トラストスコアは、セキュアバイデザイン教育プログラムの価値を示します
企業のセキュリティ態勢を強化する確実な方法の一つは、開発者に安全なプログラミングのベストプラクティスを教育することです。 これらは、開発者に必要な具体的な学習経路を提供する、ベースラインとベンチマークを含むフレームワークで提供されます。しかし、セキュアコーディングは単発の解決策ではありません——企業のDNAに組み込まれた生き方となる必要があります。開発者は左に切り替える、あるいは左から始めるだけでなく、左に留まり続ける必要があるのです。
研修を提供するだけでは不十分です。企業は開発者が研修を完全に修了し、ソフトウェア開発ライフサイクル(SDLC)の初期段階からベストプラクティスを日常業務の一部として実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、進捗を社内基準と業界基準の両方で測定しなければなりません。 これにより、研修投資から得られるROIを効果的に測定できます。
Code Warriorsセキュア・トラストワースは、個々の開発者のパフォーマンスを可視化し、データを集約することで、企業全体のパフォーマンス評価を可能にします。研修プログラムの効果を明らかにすると同時に、改善が必要な領域を特定します。 さらに、GDPR(一般データ保護規則)、PCI DSS(ペイメントカード業界データセキュリティ基準)、CCPA(カリフォルニア消費者プライバシー法)など、数多くの規制要件への準拠確保にも貢献します。
当社の調査により、安全なコードトレーニングが有効であることが実証されました。Trust Scoreは、600以上の組織における25万人以上の学習者の活動から得られた2000万以上の学習データポイントに基づくアルゴリズムを採用しています。これにより、セキュリティ上の脆弱性を解消する効果を可視化し、取り組みをさらに効果的にする方法を示します。
トレーニングは安全性を向上させる——開発者が受講すれば
長年にわたり、ソフトウェア業界ではSDLCの初期段階で確立されたセキュリティ手法を採用することが最も望ましいとされてきた。将来的に導入できれば理想的だが、今日ではもはや優先事項ではない。 しかし、ソフトウェア開発の速度が絶えず加速し、巧妙で破壊的なサイバー脅威(多くの場合ソフトウェア脆弱性を悪用するもの)のペースがますます速くなる中、安全なコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「設計段階からのセキュリティ」イニシアチブで安全なコードを中核に据え、これは国際的な運動へと発展している。
当社の調査が証明したように、セキュアバイデザインアプローチとソフトウェア脆弱性の削減との間には明確な相関関係があります。SCW顧客の26%におけるセキュリティギャップ削減データを分析した結果、開発者トレーニングがソフトウェア脆弱性の数を22%から84%削減することを確認しました。 この幅は、関与した企業の規模(開発者が比較的少ない小規模企業では結果の幅がより顕著に現れた)や、学習グループが特定の問題に焦点を当てていたかどうかといった変数によって生じました。後者の場合、より高い割合の欠陥が修正されました。
大企業における結果はかなり一貫していた。 開発者7,000名以上を擁する企業では、開発者のセキュリティスキル向上により脆弱性が47~53%減少すると予測されます。例えば、プラットフォームのトップ企業でも最高水準のベンチマーク企業でもない、統計的に平均的な10,000名以上の開発者を擁する企業では、脆弱性が53%減少しました。
もちろん、最も効果的なトレーニングには、すべての人に適した包括的なアプローチは必要ありません。開発者の作業環境や、彼らが実施する開発の性質に合わせて調整されるべきです。
企業は、開発者が安全なコードを書くことを、単純なコード記述と同じくらい自然に感じられるようにするための基礎的な能力開発を始めるべきです。研修プログラムは、実際のシナリオに基づいた実践的でアジャイルなトレーニングで構成され、彼らの業務内容や使用する言語に適合している必要があります。また、研修を業務スケジュールに組み込めるよう、十分な柔軟性を備えているべきです。
開発者にとって、スキルはコードを書くこと以上に広がっています。人工知能アシスタントやサードパーティ(例:オープンソースリポジトリ)によって作成されたソフトウェアを検証できる能力が求められます。開発者は生成AIモデルを積極的に活用しており、コード作成の効率化に貢献する点でその利点を概ね評価しています。Snykの調査によると、回答者の76%がAI生成コードは人間が作成したコードより安全だと回答した一方で、56.4%はAIが時々または頻繁にエラーを引き起こすと依然として指摘している。 さらに同調査では、開発者の80%がAIコードのセキュリティガイドライン適用を省略していることが判明。これはAIコード内の問題が修正されていない可能性を示唆している。
セキュア・バイ・デザインのアプローチでは、開発者はセキュリティチームと協力し(分離せず)、SDLCの早い段階でこれらの問題に取り組み、コードが本番環境に展開される前に欠陥を特定・修正します。
トラストスコアは個人および企業のパフォーマンスを測定します
継続的なトレーニングも重要です。企業は、最高経営層から現場レベルまで、あらゆる階層で適用される「セキュリティ最優先」の文化を根付かせる必要があります。これは継続的な改善と、ソフトウェア開発ライフサイクル(SDLC)全体におけるベストプラクティスの適用に焦点を当てるべきです。 技術とサイバー犯罪者は進化を止めない。サイバーセキュリティも同様だ。ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在である。
したがって、トレーニング自体が重要であるのと同様に、トレーニングが効果的に定着したことを証明することも同様に重要です。Trust Scoreは、個々の開発者や企業全体のパフォーマンスを可視化するだけでなく、企業がパフォーマンスデータを詳細に分析し、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てることを可能にします。 個別のパフォーマンス結果と集計結果のデータは、トレーニングの改善が必要な領域を特定するのにも役立ちます。例えば、開発者の日常業務におけるパフォーマンスに望ましい効果が現れていない場合などが挙げられます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、必要なセキュリティスキルを習得し活用しているかどうかを確認できるようにしました。これにより、開発者がプログラミングのライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを信頼して許可すると同時に、ツールを使用する準備がまだ整っていない者へのアクセスを拒否することが可能になります。
変化する安全文化の証明
サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの企業にとって最も貴重な資産であるデータの完全性を損なうビジネス上の問題である。重大な侵害は企業の業務、評判、そして収益性に悪影響を及ぼす。 サイバーセキュリティの重要性は規制当局も見逃していません。彼らはますます厳しい規制を導入し、UberやSolarWindsの事例のように、CISOや場合によっては他の上級管理職に対する訴訟手続きを進め、刑事告発に至るまで対応する姿勢を示しています。
企業全体にセキュリティ文化を導入することは、現代の環境において不可欠です。そして、企業の価値の大部分がデータ、アプリケーション、サービスに依存しているため、安全なコーディングはこの文化の中核をなす要素です。文化的思考様式の一部としての的を絞ったトレーニングと継続的なスキル向上、そしてトレーニングが企業文化の変化に貢献したことを実証することが、企業がセキュリティ対策の強化に向けた道筋を歩むための基盤となります。
開発者指向のセキュリティプログラムは価値がある。その証拠は信頼性にある。
当社の調査により、安全なコードトレーニングが有効であることが実証されました。Trust Scoreは、600以上の組織における25万人以上の学習者の活動から得られた2000万以上の学習データポイントに基づくアルゴリズムを採用しています。これにより、セキュリティ上の脆弱性を解消する効果を可視化し、取り組みをさらに効果的にする方法を示します。
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
企業のセキュリティ態勢を強化する確実な方法の一つは、開発者に安全なプログラミングのベストプラクティスを教育することです。 これらは、開発者に必要な具体的な学習経路を提供する、ベースラインとベンチマークを含むフレームワークで提供されます。しかし、セキュアコーディングは単発の解決策ではありません——企業のDNAに組み込まれた生き方となる必要があります。開発者は左に切り替える、あるいは左から始めるだけでなく、左に留まり続ける必要があるのです。
研修を提供するだけでは不十分です。企業は開発者が研修を完全に修了し、ソフトウェア開発ライフサイクル(SDLC)の初期段階からベストプラクティスを日常業務の一部として実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、進捗を社内基準と業界基準の両方で測定しなければなりません。 これにより、研修投資から得られるROIを効果的に測定できます。
Code Warriorsセキュア・トラストワースは、個々の開発者のパフォーマンスを可視化し、データを集約することで、企業全体のパフォーマンス評価を可能にします。研修プログラムの効果を明らかにすると同時に、改善が必要な領域を特定します。 さらに、GDPR(一般データ保護規則)、PCI DSS(ペイメントカード業界データセキュリティ基準)、CCPA(カリフォルニア消費者プライバシー法)など、数多くの規制要件への準拠確保にも貢献します。
当社の調査により、安全なコードトレーニングが有効であることが実証されました。Trust Scoreは、600以上の組織における25万人以上の学習者の活動から得られた2000万以上の学習データポイントに基づくアルゴリズムを採用しています。これにより、セキュリティ上の脆弱性を解消する効果を可視化し、取り組みをさらに効果的にする方法を示します。
トレーニングは安全性を向上させる——開発者が受講すれば
長年にわたり、ソフトウェア業界ではSDLCの初期段階で確立されたセキュリティ手法を採用することが最も望ましいとされてきた。将来的に導入できれば理想的だが、今日ではもはや優先事項ではない。 しかし、ソフトウェア開発の速度が絶えず加速し、巧妙で破壊的なサイバー脅威(多くの場合ソフトウェア脆弱性を悪用するもの)のペースがますます速くなる中、安全なコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「設計段階からのセキュリティ」イニシアチブで安全なコードを中核に据え、これは国際的な運動へと発展している。
当社の調査が証明したように、セキュアバイデザインアプローチとソフトウェア脆弱性の削減との間には明確な相関関係があります。SCW顧客の26%におけるセキュリティギャップ削減データを分析した結果、開発者トレーニングがソフトウェア脆弱性の数を22%から84%削減することを確認しました。 この幅は、関与した企業の規模(開発者が比較的少ない小規模企業では結果の幅がより顕著に現れた)や、学習グループが特定の問題に焦点を当てていたかどうかといった変数によって生じました。後者の場合、より高い割合の欠陥が修正されました。
大企業における結果はかなり一貫していた。 開発者7,000名以上を擁する企業では、開発者のセキュリティスキル向上により脆弱性が47~53%減少すると予測されます。例えば、プラットフォームのトップ企業でも最高水準のベンチマーク企業でもない、統計的に平均的な10,000名以上の開発者を擁する企業では、脆弱性が53%減少しました。
もちろん、最も効果的なトレーニングには、すべての人に適した包括的なアプローチは必要ありません。開発者の作業環境や、彼らが実施する開発の性質に合わせて調整されるべきです。
企業は、開発者が安全なコードを書くことを、単純なコード記述と同じくらい自然に感じられるようにするための基礎的な能力開発を始めるべきです。研修プログラムは、実際のシナリオに基づいた実践的でアジャイルなトレーニングで構成され、彼らの業務内容や使用する言語に適合している必要があります。また、研修を業務スケジュールに組み込めるよう、十分な柔軟性を備えているべきです。
開発者にとって、スキルはコードを書くこと以上に広がっています。人工知能アシスタントやサードパーティ(例:オープンソースリポジトリ)によって作成されたソフトウェアを検証できる能力が求められます。開発者は生成AIモデルを積極的に活用しており、コード作成の効率化に貢献する点でその利点を概ね評価しています。Snykの調査によると、回答者の76%がAI生成コードは人間が作成したコードより安全だと回答した一方で、56.4%はAIが時々または頻繁にエラーを引き起こすと依然として指摘している。 さらに同調査では、開発者の80%がAIコードのセキュリティガイドライン適用を省略していることが判明。これはAIコード内の問題が修正されていない可能性を示唆している。
セキュア・バイ・デザインのアプローチでは、開発者はセキュリティチームと協力し(分離せず)、SDLCの早い段階でこれらの問題に取り組み、コードが本番環境に展開される前に欠陥を特定・修正します。
トラストスコアは個人および企業のパフォーマンスを測定します
継続的なトレーニングも重要です。企業は、最高経営層から現場レベルまで、あらゆる階層で適用される「セキュリティ最優先」の文化を根付かせる必要があります。これは継続的な改善と、ソフトウェア開発ライフサイクル(SDLC)全体におけるベストプラクティスの適用に焦点を当てるべきです。 技術とサイバー犯罪者は進化を止めない。サイバーセキュリティも同様だ。ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在である。
したがって、トレーニング自体が重要であるのと同様に、トレーニングが効果的に定着したことを証明することも同様に重要です。Trust Scoreは、個々の開発者や企業全体のパフォーマンスを可視化するだけでなく、企業がパフォーマンスデータを詳細に分析し、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てることを可能にします。 個別のパフォーマンス結果と集計結果のデータは、トレーニングの改善が必要な領域を特定するのにも役立ちます。例えば、開発者の日常業務におけるパフォーマンスに望ましい効果が現れていない場合などが挙げられます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、必要なセキュリティスキルを習得し活用しているかどうかを確認できるようにしました。これにより、開発者がプログラミングのライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを信頼して許可すると同時に、ツールを使用する準備がまだ整っていない者へのアクセスを拒否することが可能になります。
変化する安全文化の証明
サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの企業にとって最も貴重な資産であるデータの完全性を損なうビジネス上の問題である。重大な侵害は企業の業務、評判、そして収益性に悪影響を及ぼす。 サイバーセキュリティの重要性は規制当局も見逃していません。彼らはますます厳しい規制を導入し、UberやSolarWindsの事例のように、CISOや場合によっては他の上級管理職に対する訴訟手続きを進め、刑事告発に至るまで対応する姿勢を示しています。
企業全体にセキュリティ文化を導入することは、現代の環境において不可欠です。そして、企業の価値の大部分がデータ、アプリケーション、サービスに依存しているため、安全なコーディングはこの文化の中核をなす要素です。文化的思考様式の一部としての的を絞ったトレーニングと継続的なスキル向上、そしてトレーニングが企業文化の変化に貢献したことを実証することが、企業がセキュリティ対策の強化に向けた道筋を歩むための基盤となります。
開発者指向のセキュリティプログラムは価値がある。その証拠は信頼性にある。
企業のセキュリティ態勢を強化する確実な方法の一つは、開発者に安全なプログラミングのベストプラクティスを教育することです。 これらは、開発者に必要な具体的な学習経路を提供する、ベースラインとベンチマークを含むフレームワークで提供されます。しかし、セキュアコーディングは単発の解決策ではありません——企業のDNAに組み込まれた生き方となる必要があります。開発者は左に切り替える、あるいは左から始めるだけでなく、左に留まり続ける必要があるのです。
研修を提供するだけでは不十分です。企業は開発者が研修を完全に修了し、ソフトウェア開発ライフサイクル(SDLC)の初期段階からベストプラクティスを日常業務の一部として実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、進捗を社内基準と業界基準の両方で測定しなければなりません。 これにより、研修投資から得られるROIを効果的に測定できます。
Code Warriorsセキュア・トラストワースは、個々の開発者のパフォーマンスを可視化し、データを集約することで、企業全体のパフォーマンス評価を可能にします。研修プログラムの効果を明らかにすると同時に、改善が必要な領域を特定します。 さらに、GDPR(一般データ保護規則)、PCI DSS(ペイメントカード業界データセキュリティ基準)、CCPA(カリフォルニア消費者プライバシー法)など、数多くの規制要件への準拠確保にも貢献します。
当社の調査により、安全なコードトレーニングが有効であることが実証されました。Trust Scoreは、600以上の組織における25万人以上の学習者の活動から得られた2000万以上の学習データポイントに基づくアルゴリズムを採用しています。これにより、セキュリティ上の脆弱性を解消する効果を可視化し、取り組みをさらに効果的にする方法を示します。
トレーニングは安全性を向上させる——開発者が受講すれば
長年にわたり、ソフトウェア業界ではSDLCの初期段階で確立されたセキュリティ手法を採用することが最も望ましいとされてきた。将来的に導入できれば理想的だが、今日ではもはや優先事項ではない。 しかし、ソフトウェア開発の速度が絶えず加速し、巧妙で破壊的なサイバー脅威(多くの場合ソフトウェア脆弱性を悪用するもの)のペースがますます速くなる中、安全なコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「設計段階からのセキュリティ」イニシアチブで安全なコードを中核に据え、これは国際的な運動へと発展している。
当社の調査が証明したように、セキュアバイデザインアプローチとソフトウェア脆弱性の削減との間には明確な相関関係があります。SCW顧客の26%におけるセキュリティギャップ削減データを分析した結果、開発者トレーニングがソフトウェア脆弱性の数を22%から84%削減することを確認しました。 この幅は、関与した企業の規模(開発者が比較的少ない小規模企業では結果の幅がより顕著に現れた)や、学習グループが特定の問題に焦点を当てていたかどうかといった変数によって生じました。後者の場合、より高い割合の欠陥が修正されました。
大企業における結果はかなり一貫していた。 開発者7,000名以上を擁する企業では、開発者のセキュリティスキル向上により脆弱性が47~53%減少すると予測されます。例えば、プラットフォームのトップ企業でも最高水準のベンチマーク企業でもない、統計的に平均的な10,000名以上の開発者を擁する企業では、脆弱性が53%減少しました。
もちろん、最も効果的なトレーニングには、すべての人に適した包括的なアプローチは必要ありません。開発者の作業環境や、彼らが実施する開発の性質に合わせて調整されるべきです。
企業は、開発者が安全なコードを書くことを、単純なコード記述と同じくらい自然に感じられるようにするための基礎的な能力開発を始めるべきです。研修プログラムは、実際のシナリオに基づいた実践的でアジャイルなトレーニングで構成され、彼らの業務内容や使用する言語に適合している必要があります。また、研修を業務スケジュールに組み込めるよう、十分な柔軟性を備えているべきです。
開発者にとって、スキルはコードを書くこと以上に広がっています。人工知能アシスタントやサードパーティ(例:オープンソースリポジトリ)によって作成されたソフトウェアを検証できる能力が求められます。開発者は生成AIモデルを積極的に活用しており、コード作成の効率化に貢献する点でその利点を概ね評価しています。Snykの調査によると、回答者の76%がAI生成コードは人間が作成したコードより安全だと回答した一方で、56.4%はAIが時々または頻繁にエラーを引き起こすと依然として指摘している。 さらに同調査では、開発者の80%がAIコードのセキュリティガイドライン適用を省略していることが判明。これはAIコード内の問題が修正されていない可能性を示唆している。
セキュア・バイ・デザインのアプローチでは、開発者はセキュリティチームと協力し(分離せず)、SDLCの早い段階でこれらの問題に取り組み、コードが本番環境に展開される前に欠陥を特定・修正します。
トラストスコアは個人および企業のパフォーマンスを測定します
継続的なトレーニングも重要です。企業は、最高経営層から現場レベルまで、あらゆる階層で適用される「セキュリティ最優先」の文化を根付かせる必要があります。これは継続的な改善と、ソフトウェア開発ライフサイクル(SDLC)全体におけるベストプラクティスの適用に焦点を当てるべきです。 技術とサイバー犯罪者は進化を止めない。サイバーセキュリティも同様だ。ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在である。
したがって、トレーニング自体が重要であるのと同様に、トレーニングが効果的に定着したことを証明することも同様に重要です。Trust Scoreは、個々の開発者や企業全体のパフォーマンスを可視化するだけでなく、企業がパフォーマンスデータを詳細に分析し、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てることを可能にします。 個別のパフォーマンス結果と集計結果のデータは、トレーニングの改善が必要な領域を特定するのにも役立ちます。例えば、開発者の日常業務におけるパフォーマンスに望ましい効果が現れていない場合などが挙げられます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、必要なセキュリティスキルを習得し活用しているかどうかを確認できるようにしました。これにより、開発者がプログラミングのライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを信頼して許可すると同時に、ツールを使用する準備がまだ整っていない者へのアクセスを拒否することが可能になります。
変化する安全文化の証明
サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの企業にとって最も貴重な資産であるデータの完全性を損なうビジネス上の問題である。重大な侵害は企業の業務、評判、そして収益性に悪影響を及ぼす。 サイバーセキュリティの重要性は規制当局も見逃していません。彼らはますます厳しい規制を導入し、UberやSolarWindsの事例のように、CISOや場合によっては他の上級管理職に対する訴訟手続きを進め、刑事告発に至るまで対応する姿勢を示しています。
企業全体にセキュリティ文化を導入することは、現代の環境において不可欠です。そして、企業の価値の大部分がデータ、アプリケーション、サービスに依存しているため、安全なコーディングはこの文化の中核をなす要素です。文化的思考様式の一部としての的を絞ったトレーニングと継続的なスキル向上、そしてトレーニングが企業文化の変化に貢献したことを実証することが、企業がセキュリティ対策の強化に向けた道筋を歩むための基盤となります。
開発者指向のセキュリティプログラムは価値がある。その証拠は信頼性にある。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
企業のセキュリティ態勢を強化する確実な方法の一つは、開発者に安全なプログラミングのベストプラクティスを教育することです。 これらは、開発者に必要な具体的な学習経路を提供する、ベースラインとベンチマークを含むフレームワークで提供されます。しかし、セキュアコーディングは単発の解決策ではありません——企業のDNAに組み込まれた生き方となる必要があります。開発者は左に切り替える、あるいは左から始めるだけでなく、左に留まり続ける必要があるのです。
研修を提供するだけでは不十分です。企業は開発者が研修を完全に修了し、ソフトウェア開発ライフサイクル(SDLC)の初期段階からベストプラクティスを日常業務の一部として実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、進捗を社内基準と業界基準の両方で測定しなければなりません。 これにより、研修投資から得られるROIを効果的に測定できます。
Code Warriorsセキュア・トラストワースは、個々の開発者のパフォーマンスを可視化し、データを集約することで、企業全体のパフォーマンス評価を可能にします。研修プログラムの効果を明らかにすると同時に、改善が必要な領域を特定します。 さらに、GDPR(一般データ保護規則)、PCI DSS(ペイメントカード業界データセキュリティ基準)、CCPA(カリフォルニア消費者プライバシー法)など、数多くの規制要件への準拠確保にも貢献します。
当社の調査により、安全なコードトレーニングが有効であることが実証されました。Trust Scoreは、600以上の組織における25万人以上の学習者の活動から得られた2000万以上の学習データポイントに基づくアルゴリズムを採用しています。これにより、セキュリティ上の脆弱性を解消する効果を可視化し、取り組みをさらに効果的にする方法を示します。
トレーニングは安全性を向上させる——開発者が受講すれば
長年にわたり、ソフトウェア業界ではSDLCの初期段階で確立されたセキュリティ手法を採用することが最も望ましいとされてきた。将来的に導入できれば理想的だが、今日ではもはや優先事項ではない。 しかし、ソフトウェア開発の速度が絶えず加速し、巧妙で破壊的なサイバー脅威(多くの場合ソフトウェア脆弱性を悪用するもの)のペースがますます速くなる中、安全なコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「設計段階からのセキュリティ」イニシアチブで安全なコードを中核に据え、これは国際的な運動へと発展している。
当社の調査が証明したように、セキュアバイデザインアプローチとソフトウェア脆弱性の削減との間には明確な相関関係があります。SCW顧客の26%におけるセキュリティギャップ削減データを分析した結果、開発者トレーニングがソフトウェア脆弱性の数を22%から84%削減することを確認しました。 この幅は、関与した企業の規模(開発者が比較的少ない小規模企業では結果の幅がより顕著に現れた)や、学習グループが特定の問題に焦点を当てていたかどうかといった変数によって生じました。後者の場合、より高い割合の欠陥が修正されました。
大企業における結果はかなり一貫していた。 開発者7,000名以上を擁する企業では、開発者のセキュリティスキル向上により脆弱性が47~53%減少すると予測されます。例えば、プラットフォームのトップ企業でも最高水準のベンチマーク企業でもない、統計的に平均的な10,000名以上の開発者を擁する企業では、脆弱性が53%減少しました。
もちろん、最も効果的なトレーニングには、すべての人に適した包括的なアプローチは必要ありません。開発者の作業環境や、彼らが実施する開発の性質に合わせて調整されるべきです。
企業は、開発者が安全なコードを書くことを、単純なコード記述と同じくらい自然に感じられるようにするための基礎的な能力開発を始めるべきです。研修プログラムは、実際のシナリオに基づいた実践的でアジャイルなトレーニングで構成され、彼らの業務内容や使用する言語に適合している必要があります。また、研修を業務スケジュールに組み込めるよう、十分な柔軟性を備えているべきです。
開発者にとって、スキルはコードを書くこと以上に広がっています。人工知能アシスタントやサードパーティ(例:オープンソースリポジトリ)によって作成されたソフトウェアを検証できる能力が求められます。開発者は生成AIモデルを積極的に活用しており、コード作成の効率化に貢献する点でその利点を概ね評価しています。Snykの調査によると、回答者の76%がAI生成コードは人間が作成したコードより安全だと回答した一方で、56.4%はAIが時々または頻繁にエラーを引き起こすと依然として指摘している。 さらに同調査では、開発者の80%がAIコードのセキュリティガイドライン適用を省略していることが判明。これはAIコード内の問題が修正されていない可能性を示唆している。
セキュア・バイ・デザインのアプローチでは、開発者はセキュリティチームと協力し(分離せず)、SDLCの早い段階でこれらの問題に取り組み、コードが本番環境に展開される前に欠陥を特定・修正します。
トラストスコアは個人および企業のパフォーマンスを測定します
継続的なトレーニングも重要です。企業は、最高経営層から現場レベルまで、あらゆる階層で適用される「セキュリティ最優先」の文化を根付かせる必要があります。これは継続的な改善と、ソフトウェア開発ライフサイクル(SDLC)全体におけるベストプラクティスの適用に焦点を当てるべきです。 技術とサイバー犯罪者は進化を止めない。サイバーセキュリティも同様だ。ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在である。
したがって、トレーニング自体が重要であるのと同様に、トレーニングが効果的に定着したことを証明することも同様に重要です。Trust Scoreは、個々の開発者や企業全体のパフォーマンスを可視化するだけでなく、企業がパフォーマンスデータを詳細に分析し、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てることを可能にします。 個別のパフォーマンス結果と集計結果のデータは、トレーニングの改善が必要な領域を特定するのにも役立ちます。例えば、開発者の日常業務におけるパフォーマンスに望ましい効果が現れていない場合などが挙げられます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、必要なセキュリティスキルを習得し活用しているかどうかを確認できるようにしました。これにより、開発者がプログラミングのライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを信頼して許可すると同時に、ツールを使用する準備がまだ整っていない者へのアクセスを拒否することが可能になります。
変化する安全文化の証明
サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの企業にとって最も貴重な資産であるデータの完全性を損なうビジネス上の問題である。重大な侵害は企業の業務、評判、そして収益性に悪影響を及ぼす。 サイバーセキュリティの重要性は規制当局も見逃していません。彼らはますます厳しい規制を導入し、UberやSolarWindsの事例のように、CISOや場合によっては他の上級管理職に対する訴訟手続きを進め、刑事告発に至るまで対応する姿勢を示しています。
企業全体にセキュリティ文化を導入することは、現代の環境において不可欠です。そして、企業の価値の大部分がデータ、アプリケーション、サービスに依存しているため、安全なコーディングはこの文化の中核をなす要素です。文化的思考様式の一部としての的を絞ったトレーニングと継続的なスキル向上、そしてトレーニングが企業文化の変化に貢献したことを実証することが、企業がセキュリティ対策の強化に向けた道筋を歩むための基盤となります。
開発者指向のセキュリティプログラムは価値がある。その証拠は信頼性にある。
目次
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード入門リソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
