信頼スコアは、設計段階から組み込まれたセキュリティ強化施策の価値を明らかにする
企業のセキュリティ態勢を確実に向上させる方法の一つは、開発者のセキュアコーディングのベストプラクティスに関するスキルを向上させることです。これには、開発者に必要な特定の学習パスを提供するよう設計されたベンチマークとリファレンスポイントを含むフレームワークが不可欠です。 ただし、セキュアコーディングは単発の解決策ではありません。組織のDNAに刻み込まれた「生き方」となる必要があります。開発者は「左にシフトする」または「左から始める」だけでなく、「左に留まる」ことも求められます。
単にトレーニングを提供することだけでは不十分です。企業は、開発者がトレーニング内容を完全に習得し、ソフトウェア開発ライフサイクル(SDLC)の初期段階においてベストプラクティスを日常業務で実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、社内基準や業界ベンチマークとの進捗を測定することで、トレーニング投資のROIを効果的に評価することが求められます。
Secure Code Warrior 信頼スコアは、各開発者のパフォーマンスを可視化し、データを統合して組織全体のパフォーマンス評価を提供します。スキル強化プログラムの効果を示すと同時に、改善が必要な領域を特定します。 さらに、一般データ保護規則(GDPR)、ペイメントカード業界データセキュリティ基準(PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)など、あらゆる規制コンプライアンス要件への準拠を保証します。
当社の調査により、セキュアコーディング研修が効果的であることが明らかになりました。Trust Scoreは、600以上の組織における25万人以上の学習者の作業から得られた2,000万以上の学習データポイントに基づくアルゴリズムを活用し、脆弱性の削減効果と、この取り組みをさらに効果的にする方法を示しています。
トレーニングは安全性を向上させる、開発者がそれを得れば
長年にわたり、ソフトウェア開発ライフサイクル(SDLC)の初期段階におけるセキュリティのベストプラクティスの適用は、ソフトウェア業界における理想とされてきた。いずれは実現すべき目標ではあるが、現時点では最優先事項ではない。 しかし、ソフトウェア開発の加速と、高度で破壊的なサイバー脅威の急増(多くの場合ソフトウェア脆弱性を標的とする)により、セキュアコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「Secure by Design」イニシアチブでセキュアコーディングを最優先課題に位置付け、これは国際的な潮流となりつつある。
我々の調査が証明したように、設計段階からのセキュリティ対策とソフトウェア脆弱性の低減との間には明確な相関関係があります。 SCWの顧客の26%から得られた脆弱性削減データを分析した結果、開発者トレーニングによりソフトウェアの脆弱性が22%から84%削減されることが判明しました。 この幅は、関連企業の規模(開発者が比較的少ない中小企業ではより顕著な結果が得られた)や、学習グループが特定の問題に焦点を当てたかどうか(その場合はより高い割合の脆弱性を排除できた)といった変数によって生じていました。
大企業における調査結果は概ね一貫していた。7,000人以上の開発者を擁する企業では、開発者のセキュリティスキル強化により脆弱性が47%から53%削減されることが見込まれる。 例えば、10,000人以上の開発者を擁する統計的に平均的な企業(プラットフォーム上で最も優れた企業でも、最も優れた企業群の一角でもない)は、脆弱性を53%削減した。
もちろん、最も効果的なトレーニングは包括的で普遍的なアプローチに基づくものではありません。開発者の作業環境や、彼らが実施する開発の種類に合わせて調整される必要があります。
企業はまず、開発者が安全なコード記述を通常のコード記述と同じくらい自然にできるようになるために必要な基本スキルを習得させるべきである。スキル強化プログラムは、実際の業務内容や使用する言語に即した現実的なシナリオに基づく実践的でアジャイルなトレーニングで構成されるべきだ。また、トレーニングセッションを業務スケジュールに組み込めるよう、十分な柔軟性を持たせる必要がある。
開発者にとって、スキルはコードを書くことだけに限定されない。彼らは人工知能アシスタントやオープンソースリポジトリなどのサードパーティが作成したソフトウェアを検証できる必要がある。開発者は生成AIモデルの活用を避けつつ、より多くのコードをより迅速に作成する上でその利点を概ね評価している。 しかし、Snykの調査で回答者の76%が「AI生成コードは人間が作成したコードより安全」と回答した一方で、56.4%は「AIが時折または頻繁にエラーを導入する」とも回答している。 さらに同調査では、開発者の80%がAIコードのセキュリティポリシーを適用していないことが判明しており、AIコード内の問題が未解決であることを示唆している。
設計段階からのセキュリティ対策アプローチにおいて、開発者はセキュリティチームと分離せず連携して作業し、SDLCの初期段階からこれらの問題に取り組みます。これにより、コードが本番環境にデプロイされる前に脆弱性を特定・修正します。
トラストスコアは個人および企業の業績を測定します
継続的な教育も不可欠です。企業は、経営陣から現場スタッフまで、あらゆる階層に適用されるセキュリティ重視の文化を確立すべきです。その焦点は、SDLC全体におけるセキュリティベストプラクティスの継続的改善と適用に置かれるべきです。技術とサイバー犯罪者は絶えず進化しており、サイバーセキュリティも同様に進化し続ける必要があります。 ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在です。
だからこそ、トレーニングそのものと同じくらい、トレーニングが効果的であることを実証することも重要です。Trust Scoreは、個々の開発者や組織全体のパフォーマンスを可視化するだけでなく、組織がパフォーマンスデータを分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てることを可能にします。 個人および集計されたパフォーマンス結果から得られるデータは、トレーニングが開発者の日常業務に期待通りの効果をもたらしていない場合など、トレーニングの改善が必要な領域を特定するのにも役立ちます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、セキュリティに関する必要なスキルを習得し活用していることを確認できるようにしました。これにより、開発者がコードライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを安心して許可できる一方、ツールの使用準備が整っていない者へのアクセスは拒否できます。
安全文化の進化の証拠
サイバーセキュリティはもはや単なる安全性の問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼすビジネス上の課題である。重大な侵害は組織の事業活動、評判、そして潜在的には存続可能性さえも損なう。 サイバーセキュリティの重要性は規制当局にも認識されており、彼らはますます厳格な規制を実施し、最高情報セキュリティ責任者(CISO)や場合によっては他の経営幹部層を刑事訴追の対象とする用意があることを示している。ウーバーやソーラーベントスの 事例のように、刑事訴追に至るケースさえ発生している。
企業全体でのセキュリティ文化の定着は、現代の環境において不可欠です。企業の価値はデータ、アプリケーション、サービスに大きく依存しているため、セキュアコーディングはこの文化の中核を成します。 文化的マインドセットに基づく的を絞ったトレーニングとスキル強化、そしてトレーニングが文化変革に寄与した証拠は、組織がセキュリティ態勢を強化する上で役立つ。
開発者主導のセキュリティプログラムには価値がある。その証拠が信頼スコアにある。
当社の調査により、セキュアコーディング研修が効果的であることが明らかになりました。Trust Scoreは、600以上の組織における25万人以上の学習者の作業から得られた2,000万以上の学習データポイントに基づくアルゴリズムを活用し、脆弱性の削減効果と、この取り組みをさらに効果的にする方法を示しています。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
企業のセキュリティ態勢を確実に向上させる方法の一つは、開発者のセキュアコーディングのベストプラクティスに関するスキルを向上させることです。これには、開発者に必要な特定の学習パスを提供するよう設計されたベンチマークとリファレンスポイントを含むフレームワークが不可欠です。 ただし、セキュアコーディングは単発の解決策ではありません。組織のDNAに刻み込まれた「生き方」となる必要があります。開発者は「左にシフトする」または「左から始める」だけでなく、「左に留まる」ことも求められます。
単にトレーニングを提供することだけでは不十分です。企業は、開発者がトレーニング内容を完全に習得し、ソフトウェア開発ライフサイクル(SDLC)の初期段階においてベストプラクティスを日常業務で実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、社内基準や業界ベンチマークとの進捗を測定することで、トレーニング投資のROIを効果的に評価することが求められます。
Secure Code Warrior 信頼スコアは、各開発者のパフォーマンスを可視化し、データを統合して組織全体のパフォーマンス評価を提供します。スキル強化プログラムの効果を示すと同時に、改善が必要な領域を特定します。 さらに、一般データ保護規則(GDPR)、ペイメントカード業界データセキュリティ基準(PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)など、あらゆる規制コンプライアンス要件への準拠を保証します。
当社の調査により、セキュアコーディング研修が効果的であることが明らかになりました。Trust Scoreは、600以上の組織における25万人以上の学習者の作業から得られた2,000万以上の学習データポイントに基づくアルゴリズムを活用し、脆弱性の削減効果と、この取り組みをさらに効果的にする方法を示しています。
トレーニングは安全性を向上させる、開発者がそれを得れば
長年にわたり、ソフトウェア開発ライフサイクル(SDLC)の初期段階におけるセキュリティのベストプラクティスの適用は、ソフトウェア業界における理想とされてきた。いずれは実現すべき目標ではあるが、現時点では最優先事項ではない。 しかし、ソフトウェア開発の加速と、高度で破壊的なサイバー脅威の急増(多くの場合ソフトウェア脆弱性を標的とする)により、セキュアコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「Secure by Design」イニシアチブでセキュアコーディングを最優先課題に位置付け、これは国際的な潮流となりつつある。
我々の調査が証明したように、設計段階からのセキュリティ対策とソフトウェア脆弱性の低減との間には明確な相関関係があります。 SCWの顧客の26%から得られた脆弱性削減データを分析した結果、開発者トレーニングによりソフトウェアの脆弱性が22%から84%削減されることが判明しました。 この幅は、関連企業の規模(開発者が比較的少ない中小企業ではより顕著な結果が得られた)や、学習グループが特定の問題に焦点を当てたかどうか(その場合はより高い割合の脆弱性を排除できた)といった変数によって生じていました。
大企業における調査結果は概ね一貫していた。7,000人以上の開発者を擁する企業では、開発者のセキュリティスキル強化により脆弱性が47%から53%削減されることが見込まれる。 例えば、10,000人以上の開発者を擁する統計的に平均的な企業(プラットフォーム上で最も優れた企業でも、最も優れた企業群の一角でもない)は、脆弱性を53%削減した。
もちろん、最も効果的なトレーニングは包括的で普遍的なアプローチに基づくものではありません。開発者の作業環境や、彼らが実施する開発の種類に合わせて調整される必要があります。
企業はまず、開発者が安全なコード記述を通常のコード記述と同じくらい自然にできるようになるために必要な基本スキルを習得させるべきである。スキル強化プログラムは、実際の業務内容や使用する言語に即した現実的なシナリオに基づく実践的でアジャイルなトレーニングで構成されるべきだ。また、トレーニングセッションを業務スケジュールに組み込めるよう、十分な柔軟性を持たせる必要がある。
開発者にとって、スキルはコードを書くことだけに限定されない。彼らは人工知能アシスタントやオープンソースリポジトリなどのサードパーティが作成したソフトウェアを検証できる必要がある。開発者は生成AIモデルの活用を避けつつ、より多くのコードをより迅速に作成する上でその利点を概ね評価している。 しかし、Snykの調査で回答者の76%が「AI生成コードは人間が作成したコードより安全」と回答した一方で、56.4%は「AIが時折または頻繁にエラーを導入する」とも回答している。 さらに同調査では、開発者の80%がAIコードのセキュリティポリシーを適用していないことが判明しており、AIコード内の問題が未解決であることを示唆している。
設計段階からのセキュリティ対策アプローチにおいて、開発者はセキュリティチームと分離せず連携して作業し、SDLCの初期段階からこれらの問題に取り組みます。これにより、コードが本番環境にデプロイされる前に脆弱性を特定・修正します。
トラストスコアは個人および企業の業績を測定します
継続的な教育も不可欠です。企業は、経営陣から現場スタッフまで、あらゆる階層に適用されるセキュリティ重視の文化を確立すべきです。その焦点は、SDLC全体におけるセキュリティベストプラクティスの継続的改善と適用に置かれるべきです。技術とサイバー犯罪者は絶えず進化しており、サイバーセキュリティも同様に進化し続ける必要があります。 ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在です。
だからこそ、トレーニングそのものと同じくらい、トレーニングが効果的であることを実証することも重要です。Trust Scoreは、個々の開発者や組織全体のパフォーマンスを可視化するだけでなく、組織がパフォーマンスデータを分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てることを可能にします。 個人および集計されたパフォーマンス結果から得られるデータは、トレーニングが開発者の日常業務に期待通りの効果をもたらしていない場合など、トレーニングの改善が必要な領域を特定するのにも役立ちます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、セキュリティに関する必要なスキルを習得し活用していることを確認できるようにしました。これにより、開発者がコードライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを安心して許可できる一方、ツールの使用準備が整っていない者へのアクセスは拒否できます。
安全文化の進化の証拠
サイバーセキュリティはもはや単なる安全性の問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼすビジネス上の課題である。重大な侵害は組織の事業活動、評判、そして潜在的には存続可能性さえも損なう。 サイバーセキュリティの重要性は規制当局にも認識されており、彼らはますます厳格な規制を実施し、最高情報セキュリティ責任者(CISO)や場合によっては他の経営幹部層を刑事訴追の対象とする用意があることを示している。ウーバーやソーラーベントスの 事例のように、刑事訴追に至るケースさえ発生している。
企業全体でのセキュリティ文化の定着は、現代の環境において不可欠です。企業の価値はデータ、アプリケーション、サービスに大きく依存しているため、セキュアコーディングはこの文化の中核を成します。 文化的マインドセットに基づく的を絞ったトレーニングとスキル強化、そしてトレーニングが文化変革に寄与した証拠は、組織がセキュリティ態勢を強化する上で役立つ。
開発者主導のセキュリティプログラムには価値がある。その証拠が信頼スコアにある。
企業のセキュリティ態勢を確実に向上させる方法の一つは、開発者のセキュアコーディングのベストプラクティスに関するスキルを向上させることです。これには、開発者に必要な特定の学習パスを提供するよう設計されたベンチマークとリファレンスポイントを含むフレームワークが不可欠です。 ただし、セキュアコーディングは単発の解決策ではありません。組織のDNAに刻み込まれた「生き方」となる必要があります。開発者は「左にシフトする」または「左から始める」だけでなく、「左に留まる」ことも求められます。
単にトレーニングを提供することだけでは不十分です。企業は、開発者がトレーニング内容を完全に習得し、ソフトウェア開発ライフサイクル(SDLC)の初期段階においてベストプラクティスを日常業務で実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、社内基準や業界ベンチマークとの進捗を測定することで、トレーニング投資のROIを効果的に評価することが求められます。
Secure Code Warrior 信頼スコアは、各開発者のパフォーマンスを可視化し、データを統合して組織全体のパフォーマンス評価を提供します。スキル強化プログラムの効果を示すと同時に、改善が必要な領域を特定します。 さらに、一般データ保護規則(GDPR)、ペイメントカード業界データセキュリティ基準(PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)など、あらゆる規制コンプライアンス要件への準拠を保証します。
当社の調査により、セキュアコーディング研修が効果的であることが明らかになりました。Trust Scoreは、600以上の組織における25万人以上の学習者の作業から得られた2,000万以上の学習データポイントに基づくアルゴリズムを活用し、脆弱性の削減効果と、この取り組みをさらに効果的にする方法を示しています。
トレーニングは安全性を向上させる、開発者がそれを得れば
長年にわたり、ソフトウェア開発ライフサイクル(SDLC)の初期段階におけるセキュリティのベストプラクティスの適用は、ソフトウェア業界における理想とされてきた。いずれは実現すべき目標ではあるが、現時点では最優先事項ではない。 しかし、ソフトウェア開発の加速と、高度で破壊的なサイバー脅威の急増(多くの場合ソフトウェア脆弱性を標的とする)により、セキュアコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「Secure by Design」イニシアチブでセキュアコーディングを最優先課題に位置付け、これは国際的な潮流となりつつある。
我々の調査が証明したように、設計段階からのセキュリティ対策とソフトウェア脆弱性の低減との間には明確な相関関係があります。 SCWの顧客の26%から得られた脆弱性削減データを分析した結果、開発者トレーニングによりソフトウェアの脆弱性が22%から84%削減されることが判明しました。 この幅は、関連企業の規模(開発者が比較的少ない中小企業ではより顕著な結果が得られた)や、学習グループが特定の問題に焦点を当てたかどうか(その場合はより高い割合の脆弱性を排除できた)といった変数によって生じていました。
大企業における調査結果は概ね一貫していた。7,000人以上の開発者を擁する企業では、開発者のセキュリティスキル強化により脆弱性が47%から53%削減されることが見込まれる。 例えば、10,000人以上の開発者を擁する統計的に平均的な企業(プラットフォーム上で最も優れた企業でも、最も優れた企業群の一角でもない)は、脆弱性を53%削減した。
もちろん、最も効果的なトレーニングは包括的で普遍的なアプローチに基づくものではありません。開発者の作業環境や、彼らが実施する開発の種類に合わせて調整される必要があります。
企業はまず、開発者が安全なコード記述を通常のコード記述と同じくらい自然にできるようになるために必要な基本スキルを習得させるべきである。スキル強化プログラムは、実際の業務内容や使用する言語に即した現実的なシナリオに基づく実践的でアジャイルなトレーニングで構成されるべきだ。また、トレーニングセッションを業務スケジュールに組み込めるよう、十分な柔軟性を持たせる必要がある。
開発者にとって、スキルはコードを書くことだけに限定されない。彼らは人工知能アシスタントやオープンソースリポジトリなどのサードパーティが作成したソフトウェアを検証できる必要がある。開発者は生成AIモデルの活用を避けつつ、より多くのコードをより迅速に作成する上でその利点を概ね評価している。 しかし、Snykの調査で回答者の76%が「AI生成コードは人間が作成したコードより安全」と回答した一方で、56.4%は「AIが時折または頻繁にエラーを導入する」とも回答している。 さらに同調査では、開発者の80%がAIコードのセキュリティポリシーを適用していないことが判明しており、AIコード内の問題が未解決であることを示唆している。
設計段階からのセキュリティ対策アプローチにおいて、開発者はセキュリティチームと分離せず連携して作業し、SDLCの初期段階からこれらの問題に取り組みます。これにより、コードが本番環境にデプロイされる前に脆弱性を特定・修正します。
トラストスコアは個人および企業の業績を測定します
継続的な教育も不可欠です。企業は、経営陣から現場スタッフまで、あらゆる階層に適用されるセキュリティ重視の文化を確立すべきです。その焦点は、SDLC全体におけるセキュリティベストプラクティスの継続的改善と適用に置かれるべきです。技術とサイバー犯罪者は絶えず進化しており、サイバーセキュリティも同様に進化し続ける必要があります。 ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在です。
だからこそ、トレーニングそのものと同じくらい、トレーニングが効果的であることを実証することも重要です。Trust Scoreは、個々の開発者や組織全体のパフォーマンスを可視化するだけでなく、組織がパフォーマンスデータを分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てることを可能にします。 個人および集計されたパフォーマンス結果から得られるデータは、トレーニングが開発者の日常業務に期待通りの効果をもたらしていない場合など、トレーニングの改善が必要な領域を特定するのにも役立ちます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、セキュリティに関する必要なスキルを習得し活用していることを確認できるようにしました。これにより、開発者がコードライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを安心して許可できる一方、ツールの使用準備が整っていない者へのアクセスは拒否できます。
安全文化の進化の証拠
サイバーセキュリティはもはや単なる安全性の問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼすビジネス上の課題である。重大な侵害は組織の事業活動、評判、そして潜在的には存続可能性さえも損なう。 サイバーセキュリティの重要性は規制当局にも認識されており、彼らはますます厳格な規制を実施し、最高情報セキュリティ責任者(CISO)や場合によっては他の経営幹部層を刑事訴追の対象とする用意があることを示している。ウーバーやソーラーベントスの 事例のように、刑事訴追に至るケースさえ発生している。
企業全体でのセキュリティ文化の定着は、現代の環境において不可欠です。企業の価値はデータ、アプリケーション、サービスに大きく依存しているため、セキュアコーディングはこの文化の中核を成します。 文化的マインドセットに基づく的を絞ったトレーニングとスキル強化、そしてトレーニングが文化変革に寄与した証拠は、組織がセキュリティ態勢を強化する上で役立つ。
開発者主導のセキュリティプログラムには価値がある。その証拠が信頼スコアにある。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
企業のセキュリティ態勢を確実に向上させる方法の一つは、開発者のセキュアコーディングのベストプラクティスに関するスキルを向上させることです。これには、開発者に必要な特定の学習パスを提供するよう設計されたベンチマークとリファレンスポイントを含むフレームワークが不可欠です。 ただし、セキュアコーディングは単発の解決策ではありません。組織のDNAに刻み込まれた「生き方」となる必要があります。開発者は「左にシフトする」または「左から始める」だけでなく、「左に留まる」ことも求められます。
単にトレーニングを提供することだけでは不十分です。企業は、開発者がトレーニング内容を完全に習得し、ソフトウェア開発ライフサイクル(SDLC)の初期段階においてベストプラクティスを日常業務で実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、社内基準や業界ベンチマークとの進捗を測定することで、トレーニング投資のROIを効果的に評価することが求められます。
Secure Code Warrior 信頼スコアは、各開発者のパフォーマンスを可視化し、データを統合して組織全体のパフォーマンス評価を提供します。スキル強化プログラムの効果を示すと同時に、改善が必要な領域を特定します。 さらに、一般データ保護規則(GDPR)、ペイメントカード業界データセキュリティ基準(PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)など、あらゆる規制コンプライアンス要件への準拠を保証します。
当社の調査により、セキュアコーディング研修が効果的であることが明らかになりました。Trust Scoreは、600以上の組織における25万人以上の学習者の作業から得られた2,000万以上の学習データポイントに基づくアルゴリズムを活用し、脆弱性の削減効果と、この取り組みをさらに効果的にする方法を示しています。
トレーニングは安全性を向上させる、開発者がそれを得れば
長年にわたり、ソフトウェア開発ライフサイクル(SDLC)の初期段階におけるセキュリティのベストプラクティスの適用は、ソフトウェア業界における理想とされてきた。いずれは実現すべき目標ではあるが、現時点では最優先事項ではない。 しかし、ソフトウェア開発の加速と、高度で破壊的なサイバー脅威の急増(多くの場合ソフトウェア脆弱性を標的とする)により、セキュアコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「Secure by Design」イニシアチブでセキュアコーディングを最優先課題に位置付け、これは国際的な潮流となりつつある。
我々の調査が証明したように、設計段階からのセキュリティ対策とソフトウェア脆弱性の低減との間には明確な相関関係があります。 SCWの顧客の26%から得られた脆弱性削減データを分析した結果、開発者トレーニングによりソフトウェアの脆弱性が22%から84%削減されることが判明しました。 この幅は、関連企業の規模(開発者が比較的少ない中小企業ではより顕著な結果が得られた)や、学習グループが特定の問題に焦点を当てたかどうか(その場合はより高い割合の脆弱性を排除できた)といった変数によって生じていました。
大企業における調査結果は概ね一貫していた。7,000人以上の開発者を擁する企業では、開発者のセキュリティスキル強化により脆弱性が47%から53%削減されることが見込まれる。 例えば、10,000人以上の開発者を擁する統計的に平均的な企業(プラットフォーム上で最も優れた企業でも、最も優れた企業群の一角でもない)は、脆弱性を53%削減した。
もちろん、最も効果的なトレーニングは包括的で普遍的なアプローチに基づくものではありません。開発者の作業環境や、彼らが実施する開発の種類に合わせて調整される必要があります。
企業はまず、開発者が安全なコード記述を通常のコード記述と同じくらい自然にできるようになるために必要な基本スキルを習得させるべきである。スキル強化プログラムは、実際の業務内容や使用する言語に即した現実的なシナリオに基づく実践的でアジャイルなトレーニングで構成されるべきだ。また、トレーニングセッションを業務スケジュールに組み込めるよう、十分な柔軟性を持たせる必要がある。
開発者にとって、スキルはコードを書くことだけに限定されない。彼らは人工知能アシスタントやオープンソースリポジトリなどのサードパーティが作成したソフトウェアを検証できる必要がある。開発者は生成AIモデルの活用を避けつつ、より多くのコードをより迅速に作成する上でその利点を概ね評価している。 しかし、Snykの調査で回答者の76%が「AI生成コードは人間が作成したコードより安全」と回答した一方で、56.4%は「AIが時折または頻繁にエラーを導入する」とも回答している。 さらに同調査では、開発者の80%がAIコードのセキュリティポリシーを適用していないことが判明しており、AIコード内の問題が未解決であることを示唆している。
設計段階からのセキュリティ対策アプローチにおいて、開発者はセキュリティチームと分離せず連携して作業し、SDLCの初期段階からこれらの問題に取り組みます。これにより、コードが本番環境にデプロイされる前に脆弱性を特定・修正します。
トラストスコアは個人および企業の業績を測定します
継続的な教育も不可欠です。企業は、経営陣から現場スタッフまで、あらゆる階層に適用されるセキュリティ重視の文化を確立すべきです。その焦点は、SDLC全体におけるセキュリティベストプラクティスの継続的改善と適用に置かれるべきです。技術とサイバー犯罪者は絶えず進化しており、サイバーセキュリティも同様に進化し続ける必要があります。 ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在です。
だからこそ、トレーニングそのものと同じくらい、トレーニングが効果的であることを実証することも重要です。Trust Scoreは、個々の開発者や組織全体のパフォーマンスを可視化するだけでなく、組織がパフォーマンスデータを分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てることを可能にします。 個人および集計されたパフォーマンス結果から得られるデータは、トレーニングが開発者の日常業務に期待通りの効果をもたらしていない場合など、トレーニングの改善が必要な領域を特定するのにも役立ちます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、セキュリティに関する必要なスキルを習得し活用していることを確認できるようにしました。これにより、開発者がコードライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを安心して許可できる一方、ツールの使用準備が整っていない者へのアクセスは拒否できます。
安全文化の進化の証拠
サイバーセキュリティはもはや単なる安全性の問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼすビジネス上の課題である。重大な侵害は組織の事業活動、評判、そして潜在的には存続可能性さえも損なう。 サイバーセキュリティの重要性は規制当局にも認識されており、彼らはますます厳格な規制を実施し、最高情報セキュリティ責任者(CISO)や場合によっては他の経営幹部層を刑事訴追の対象とする用意があることを示している。ウーバーやソーラーベントスの 事例のように、刑事訴追に至るケースさえ発生している。
企業全体でのセキュリティ文化の定着は、現代の環境において不可欠です。企業の価値はデータ、アプリケーション、サービスに大きく依存しているため、セキュアコーディングはこの文化の中核を成します。 文化的マインドセットに基づく的を絞ったトレーニングとスキル強化、そしてトレーニングが文化変革に寄与した証拠は、組織がセキュリティ態勢を強化する上で役立つ。
開発者主導のセキュリティプログラムには価値がある。その証拠が信頼スコアにある。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
