリティガイドライン適用を省略していることが判明。これはAIコード内の問題が修正されていない可能性を示唆している。
セキュア・バイ・デザインのアプローチでは、開発者はセキュリティチームと協力し(分離せず)、SDLCの早い段階でこれらの問題に取り組み、コードが本番環境に展開される前に欠陥を特定・修正します。
トラストスコアは個人および企業のパフォーマンスを測定します
継続的なトレーニングも重要です。企業は、最高経営層から現場レベルまで、あらゆる階層で適用される「セキュリティ最優先」の文化を根付かせる必要があります。これは継続的な改善と、ソフトウェア開発ライフサイクル(SDLC)全体におけるベストプラクティスの適用に焦点を当てるべきです。 技術とサイバー犯罪者は進化を止めない。サイバーセキュリティも同様だ。ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在である。
したがって、トレーニング自体が重要であるのと同様に、トレーニングが効果的に定着したことを証明することも同様に重要です。Trust Scoreは、個々の開発者や企業全体のパフォーマンスを可視化するだけでなく、企業がパフォーマンスデータを詳細に分析し、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てることを可能にします。 個別のパフォーマンス結果と集計結果のデータは、トレーニングの改善が必要な領域を特定するのにも役立ちます。例えば、開発者の日常業務におけるパフォーマンスに望ましい効果が現れていない場合などが挙げられます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、必要なセキュリティスキルを習得し活用しているかどうかを確認できるようにしました。これにより、開発者がプログラミングのライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを信頼して許可すると同時に、ツールを使用する準備がまだ整っていない者へのアクセスを拒否することが可能になります。
変化する安全文化の証明
サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの企業にとって最も貴重な資産であるデータの完全性を損なうビジネス上の問題である。重大な侵害は企業の業務、評判、そして収益性に悪影響を及ぼす。 サイバーセキュリティの重要性は規制当局も見逃していません。彼らはますます厳しい規制を導入し、UberやSolarWindsの事例のように、CISOや場合によっては他の上級管理職に対する訴訟手続きを進め、刑事告発に至るまで対応する姿勢を示しています。
企業全体にセキュリティ文化を導入することは、現代の環境において不可欠です。そして、企業の価値の大部分がデータ、アプリケーション、サービスに依存しているため、安全なコーディングはこの文化の中核をなす要素です。文化的思考様式の一部としての的を絞ったトレーニングと継続的なスキル向上、そしてトレーニングが企業文化の変化に貢献したことを実証することが、企業がセキュリティ対策の強化に向けた道筋を歩むための基盤となります。
開発者指向のセキュリティプログラムは価値がある。その証拠は信頼性にある。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
