サイバーセキュリティにおいて、なぜ人間という要素を決して軽視してはならないのか
このほど、当社の会長兼CEOであるピーター・ダンヒューによるフォーブステクノロジー評議会の初寄稿記事が公開されたことを大変嬉しく思っております。 同記事では、開発者がより安全なコードを作成できるよう育成することが、サイバー攻撃やデータ侵害を防ぐ鍵であると詳細に説明されました。さらに、こうしたセキュリティ意識の高い開発者が、多くのIT部門が認識している以上に、より優れた安全なコードを迅速に提供できることも示されました。このアプローチの必要性は確かに説得力があります。 最近の調査によると、サイバー攻撃は現在39秒ごとに発生しており、コロニアル・パイプラインへの単一のランサムウェア攻撃が引き起こした混乱は、SolarWindsハッキングほど大規模ではなかったものの、我々全員が目の当たりにした。
多くの一般的なセキュリティ脆弱性が依然として存在する理由は、開発者に不良なコーディングパターンを改善した手法で置き換え、同じ機能をより安全かつ確実な方法で実行する方法を示す努力がなされてこなかったためです。そしてソフトウェア開発の遅い段階で修正を行う影響は、費やされる時間と提供の遅延の両面で極めて高額になります。 コードの修正は、特に攻撃者が未発見の脆弱性を悪用した後では、リリース後に実施する場合、数百万ドルのコストがかかることもあります。しかも、深刻な侵害後の企業イメージの毀損は、この計算には含まれていません。
セキュリティ教育を受けた開発者は、自然と優れたプログラマーへと成長します。CISOがセキュリティツールを安易に手放すべきではないのは確かですが、包括的で予防的なセキュリティアプローチを上から推進すれば、特にソフトウェア開発サイクルの初期段階における安全なコーディングにおいて、企業最大の資産である人的要素を活用できるのです。
この目的のために、ここで考慮すべき3つの主要な戦略を列挙します。
1. 受動的ではなく、能動的であること
企業はしばしば、独自のビジョンを策定・追求する代わりに、競合他社の活動に反応するなど、受動的になる罠に陥りがちです。コードのセキュリティ脆弱性に対しても同様のアプローチを取る企業が多く、サイバーセキュリティを真剣に考えるのは、侵害が成功した結果、やむを得ず対応する場合に限られます。残念ながら、その時点で被害は既に発生しています。 罰金、復旧費用、顧客離れ、ブランド回復は全て、事業成果に悪影響を及ぼします。行動ではなく反応に終始する別の形態として、安全なコード作成そのものに取り組む代わりに、既存コードの脆弱性発見を自動/手動のコードスキャンに依存するケースがあります。残念ながらコードスキャンは完璧な解決策ではありません。 つまり、コードに脆弱性が多いほど、見落とされるリスクが高まるということです。
開発者と協力し、最初から安全なコードの作成を支援するという積極的なアプローチを取ることによってのみ、ソフトウェア開発サイクルを確立し、コーディング上の脆弱性がユーザーに公開される可能性を大幅に低減できます。
2. 高度な資格取得は行うが、やりすぎない
開発者に安全なコード作成に必要な知識を提供することを決めたら、アプローチを慎重に選択してください。社内トレーニングワークショップは開発作業を中断させ、開発者と管理者の双方を苛立たせます。 夜間や週末に受講を義務付けるオフサイト研修は、さらに不評です。最良のアプローチは、プログラミングスキルを段階的に強化することです。コーディングプロセス中に必要な情報を段階的に提供すること——つまり、開発者の集中を大きく妨げたり開発プロセスを遅らせたりすることなく、継続的なスキル向上を実現することです。
3.インセンティブを創出する、前提としない
開発者はセキュリティ強化を罰則や完全な苦行と捉えるべきではない。管理者は、安全なコードが企業の成功に果たす重要な役割を伝えることで、開発者を鼓舞しなければならない。また、安全なプログラマーが企業にとってより価値が高く、将来的にキャリアの拡大機会を得られることも伝えることが重要である。
バイデン政権は歓迎される 大統領令 は、サイバーセキュリティと「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を組み込み、セキュリティ慣行の遵守を実証するための革新的なツールや手法を特定する」必要性に重点を置いている。 ツールは不可欠ではあるが、それだけでは不十分である。導入されたシステムやツールを何らかの形で無視したり、誤解したり、悪用したり、その他の方法で回避したりする人間の能力を完全に排除できるツールは存在しない。企業のセキュリティを最大化するためには、CISOは人的要因を活用し、開発者がセキュリティ分野における自発的な支持者かつ実践者となるよう促す必要がある。
このたび、当社の会長兼CEOであるピーター・ダンヒュー氏による初の寄稿記事がフォーブス・テクノロジー・カウンシルに掲載されたことを大変喜ばしく思っております。同記事では、開発者に対する安全なコード作成の継続教育が、サイバー攻撃やデータ侵害を防ぐ鍵となることを詳細に論じています。
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
このほど、当社の会長兼CEOであるピーター・ダンヒューによるフォーブステクノロジー評議会の初寄稿記事が公開されたことを大変嬉しく思っております。 同記事では、開発者がより安全なコードを作成できるよう育成することが、サイバー攻撃やデータ侵害を防ぐ鍵であると詳細に説明されました。さらに、こうしたセキュリティ意識の高い開発者が、多くのIT部門が認識している以上に、より優れた安全なコードを迅速に提供できることも示されました。このアプローチの必要性は確かに説得力があります。 最近の調査によると、サイバー攻撃は現在39秒ごとに発生しており、コロニアル・パイプラインへの単一のランサムウェア攻撃が引き起こした混乱は、SolarWindsハッキングほど大規模ではなかったものの、我々全員が目の当たりにした。
多くの一般的なセキュリティ脆弱性が依然として存在する理由は、開発者に不良なコーディングパターンを改善した手法で置き換え、同じ機能をより安全かつ確実な方法で実行する方法を示す努力がなされてこなかったためです。そしてソフトウェア開発の遅い段階で修正を行う影響は、費やされる時間と提供の遅延の両面で極めて高額になります。 コードの修正は、特に攻撃者が未発見の脆弱性を悪用した後では、リリース後に実施する場合、数百万ドルのコストがかかることもあります。しかも、深刻な侵害後の企業イメージの毀損は、この計算には含まれていません。
セキュリティ教育を受けた開発者は、自然と優れたプログラマーへと成長します。CISOがセキュリティツールを安易に手放すべきではないのは確かですが、包括的で予防的なセキュリティアプローチを上から推進すれば、特にソフトウェア開発サイクルの初期段階における安全なコーディングにおいて、企業最大の資産である人的要素を活用できるのです。
この目的のために、ここで考慮すべき3つの主要な戦略を列挙します。
1. 受動的ではなく、能動的であること
企業はしばしば、独自のビジョンを策定・追求する代わりに、競合他社の活動に反応するなど、受動的になる罠に陥りがちです。コードのセキュリティ脆弱性に対しても同様のアプローチを取る企業が多く、サイバーセキュリティを真剣に考えるのは、侵害が成功した結果、やむを得ず対応する場合に限られます。残念ながら、その時点で被害は既に発生しています。 罰金、復旧費用、顧客離れ、ブランド回復は全て、事業成果に悪影響を及ぼします。行動ではなく反応に終始する別の形態として、安全なコード作成そのものに取り組む代わりに、既存コードの脆弱性発見を自動/手動のコードスキャンに依存するケースがあります。残念ながらコードスキャンは完璧な解決策ではありません。 つまり、コードに脆弱性が多いほど、見落とされるリスクが高まるということです。
開発者と協力し、最初から安全なコードの作成を支援するという積極的なアプローチを取ることによってのみ、ソフトウェア開発サイクルを確立し、コーディング上の脆弱性がユーザーに公開される可能性を大幅に低減できます。
2. 高度な資格取得は行うが、やりすぎない
開発者に安全なコード作成に必要な知識を提供することを決めたら、アプローチを慎重に選択してください。社内トレーニングワークショップは開発作業を中断させ、開発者と管理者の双方を苛立たせます。 夜間や週末に受講を義務付けるオフサイト研修は、さらに不評です。最良のアプローチは、プログラミングスキルを段階的に強化することです。コーディングプロセス中に必要な情報を段階的に提供すること——つまり、開発者の集中を大きく妨げたり開発プロセスを遅らせたりすることなく、継続的なスキル向上を実現することです。
3.インセンティブを創出する、前提としない
開発者はセキュリティ強化を罰則や完全な苦行と捉えるべきではない。管理者は、安全なコードが企業の成功に果たす重要な役割を伝えることで、開発者を鼓舞しなければならない。また、安全なプログラマーが企業にとってより価値が高く、将来的にキャリアの拡大機会を得られることも伝えることが重要である。
バイデン政権は歓迎される 大統領令 は、サイバーセキュリティと「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を組み込み、セキュリティ慣行の遵守を実証するための革新的なツールや手法を特定する」必要性に重点を置いている。 ツールは不可欠ではあるが、それだけでは不十分である。導入されたシステムやツールを何らかの形で無視したり、誤解したり、悪用したり、その他の方法で回避したりする人間の能力を完全に排除できるツールは存在しない。企業のセキュリティを最大化するためには、CISOは人的要因を活用し、開発者がセキュリティ分野における自発的な支持者かつ実践者となるよう促す必要がある。
このほど、当社の会長兼CEOであるピーター・ダンヒューによるフォーブステクノロジー評議会の初寄稿記事が公開されたことを大変嬉しく思っております。 同記事では、開発者がより安全なコードを作成できるよう育成することが、サイバー攻撃やデータ侵害を防ぐ鍵であると詳細に説明されました。さらに、こうしたセキュリティ意識の高い開発者が、多くのIT部門が認識している以上に、より優れた安全なコードを迅速に提供できることも示されました。このアプローチの必要性は確かに説得力があります。 最近の調査によると、サイバー攻撃は現在39秒ごとに発生しており、コロニアル・パイプラインへの単一のランサムウェア攻撃が引き起こした混乱は、SolarWindsハッキングほど大規模ではなかったものの、我々全員が目の当たりにした。
多くの一般的なセキュリティ脆弱性が依然として存在する理由は、開発者に不良なコーディングパターンを改善した手法で置き換え、同じ機能をより安全かつ確実な方法で実行する方法を示す努力がなされてこなかったためです。そしてソフトウェア開発の遅い段階で修正を行う影響は、費やされる時間と提供の遅延の両面で極めて高額になります。 コードの修正は、特に攻撃者が未発見の脆弱性を悪用した後では、リリース後に実施する場合、数百万ドルのコストがかかることもあります。しかも、深刻な侵害後の企業イメージの毀損は、この計算には含まれていません。
セキュリティ教育を受けた開発者は、自然と優れたプログラマーへと成長します。CISOがセキュリティツールを安易に手放すべきではないのは確かですが、包括的で予防的なセキュリティアプローチを上から推進すれば、特にソフトウェア開発サイクルの初期段階における安全なコーディングにおいて、企業最大の資産である人的要素を活用できるのです。
この目的のために、ここで考慮すべき3つの主要な戦略を列挙します。
1. 受動的ではなく、能動的であること
企業はしばしば、独自のビジョンを策定・追求する代わりに、競合他社の活動に反応するなど、受動的になる罠に陥りがちです。コードのセキュリティ脆弱性に対しても同様のアプローチを取る企業が多く、サイバーセキュリティを真剣に考えるのは、侵害が成功した結果、やむを得ず対応する場合に限られます。残念ながら、その時点で被害は既に発生しています。 罰金、復旧費用、顧客離れ、ブランド回復は全て、事業成果に悪影響を及ぼします。行動ではなく反応に終始する別の形態として、安全なコード作成そのものに取り組む代わりに、既存コードの脆弱性発見を自動/手動のコードスキャンに依存するケースがあります。残念ながらコードスキャンは完璧な解決策ではありません。 つまり、コードに脆弱性が多いほど、見落とされるリスクが高まるということです。
開発者と協力し、最初から安全なコードの作成を支援するという積極的なアプローチを取ることによってのみ、ソフトウェア開発サイクルを確立し、コーディング上の脆弱性がユーザーに公開される可能性を大幅に低減できます。
2. 高度な資格取得は行うが、やりすぎない
開発者に安全なコード作成に必要な知識を提供することを決めたら、アプローチを慎重に選択してください。社内トレーニングワークショップは開発作業を中断させ、開発者と管理者の双方を苛立たせます。 夜間や週末に受講を義務付けるオフサイト研修は、さらに不評です。最良のアプローチは、プログラミングスキルを段階的に強化することです。コーディングプロセス中に必要な情報を段階的に提供すること——つまり、開発者の集中を大きく妨げたり開発プロセスを遅らせたりすることなく、継続的なスキル向上を実現することです。
3.インセンティブを創出する、前提としない
開発者はセキュリティ強化を罰則や完全な苦行と捉えるべきではない。管理者は、安全なコードが企業の成功に果たす重要な役割を伝えることで、開発者を鼓舞しなければならない。また、安全なプログラマーが企業にとってより価値が高く、将来的にキャリアの拡大機会を得られることも伝えることが重要である。
バイデン政権は歓迎される 大統領令 は、サイバーセキュリティと「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を組み込み、セキュリティ慣行の遵守を実証するための革新的なツールや手法を特定する」必要性に重点を置いている。 ツールは不可欠ではあるが、それだけでは不十分である。導入されたシステムやツールを何らかの形で無視したり、誤解したり、悪用したり、その他の方法で回避したりする人間の能力を完全に排除できるツールは存在しない。企業のセキュリティを最大化するためには、CISOは人的要因を活用し、開発者がセキュリティ分野における自発的な支持者かつ実践者となるよう促す必要がある。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
このほど、当社の会長兼CEOであるピーター・ダンヒューによるフォーブステクノロジー評議会の初寄稿記事が公開されたことを大変嬉しく思っております。 同記事では、開発者がより安全なコードを作成できるよう育成することが、サイバー攻撃やデータ侵害を防ぐ鍵であると詳細に説明されました。さらに、こうしたセキュリティ意識の高い開発者が、多くのIT部門が認識している以上に、より優れた安全なコードを迅速に提供できることも示されました。このアプローチの必要性は確かに説得力があります。 最近の調査によると、サイバー攻撃は現在39秒ごとに発生しており、コロニアル・パイプラインへの単一のランサムウェア攻撃が引き起こした混乱は、SolarWindsハッキングほど大規模ではなかったものの、我々全員が目の当たりにした。
多くの一般的なセキュリティ脆弱性が依然として存在する理由は、開発者に不良なコーディングパターンを改善した手法で置き換え、同じ機能をより安全かつ確実な方法で実行する方法を示す努力がなされてこなかったためです。そしてソフトウェア開発の遅い段階で修正を行う影響は、費やされる時間と提供の遅延の両面で極めて高額になります。 コードの修正は、特に攻撃者が未発見の脆弱性を悪用した後では、リリース後に実施する場合、数百万ドルのコストがかかることもあります。しかも、深刻な侵害後の企業イメージの毀損は、この計算には含まれていません。
セキュリティ教育を受けた開発者は、自然と優れたプログラマーへと成長します。CISOがセキュリティツールを安易に手放すべきではないのは確かですが、包括的で予防的なセキュリティアプローチを上から推進すれば、特にソフトウェア開発サイクルの初期段階における安全なコーディングにおいて、企業最大の資産である人的要素を活用できるのです。
この目的のために、ここで考慮すべき3つの主要な戦略を列挙します。
1. 受動的ではなく、能動的であること
企業はしばしば、独自のビジョンを策定・追求する代わりに、競合他社の活動に反応するなど、受動的になる罠に陥りがちです。コードのセキュリティ脆弱性に対しても同様のアプローチを取る企業が多く、サイバーセキュリティを真剣に考えるのは、侵害が成功した結果、やむを得ず対応する場合に限られます。残念ながら、その時点で被害は既に発生しています。 罰金、復旧費用、顧客離れ、ブランド回復は全て、事業成果に悪影響を及ぼします。行動ではなく反応に終始する別の形態として、安全なコード作成そのものに取り組む代わりに、既存コードの脆弱性発見を自動/手動のコードスキャンに依存するケースがあります。残念ながらコードスキャンは完璧な解決策ではありません。 つまり、コードに脆弱性が多いほど、見落とされるリスクが高まるということです。
開発者と協力し、最初から安全なコードの作成を支援するという積極的なアプローチを取ることによってのみ、ソフトウェア開発サイクルを確立し、コーディング上の脆弱性がユーザーに公開される可能性を大幅に低減できます。
2. 高度な資格取得は行うが、やりすぎない
開発者に安全なコード作成に必要な知識を提供することを決めたら、アプローチを慎重に選択してください。社内トレーニングワークショップは開発作業を中断させ、開発者と管理者の双方を苛立たせます。 夜間や週末に受講を義務付けるオフサイト研修は、さらに不評です。最良のアプローチは、プログラミングスキルを段階的に強化することです。コーディングプロセス中に必要な情報を段階的に提供すること——つまり、開発者の集中を大きく妨げたり開発プロセスを遅らせたりすることなく、継続的なスキル向上を実現することです。
3.インセンティブを創出する、前提としない
開発者はセキュリティ強化を罰則や完全な苦行と捉えるべきではない。管理者は、安全なコードが企業の成功に果たす重要な役割を伝えることで、開発者を鼓舞しなければならない。また、安全なプログラマーが企業にとってより価値が高く、将来的にキャリアの拡大機会を得られることも伝えることが重要である。
バイデン政権は歓迎される 大統領令 は、サイバーセキュリティと「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を組み込み、セキュリティ慣行の遵守を実証するための革新的なツールや手法を特定する」必要性に重点を置いている。 ツールは不可欠ではあるが、それだけでは不十分である。導入されたシステムやツールを何らかの形で無視したり、誤解したり、悪用したり、その他の方法で回避したりする人間の能力を完全に排除できるツールは存在しない。企業のセキュリティを最大化するためには、CISOは人的要因を活用し、開発者がセキュリティ分野における自発的な支持者かつ実践者となるよう促す必要がある。
目次
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード入門リソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
