信頼スコアは、設計段階から組み込まれたセキュリティ強化施策の価値を明らかにする
企業のセキュリティ態勢を確実に向上させる方法の一つは、開発者のセキュアコーディングのベストプラクティスに関するスキルを向上させることです。これには、開発者に必要な特定の学習パスを提供するよう設計されたベンチマークとリファレンスポイントを含むフレームワークが不可欠です。 ただし、セキュアコーディングは単発の解決策ではありません。組織のDNAに刻み込まれた「生き方」となる必要があります。開発者は「左にシフトする」または「左から始める」だけでなく、「左に留まる」ことも求められます。
単にトレーニングを提供することだけでは不十分です。企業は、開発者がトレーニング内容を完全に習得し、ソフトウェア開発ライフサイクル(SDLC)の初期段階においてベストプラクティスを日常業務で実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、社内基準や業界ベンチマークとの進捗を測定することで、トレーニング投資のROIを効果的に評価することが求められます。
Secure Code Warrior 信頼スコアは、各開発者のパフォーマンスを可視化し、データを統合して組織全体のパフォーマンス評価を提供します。スキル強化プログラムの効果を示すと同時に、改善が必要な領域を特定します。 さらに、一般データ保護規則(GDPR)、ペイメントカード業界データセキュリティ基準(PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)など、あらゆる規制コンプライアンス要件への準拠を保証します。
当社の調査により、セキュアコーディング研修が効果的であることが明らかになりました。Trust Scoreは、600以上の組織における25万人以上の学習者の作業から得られた2,000万以上の学習データポイントに基づくアルゴリズムを活用し、脆弱性の削減効果と、この取り組みをさらに効果的にする方法を示しています。
トレーニングは安全性を向上させる、開発者がそれを得れば
長年にわたり、ソフトウェア開発ライフサイクル(SDLC)の初期段階におけるセキュリティのベストプラクティスの適用は、ソフトウェア業界における理想とされてきた。いずれは実現すべき目標ではあるが、現時点では最優先事項ではない。 しかし、ソフトウェア開発の加速と、高度で破壊的なサイバー脅威の急増(多くの場合ソフトウェア脆弱性を標的とする)により、セキュアコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「Secure by Design」イニシアチブでセキュアコーディングを最優先課題に位置付け、これは国際的な潮流となりつつある。
我々の調査が証明したように、設計段階からのセキュリティ対策とソフトウェア脆弱性の低減との間には明確な相関関係があります。 SCWの顧客の26%から得られた脆弱性削減データを分析した結果、開発者トレーニングによりソフトウェアの脆弱性が22%から84%削減されることが判明しました。 この幅は、関連企業の規模(開発者が比較的少ない中小企業ではより顕著な結果が得られた)や、学習グループが特定の問題に焦点を当てたかどうか(その場合はより高い割合の脆弱性を排除できた)といった変数によって生じていました。
大企業における調査結果は概ね一貫していた。7,000人以上の開発者を擁する企業では、開発者のセキュリティスキル強化により脆弱性が47%から53%削減されることが見込まれる。 例えば、10,000人以上の開発者を擁する統計的に平均的な企業(プラットフォーム上で最も優れた企業でも、最も優れた企業群の一角でもない)は、脆弱性を53%削減した。
もちろん、最も効果的なトレーニングは包括的で普遍的なアプローチに基づくものではありません。開発者の作業環境や、彼らが実施する開発の種類に合わせて調整される必要があります。
企業はまず、開発者が安全なコード記述を通常のコード記述と同じくらい自然にできるようになるために必要な基本スキルを習得させるべきである。スキル強化プログラムは、実際の業務内容や使用する言語に即した現実的なシナリオに基づく実践的でアジャイルなトレーニングで構成されるべきだ。また、トレーニングセッションを業務スケジュールに組み込めるよう、十分な柔軟性を持たせる必要がある。
開発者にとって、スキルはコードを書くことだけに限定されない。彼らは人工知能アシスタントやオープンソースリポジトリなどのサードパーティが作成したソフトウェアを検証できる必要がある。開発者は生成AIモデルの活用を避けつつ、より多くのコードをより迅速に作成する上でその利点を概ね評価している。 しかし、Snykの調査で回答者の76%が「AI生成コードは人間が作成したコードより安全」と回答した一方で、56.4%は「AIが時折または頻繁にエラーを導入する」とも回答している。 さらに同調査では、開発者の80%がAIコードのセキュリティポリシーを適用していないことが判明しており、AIコード内の問題が未解決であることを示唆している。
設計段階からのセキュリティ対策アプローチにおいて、開発者はセキュリティチームと分離せず連携して作業し、SDLCの初期段階からこれらの問題に取り組みます。これにより、コードが本番環境にデプロイされる前に脆弱性を特定・修正します。
トラストスコアは個人および企業の業績を測定します
継続的な教育も不可欠です。企業は、経営陣から現場スタッフまで、あらゆる階層に適用されるセキュリティ重視の文化を確立すべきです。その焦点は、SDLC全体におけるセキュリティベストプラクティスの継続的改善と適用に置かれるべきです。技術とサイバー犯罪者は絶えず進化しており、サイバーセキュリティも同様に進化し続ける必要があります。 ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在です。
だからこそ、トレーニングそのものと同じくらい、トレーニングが効果的であることを実証することも重要です。Trust Scoreは、個々の開発者や組織全体のパフォーマンスを可視化するだけでなく、組織がパフォーマンスデータを分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てることを可能にします。 個人および集計されたパフォーマンス結果から得られるデータは、トレーニングが開発者の日常業務に期待通りの効果をもたらしていない場合など、トレーニングの改善が必要な領域を特定するのにも役立ちます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、セキュリティに関する必要なスキルを習得し活用していることを確認できるようにしました。これにより、開発者がコードライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを安心して許可できる一方、ツールの使用準備が整っていない者へのアクセスは拒否できます。
安全文化の進化の証拠
サイバーセキュリティはもはや単なる安全性の問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼすビジネス上の課題である。重大な侵害は組織の事業活動、評判、そして潜在的には存続可能性さえも損なう。 サイバーセキュリティの重要性は規制当局にも認識されており、彼らはますます厳格な規制を実施し、最高情報セキュリティ責任者(CISO)や場合によっては他の経営幹部層を刑事訴追の対象とする用意があることを示している。ウーバーやソーラーベントスの 事例のように、刑事訴追に至るケースさえ発生している。
企業全体でのセキュリティ文化の定着は、現代の環境において不可欠です。企業の価値はデータ、アプリケーション、サービスに大きく依存しているため、セキュアコーディングはこの文化の中核を成します。 文化的マインドセットに基づく的を絞ったトレーニングとスキル強化、そしてトレーニングが文化変革に寄与した証拠は、組織がセキュリティ態勢を強化する上で役立つ。
開発者主導のセキュリティプログラムには価値がある。その証拠が信頼スコアにある。
当社の調査により、セキュアコーディング研修が効果的であることが明らかになりました。Trust Scoreは、600以上の組織における25万人以上の学習者の作業から得られた2,000万以上の学習データポイントに基づくアルゴリズムを活用し、脆弱性の削減効果と、この取り組みをさらに効果的にする方法を示しています。
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
企業のセキュリティ態勢を確実に向上させる方法の一つは、開発者のセキュアコーディングのベストプラクティスに関するスキルを向上させることです。これには、開発者に必要な特定の学習パスを提供するよう設計されたベンチマークとリファレンスポイントを含むフレームワークが不可欠です。 ただし、セキュアコーディングは単発の解決策ではありません。組織のDNAに刻み込まれた「生き方」となる必要があります。開発者は「左にシフトする」または「左から始める」だけでなく、「左に留まる」ことも求められます。
単にトレーニングを提供することだけでは不十分です。企業は、開発者がトレーニング内容を完全に習得し、ソフトウェア開発ライフサイクル(SDLC)の初期段階においてベストプラクティスを日常業務で実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、社内基準や業界ベンチマークとの進捗を測定することで、トレーニング投資のROIを効果的に評価することが求められます。
Secure Code Warrior 信頼スコアは、各開発者のパフォーマンスを可視化し、データを統合して組織全体のパフォーマンス評価を提供します。スキル強化プログラムの効果を示すと同時に、改善が必要な領域を特定します。 さらに、一般データ保護規則(GDPR)、ペイメントカード業界データセキュリティ基準(PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)など、あらゆる規制コンプライアンス要件への準拠を保証します。
当社の調査により、セキュアコーディング研修が効果的であることが明らかになりました。Trust Scoreは、600以上の組織における25万人以上の学習者の作業から得られた2,000万以上の学習データポイントに基づくアルゴリズムを活用し、脆弱性の削減効果と、この取り組みをさらに効果的にする方法を示しています。
トレーニングは安全性を向上させる、開発者がそれを得れば
長年にわたり、ソフトウェア開発ライフサイクル(SDLC)の初期段階におけるセキュリティのベストプラクティスの適用は、ソフトウェア業界における理想とされてきた。いずれは実現すべき目標ではあるが、現時点では最優先事項ではない。 しかし、ソフトウェア開発の加速と、高度で破壊的なサイバー脅威の急増(多くの場合ソフトウェア脆弱性を標的とする)により、セキュアコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「Secure by Design」イニシアチブでセキュアコーディングを最優先課題に位置付け、これは国際的な潮流となりつつある。
我々の調査が証明したように、設計段階からのセキュリティ対策とソフトウェア脆弱性の低減との間には明確な相関関係があります。 SCWの顧客の26%から得られた脆弱性削減データを分析した結果、開発者トレーニングによりソフトウェアの脆弱性が22%から84%削減されることが判明しました。 この幅は、関連企業の規模(開発者が比較的少ない中小企業ではより顕著な結果が得られた)や、学習グループが特定の問題に焦点を当てたかどうか(その場合はより高い割合の脆弱性を排除できた)といった変数によって生じていました。
大企業における調査結果は概ね一貫していた。7,000人以上の開発者を擁する企業では、開発者のセキュリティスキル強化により脆弱性が47%から53%削減されることが見込まれる。 例えば、10,000人以上の開発者を擁する統計的に平均的な企業(プラットフォーム上で最も優れた企業でも、最も優れた企業群の一角でもない)は、脆弱性を53%削減した。
もちろん、最も効果的なトレーニングは包括的で普遍的なアプローチに基づくものではありません。開発者の作業環境や、彼らが実施する開発の種類に合わせて調整される必要があります。
企業はまず、開発者が安全なコード記述を通常のコード記述と同じくらい自然にできるようになるために必要な基本スキルを習得させるべきである。スキル強化プログラムは、実際の業務内容や使用する言語に即した現実的なシナリオに基づく実践的でアジャイルなトレーニングで構成されるべきだ。また、トレーニングセッションを業務スケジュールに組み込めるよう、十分な柔軟性を持たせる必要がある。
開発者にとって、スキルはコードを書くことだけに限定されない。彼らは人工知能アシスタントやオープンソースリポジトリなどのサードパーティが作成したソフトウェアを検証できる必要がある。開発者は生成AIモデルの活用を避けつつ、より多くのコードをより迅速に作成する上でその利点を概ね評価している。 しかし、Snykの調査で回答者の76%が「AI生成コードは人間が作成したコードより安全」と回答した一方で、56.4%は「AIが時折または頻繁にエラーを導入する」とも回答している。 さらに同調査では、開発者の80%がAIコードのセキュリティポリシーを適用していないことが判明しており、AIコード内の問題が未解決であることを示唆している。
設計段階からのセキュリティ対策アプローチにおいて、開発者はセキュリティチームと分離せず連携して作業し、SDLCの初期段階からこれらの問題に取り組みます。これにより、コードが本番環境にデプロイされる前に脆弱性を特定・修正します。
トラストスコアは個人および企業の業績を測定します
継続的な教育も不可欠です。企業は、経営陣から現場スタッフまで、あらゆる階層に適用されるセキュリティ重視の文化を確立すべきです。その焦点は、SDLC全体におけるセキュリティベストプラクティスの継続的改善と適用に置かれるべきです。技術とサイバー犯罪者は絶えず進化しており、サイバーセキュリティも同様に進化し続ける必要があります。 ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在です。
だからこそ、トレーニングそのものと同じくらい、トレーニングが効果的であることを実証することも重要です。Trust Scoreは、個々の開発者や組織全体のパフォーマンスを可視化するだけでなく、組織がパフォーマンスデータを分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てることを可能にします。 個人および集計されたパフォーマンス結果から得られるデータは、トレーニングが開発者の日常業務に期待通りの効果をもたらしていない場合など、トレーニングの改善が必要な領域を特定するのにも役立ちます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、セキュリティに関する必要なスキルを習得し活用していることを確認できるようにしました。これにより、開発者がコードライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを安心して許可できる一方、ツールの使用準備が整っていない者へのアクセスは拒否できます。
安全文化の進化の証拠
サイバーセキュリティはもはや単なる安全性の問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼすビジネス上の課題である。重大な侵害は組織の事業活動、評判、そして潜在的には存続可能性さえも損なう。 サイバーセキュリティの重要性は規制当局にも認識されており、彼らはますます厳格な規制を実施し、最高情報セキュリティ責任者(CISO)や場合によっては他の経営幹部層を刑事訴追の対象とする用意があることを示している。ウーバーやソーラーベントスの 事例のように、刑事訴追に至るケースさえ発生している。
企業全体でのセキュリティ文化の定着は、現代の環境において不可欠です。企業の価値はデータ、アプリケーション、サービスに大きく依存しているため、セキュアコーディングはこの文化の中核を成します。 文化的マインドセットに基づく的を絞ったトレーニングとスキル強化、そしてトレーニングが文化変革に寄与した証拠は、組織がセキュリティ態勢を強化する上で役立つ。
開発者主導のセキュリティプログラムには価値がある。その証拠が信頼スコアにある。
企業のセキュリティ態勢を確実に向上させる方法の一つは、開発者のセキュアコーディングのベストプラクティスに関するスキルを向上させることです。これには、開発者に必要な特定の学習パスを提供するよう設計されたベンチマークとリファレンスポイントを含むフレームワークが不可欠です。 ただし、セキュアコーディングは単発の解決策ではありません。組織のDNAに刻み込まれた「生き方」となる必要があります。開発者は「左にシフトする」または「左から始める」だけでなく、「左に留まる」ことも求められます。
単にトレーニングを提供することだけでは不十分です。企業は、開発者がトレーニング内容を完全に習得し、ソフトウェア開発ライフサイクル(SDLC)の初期段階においてベストプラクティスを日常業務で実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、社内基準や業界ベンチマークとの進捗を測定することで、トレーニング投資のROIを効果的に評価することが求められます。
Secure Code Warrior 信頼スコアは、各開発者のパフォーマンスを可視化し、データを統合して組織全体のパフォーマンス評価を提供します。スキル強化プログラムの効果を示すと同時に、改善が必要な領域を特定します。 さらに、一般データ保護規則(GDPR)、ペイメントカード業界データセキュリティ基準(PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)など、あらゆる規制コンプライアンス要件への準拠を保証します。
当社の調査により、セキュアコーディング研修が効果的であることが明らかになりました。Trust Scoreは、600以上の組織における25万人以上の学習者の作業から得られた2,000万以上の学習データポイントに基づくアルゴリズムを活用し、脆弱性の削減効果と、この取り組みをさらに効果的にする方法を示しています。
トレーニングは安全性を向上させる、開発者がそれを得れば
長年にわたり、ソフトウェア開発ライフサイクル(SDLC)の初期段階におけるセキュリティのベストプラクティスの適用は、ソフトウェア業界における理想とされてきた。いずれは実現すべき目標ではあるが、現時点では最優先事項ではない。 しかし、ソフトウェア開発の加速と、高度で破壊的なサイバー脅威の急増(多くの場合ソフトウェア脆弱性を標的とする)により、セキュアコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「Secure by Design」イニシアチブでセキュアコーディングを最優先課題に位置付け、これは国際的な潮流となりつつある。
我々の調査が証明したように、設計段階からのセキュリティ対策とソフトウェア脆弱性の低減との間には明確な相関関係があります。 SCWの顧客の26%から得られた脆弱性削減データを分析した結果、開発者トレーニングによりソフトウェアの脆弱性が22%から84%削減されることが判明しました。 この幅は、関連企業の規模(開発者が比較的少ない中小企業ではより顕著な結果が得られた)や、学習グループが特定の問題に焦点を当てたかどうか(その場合はより高い割合の脆弱性を排除できた)といった変数によって生じていました。
大企業における調査結果は概ね一貫していた。7,000人以上の開発者を擁する企業では、開発者のセキュリティスキル強化により脆弱性が47%から53%削減されることが見込まれる。 例えば、10,000人以上の開発者を擁する統計的に平均的な企業(プラットフォーム上で最も優れた企業でも、最も優れた企業群の一角でもない)は、脆弱性を53%削減した。
もちろん、最も効果的なトレーニングは包括的で普遍的なアプローチに基づくものではありません。開発者の作業環境や、彼らが実施する開発の種類に合わせて調整される必要があります。
企業はまず、開発者が安全なコード記述を通常のコード記述と同じくらい自然にできるようになるために必要な基本スキルを習得させるべきである。スキル強化プログラムは、実際の業務内容や使用する言語に即した現実的なシナリオに基づく実践的でアジャイルなトレーニングで構成されるべきだ。また、トレーニングセッションを業務スケジュールに組み込めるよう、十分な柔軟性を持たせる必要がある。
開発者にとって、スキルはコードを書くことだけに限定されない。彼らは人工知能アシスタントやオープンソースリポジトリなどのサードパーティが作成したソフトウェアを検証できる必要がある。開発者は生成AIモデルの活用を避けつつ、より多くのコードをより迅速に作成する上でその利点を概ね評価している。 しかし、Snykの調査で回答者の76%が「AI生成コードは人間が作成したコードより安全」と回答した一方で、56.4%は「AIが時折または頻繁にエラーを導入する」とも回答している。 さらに同調査では、開発者の80%がAIコードのセキュリティポリシーを適用していないことが判明しており、AIコード内の問題が未解決であることを示唆している。
設計段階からのセキュリティ対策アプローチにおいて、開発者はセキュリティチームと分離せず連携して作業し、SDLCの初期段階からこれらの問題に取り組みます。これにより、コードが本番環境にデプロイされる前に脆弱性を特定・修正します。
トラストスコアは個人および企業の業績を測定します
継続的な教育も不可欠です。企業は、経営陣から現場スタッフまで、あらゆる階層に適用されるセキュリティ重視の文化を確立すべきです。その焦点は、SDLC全体におけるセキュリティベストプラクティスの継続的改善と適用に置かれるべきです。技術とサイバー犯罪者は絶えず進化しており、サイバーセキュリティも同様に進化し続ける必要があります。 ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在です。
だからこそ、トレーニングそのものと同じくらい、トレーニングが効果的であることを実証することも重要です。Trust Scoreは、個々の開発者や組織全体のパフォーマンスを可視化するだけでなく、組織がパフォーマンスデータを分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てることを可能にします。 個人および集計されたパフォーマンス結果から得られるデータは、トレーニングが開発者の日常業務に期待通りの効果をもたらしていない場合など、トレーニングの改善が必要な領域を特定するのにも役立ちます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、セキュリティに関する必要なスキルを習得し活用していることを確認できるようにしました。これにより、開発者がコードライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを安心して許可できる一方、ツールの使用準備が整っていない者へのアクセスは拒否できます。
安全文化の進化の証拠
サイバーセキュリティはもはや単なる安全性の問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼすビジネス上の課題である。重大な侵害は組織の事業活動、評判、そして潜在的には存続可能性さえも損なう。 サイバーセキュリティの重要性は規制当局にも認識されており、彼らはますます厳格な規制を実施し、最高情報セキュリティ責任者(CISO)や場合によっては他の経営幹部層を刑事訴追の対象とする用意があることを示している。ウーバーやソーラーベントスの 事例のように、刑事訴追に至るケースさえ発生している。
企業全体でのセキュリティ文化の定着は、現代の環境において不可欠です。企業の価値はデータ、アプリケーション、サービスに大きく依存しているため、セキュアコーディングはこの文化の中核を成します。 文化的マインドセットに基づく的を絞ったトレーニングとスキル強化、そしてトレーニングが文化変革に寄与した証拠は、組織がセキュリティ態勢を強化する上で役立つ。
開発者主導のセキュリティプログラムには価値がある。その証拠が信頼スコアにある。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
企業のセキュリティ態勢を確実に向上させる方法の一つは、開発者のセキュアコーディングのベストプラクティスに関するスキルを向上させることです。これには、開発者に必要な特定の学習パスを提供するよう設計されたベンチマークとリファレンスポイントを含むフレームワークが不可欠です。 ただし、セキュアコーディングは単発の解決策ではありません。組織のDNAに刻み込まれた「生き方」となる必要があります。開発者は「左にシフトする」または「左から始める」だけでなく、「左に留まる」ことも求められます。
単にトレーニングを提供することだけでは不十分です。企業は、開発者がトレーニング内容を完全に習得し、ソフトウェア開発ライフサイクル(SDLC)の初期段階においてベストプラクティスを日常業務で実践していることを確認する必要があります。開発者のパフォーマンスを追跡し、社内基準や業界ベンチマークとの進捗を測定することで、トレーニング投資のROIを効果的に評価することが求められます。
Secure Code Warrior 信頼スコアは、各開発者のパフォーマンスを可視化し、データを統合して組織全体のパフォーマンス評価を提供します。スキル強化プログラムの効果を示すと同時に、改善が必要な領域を特定します。 さらに、一般データ保護規則(GDPR)、ペイメントカード業界データセキュリティ基準(PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)など、あらゆる規制コンプライアンス要件への準拠を保証します。
当社の調査により、セキュアコーディング研修が効果的であることが明らかになりました。Trust Scoreは、600以上の組織における25万人以上の学習者の作業から得られた2,000万以上の学習データポイントに基づくアルゴリズムを活用し、脆弱性の削減効果と、この取り組みをさらに効果的にする方法を示しています。
トレーニングは安全性を向上させる、開発者がそれを得れば
長年にわたり、ソフトウェア開発ライフサイクル(SDLC)の初期段階におけるセキュリティのベストプラクティスの適用は、ソフトウェア業界における理想とされてきた。いずれは実現すべき目標ではあるが、現時点では最優先事項ではない。 しかし、ソフトウェア開発の加速と、高度で破壊的なサイバー脅威の急増(多くの場合ソフトウェア脆弱性を標的とする)により、セキュアコーディングは不可欠となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は「Secure by Design」イニシアチブでセキュアコーディングを最優先課題に位置付け、これは国際的な潮流となりつつある。
我々の調査が証明したように、設計段階からのセキュリティ対策とソフトウェア脆弱性の低減との間には明確な相関関係があります。 SCWの顧客の26%から得られた脆弱性削減データを分析した結果、開発者トレーニングによりソフトウェアの脆弱性が22%から84%削減されることが判明しました。 この幅は、関連企業の規模(開発者が比較的少ない中小企業ではより顕著な結果が得られた)や、学習グループが特定の問題に焦点を当てたかどうか(その場合はより高い割合の脆弱性を排除できた)といった変数によって生じていました。
大企業における調査結果は概ね一貫していた。7,000人以上の開発者を擁する企業では、開発者のセキュリティスキル強化により脆弱性が47%から53%削減されることが見込まれる。 例えば、10,000人以上の開発者を擁する統計的に平均的な企業(プラットフォーム上で最も優れた企業でも、最も優れた企業群の一角でもない)は、脆弱性を53%削減した。
もちろん、最も効果的なトレーニングは包括的で普遍的なアプローチに基づくものではありません。開発者の作業環境や、彼らが実施する開発の種類に合わせて調整される必要があります。
企業はまず、開発者が安全なコード記述を通常のコード記述と同じくらい自然にできるようになるために必要な基本スキルを習得させるべきである。スキル強化プログラムは、実際の業務内容や使用する言語に即した現実的なシナリオに基づく実践的でアジャイルなトレーニングで構成されるべきだ。また、トレーニングセッションを業務スケジュールに組み込めるよう、十分な柔軟性を持たせる必要がある。
開発者にとって、スキルはコードを書くことだけに限定されない。彼らは人工知能アシスタントやオープンソースリポジトリなどのサードパーティが作成したソフトウェアを検証できる必要がある。開発者は生成AIモデルの活用を避けつつ、より多くのコードをより迅速に作成する上でその利点を概ね評価している。 しかし、Snykの調査で回答者の76%が「AI生成コードは人間が作成したコードより安全」と回答した一方で、56.4%は「AIが時折または頻繁にエラーを導入する」とも回答している。 さらに同調査では、開発者の80%がAIコードのセキュリティポリシーを適用していないことが判明しており、AIコード内の問題が未解決であることを示唆している。
設計段階からのセキュリティ対策アプローチにおいて、開発者はセキュリティチームと分離せず連携して作業し、SDLCの初期段階からこれらの問題に取り組みます。これにより、コードが本番環境にデプロイされる前に脆弱性を特定・修正します。
トラストスコアは個人および企業の業績を測定します
継続的な教育も不可欠です。企業は、経営陣から現場スタッフまで、あらゆる階層に適用されるセキュリティ重視の文化を確立すべきです。その焦点は、SDLC全体におけるセキュリティベストプラクティスの継続的改善と適用に置かれるべきです。技術とサイバー犯罪者は絶えず進化しており、サイバーセキュリティも同様に進化し続ける必要があります。 ソフトウェアを生産する企業にとって、セキュリティ教育を受けた開発者は基盤となる存在です。
だからこそ、トレーニングそのものと同じくらい、トレーニングが効果的であることを実証することも重要です。Trust Scoreは、個々の開発者や組織全体のパフォーマンスを可視化するだけでなく、組織がパフォーマンスデータを分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てることを可能にします。 個人および集計されたパフォーマンス結果から得られるデータは、トレーニングが開発者の日常業務に期待通りの効果をもたらしていない場合など、トレーニングの改善が必要な領域を特定するのにも役立ちます。
Trust Scoreは、企業が開発者のパフォーマンスを評価し、セキュリティに関する必要なスキルを習得し活用していることを確認できるようにしました。これにより、開発者がコードライセンスを取得していることを保証します。 これにより企業は、資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセスを安心して許可できる一方、ツールの使用準備が整っていない者へのアクセスは拒否できます。
安全文化の進化の証拠
サイバーセキュリティはもはや単なる安全性の問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼすビジネス上の課題である。重大な侵害は組織の事業活動、評判、そして潜在的には存続可能性さえも損なう。 サイバーセキュリティの重要性は規制当局にも認識されており、彼らはますます厳格な規制を実施し、最高情報セキュリティ責任者(CISO)や場合によっては他の経営幹部層を刑事訴追の対象とする用意があることを示している。ウーバーやソーラーベントスの 事例のように、刑事訴追に至るケースさえ発生している。
企業全体でのセキュリティ文化の定着は、現代の環境において不可欠です。企業の価値はデータ、アプリケーション、サービスに大きく依存しているため、セキュアコーディングはこの文化の中核を成します。 文化的マインドセットに基づく的を絞ったトレーニングとスキル強化、そしてトレーニングが文化変革に寄与した証拠は、組織がセキュリティ態勢を強化する上で役立つ。
開発者主導のセキュリティプログラムには価値がある。その証拠が信頼スコアにある。
目次
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロードはじめの一歩を踏み出すためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
