サイバーセキュリティにおいて人的要因を決して軽視してはならない理由
このたび、当社代表取締役兼最高経営責任者であるピエテル・ダンヒューによるフォーブス・テクノロジー・カウンシル初の寄稿記事が公開され、大変光栄に存じます。 同記事では、より安全なコードを作成するための開発者スキルの強化が、サイバー攻撃やデータ侵害を防ぐ上でいかに重要かを説明しました。さらに、セキュリティ意識の高い開発者こそが、多くのIT部門が想定するよりも迅速に、より高品質で安全なコードを提供できることを明らかにしています。このアプローチの必要性は確かに差し迫っています。 最近の調査によれば、サイバー攻撃は現在39秒ごとに発生しており、コロニアル・パイプラインに対する単一のランサムウェア攻撃が引き起こした混乱は、全体としてSolarWindsハッキングほど破壊的ではなかったものの、我々全員が目の当たりにした。
多くの一般的な脆弱性が残存するのは、開発者に不良なコーディングモデルを置き換え、同じ機能をより安全かつセキュアに実行する優れた手法を誰も教えたことがないためです。そしてソフトウェア開発の後期段階で修正を行う影響は、費やされる時間とデプロイ遅延の両面で極めて高額になります。 コードをデプロイ後に修正することは、特に攻撃者が未発見の脆弱性を悪用した場合、時には数百万ドルのコストを要する。そしてこれは、重大な侵害に続く企業の評判へのダメージすら考慮に入れていない。
セキュリティ教育を受けた開発者は、自然と優れたコーダーへと成長する。CISOがセキュリティツールをすぐに放棄すべきではないのは確かだが、トップダウンで包括的かつ予防的なセキュリティアプローチを採用することで、CISOは企業最大の資源である人的要素を活用できる。特にソフトウェア開発サイクルの初期段階からコーディングのセキュリティを確保する上で、この手法は有効である。
これを実現するために、以下の3つの主要な高レベル戦略を念頭に置いておく必要があります。
1. 受け身ではなく、主体的に行動しましょう
企業はしばしば反応的な対応の罠に陥る。例えば、独自のビジョンを構築し追求する代わりに、競合他社の動きに追随するといった形だ。 多くの企業はコードのセキュリティ脆弱性に対しても同様の姿勢を取り、侵害が発生して初めてサイバーセキュリティを真剣に考えるようになる。残念ながら、その時点では既に被害は発生しており、罰金、復旧費用、顧客離れ、ブランド回復が財務結果に悪影響を及ぼす。 別の「反応的」アプローチとして、既存コードの脆弱性検出に自動/手動コード分析を依存し、そもそも安全なコード作成に注力しないケースもある。 残念ながら、コードのデジタル化は完璧な解決策ではない。つまり、コードに脆弱性が多いほど、その一部が見過ごされる可能性が高くなる。
開発者との積極的な連携を通じて、初期段階から安全なコード作成を支援するアプローチを採用することで初めて、コーディング上の脆弱性がユーザーに開示される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立できます。
2. スキルを向上させ、やりすぎないようにしましょう
開発者に安全なコードを作成するために必要な知識を提供すると決めたら、アプローチを慎重に選択してください。コーディングを中断させる社内トレーニングワークショップは、開発者と管理者の双方を苛立たせます。夜間や週末の参加を必要とする外部研修は、さらに不評です。 最良のアプローチは、コーディングスキルを段階的に育成し、コーディングプロセス中に段階的に関連情報を提供することです。つまり、開発者の注意を大幅にそらしたり開発プロセスを遅らせたりすることなく、スキルを向上させる方法です。
3.促すことはあっても、決めつけないでください
開発者は、セキュリティスキルの強化を罰や完全な負担と捉えてはならない。管理者は、安全なコードが企業の成功に果たす重要な役割を説明することで、開発者にインスピレーションを与えるべきである。また、安全なコーダーが企業にとってより価値が高く、将来的にキャリアの機会が広がることを理解させることも重要である。
バイデン政権は歓迎されている 大統領令 は、サイバーセキュリティと「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を含め、安全な慣行への準拠を実証するための革新的なツールや手法を特定する」必要性をより強調した。 しかし、ツールは重要ではあるが十分ではない。いかなるツールも、個人が導入されたシステムやツールを無視したり、誤解したり、悪用したり、回避したりする能力を完全に排除することはできない。企業のセキュリティを最適化するためには、CISO(最高情報セキュリティ責任者)は人的要因を活用し、開発者が自発的なセキュリティの支持者かつ実践者となるよう促す必要がある。
このたび、当社代表取締役兼最高経営責任者であるピエテル・ダンヒュー氏が執筆したフォーブス・テクノロジー・カウンシルの初記事が公開されたことを大変喜ばしく思います。同記事では、サイバー攻撃やデータ侵害を防ぐために、開発者のスキル強化によるより安全なコードの作成がいかに重要であるかを解説しています。
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
このたび、当社代表取締役兼最高経営責任者であるピエテル・ダンヒューによるフォーブス・テクノロジー・カウンシル初の寄稿記事が公開され、大変光栄に存じます。 同記事では、より安全なコードを作成するための開発者スキルの強化が、サイバー攻撃やデータ侵害を防ぐ上でいかに重要かを説明しました。さらに、セキュリティ意識の高い開発者こそが、多くのIT部門が想定するよりも迅速に、より高品質で安全なコードを提供できることを明らかにしています。このアプローチの必要性は確かに差し迫っています。 最近の調査によれば、サイバー攻撃は現在39秒ごとに発生しており、コロニアル・パイプラインに対する単一のランサムウェア攻撃が引き起こした混乱は、全体としてSolarWindsハッキングほど破壊的ではなかったものの、我々全員が目の当たりにした。
多くの一般的な脆弱性が残存するのは、開発者に不良なコーディングモデルを置き換え、同じ機能をより安全かつセキュアに実行する優れた手法を誰も教えたことがないためです。そしてソフトウェア開発の後期段階で修正を行う影響は、費やされる時間とデプロイ遅延の両面で極めて高額になります。 コードをデプロイ後に修正することは、特に攻撃者が未発見の脆弱性を悪用した場合、時には数百万ドルのコストを要する。そしてこれは、重大な侵害に続く企業の評判へのダメージすら考慮に入れていない。
セキュリティ教育を受けた開発者は、自然と優れたコーダーへと成長する。CISOがセキュリティツールをすぐに放棄すべきではないのは確かだが、トップダウンで包括的かつ予防的なセキュリティアプローチを採用することで、CISOは企業最大の資源である人的要素を活用できる。特にソフトウェア開発サイクルの初期段階からコーディングのセキュリティを確保する上で、この手法は有効である。
これを実現するために、以下の3つの主要な高レベル戦略を念頭に置いておく必要があります。
1. 受け身ではなく、主体的に行動しましょう
企業はしばしば反応的な対応の罠に陥る。例えば、独自のビジョンを構築し追求する代わりに、競合他社の動きに追随するといった形だ。 多くの企業はコードのセキュリティ脆弱性に対しても同様の姿勢を取り、侵害が発生して初めてサイバーセキュリティを真剣に考えるようになる。残念ながら、その時点では既に被害は発生しており、罰金、復旧費用、顧客離れ、ブランド回復が財務結果に悪影響を及ぼす。 別の「反応的」アプローチとして、既存コードの脆弱性検出に自動/手動コード分析を依存し、そもそも安全なコード作成に注力しないケースもある。 残念ながら、コードのデジタル化は完璧な解決策ではない。つまり、コードに脆弱性が多いほど、その一部が見過ごされる可能性が高くなる。
開発者との積極的な連携を通じて、初期段階から安全なコード作成を支援するアプローチを採用することで初めて、コーディング上の脆弱性がユーザーに開示される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立できます。
2. スキルを向上させ、やりすぎないようにしましょう
開発者に安全なコードを作成するために必要な知識を提供すると決めたら、アプローチを慎重に選択してください。コーディングを中断させる社内トレーニングワークショップは、開発者と管理者の双方を苛立たせます。夜間や週末の参加を必要とする外部研修は、さらに不評です。 最良のアプローチは、コーディングスキルを段階的に育成し、コーディングプロセス中に段階的に関連情報を提供することです。つまり、開発者の注意を大幅にそらしたり開発プロセスを遅らせたりすることなく、スキルを向上させる方法です。
3.促すことはあっても、決めつけないでください
開発者は、セキュリティスキルの強化を罰や完全な負担と捉えてはならない。管理者は、安全なコードが企業の成功に果たす重要な役割を説明することで、開発者にインスピレーションを与えるべきである。また、安全なコーダーが企業にとってより価値が高く、将来的にキャリアの機会が広がることを理解させることも重要である。
バイデン政権は歓迎されている 大統領令 は、サイバーセキュリティと「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を含め、安全な慣行への準拠を実証するための革新的なツールや手法を特定する」必要性をより強調した。 しかし、ツールは重要ではあるが十分ではない。いかなるツールも、個人が導入されたシステムやツールを無視したり、誤解したり、悪用したり、回避したりする能力を完全に排除することはできない。企業のセキュリティを最適化するためには、CISO(最高情報セキュリティ責任者)は人的要因を活用し、開発者が自発的なセキュリティの支持者かつ実践者となるよう促す必要がある。
このたび、当社代表取締役兼最高経営責任者であるピエテル・ダンヒューによるフォーブス・テクノロジー・カウンシル初の寄稿記事が公開され、大変光栄に存じます。 同記事では、より安全なコードを作成するための開発者スキルの強化が、サイバー攻撃やデータ侵害を防ぐ上でいかに重要かを説明しました。さらに、セキュリティ意識の高い開発者こそが、多くのIT部門が想定するよりも迅速に、より高品質で安全なコードを提供できることを明らかにしています。このアプローチの必要性は確かに差し迫っています。 最近の調査によれば、サイバー攻撃は現在39秒ごとに発生しており、コロニアル・パイプラインに対する単一のランサムウェア攻撃が引き起こした混乱は、全体としてSolarWindsハッキングほど破壊的ではなかったものの、我々全員が目の当たりにした。
多くの一般的な脆弱性が残存するのは、開発者に不良なコーディングモデルを置き換え、同じ機能をより安全かつセキュアに実行する優れた手法を誰も教えたことがないためです。そしてソフトウェア開発の後期段階で修正を行う影響は、費やされる時間とデプロイ遅延の両面で極めて高額になります。 コードをデプロイ後に修正することは、特に攻撃者が未発見の脆弱性を悪用した場合、時には数百万ドルのコストを要する。そしてこれは、重大な侵害に続く企業の評判へのダメージすら考慮に入れていない。
セキュリティ教育を受けた開発者は、自然と優れたコーダーへと成長する。CISOがセキュリティツールをすぐに放棄すべきではないのは確かだが、トップダウンで包括的かつ予防的なセキュリティアプローチを採用することで、CISOは企業最大の資源である人的要素を活用できる。特にソフトウェア開発サイクルの初期段階からコーディングのセキュリティを確保する上で、この手法は有効である。
これを実現するために、以下の3つの主要な高レベル戦略を念頭に置いておく必要があります。
1. 受け身ではなく、主体的に行動しましょう
企業はしばしば反応的な対応の罠に陥る。例えば、独自のビジョンを構築し追求する代わりに、競合他社の動きに追随するといった形だ。 多くの企業はコードのセキュリティ脆弱性に対しても同様の姿勢を取り、侵害が発生して初めてサイバーセキュリティを真剣に考えるようになる。残念ながら、その時点では既に被害は発生しており、罰金、復旧費用、顧客離れ、ブランド回復が財務結果に悪影響を及ぼす。 別の「反応的」アプローチとして、既存コードの脆弱性検出に自動/手動コード分析を依存し、そもそも安全なコード作成に注力しないケースもある。 残念ながら、コードのデジタル化は完璧な解決策ではない。つまり、コードに脆弱性が多いほど、その一部が見過ごされる可能性が高くなる。
開発者との積極的な連携を通じて、初期段階から安全なコード作成を支援するアプローチを採用することで初めて、コーディング上の脆弱性がユーザーに開示される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立できます。
2. スキルを向上させ、やりすぎないようにしましょう
開発者に安全なコードを作成するために必要な知識を提供すると決めたら、アプローチを慎重に選択してください。コーディングを中断させる社内トレーニングワークショップは、開発者と管理者の双方を苛立たせます。夜間や週末の参加を必要とする外部研修は、さらに不評です。 最良のアプローチは、コーディングスキルを段階的に育成し、コーディングプロセス中に段階的に関連情報を提供することです。つまり、開発者の注意を大幅にそらしたり開発プロセスを遅らせたりすることなく、スキルを向上させる方法です。
3.促すことはあっても、決めつけないでください
開発者は、セキュリティスキルの強化を罰や完全な負担と捉えてはならない。管理者は、安全なコードが企業の成功に果たす重要な役割を説明することで、開発者にインスピレーションを与えるべきである。また、安全なコーダーが企業にとってより価値が高く、将来的にキャリアの機会が広がることを理解させることも重要である。
バイデン政権は歓迎されている 大統領令 は、サイバーセキュリティと「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を含め、安全な慣行への準拠を実証するための革新的なツールや手法を特定する」必要性をより強調した。 しかし、ツールは重要ではあるが十分ではない。いかなるツールも、個人が導入されたシステムやツールを無視したり、誤解したり、悪用したり、回避したりする能力を完全に排除することはできない。企業のセキュリティを最適化するためには、CISO(最高情報セキュリティ責任者)は人的要因を活用し、開発者が自発的なセキュリティの支持者かつ実践者となるよう促す必要がある。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
このたび、当社代表取締役兼最高経営責任者であるピエテル・ダンヒューによるフォーブス・テクノロジー・カウンシル初の寄稿記事が公開され、大変光栄に存じます。 同記事では、より安全なコードを作成するための開発者スキルの強化が、サイバー攻撃やデータ侵害を防ぐ上でいかに重要かを説明しました。さらに、セキュリティ意識の高い開発者こそが、多くのIT部門が想定するよりも迅速に、より高品質で安全なコードを提供できることを明らかにしています。このアプローチの必要性は確かに差し迫っています。 最近の調査によれば、サイバー攻撃は現在39秒ごとに発生しており、コロニアル・パイプラインに対する単一のランサムウェア攻撃が引き起こした混乱は、全体としてSolarWindsハッキングほど破壊的ではなかったものの、我々全員が目の当たりにした。
多くの一般的な脆弱性が残存するのは、開発者に不良なコーディングモデルを置き換え、同じ機能をより安全かつセキュアに実行する優れた手法を誰も教えたことがないためです。そしてソフトウェア開発の後期段階で修正を行う影響は、費やされる時間とデプロイ遅延の両面で極めて高額になります。 コードをデプロイ後に修正することは、特に攻撃者が未発見の脆弱性を悪用した場合、時には数百万ドルのコストを要する。そしてこれは、重大な侵害に続く企業の評判へのダメージすら考慮に入れていない。
セキュリティ教育を受けた開発者は、自然と優れたコーダーへと成長する。CISOがセキュリティツールをすぐに放棄すべきではないのは確かだが、トップダウンで包括的かつ予防的なセキュリティアプローチを採用することで、CISOは企業最大の資源である人的要素を活用できる。特にソフトウェア開発サイクルの初期段階からコーディングのセキュリティを確保する上で、この手法は有効である。
これを実現するために、以下の3つの主要な高レベル戦略を念頭に置いておく必要があります。
1. 受け身ではなく、主体的に行動しましょう
企業はしばしば反応的な対応の罠に陥る。例えば、独自のビジョンを構築し追求する代わりに、競合他社の動きに追随するといった形だ。 多くの企業はコードのセキュリティ脆弱性に対しても同様の姿勢を取り、侵害が発生して初めてサイバーセキュリティを真剣に考えるようになる。残念ながら、その時点では既に被害は発生しており、罰金、復旧費用、顧客離れ、ブランド回復が財務結果に悪影響を及ぼす。 別の「反応的」アプローチとして、既存コードの脆弱性検出に自動/手動コード分析を依存し、そもそも安全なコード作成に注力しないケースもある。 残念ながら、コードのデジタル化は完璧な解決策ではない。つまり、コードに脆弱性が多いほど、その一部が見過ごされる可能性が高くなる。
開発者との積極的な連携を通じて、初期段階から安全なコード作成を支援するアプローチを採用することで初めて、コーディング上の脆弱性がユーザーに開示される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立できます。
2. スキルを向上させ、やりすぎないようにしましょう
開発者に安全なコードを作成するために必要な知識を提供すると決めたら、アプローチを慎重に選択してください。コーディングを中断させる社内トレーニングワークショップは、開発者と管理者の双方を苛立たせます。夜間や週末の参加を必要とする外部研修は、さらに不評です。 最良のアプローチは、コーディングスキルを段階的に育成し、コーディングプロセス中に段階的に関連情報を提供することです。つまり、開発者の注意を大幅にそらしたり開発プロセスを遅らせたりすることなく、スキルを向上させる方法です。
3.促すことはあっても、決めつけないでください
開発者は、セキュリティスキルの強化を罰や完全な負担と捉えてはならない。管理者は、安全なコードが企業の成功に果たす重要な役割を説明することで、開発者にインスピレーションを与えるべきである。また、安全なコーダーが企業にとってより価値が高く、将来的にキャリアの機会が広がることを理解させることも重要である。
バイデン政権は歓迎されている 大統領令 は、サイバーセキュリティと「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を含め、安全な慣行への準拠を実証するための革新的なツールや手法を特定する」必要性をより強調した。 しかし、ツールは重要ではあるが十分ではない。いかなるツールも、個人が導入されたシステムやツールを無視したり、誤解したり、悪用したり、回避したりする能力を完全に排除することはできない。企業のセキュリティを最適化するためには、CISO(最高情報セキュリティ責任者)は人的要因を活用し、開発者が自発的なセキュリティの支持者かつ実践者となるよう促す必要がある。
目次
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロードはじめの一歩を踏み出すためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
