信頼性スコアは、設計による安全な能力向上イニシアチブの価値を明らかにする
組織のセキュリティ態勢を確実に向上させる方法の一つは、開発者に対して安全なコーディングのベストプラクティスを教育することです。これは、開発者が必要とする具体的な学習経路を提供するよう設計されたベースラインとベンチマークを含む枠組みの中で提供されます。しかし、安全なコーディングは一度解決すれば終わりというものではありません。組織のDNAに組み込まれた、生き方そのものとなる必要があります。 開発者は単に「左にシフト」したり「左から始める」だけでなく、「左に留まる」ことも求められます。
研修を提供するだけでは不十分である。組織は、開発者が研修内容を完全に習得し、ソフトウェア開発ライフサイクル(SDLC)の初期段階においてベストプラクティスを日常業務の一部として実践していることを確認しなければならない。開発者のパフォーマンスを追跡し、内部基準や業界ベンチマークとの比較を通じて進捗を測定し、研修投資のROIを効果的に計測することが必要である。
セキュアコード:Warriorの信頼性スコアは、個々の開発者のパフォーマンスを可視化し、データを統合して組織全体のパフォーマンス評価を提供します。スキル向上プログラムの効果を示すと同時に、改善が必要な領域を特定します。 さらに、GDPR(一般データ保護規則)、PCI DSS(ペイメントカード業界データセキュリティ基準)、CCPA(カリフォルニア州消費者プライバシー法)など、あらゆる規制要件への準拠を確実にします。
当社の調査により、セキュアコーディング研修が効果的であることが実証されました。Trust Scoreは、600以上の組織に所属する25万人以上の学習者の作業から抽出された2000万以上の学習データポイントに基づくアルゴリズムを採用しており、脆弱性の削減におけるその有効性と、この取り組みをさらに効果的にする方法について明らかにしています。
トレーニングは安全性を向上させるが、開発者がそれを理解している場合に限る
長年にわたり、ソフトウェア開発ライフサイクル(SDLC)の初期段階におけるセキュリティベストプラクティスの採用は、ソフトウェア業界において「いつか実現したい素晴らしい目標」であり、今日の優先事項とは見なされていませんでした。しかし、ソフトウェア開発の加速と、ソフトウェアの脆弱性を標的とする高度で破壊的なサイバー脅威の急増により、セキュアコーディングは不可欠なものとなっています。 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は「セキュアデザイン」イニシアチブを通じてセキュアコーディングを最優先課題に位置付けており、これは国際的な潮流となりつつある。
当社の調査が明らかにしたように、設計段階からの安全なアプローチとソフトウェア脆弱性の削減には明確な相関関係があります。SCW顧客基盤の26%における脆弱性削減データを分析した結果、開発者トレーニングによりソフトウェア脆弱性を22~84%削減できたことが判明しました。 この幅は、参加企業の規模(開発者が比較的少ない小規模企業ほど顕著な結果の幅を示した)や、学習グループが特定の問題に焦点を当てた場合(その場合はより高い割合の欠陥を排除できた)といった変数によるものでした。
大企業における結果はかなり一貫していた。7000人以上の開発者を擁する企業では、開発者のセキュリティスキル向上により脆弱性が47~53%減少すると見込める。 例えば、10,000人以上の開発者を擁する統計的平均企業(プラットフォーム上で最高のパフォーマンスや最高ベンチマーク指数を達成したわけではない)は、脆弱性が53%減少した。
もちろん、最も効果的なトレーニングは、すべての人に当てはまる単一の包括的なアプローチを採用するものではありません。開発者の作業環境や、彼らが取り組む開発の種類に合わせて調整されるべきです。
企業はまず、開発者が安全なコードを書くことを単純なコード記述と同じくらい自然にできるようになるために必要な基本スキルを確立すべきである。スキル向上プログラムは、実際の業務内容や使用する言語に即した実践的で柔軟なトレーニングで構成されるべきだ。さらに、研修セッションを勤務スケジュールに合わせて調整できる十分な柔軟性も必要である。
開発者にとって、スキルセットは単にコードを書くこと以上の意味を持ちます。彼らは、AIアシスタントやオープンソースリポジトリなどの第三者が作成したソフトウェアを検証できる必要があります。開発者は生成AIモデルを積極的に活用しており、より多くのコードをより迅速に作成する手助けとなる利点を概ね称賛しています。 しかし、Snykの調査回答者の76%が「AI生成コードは人間が作成したコードより安全」と回答した一方で、56.4%は「AIが時折または頻繁にエラーを導入する」とも回答している。 さらに同調査では、開発者の80%がAIコード関連のセキュリティポリシーを適用していないことが明らかになり、AIコードに関連する問題が適切に対処されていないことを示唆している。
安全設計アプローチにより、開発者(セキュリティチームと協力し、分離しない)はSDLCの初期段階でこれらの問題に対処し、コードが本番環境に入る前に欠陥を特定・修正します。
信頼スコアは個人および企業のパフォーマンスを測定します
継続的なトレーニングも不可欠です。企業は、最高経営層から現場レベルまで、あらゆる階層で適用されるセキュリティ優先の文化を確立すべきです。SDLC全体におけるセキュリティベストプラクティスの適用と継続的改善に焦点を当てる必要があります。 技術とサイバー犯罪者は進化を止めません。サイバーセキュリティも同様に進化を続けるべきです。ソフトウェアを生産する組織にとって、基盤となるのはセキュリティ教育を受けた開発者です。
したがって、トレーニングが効果的に定着したことを示すことは、トレーニングそのものと同じくらい重要です。 Trust Scoreは、個々の開発者および組織全体のパフォーマンスを可視化するだけでなく、組織がパフォーマンスデータを詳細に分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てることを可能にします。個々のパフォーマンス結果と集計データは、トレーニングの効果向上が必要な領域を特定するのにも役立ちます。例えば、開発者の日常業務におけるパフォーマンスに望ましい効果が現れていない場合などが挙げられます。
Trust Scoreは、組織が開発者のパフォーマンスを評価し、必要なセキュリティスキルを習得(かつ活用)していることを確認することを可能にし、プログラミングのライセンスを確実に獲得できるようにします。これにより、組織は資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを自信を持って許可すると同時に、ツールを使用しているがまだその準備が整っていない者へのアクセスを拒否することができます。
変化する安全文化の試金石
サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼす経営課題である。重大な侵害は組織の業務、評判、そして潜在的には存続可能性さえも損なう。 サイバーセキュリティの重要性は規制当局の注目も逃さず、彼らはますます厳格な規制を導入し、CISOや場合によっては他の経営幹部層に対して法的措置を講じる意思を示している。ウーバーやソーラーウェインツの事例のように、刑事告発に至るケースさえ存在する。
企業全体でのセキュリティ文化の定着は、現代の環境において不可欠です。そして企業の価値の大部分がデータ、アプリケーション、サービスに依存していることを踏まえると、安全なコーディングはその文化の基盤となる要素です。 文化的なマインドセットの一部としての専門的なトレーニングとスキル向上、そしてトレーニングが文化変革に寄与したことを実証することは、組織がセキュリティ態勢を強化する道筋となる。
開発者主導のセキュリティプログラムは価値がある。その証拠が信頼スコアである。
当社の調査により、セキュアコーディング研修が効果的であることが実証されました。Trust Scoreは、600以上の組織に所属する25万人以上の学習者の作業から抽出された2000万以上の学習データポイントに基づくアルゴリズムを採用しており、脆弱性の削減におけるその有効性と、この取り組みをさらに効果的にする方法について明らかにしています。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
組織のセキュリティ態勢を確実に向上させる方法の一つは、開発者に対して安全なコーディングのベストプラクティスを教育することです。これは、開発者が必要とする具体的な学習経路を提供するよう設計されたベースラインとベンチマークを含む枠組みの中で提供されます。しかし、安全なコーディングは一度解決すれば終わりというものではありません。組織のDNAに組み込まれた、生き方そのものとなる必要があります。 開発者は単に「左にシフト」したり「左から始める」だけでなく、「左に留まる」ことも求められます。
研修を提供するだけでは不十分である。組織は、開発者が研修内容を完全に習得し、ソフトウェア開発ライフサイクル(SDLC)の初期段階においてベストプラクティスを日常業務の一部として実践していることを確認しなければならない。開発者のパフォーマンスを追跡し、内部基準や業界ベンチマークとの比較を通じて進捗を測定し、研修投資のROIを効果的に計測することが必要である。
セキュアコード:Warriorの信頼性スコアは、個々の開発者のパフォーマンスを可視化し、データを統合して組織全体のパフォーマンス評価を提供します。スキル向上プログラムの効果を示すと同時に、改善が必要な領域を特定します。 さらに、GDPR(一般データ保護規則)、PCI DSS(ペイメントカード業界データセキュリティ基準)、CCPA(カリフォルニア州消費者プライバシー法)など、あらゆる規制要件への準拠を確実にします。
当社の調査により、セキュアコーディング研修が効果的であることが実証されました。Trust Scoreは、600以上の組織に所属する25万人以上の学習者の作業から抽出された2000万以上の学習データポイントに基づくアルゴリズムを採用しており、脆弱性の削減におけるその有効性と、この取り組みをさらに効果的にする方法について明らかにしています。
トレーニングは安全性を向上させるが、開発者がそれを理解している場合に限る
長年にわたり、ソフトウェア開発ライフサイクル(SDLC)の初期段階におけるセキュリティベストプラクティスの採用は、ソフトウェア業界において「いつか実現したい素晴らしい目標」であり、今日の優先事項とは見なされていませんでした。しかし、ソフトウェア開発の加速と、ソフトウェアの脆弱性を標的とする高度で破壊的なサイバー脅威の急増により、セキュアコーディングは不可欠なものとなっています。 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は「セキュアデザイン」イニシアチブを通じてセキュアコーディングを最優先課題に位置付けており、これは国際的な潮流となりつつある。
当社の調査が明らかにしたように、設計段階からの安全なアプローチとソフトウェア脆弱性の削減には明確な相関関係があります。SCW顧客基盤の26%における脆弱性削減データを分析した結果、開発者トレーニングによりソフトウェア脆弱性を22~84%削減できたことが判明しました。 この幅は、参加企業の規模(開発者が比較的少ない小規模企業ほど顕著な結果の幅を示した)や、学習グループが特定の問題に焦点を当てた場合(その場合はより高い割合の欠陥を排除できた)といった変数によるものでした。
大企業における結果はかなり一貫していた。7000人以上の開発者を擁する企業では、開発者のセキュリティスキル向上により脆弱性が47~53%減少すると見込める。 例えば、10,000人以上の開発者を擁する統計的平均企業(プラットフォーム上で最高のパフォーマンスや最高ベンチマーク指数を達成したわけではない)は、脆弱性が53%減少した。
もちろん、最も効果的なトレーニングは、すべての人に当てはまる単一の包括的なアプローチを採用するものではありません。開発者の作業環境や、彼らが取り組む開発の種類に合わせて調整されるべきです。
企業はまず、開発者が安全なコードを書くことを単純なコード記述と同じくらい自然にできるようになるために必要な基本スキルを確立すべきである。スキル向上プログラムは、実際の業務内容や使用する言語に即した実践的で柔軟なトレーニングで構成されるべきだ。さらに、研修セッションを勤務スケジュールに合わせて調整できる十分な柔軟性も必要である。
開発者にとって、スキルセットは単にコードを書くこと以上の意味を持ちます。彼らは、AIアシスタントやオープンソースリポジトリなどの第三者が作成したソフトウェアを検証できる必要があります。開発者は生成AIモデルを積極的に活用しており、より多くのコードをより迅速に作成する手助けとなる利点を概ね称賛しています。 しかし、Snykの調査回答者の76%が「AI生成コードは人間が作成したコードより安全」と回答した一方で、56.4%は「AIが時折または頻繁にエラーを導入する」とも回答している。 さらに同調査では、開発者の80%がAIコード関連のセキュリティポリシーを適用していないことが明らかになり、AIコードに関連する問題が適切に対処されていないことを示唆している。
安全設計アプローチにより、開発者(セキュリティチームと協力し、分離しない)はSDLCの初期段階でこれらの問題に対処し、コードが本番環境に入る前に欠陥を特定・修正します。
信頼スコアは個人および企業のパフォーマンスを測定します
継続的なトレーニングも不可欠です。企業は、最高経営層から現場レベルまで、あらゆる階層で適用されるセキュリティ優先の文化を確立すべきです。SDLC全体におけるセキュリティベストプラクティスの適用と継続的改善に焦点を当てる必要があります。 技術とサイバー犯罪者は進化を止めません。サイバーセキュリティも同様に進化を続けるべきです。ソフトウェアを生産する組織にとって、基盤となるのはセキュリティ教育を受けた開発者です。
したがって、トレーニングが効果的に定着したことを示すことは、トレーニングそのものと同じくらい重要です。 Trust Scoreは、個々の開発者および組織全体のパフォーマンスを可視化するだけでなく、組織がパフォーマンスデータを詳細に分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てることを可能にします。個々のパフォーマンス結果と集計データは、トレーニングの効果向上が必要な領域を特定するのにも役立ちます。例えば、開発者の日常業務におけるパフォーマンスに望ましい効果が現れていない場合などが挙げられます。
Trust Scoreは、組織が開発者のパフォーマンスを評価し、必要なセキュリティスキルを習得(かつ活用)していることを確認することを可能にし、プログラミングのライセンスを確実に獲得できるようにします。これにより、組織は資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを自信を持って許可すると同時に、ツールを使用しているがまだその準備が整っていない者へのアクセスを拒否することができます。
変化する安全文化の試金石
サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼす経営課題である。重大な侵害は組織の業務、評判、そして潜在的には存続可能性さえも損なう。 サイバーセキュリティの重要性は規制当局の注目も逃さず、彼らはますます厳格な規制を導入し、CISOや場合によっては他の経営幹部層に対して法的措置を講じる意思を示している。ウーバーやソーラーウェインツの事例のように、刑事告発に至るケースさえ存在する。
企業全体でのセキュリティ文化の定着は、現代の環境において不可欠です。そして企業の価値の大部分がデータ、アプリケーション、サービスに依存していることを踏まえると、安全なコーディングはその文化の基盤となる要素です。 文化的なマインドセットの一部としての専門的なトレーニングとスキル向上、そしてトレーニングが文化変革に寄与したことを実証することは、組織がセキュリティ態勢を強化する道筋となる。
開発者主導のセキュリティプログラムは価値がある。その証拠が信頼スコアである。
組織のセキュリティ態勢を確実に向上させる方法の一つは、開発者に対して安全なコーディングのベストプラクティスを教育することです。これは、開発者が必要とする具体的な学習経路を提供するよう設計されたベースラインとベンチマークを含む枠組みの中で提供されます。しかし、安全なコーディングは一度解決すれば終わりというものではありません。組織のDNAに組み込まれた、生き方そのものとなる必要があります。 開発者は単に「左にシフト」したり「左から始める」だけでなく、「左に留まる」ことも求められます。
研修を提供するだけでは不十分である。組織は、開発者が研修内容を完全に習得し、ソフトウェア開発ライフサイクル(SDLC)の初期段階においてベストプラクティスを日常業務の一部として実践していることを確認しなければならない。開発者のパフォーマンスを追跡し、内部基準や業界ベンチマークとの比較を通じて進捗を測定し、研修投資のROIを効果的に計測することが必要である。
セキュアコード:Warriorの信頼性スコアは、個々の開発者のパフォーマンスを可視化し、データを統合して組織全体のパフォーマンス評価を提供します。スキル向上プログラムの効果を示すと同時に、改善が必要な領域を特定します。 さらに、GDPR(一般データ保護規則)、PCI DSS(ペイメントカード業界データセキュリティ基準)、CCPA(カリフォルニア州消費者プライバシー法)など、あらゆる規制要件への準拠を確実にします。
当社の調査により、セキュアコーディング研修が効果的であることが実証されました。Trust Scoreは、600以上の組織に所属する25万人以上の学習者の作業から抽出された2000万以上の学習データポイントに基づくアルゴリズムを採用しており、脆弱性の削減におけるその有効性と、この取り組みをさらに効果的にする方法について明らかにしています。
トレーニングは安全性を向上させるが、開発者がそれを理解している場合に限る
長年にわたり、ソフトウェア開発ライフサイクル(SDLC)の初期段階におけるセキュリティベストプラクティスの採用は、ソフトウェア業界において「いつか実現したい素晴らしい目標」であり、今日の優先事項とは見なされていませんでした。しかし、ソフトウェア開発の加速と、ソフトウェアの脆弱性を標的とする高度で破壊的なサイバー脅威の急増により、セキュアコーディングは不可欠なものとなっています。 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は「セキュアデザイン」イニシアチブを通じてセキュアコーディングを最優先課題に位置付けており、これは国際的な潮流となりつつある。
当社の調査が明らかにしたように、設計段階からの安全なアプローチとソフトウェア脆弱性の削減には明確な相関関係があります。SCW顧客基盤の26%における脆弱性削減データを分析した結果、開発者トレーニングによりソフトウェア脆弱性を22~84%削減できたことが判明しました。 この幅は、参加企業の規模(開発者が比較的少ない小規模企業ほど顕著な結果の幅を示した)や、学習グループが特定の問題に焦点を当てた場合(その場合はより高い割合の欠陥を排除できた)といった変数によるものでした。
大企業における結果はかなり一貫していた。7000人以上の開発者を擁する企業では、開発者のセキュリティスキル向上により脆弱性が47~53%減少すると見込める。 例えば、10,000人以上の開発者を擁する統計的平均企業(プラットフォーム上で最高のパフォーマンスや最高ベンチマーク指数を達成したわけではない)は、脆弱性が53%減少した。
もちろん、最も効果的なトレーニングは、すべての人に当てはまる単一の包括的なアプローチを採用するものではありません。開発者の作業環境や、彼らが取り組む開発の種類に合わせて調整されるべきです。
企業はまず、開発者が安全なコードを書くことを単純なコード記述と同じくらい自然にできるようになるために必要な基本スキルを確立すべきである。スキル向上プログラムは、実際の業務内容や使用する言語に即した実践的で柔軟なトレーニングで構成されるべきだ。さらに、研修セッションを勤務スケジュールに合わせて調整できる十分な柔軟性も必要である。
開発者にとって、スキルセットは単にコードを書くこと以上の意味を持ちます。彼らは、AIアシスタントやオープンソースリポジトリなどの第三者が作成したソフトウェアを検証できる必要があります。開発者は生成AIモデルを積極的に活用しており、より多くのコードをより迅速に作成する手助けとなる利点を概ね称賛しています。 しかし、Snykの調査回答者の76%が「AI生成コードは人間が作成したコードより安全」と回答した一方で、56.4%は「AIが時折または頻繁にエラーを導入する」とも回答している。 さらに同調査では、開発者の80%がAIコード関連のセキュリティポリシーを適用していないことが明らかになり、AIコードに関連する問題が適切に対処されていないことを示唆している。
安全設計アプローチにより、開発者(セキュリティチームと協力し、分離しない)はSDLCの初期段階でこれらの問題に対処し、コードが本番環境に入る前に欠陥を特定・修正します。
信頼スコアは個人および企業のパフォーマンスを測定します
継続的なトレーニングも不可欠です。企業は、最高経営層から現場レベルまで、あらゆる階層で適用されるセキュリティ優先の文化を確立すべきです。SDLC全体におけるセキュリティベストプラクティスの適用と継続的改善に焦点を当てる必要があります。 技術とサイバー犯罪者は進化を止めません。サイバーセキュリティも同様に進化を続けるべきです。ソフトウェアを生産する組織にとって、基盤となるのはセキュリティ教育を受けた開発者です。
したがって、トレーニングが効果的に定着したことを示すことは、トレーニングそのものと同じくらい重要です。 Trust Scoreは、個々の開発者および組織全体のパフォーマンスを可視化するだけでなく、組織がパフォーマンスデータを詳細に分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てることを可能にします。個々のパフォーマンス結果と集計データは、トレーニングの効果向上が必要な領域を特定するのにも役立ちます。例えば、開発者の日常業務におけるパフォーマンスに望ましい効果が現れていない場合などが挙げられます。
Trust Scoreは、組織が開発者のパフォーマンスを評価し、必要なセキュリティスキルを習得(かつ活用)していることを確認することを可能にし、プログラミングのライセンスを確実に獲得できるようにします。これにより、組織は資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを自信を持って許可すると同時に、ツールを使用しているがまだその準備が整っていない者へのアクセスを拒否することができます。
変化する安全文化の試金石
サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼす経営課題である。重大な侵害は組織の業務、評判、そして潜在的には存続可能性さえも損なう。 サイバーセキュリティの重要性は規制当局の注目も逃さず、彼らはますます厳格な規制を導入し、CISOや場合によっては他の経営幹部層に対して法的措置を講じる意思を示している。ウーバーやソーラーウェインツの事例のように、刑事告発に至るケースさえ存在する。
企業全体でのセキュリティ文化の定着は、現代の環境において不可欠です。そして企業の価値の大部分がデータ、アプリケーション、サービスに依存していることを踏まえると、安全なコーディングはその文化の基盤となる要素です。 文化的なマインドセットの一部としての専門的なトレーニングとスキル向上、そしてトレーニングが文化変革に寄与したことを実証することは、組織がセキュリティ態勢を強化する道筋となる。
開発者主導のセキュリティプログラムは価値がある。その証拠が信頼スコアである。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
組織のセキュリティ態勢を確実に向上させる方法の一つは、開発者に対して安全なコーディングのベストプラクティスを教育することです。これは、開発者が必要とする具体的な学習経路を提供するよう設計されたベースラインとベンチマークを含む枠組みの中で提供されます。しかし、安全なコーディングは一度解決すれば終わりというものではありません。組織のDNAに組み込まれた、生き方そのものとなる必要があります。 開発者は単に「左にシフト」したり「左から始める」だけでなく、「左に留まる」ことも求められます。
研修を提供するだけでは不十分である。組織は、開発者が研修内容を完全に習得し、ソフトウェア開発ライフサイクル(SDLC)の初期段階においてベストプラクティスを日常業務の一部として実践していることを確認しなければならない。開発者のパフォーマンスを追跡し、内部基準や業界ベンチマークとの比較を通じて進捗を測定し、研修投資のROIを効果的に計測することが必要である。
セキュアコード:Warriorの信頼性スコアは、個々の開発者のパフォーマンスを可視化し、データを統合して組織全体のパフォーマンス評価を提供します。スキル向上プログラムの効果を示すと同時に、改善が必要な領域を特定します。 さらに、GDPR(一般データ保護規則)、PCI DSS(ペイメントカード業界データセキュリティ基準)、CCPA(カリフォルニア州消費者プライバシー法)など、あらゆる規制要件への準拠を確実にします。
当社の調査により、セキュアコーディング研修が効果的であることが実証されました。Trust Scoreは、600以上の組織に所属する25万人以上の学習者の作業から抽出された2000万以上の学習データポイントに基づくアルゴリズムを採用しており、脆弱性の削減におけるその有効性と、この取り組みをさらに効果的にする方法について明らかにしています。
トレーニングは安全性を向上させるが、開発者がそれを理解している場合に限る
長年にわたり、ソフトウェア開発ライフサイクル(SDLC)の初期段階におけるセキュリティベストプラクティスの採用は、ソフトウェア業界において「いつか実現したい素晴らしい目標」であり、今日の優先事項とは見なされていませんでした。しかし、ソフトウェア開発の加速と、ソフトウェアの脆弱性を標的とする高度で破壊的なサイバー脅威の急増により、セキュアコーディングは不可欠なものとなっています。 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は「セキュアデザイン」イニシアチブを通じてセキュアコーディングを最優先課題に位置付けており、これは国際的な潮流となりつつある。
当社の調査が明らかにしたように、設計段階からの安全なアプローチとソフトウェア脆弱性の削減には明確な相関関係があります。SCW顧客基盤の26%における脆弱性削減データを分析した結果、開発者トレーニングによりソフトウェア脆弱性を22~84%削減できたことが判明しました。 この幅は、参加企業の規模(開発者が比較的少ない小規模企業ほど顕著な結果の幅を示した)や、学習グループが特定の問題に焦点を当てた場合(その場合はより高い割合の欠陥を排除できた)といった変数によるものでした。
大企業における結果はかなり一貫していた。7000人以上の開発者を擁する企業では、開発者のセキュリティスキル向上により脆弱性が47~53%減少すると見込める。 例えば、10,000人以上の開発者を擁する統計的平均企業(プラットフォーム上で最高のパフォーマンスや最高ベンチマーク指数を達成したわけではない)は、脆弱性が53%減少した。
もちろん、最も効果的なトレーニングは、すべての人に当てはまる単一の包括的なアプローチを採用するものではありません。開発者の作業環境や、彼らが取り組む開発の種類に合わせて調整されるべきです。
企業はまず、開発者が安全なコードを書くことを単純なコード記述と同じくらい自然にできるようになるために必要な基本スキルを確立すべきである。スキル向上プログラムは、実際の業務内容や使用する言語に即した実践的で柔軟なトレーニングで構成されるべきだ。さらに、研修セッションを勤務スケジュールに合わせて調整できる十分な柔軟性も必要である。
開発者にとって、スキルセットは単にコードを書くこと以上の意味を持ちます。彼らは、AIアシスタントやオープンソースリポジトリなどの第三者が作成したソフトウェアを検証できる必要があります。開発者は生成AIモデルを積極的に活用しており、より多くのコードをより迅速に作成する手助けとなる利点を概ね称賛しています。 しかし、Snykの調査回答者の76%が「AI生成コードは人間が作成したコードより安全」と回答した一方で、56.4%は「AIが時折または頻繁にエラーを導入する」とも回答している。 さらに同調査では、開発者の80%がAIコード関連のセキュリティポリシーを適用していないことが明らかになり、AIコードに関連する問題が適切に対処されていないことを示唆している。
安全設計アプローチにより、開発者(セキュリティチームと協力し、分離しない)はSDLCの初期段階でこれらの問題に対処し、コードが本番環境に入る前に欠陥を特定・修正します。
信頼スコアは個人および企業のパフォーマンスを測定します
継続的なトレーニングも不可欠です。企業は、最高経営層から現場レベルまで、あらゆる階層で適用されるセキュリティ優先の文化を確立すべきです。SDLC全体におけるセキュリティベストプラクティスの適用と継続的改善に焦点を当てる必要があります。 技術とサイバー犯罪者は進化を止めません。サイバーセキュリティも同様に進化を続けるべきです。ソフトウェアを生産する組織にとって、基盤となるのはセキュリティ教育を受けた開発者です。
したがって、トレーニングが効果的に定着したことを示すことは、トレーニングそのものと同じくらい重要です。 Trust Scoreは、個々の開発者および組織全体のパフォーマンスを可視化するだけでなく、組織がパフォーマンスデータを詳細に分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てることを可能にします。個々のパフォーマンス結果と集計データは、トレーニングの効果向上が必要な領域を特定するのにも役立ちます。例えば、開発者の日常業務におけるパフォーマンスに望ましい効果が現れていない場合などが挙げられます。
Trust Scoreは、組織が開発者のパフォーマンスを評価し、必要なセキュリティスキルを習得(かつ活用)していることを確認することを可能にし、プログラミングのライセンスを確実に獲得できるようにします。これにより、組織は資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを自信を持って許可すると同時に、ツールを使用しているがまだその準備が整っていない者へのアクセスを拒否することができます。
変化する安全文化の試金石
サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼす経営課題である。重大な侵害は組織の業務、評判、そして潜在的には存続可能性さえも損なう。 サイバーセキュリティの重要性は規制当局の注目も逃さず、彼らはますます厳格な規制を導入し、CISOや場合によっては他の経営幹部層に対して法的措置を講じる意思を示している。ウーバーやソーラーウェインツの事例のように、刑事告発に至るケースさえ存在する。
企業全体でのセキュリティ文化の定着は、現代の環境において不可欠です。そして企業の価値の大部分がデータ、アプリケーション、サービスに依存していることを踏まえると、安全なコーディングはその文化の基盤となる要素です。 文化的なマインドセットの一部としての専門的なトレーニングとスキル向上、そしてトレーニングが文化変革に寄与したことを実証することは、組織がセキュリティ態勢を強化する道筋となる。
開発者主導のセキュリティプログラムは価値がある。その証拠が信頼スコアである。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
