セキュリティコードに関する情報

AI主導の開発は、ソフトウェアリスクの全く新しいカテゴリーをもたらした。高速インジェクション、RAG操作、エージェントの過剰な権限付与はもはや理論上の懸念ではなく、現代アプリケーションにおける現実の問題となっている。

開発者は、現実世界の複雑さを反映した環境において、こうした新たな脅威モデルを実践的に体験する必要があります。そのため、限定的なイベント体験に過ぎなかったCybermon 2025missions 、Secure Code Warrior展開可能なクエストテーマのコレクションへと進化させました。 新規クエスト作成時、「セキュリティ概念」内の「特定概念」セクションに「Cybermon 2025: Beat the Boss」コレクションが配置されています。

サイバーモン2025：ボスを倒せは、組織がAIに関連するこれらの非常に複雑なセキュリティ課題を、いつでも安全なコーディングプログラムに組み込むことを可能にします。

Beat the Bossとは何ですか？

Beat the Bossは、現実世界における安全なAI開発能力をテストするために設計された、4つの高度なAIおよびLLMの課題を集めたものです。

各トピックには、短い導入動画とガイドライン、段階的なガイド付きウォームアップ、そしてCybermon 2025の高難易度オリジナルボスミッションが含まれます。これらの没入型シナリオは、AIベースのアプリケーションが進化するにつれて開発者が理解すべき実践的なAI脆弱性の種類に焦点を当てています。

4つのmissions それぞれ、AIに関連する異なるリスク領域を対象としており、AI駆動システムにおける現実の脅威モデルをシミュレートします：

• バイパスアール — 直接かつ迅速な注入
• キークラケン — 間接的急速注入
• プロンプトガイスト — ベクトルと積分に関連する弱点
• プロキシサーファ — 過剰な能動性

自分のやり方で実行せよ

各脆弱性に適切な注意を払うため、一度に1つのボスのみを強調することをお勧めします。多くの組織では以下の管理を選択しています：

• AIセキュリティに特化したスプリントの一環として、週に1回のボス戦
• あるいは月1回、「今月の脆弱性」イニシアチブの一環として

内部イベントを設定する管理者向けに、構造化された展開手順とダウンロード可能なブランドリソースがナレッジベースで提供されています：
Cybermon 2025：独自の「Beat the Boss」イベントを開催しよう

AIセキュリティ対策の準備を実施する

AIによる加速開発はソフトウェアリスクの風景を再定義している。新たな脆弱性の種類は単なる認識以上のものを要求する：実践的な経験が必要だ。

Beat the Bossは、企業がAI関連の脅威モデルの進化を、開発者向けの実用的な機能に変換することを可能にします。

開発者は各課題を個別に解決した後、ガイド付きソリューションを確認することで攻撃者の思考法と防御戦略を強化できます。課題終了後の学習用に、ソリューションの完全な解説動画が用意されています：

多くのチームは、内部の知識共有セッションを通じて経験を拡大し、イベントベースの学習を競争的な学習から協調的な学習へと移行させています。セキュリティと開発はチームスポーツなのです。 開発者、セキュリティ担当者、エンジニアリングチームが連携してAIの拡大する攻撃対象領域を理解し軽減することで、組織はより強固に守られます。円滑な報告、共有ソリューションの評価、チーム間議論を通じて、個々の課題解決能力を集団的な能力へと昇華させることが可能となります。

Beat the Bossをセキュアコーディングの取り組みに組み込むことで、AIの安全な導入を促進すると同時に、開発チーム内におけるAIセキュリティの測定可能な成熟度を高めます。

始めましょう

新しいクエストを作成する際、特定のコンセプトセクション内のセキュリティコンセプトに「Cybermon 2025: Beat the Boss」コレクションが掲載されています。 Secure Code Warriorログインし、デプロイメントを設定して、チーム内でのAIの安全な開発を強化してください。

サイバーレジリエンス法は、EU域内に拠点を置く企業だけでなく、欧州市場でデジタル製品を販売するすべての企業にとって、急速に戦略的優先事項となりつつある。 コンプライアンスの期限が2027年まで延長される中、エンジニアリングチームとセキュリティチームは既に、設計段階からのセキュリティ対策、脆弱性管理、開発能力といった課題について厳しい検討を迫られている。

多くの規制が文書化や監査に重点を置くのとは異なり、カナダ歳入庁（CRA）はセキュアなソフトウェアの設計と開発をコンプライアンスの中核に据えています。設計段階から早期にセキュリティ機能への投資を行う企業は、コンプライアンス達成をより迅速に進め、製品のセキュリティが購買判断の基準となる市場で差別化を図ることができます。

サイバーレジリエンス法が求めるもの

サイバーレジリエンス法（CRA）は、EU市場に流通するソフトウェア、オペレーティングシステム、接続機器、組み込みシステムなど、デジタルコンポーネントを含むほとんどの製品に対して、サイバーセキュリティに関する基本要件を導入する。

さらに重要なことに、それは責任の所在を変える。

セキュリティはもはや単なる運用や運用管理の問題ではない。CRAの枠組みにおいては、脆弱性のアーキテクチャ、実装、保守、管理を包括する設計および開発上の義務となる。

エンジニアリングおよび安全の責任者にとって、これは次のことを意味します：

• 製品は設計段階から安全性の原則に従って製造されなければならない
• 既知の脆弱性は可能な限り回避し、効果的に対処しなければならない。
• 組織は、安全な開発慣行が実施されていることを実証しなければならない。

要するに：コンプライアンスは、開発者がコードを記述し管理する方法と切り離せない。

CRAの対象者は誰ですか

EUによって導入されたものの、デジタル製品責任法（DPR）は、EU市場に対象となるデジタル製品を供給する世界中のあらゆる組織に適用されます。具体的には：

• 対象製品のリモートデータ処理コンポーネントとして機能するソフトウェアベンダーおよびSaaSプロバイダー
• デジタル製品またはコネクテッド製品のメーカー
• 輸入業者、卸売業者、小売業者
• サードパーティ製デジタルコンポーネントを統合する組織

グローバル企業にとって、CRDへの準備は国境を越えた発展の要件であり、単なる地域的なコンプライアンス活動ではない。

なぜ組織は今すぐ始めるのか

主な段階：

• 2026年9月— 脆弱性の報告義務が開始される
• 2027年12月— 完全な適合が要求される

紙の上では、このタイムラインは都合が良さそうに見えるかもしれない。しかし実際には、開発の変革は四半期単位で起こるものではなく、年単位で進行するものである。

設計によるセキュリティは単なる方針の更新ではありません。これには以下が必要です：

• あらゆる言語とあらゆるチームにおいて、数千人の開発者のスキルを向上させる
• 設計段階からセキュリティ要件を日常業務フローに組み込む
• 脆弱性への事後対応から予防へ移行する
• 安全な開発プラクティスが一貫して適用されていることを測定可能な形で証明する

これらの変化は、採用、統合、アーキテクチャに関する意思決定、SDLCプロセス、エンジニアリング文化に影響を与えます。2026年末まで対応を先送りする組織は、規制圧力のもとで能力の近代化を試みるでしょうが、これははるかにコストがかかり、混乱を招く解決策となります。

法令の適用には重大な財務リスクも伴う。サイバーセキュリティ基本法（CRA）第64条に基づき、サイバーセキュリティに関する基本要件に違反した場合、制裁金は1,500万ユーロ（年間世界売上高の2.5％）に達し得る。

2026年の終わりまで待つのは、まったくもって遅すぎる。

CRAは結局のところ、開発者にとっての能力の課題である

多くの規制はポリシーと文書化に重点を置いています。CRAはさらに踏み込み、コンプライアンスとソフトウェアの設計・開発に実際に用いられる手法との関連性を確立します。これにより、セキュア開発が単なるガバナンス要件ではなく、運用上の規律として期待されるようになります。

エンジニアリング責任者にとって、これはコンプライアンスが開発チームによる安全な実践の体系的な適用に依存することを意味します。具体的には：

• 一般的な脆弱性の分類を理解する
• セキュアな設計およびアーキテクチャの原則を適用する
• 非セキュアな実装モデルを避ける
• サードパーティ製コンポーネントおよびオープンソースの責任ある管理

セキュリティツールは問題の検出において重要な役割を果たします。しかしツールはコードが書かれた後ではその限界を露呈します。設計段階からのセキュリティは、開発者に脆弱性を事前に防止することを求め、すべてのチーム、言語、製品において一貫した方法でこれを実現します。

ツールだけでは達成できない。設計段階からの安全性の成果は、人的能力にかかっている。

Secure Code Warrior がCRAの準備にどのようにSecure Code Warrior

Secure Code Warrior 、CRAに準拠した学習パスを Secure Code Warrior 、以下を組み合わせています：

• 技術的脆弱性に関する付属書I第I部の要件にマッピングされた標準的なUNEクエスタ・クラ
• UNEコンセプトコレクションセキュア・バイ・デザイン
• 言語固有の脆弱性に関する実践的学習

SCWにおけるCRA準拠の学習コンテンツ全般については、当社のガイドブックをご参照ください。SCWはコンプライアンスの認証を行いません。 規制の安全な開発原則に沿った体系的な学習と測定可能な能力向上 を通じて、CRA準備を支援します。

今すぐCRAの準備を始めましょう

CRAは業界の方向性を反映しています：設計段階でのセキュリティ対策がデフォルトの期待となっています。開発者の能力に今投資する組織は、コンプライアンスを確保し、長期的により回復力がありリスクの少ないソフトウェアを構築する上で優位な立場に立つでしょう。

Secure Code Warrior コンプライアンス達成にどのようにSecure Code Warrior についての詳細は、ナレッジベースをご覧ください： Secure Code Warrior コンプライアンス達成にどのようにSecure Code Warrior

10の成功要因への深い探求を始めるにあたり、基本となるファシリテーター1：定義され測定可能な成功基準から着手します。セキュアコーディングプログラムを旅に例えるなら、最初の、そして最も重要なステップは、正確にどこへ向かうのかを知ることです。これが最初のファシリテーターの本質なのです。

成功基準を営業実績に紐づける

効果的なセキュアコーディングプログラムの構築には、ビジネス成果と密接に関連した明確な目標の存在が不可欠です。エンエイブラー1は、以下の根本的な問いに答えます：「セキュアコーディングプログラムで解決しようとする問題とは、具体的に測定可能な形で表現すると何なのか？」

おそらく貴組織は、コンプライアンス要件を満たすこと、あるいはセキュリティ侵害やサイバー攻撃を回避することを望んでいるのでしょう。あるいは、組織として左折（左折）し、開発者に最初から安全なコーディングを習得させることで、コスト削減と手直し時間の短縮を目指しているのかもしれません。

組織の現状や選択するセキュリティ研修プラットフォームに関わらず、プログラムの長期的な成功は、明確に定義された目標を設定し、ビジネス目標と連動させることに大きく依存します。これにより、従業員の理解と支持を得て、持続的な成功を保証できるのです。

成功基準を決定する際には、プログラムの主要な利害関係者を考慮してください。経営陣のスポンサーとそのビジネス目標を把握することで、部門横断的な導入促進につながります。

成功を具体的で測定可能なものにする

これらの目標は、その性質上、貴組織に固有のものである必要があります。とはいえ、以下の典型的な事業目標を検討し、それらからどのような新たな着想を得られるか考えてみてください：

リスク低減：開発者リスクを軽減し、コーディング上の欠陥によって生じる脆弱性を削減します。これにはリスクの特定とアプリケーションの攻撃対象領域の縮小が含まれます。

プログラムはしばしば、脆弱性密度や脆弱性注入率の低減・回避といった指標を目標とする。

運用速度：製品提供速度を最大化し、開発者のフラストレーションと離職率を低減し、手戻り作業に費やす時間を削減します。セキュアコーディング研修は、ソフトウェア開発ライフサイクルの後半で発見されるバグのあるコードの手戻り作業という時間的損失を回避する手助けとなるため、開発者にとって大きなインセンティブとなります。

プログラムはしばしば、開発者の脆弱性修正平均時間（MTTR）の短縮を目標とする。

規制コンプライアンス：外部コンプライアンスを達成する。例えば、PCI-DSS（支払いシステムに携わる全開発者への研修を義務付ける）などの基準への準拠。

人材と信頼：開発者組織内におけるセキュリティと脆弱性への関与と認識を高めつつ、顧客の信頼を維持・構築する。一部の企業では、セキュリティ対応開発者が市場での差別化確立に寄与する。

プログラムでは、開発者に対する最低限のスキル要件を設定したり、専門的なセキュリティチャンピオンプログラムを創設したりすることが多い。

共同成功計画における成功の記録

成功基準を定義したら、次のステップはそれらを共同成功計画書に文書化することです。この計画書は、CSMトレーニングプラットフォームなどの外部サポートを含む、プログラムの主要な関係者全員を巻き込んだ部門横断的な共同計画です。

成功計画には以下が含まれます：

1. 価値要因：具体的には、コードの安全性の向上に関連する高レベルのビジネス目標や、プログラムの「なぜ」に応えることが挙げられます。
2. 現状: これは「現状はどうか？」という問いを確立します（例：現在のセキュアコーディングスキルや既存のトレーニングプログラムなど）。
3. 将来の理想状態：次に、「どこに到達したいのか？」を文書化し、セキュアコーディングのスキル不足をどのように解消するかを決定します。
4. KPI/測定指標：これらは成功を示す指標であり、プログラムが展開されるにつれて現状と将来の間の差が縮小していることを示すものである。

まず1～2つの特定指標から始め、必要に応じて後で拡大することをお勧めします。これらのKPI/測定基準はS.M.A.R.T.原則（具体的、測定可能、達成可能、関連性あり、期限付き）を満たす必要があります。 追跡が容易で曖昧な解釈を招かないものであるべきです。計画を実行するには全関係者の責任が求められ、経営陣と価値や投資対効果を検討するための定期的かつ合意されたペースが必要です。

これらの基準を明示的に定義し測定することで、セキュアコーディングプログラムは単なるコストセンターから、検証可能な重要なビジネス成果の推進力へと進化します。これはプログラムの成熟度を達成するための必要不可欠な第一歩です。

次に、ファシリテーター2：経営陣の支援に 焦点を当て、 セキュアコーディングプログラムの成功した展開においてリーダーシップが果たす重要な役割について 議論します。

ご質問はございますか？お客様はアカウント担当チームまたはsupport@securecodewarrior.com までお問い合わせください。見込みのお客様は、こちらから営業チームメンバーにご相談いただけます。

起業という冒険に真っ向から飛び込む決断をした個人は、高尚な呼称「起業家」から、明らかに華やかさのかけらもない「まったくの狂人」まで、様々な呼び名で呼ばれる。Secure Code Warriorめた今、私はその中間あたりに満足している。 

過去5年間は多くの人々にとって回復力の試練となった。経済的要因をはじめとする予期せぬ困難が次々と襲いかかり、地球上で最も聡明な人々さえ予測できなかった。ここで「適者生存」という言葉が思い浮かぶかもしれないが、私はむしろ次の言葉を引用したい：

「種の生存を決定づけるのは、最も強いものでも、最も賢いものでもない。変化に最も適応できるものである。」

（これはよくチャールズ・ダーウィンに誤って帰せられるが、実際にはレオン・C・メギンソン教授がダーウィンの著作『種の起源』を要約した際に述べた言葉である。いつかパブクイズで大賞を勝ち取るのに役立つだろう。）

さて、この世界において、変化と適応力のより良い例が人工知能以外にどこにあるだろうか？大規模言語モデル（LLM）が爆発的に普及してから3年以上が経過したが、我々は今なお、この進化形が何であるか、何ができるのか、そして今日存在するほぼあらゆる役割において、いかにして最善の形で我々に役立つのかを理解しようと躍起になっている。 いずれにせよ、人工知能は定着した存在であり、特にサイバーセキュリティの実務者として、公式な規制やガイドラインが整っていない状況下でも、一歩先を行く姿勢でこれを守らねばならない。

2025年はAI、サイバーセキュリティ、そしてSCWにとって大きな年でした。私は2026年を静かな自信と、努力が実を結んだ者だけが持つ楽観をもって迎えています。 

私たちはいくつかの重要なマイルストーンを達成しました。これにはAIを活用したソフトウェア開発の安全確保への進出も含まれます。具体的には：

• リリース済み Trust Agent: AI ベータテスト開始：CCIAの新たな調査で生成AIが史上最速で普及する技術と確認されたことから、開発者層におけるAIコーディングエージェントやアシスタントの急激な普及、さらにはセキュリティ対策よりも速いペースで進められる企業レベルの急ごしらえの導入は驚くべきことではない。
  
  当社最新技術「Trust Agent: AI」は、AI生成コードに対する可視性とガバナンスという欠けていた要素を提供します。これにより企業セキュリティ責任者は、セキュリティを犠牲にすることなく、ソフトウェア開発ライフサイクル（SDLC）におけるAI導入を自信を持って管理するために必要な深い可観測性と制御を実現できます。
• 最新の主要収益目標を達成： 収益目標の達成は 、Secure Code Warrior 全体の粘り強さと革新性の証です。 この取り組みを始めた当初、私たちの使命はセキュリティを単なる「チェックボックス」的な対応から脱却させ、開発者が最初の1行から安全なコードを書けるようにすることでした。
  
  このビジョンが世界中の多くの企業に共感を呼んでいることは、業界がようやく開発者中心のセキュリティへと焦点を移しつつある証です。そして、私たちの戦士たちが皆のためにソフトウェアをより安全にするために尽力している姿を、これほど誇りに思うことはありません。
• 戦略的パートナーとの専門的連携： Aikido、OpenText、Black Duckといった優れた企業との提携は 、シームレスで開発者中心のセキュリティエコシステム構築という当社の使命において重要な前進です。脆弱性の特定と修正に必要な専門スキルの提供との間のギャップを埋めることで、開発者指向のソフトウェアリスクに対する効果的なループクローズを実現しています。
  
  この提携を非常に誇りに思います。これは、断片化されたツール群から脱却し、セキュリティが開発ワークフローの自然な延長となる統合された体験へと戦略的に移行することを意味しています。

新たな重要な年を迎えるにあたり、増え続ける支援者の皆様、特に広範なサイバーコミュニティの皆様に感謝申し上げます。皆様は繰り返し発生する脆弱性、低いセキュリティ意識、質の低いコード出力との戦いにおいて主導的な役割を果たし続けています。新たな安全基準を採用することで、ソフトウェア、サービス、技術のセキュリティにおいて真の改善が見え始めるでしょう。 

AIがコードの大半を記述する未来に向け、熟練した人間の監視のもと、当社は全投資を注ぎ込み急成長を遂げています。この新たな世界の要求に応えるため、当社のSCWラーニングは急速に進化しており、SCWトラストエージェント：AIは今後3ヶ月以内に提供開始され、SDLCにおけるLLMやMCPなどの安全な運用を支援します。 また、間もなく主要市場プレイヤーとの画期的な新提携を発表する予定です。

どうぞご期待ください！

本記事の一部は Revue SCに掲載されました。改訂の上、こちらで公開しています。


もしあなたの家に泥棒が入った経験があるなら、何かがおかしいという最初の感覚、そして実際に盗まれ、侵害されたという認識がそれに続く気持ちを理解できるでしょう。これは通常、持続的な不快感をもたらし、フォートノックス並みのセキュリティ対策に移行する必要性は言うまでもありません。

さて、あなたの家が泥棒に侵入されたと想像してください。彼らは鍵を複製して侵入し、自由に行き来しながらも、気づかれないよう細心の注意を払っています。ある日、冷凍庫に隠していた宝石が消え、金庫が空になり、私物が荒らされていることに気づくのです。 これは組織が「ゼロデイ攻撃」の被害に遭った場合に直面する現実と同じです。2020年のポネモン研究所の調査によると、成功したデータ侵害の80％はゼロデイ攻撃によるものでした。残念ながら、ほとんどの企業は依然としてこの統計を大幅に改善する態勢が整っていません。

定義上、「ゼロデイ攻撃」は、開発者が悪用される可能性のある既存の脆弱性を検知し修正する時間を与えません。なぜなら脅威の作者が最初に介入したからです。 被害は既に発生しており、ソフトウェアの修復と企業評判の回復に向けた激しい競争が始まる。攻撃者は常に優位に立っており、この優位性を可能な限り縮小することが極めて重要である。

誰も望まなかったクリスマスプレゼント、Log4Shellが現在インターネットを爆発させている。10億台以上のデバイスがこのJavaの壊滅的脆弱性の影響を受けると見られている。史上最悪のゼロデイ攻撃となる可能性が高く、これはまだ始まりに過ぎない。一部の報告では公開数日前から悪用が始まっていたとされるが、2016年のブラックハットカンファレンスでの発表によれば、この問題は以前から認知されていたようだ。痛い。さらに悪いことに、この脆弱性は極めて悪用しやすく、世界中のスクリプターや脅威アクターがこぞってこの穴を狙っている。

では、ソフトウェア開発プロセスで検出されなかった脆弱性は言うまでもなく、不気味で巧妙な脅威から身を守る最善の道筋とは一体何でしょうか？ 早速見ていきましょう。

大規模な標的に対する「ゼロデイ攻撃」は稀（かつ高コスト）である

ダークウェブにはエクスプロイトの巨大な市場が存在し、ゼロデイ脆弱性は高額で取引される傾向にある。本記事で例示した事例では、執筆時点で250万ドルの値が付けられていた。 Apple iOSの脆弱性として報告されたこのエクスプロイトに対し、セキュリティ研究者が法外な価格を要求しているのも不思議ではない。何しろ、この脆弱性は数百万台のデバイスを侵害し、数十億件の機密データを収集するゲートウェイとなり得る。しかも、発見・修正されるまでの間、可能な限り長期にわたり悪用を継続できる可能性があるのだ。

しかし、そもそもそんな大金を持っている者などいるのか？一般的に、組織化されたサイバー犯罪者グループは、特にますます流行しているランサムウェア攻撃のために、必要と判断すれば資金を調達する。 しかし、世界の政府や国防総省も顧客の一角を占めており、脅威情報収集の目的で悪用可能なエクスプロイトを購入している。より前向きなシナリオでは、企業自体が潜在的なゼロデイエクスプロイトを買い取り、災害を軽減できるようにしている。

2021年はリアルタイムでのゼロデイ脆弱性発見が過去最高を記録し、大規模組織、政府機関、インフラが潜在的な弱点を検出されるリスクが最も高まっています。 ゼロデイ攻撃から完全に身を守る方法はありませんが、寛大で体系的なバグ報奨金プログラムを提供することで、ある程度「ゲームに参加」することは可能です。 ダークウェブ市場で誰かがソフトウェア城の鍵を売り渡すのを待つよりも、正当なセキュリティ専門家を招き、倫理的な開示と修正案に対して適切な報酬を提供すべきです。

もしこれが驚くべきゼロデイ脅威であることが判明した場合、Amazonギフトカード以上のものが必要になるでしょう（そしてそれはその価値があるはずです）。

御社の設備は、御社の警備員にとって障害となる可能性があります

セキュリティツールの煩雑さは長年の課題であり、平均的なCISOはセキュリティ対策として55～75のツールを管理している。これは世界一混乱した（比喩的な）スイスアーミーナイフであることに加え、ポネモン研究所の調査によれば、53％の企業が自社の対策が効果的であることすら確信していない。別の調査では、セキュリティソリューションが「完全に効果的」だと考えるCISOはわずか17％に過ぎないことが明らかになった。

過労が蔓延し、需要に応えるための有資格セキュリティ人材が不足し、機敏性が求められる分野において、セキュリティ専門家に対し、データやレポート、膨大なツール群の監視といった情報過多の状態で作業を強いることは、煩わしい作業である。 まさにこの種の状況が、重大な警告を見逃す原因となり得る。Log4jの脆弱性を適切に評価できなかった事例も、その一例かもしれない。

予防的安全対策には、開発者主導の脅威モデリングを含める必要がある

コードレベルの脆弱性は、開発者によって導入されることが多く、安全なコーディングスキルを習得するには具体的なガイダンスと継続的な学習経路が必要です。しかし、上級レベルのセキュア開発者は、ソフトウェア開発プロセスにおいて脅威モデリングを学び実践する機会を得ています。

ソフトウェアを最も深く理解しているのは、それを開発した開発者であることは驚くべきことではない。彼らはユーザーがソフトウェアとどのようにやり取りするか、機能がどこで使用されるか、そしてセキュリティに対する十分な意識があれば、ソフトウェアが破られたり悪用されたりする可能性のあるシナリオについて深い知識を持っている。

これをLog4Shellの脆弱性に当てはめると、専門家や複雑なツール群による検知を逃れた壊滅的な脆弱性が残念ながら発生したシナリオが見て取れます。しかし、ライブラリがユーザー入力のサニタイズを行うように設定されていれば、そもそも発生しなかった可能性があります。 この設定を省略した判断は、利便性のために採用された不明瞭な機能のように見えますが、結果として脆弱性を極めて容易に悪用可能にしてしまいました（SQLインジェクションレベルの脆弱性を想像してみてください。決して優れた設計とは言えません）。もし脅威モデルが、セキュリティに精通した情熱的な開発者グループによって構築されていたならば、このシナリオは理論化され、想定されていた可能性が高いでしょう。

優れたセキュリティプログラムには感情的な要素が含まれており、人間による介入とニュアンスが人為的問題の解決の核心となる。脅威のモデリングは、ソフトウェアやアプリケーションのアーキテクチャレベルでの安全なコーディングや設定と同様に、効果を発揮するには共感と経験が必要である。 開発者がこの課題に突然直面すべきではありませんが、理想は明確な改善経路を見出し、セキュリティチームがこの重要な業務で抱える負担を軽減できるレベルまで開発者のスキルを向上させることです（これは両チーム間の関係構築にも極めて有効な手段となります）。

ゼロ日目からn日目へ

ゼロデイ攻撃に対処する次のステップは、修正プログラムを可能な限り迅速に公開し、脆弱なソフトウェアの全ユーザーが攻撃者が先んじる前に、確実に、そして可能な限り速やかにそれらを適用することを期待することである。 Log4Shellの場合、何百万ものデバイスへの組み込みやソフトウェア設計内の複雑な依存関係の構築により、その持続性と影響力はHeartbleedを凌駕する可能性がある。

実際には、この種の陰湿な攻撃を完全に阻止する手段は存在しません。しかし、あらゆる手段を尽くして安全で高品質なソフトウェアを創り出すことに取り組み、その開発を重要インフラと同様の意識で臨むならば、私たち全員に成功のチャンスはあります。

AI支援開発（あるいは、最も流行しているバージョンでは「バイブコーディング」）は、コード作成に多大な変革をもたらしています。 ベテラン開発者はこれらのツールをこぞって採用し、これまで独自のソフトウェアを作成したいと望んできたが十分な経験を持たない人々も、コストと時間の面でこれまで実現不可能だった資産を作成するために活用しています。 この技術は新たなイノベーションの時代を切り開く可能性を秘める一方で、セキュリティ担当者にとって軽減が困難な一連の新たな脆弱性とリスクプロファイルをもたらしています。

InvariantLabsによる最近の発見は、Model Context Protocol（MCP）に重大な脆弱性を発見しました。MCPはAPI型のフレームワークであり、強力なAIツールが他のソフトウェアやデータベースと自律的に相互作用することを可能にします。この脆弱性により、企業にとって特に有害となり得る新たな脆弱性カテゴリ「ツール中毒攻撃」が実現可能となります。WindsurfやCursorといった主要なAIツールも例外ではありません。 」と呼ばれる新たな脆弱性カテゴリーを引き起こす可能性があり、企業にとって特に深刻な損害をもたらす恐れがあります。WindsurfやCursorといった主要なAIツールもこの影響を受け、数百万のユーザーを抱える中、この新たなセキュリティ問題に対処するための認識とスキルが極めて重要です。

現状では、これらのツールの出力結果は、AWSおよびIntuitのセキュリティ研究者であるVineeth Sai NarajalaとIdanHablerによる最近の研究論文で指摘されているように、企業での使用に耐えるほど十分に安全とは言えません： 「AIシステムが自律性を高め、MCPなどのツールを介して外部ツールやリアルタイムデータと直接連携し始めるにつれ、こうした相互作用の安全性を確保することが絶対的に重要となる。」

エージェント型AIシステムとModel Context Protocolのリスクプロファイル

Model Context Protocolは、Anthropicが開発した実用的なソフトウェアであり、LLM（大規模言語モデル）AIエージェントと他のツール間の統合をより良く、よりシームレスに実現します。 これは強力なユースケースであり、GitHubなどの企業にとって重要なSaaSツールと、最先端のAIソリューションとの相互運用において、新たな可能性の世界を切り開きます。MCPサーバーを記述するだけで、その動作方法や目的に関するガイドラインの設定を開始できます。

MCP技術がセキュリティにもたらす影響は、本質的に非常に前向きである。LLMとセキュリティ専門家が使用する技術とのより直接的な統合という可能性は、無視できないほど魅力的であり、これまで不可能だったレベルでのセキュリティタスクの精密な自動化を実現する。少なくとも、通常は各タスクごとにカスタムコードを記述・展開しなければ達成できなかったレベルでの自動化を可能にする。 MCPが提供するLLMの相互運用性向上は、企業セキュリティにとって魅力的な展望である。なぜなら、データ・ツール・人材間の広範な可視性と接続性は、効果的なセキュリティ防御と計画立案に不可欠だからだ。

ただし、MCPの使用は他の潜在的な脅威ベクトルを導入する可能性があり、慎重に管理されない限り、企業の攻撃対象領域を大幅に拡大します。Invariants Labsが指摘したように、ツールの汚染攻撃は新たな脆弱性カテゴリーであり、機密データの流出やAIモデルによる不正操作を引き起こす可能性があります。そこから先、セキュリティ上の影響は急速に拡大していきます。

InvariantLabsは、ツールの悪意ある改ざん攻撃が可能なのは、ユーザーには見えないがAIモデルには完全に読み取り可能（かつ実行可能）なMCPツールの説明文に悪意のある指示が組み込まれるためだと指摘している。これにより、ツールはユーザーの知らないうちに不正な動作を実行してしまう。 問題は、MCPが「全てのツール記述は信頼できる」と仮定している点にあり、これは脅威アクターにとって格好の条件となる。

彼らは侵害されたツールの潜在的な影響を指摘している：

• AIモデルを制御して機密ファイル（SSHキー、設定ファイル、データベースなど）にアクセスさせる；
• AIにこれらのデータを抽出して送信するよう要求する。この環境では、こうした悪意のある行為は本質的に、注意を払わないユーザーには隠されている。
• ユーザーが目にしているものとAIモデルの実行内容との間に隔たりを作り出すため、ツールの引数や出力結果を、一見単純に見えるユーザーインターフェースの表現の背後に隠す。

これは懸念される新たな脆弱性のカテゴリーであり、MCPの利用が必然的に拡大するにつれ、今後ますます頻繁に目にするようになるでしょう。企業のセキュリティプログラムが進化する中で、この脅威を検知し軽減するためには綿密な対策が必要であり、開発者が解決策に適切に関与できるよう準備することが不可欠です。

なぜセキュリティに精通した開発者だけがエージェント型AIツールを活用すべきなのか

Agentic AIのコーディングツールは、AI支援コーディングの次なる進化形と見なされています。ソフトウェア開発における効率性、生産性、柔軟性をさらに高める能力を強化しているためです。 文脈や意図を理解する能力が向上したことで特に有用ですが、高速インジェクション攻撃、幻覚現象、攻撃者による動作操作といった脅威に対して無防備ではありません。

開発者は、コードの適切な検証と不適切な検証の間の防衛線であり、将来の安全なソフトウェア開発においては、セキュリティに関するスキルと批判的思考の両方を維持することが極めて重要となる。

AIの結果は決して盲信して実装すべきではなく、セキュリティに精通した開発者が文脈に応じた批判的思考を適用することで初めて、この技術がもたらす生産性向上を安全に活用できる。 ただし、これはペアプログラミング環境であるべきであり、人間の専門家が脅威を評価・モデル化し、最終的にツールが生成した成果物を承認できる体制が不可欠である。

開発者がAIを活用してスキルを向上させ、生産性を高める方法はこちらでご覧ください。

実践的な緩和技術と補足文献について、当社の最新研究記事でご紹介しています

AIとMCP技術に基づくコーディングツールは、サイバーセキュリティの未来において重要な役割を果たすことになるが、その土台を確認せずに飛び込むことは避けるべきである。

ナラジャラとハブラー・ペイパージュは、企業レベルでのMCP実装と継続的なリスク管理のための包括的な緩和戦略を詳述している。最終的には、この新たなエコシステムが企業環境に与える固有のリスクプロファイルを明示的に対象とし、多層防御とゼロトラストの原則に焦点を当てている。 特に開発者にとっては、以下の分野における知識のギャップを埋めることが不可欠です：

• 認証とアクセス制御：エージェント型AIツールは、人間がエンジニアリング課題に取り組むのと同様に、設定された目標を達成するために自律的に問題を解決し意思決定を行う。 しかしながら、前述の通り、これらのプロセスに対する有資格者の人的監視は不可欠であり、ワークフローでこれらのツールを利用する開発者は、自身が持つアクセス権限、取得または開示する可能性のあるデータ、およびそれらの共有先を正確に理解する必要があります。
• 脅威の一般的な検出と軽減：ほとんどのAIプロセスと同様に、ツールの結果における潜在的な欠陥や不正確さを検出するには、ユーザー自身がタスクを習得する必要があります。 開発者は、セキュリティプロセスを効果的に見直し、AIが生成したコードをセキュリティの観点から正確かつ権威をもって検証するために、これらのスキルを継続的に向上させ、検証する必要があります。
• AIセキュリティポリシーおよびガバナンスとの調和：開発者は承認済みツールについて情報を得て、スキル向上とアクセス機会を確保できる必要があります。コミットが承認される前に、開発者とツールの両方がセキュリティ比較分析の対象となる必要があります。

当社は最近、振動コーディングとAI支援コーディングの台頭、および企業がAI駆動の次世代ソフトウェアエンジニアを育成するために講じるべき対策に関する調査報告書を発表しました。ぜひご一読いただき、開発チームを強化するため、本日より当社までお問い合わせください。

この記事のバージョンは当初、 Zone Dに掲載されました。更新され、こちらで公開されています。

ペイメントカード業界データセキュリティ基準（PCI DSS）バージョン4.0は、電子決済を受け入れる企業や組織（そのほとんどが該当します）のセキュリティに関するほぼすべてを変えることになります 。そして間違いなく、この更新によりほとんどの企業は変革を迫られ、セキュリティプロセスの多くをアップグレードし、暗号化、認証、アクセス制御、鍵管理、その他これまで導入が遅れていた分野における新たな保護策の導入を余儀なくされるでしょう。

新たな要件の複雑さから、組織は2025年3月までに完全な準拠を達成する必要があります。しかしこの期限は、多くの人が考えているよりも早く到来します。実際、多くの先進的な企業は現在、開発者が未確定なコンプライアンス環境を乗り切れるよう対策を講じています。

チェックボックスの訓練を超えて

企業内の開発者は、そのインフラの大部分を支えるコードを記述しています。したがって、PCI DSS 4.0の新規要件を実装する際、彼らを起点とすることは理にかなっています。しかし、大半の開発者は、更新されたセキュリティ意識向上プログラムにおいてスキルを向上させるため、戦略的な支援を必要とするでしょう。 これにより、新たな基準が要求する高度なセキュリティレベルを実装・維持するために必要な経験を確実に習得できます。

実際、PCI DSS 4.0の要件12.6.2では、企業が正式なセキュリティプログラムを実施し、最新の脅威情報や防御技術に基づいてこれを更新するよう求めています。旧規格では、基本的なセキュリティプログラムや、単なる「チェックリスト形式」の年次コンプライアンス研修でさえ、この目的を達成できていました。 この新基準はさらに厳格化され、セキュリティ研修プログラムにおいて企業環境固有の脅威や脆弱性に対処することを要求するに至っています。例えば、組織にとってID盗難が深刻な問題である場合、研修ではその対策が必須となります。

最低限のトレーニングではもはや不十分であることは明らかであり、実務面でも新たな基準への適合においても同様です。企業はむしろ、開発者に対して包括的かつ柔軟な学習パスを提供し、日々の業務にセキュリティのベストプラクティスを適用する方法を習得させる必要があります。 最低限の準拠努力を超える取り組みを行い、開発者がセキュリティを真に理解するために必要なリソースを提供することで、企業は開発者に全体的なセキュリティ判断力を高める手段を与えつつ、PCI DSS 4.0基準への準拠を実現できる。

良い知らせは、PCI DSS 4.0の新たな要件の多くが、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者が既に熟知している領域に関するものであることです。 開発者がスキルを向上させるために適切で関連性が高く、慣れ親しんだリソースを利用できる場合、組織はPCI DSS 4.0が要求する新たな基準や増大する責任に対して、開発者をより容易に準備させることができます。

PCI DSS 4.0規格を活用し、総合的なセキュリティ強化への架け橋とする

新しいPCI DSS 4.0基準への準拠を成功させるためには、開発者のニーズに応える適切なセキュリティ教育が不可欠ですが、組織のサイバーセキュリティ強化に向けた取り組みはそこで止まるべきではありません。 確かに要件は厳格ですが、ほとんどの組織が準拠に向けて努力する必要がある以上、この取り組みをセキュリティ意識と教育全般を強化する足掛かりとして活用しない理由はありません。 これにより組織はコンプライアンス要件を満たすだけでなく、ベストプラクティスを優先し、全構成員がセキュリティ中心の共通目標に向けて取り組む、健全なセキュリティ文化の醸成を開始できるのです。

もちろん、学習曲線はありますが、開発者たちはおそらくそのような取り組みに同意するでしょう。エヴァンス社の調査によると、世界中で積極的に活動している 1,200 人以上のプロの開発者のうち、圧倒的多数が、安全なコードの作成と、組織におけるセキュリティ文化の向上という概念を支持すると回答しています。 開発者の大半は、安全なコーディングへの戦略的かつ持続的な移行、および開発プロセスにおけるセキュリティの優先順位の見直しを支持していることは明らかです。

PCI DSS 4.0規格で義務付けられたセキュリティ対策の強化は、企業がセキュリティ分野におけるベストプラクティスの向上や研修への投資を推進し、組織全体でより優れたセキュリティ文化を確立するための絶好の機会となる。

開発者は、企業が安全なコーディングスキルを適切なツールやトレーニングと統合できるプログラムに投資することで、セキュリティ成熟度レベルをより容易に達成できます。 これにより、開発者がより優れた判断を下せるセキュリティ文化が醸成され、組織全体のセキュリティ態勢が強化されます。その効果は、新たな厳格な基準であるPCI DSS 4.0をはるかに超えるものとなるでしょう。
‍

テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険なものになっているかをすぐに理解できるでしょう。毎日のように、大規模な侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による深刻な悪用脅威の報告が相次いでいます。 そして業界のほぼ全ての指標や報告書が、サイバー脅威の数がますます危険な水準に達していることを示しており、ほとんどの専門家がこの傾向が今後数年間も続くと予測しています。

これらの新たな脅威に直面し、ITセキュリティの最前線で働く担当者は疲弊し、人員不足に陥っている。給与水準は高いにもかかわらず、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、セキュリティ要員は常に不足している。 戦略国際問題研究所（CSIS）の最近の調査では、IT意思決定者の82％が自組織でサイバーセキュリティ人材不足に直面していると回答し、71％がこの不足が組織に直接的かつ測定可能な損害をもたらしたと述べた。 米国だけでも、サイバーセキュリティ分野では94万人の雇用がある一方で、52万人以上の求人が埋まっていないと報告書は指摘している。

世界では現在、約350万件のサイバーセキュリティ関連職が未充足状態にある。これは、高額な報酬を支払ってでも優秀な人材を採用・定着させようとする組織でさえ、適切な候補者を見つけるのに苦労していることを意味する。 平均的に、サイバーセキュリティ職の採用には他の職種よりも約21％多くの時間を要し、仮に採用できたとしても同様の傾向が見られる。

開発者の活性化は長きにわたり無視されてきた

多くの過去のブログ記事で指摘してきたように、開発者はサイバーセキュリティ防御におけるこうした重大な欠陥の一部を補うよう求められることがあります。問題は、従来、開発者がサイバーセキュリティに関する訓練を受けたことがほとんどなかった点です。彼らの業務評価はほぼ完全に、開発速度とリリースまでの期間に基づいていました。セキュリティは、より下流に位置するAppSecチームに委ねられていたのです。

残念ながら、単にギアを切り替えて開発者にアプリケーションやプログラムのセキュリティ強化を突然求めれば済む話ではありません。 たとえ彼らがこうした変更を行う用意があるとしても（調査によれば多くの開発者がその意思を持っている）、それを実現するには依然としてトレーニングが必要です。また、経営陣からの励ましや支援も必要ですが、有意義な学習の機会を得られるかどうかが最初の障壁であり、しばしば最も重要な障壁となります。

世界中で高給かつ高度なセキュリティを要する数百万のITセキュリティ職が空席のままなのは、当然のことです。もし簡単な仕事なら、誰もがこの分野に飛びつくでしょう。脅威と戦い、コードの脆弱性を排除する技術を習得するのは困難であり、脅威の状況は絶えず変化しています。 サイバーセキュリティを教えること——たとえ比較的技術に精通した開発者であっても——は、陳腐化しやすく記憶に残らない静的なトレーニングでは効果的に達成できません。特に既に過密なスケジュールに追加される場合、そのプラスの影響はごくわずかでしょう。

より高い場所へ到達するための足場を組み立ててください

伝統的な手法でサイバーセキュリティのスキルを教えることは、足を地面から離さずに超高層ビルを建設しようとするようなものだ。それは不可能である。なぜなら学生には、サイバーセキュリティのような複雑な分野における数多くの高度な概念を習得するために必要な基礎が欠けているからだ。これを補うために、段階的学習の概念を活用することができる。

段階的または「階層的」なスキル向上アプローチを採用する場合、より一般的な主題は通常、個別の学習体験や概念に分割されます。これにより、学生は適切な演習と指導を通じて各概念を習得できるようになり、各構成要素に必要な支援がすべて提供されます。 より新しく高度な概念は、既に習得した概念の上に積み上げられていきます。これは、建物が立ち上がるにつれて物理的な足場が組み立てられていく過程に似ています。この方法により、学生は支援なしでは習得できないような、より高いレベルの理解と技能習得を達成することが可能になります。

物理的な足場と同様に、この支援も不要になれば徐々に撤去され、学生の習熟度が高まるにつれて彼らに対する責任はより大きなものとなる。

足場学習は主に、生徒が支援なしに困難な課題に取り組む際に感じる挫折感、威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。 しかし、現代のサイバーセキュリティのような極めて難しい概念に取り組む際にも非常に有用です。開発者を子供扱いする方法とは程遠く、セキュリティチームとの経験が同様に苛立たしく落胆させる効果をもたらす可能性がある場合に極めて有用です。特に、彼らの努力がバグ修正や新たな批判で報われる場合に顕著です。

開発者がセキュアコーディングの基本原則を理解するためのツール（通常はOWASP Top 10から始める）を手にすると、セキュリティバグがどのように発生するか、なぜ危険なのか、そして本番環境へ移行する前にどのように修正すべきかを自ら確認できるようになります。 そこから、より複雑な脆弱性への取り組みや適切な修正の適用に関する実践的な経験を積むことで、知識を深めることができます。 層は徐々に拡大し、ソフトウェアの非安全なアーキテクチャや脅威モデリングといった高度なセキュリティ問題に直面した際にも、これらの進歩はそれほど威圧的に感じられず、正確に対処できるようになります。

業界として、開発者がセキュリティの専門家になることを期待すべきではありません。しかし、組織は新たな基準を採用することで、開発者がより高品質なソフトウェアを生産するのを支援できます。 さらに、エンジニアリング部門がスキル向上に取り組んでいる組織においては、プロセスの各段階、あるいは足場の各レベルが、学習の進捗に伴い直接的にサイバーセキュリティの強化につながる。コース終了を待たずとも、成果を実感できるのだ。

サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。体系的な学習を伴うセキュリティプログラムを導入すれば、その効果を最大限に引き出せ、その利点はほぼ即座に明らかになります。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していくでしょう。

コース
Missions


開発者向けトレーニング...その他多数！

このたび、当社代表取締役兼最高経営責任者であるピエテル・ダンヒューによるフォーブス・テクノロジー・カウンシル初の寄稿記事が公開され、大変光栄に存じます。 同記事では、より安全なコードを作成するための開発者スキルの強化が、サイバー攻撃やデータ侵害を防ぐ上でいかに重要かを説明しました。さらに、セキュリティ意識の高い開発者こそが、多くのIT部門が想定するよりも迅速に、より高品質で安全なコードを提供できることを明らかにしています。このアプローチの必要性は確かに差し迫っています。 最近の調査によれば、サイバー攻撃は現在39秒ごとに発生しており、コロニアル・パイプラインに対する単一のランサムウェア攻撃が引き起こした混乱は、全体としてSolarWindsハッキングほど破壊的ではなかったものの、我々全員が目の当たりにした。

‍

多くの一般的な脆弱性が残存するのは、開発者に不良なコーディングモデルを置き換え、同じ機能をより安全かつセキュアに実行する優れた手法を誰も教えたことがないためです。そしてソフトウェア開発の後期段階で修正を行う影響は、費やされる時間とデプロイ遅延の両面で極めて高額になります。 コードをデプロイ後に修正することは、特に攻撃者が未発見の脆弱性を悪用した場合、時には数百万ドルのコストを要する。そしてこれは、重大な侵害に続く企業の評判へのダメージすら考慮に入れていない。

セキュリティ教育を受けた開発者は、自然と優れたコーダーへと成長する。CISOがセキュリティツールをすぐに放棄すべきではないのは確かだが、トップダウンで包括的かつ予防的なセキュリティアプローチを採用することで、CISOは企業最大の資源である人的要素を活用できる。特にソフトウェア開発サイクルの初期段階からコーディングのセキュリティを確保する上で、この手法は有効である。

これを実現するために、以下の3つの主要な高レベル戦略を念頭に置いておく必要があります。

1. 受け身ではなく、主体的に行動しましょう

企業はしばしば反応的な対応の罠に陥る。例えば、独自のビジョンを構築し追求する代わりに、競合他社の動きに追随するといった形だ。 多くの企業はコードのセキュリティ脆弱性に対しても同様の姿勢を取り、侵害が発生して初めてサイバーセキュリティを真剣に考えるようになる。残念ながら、その時点では既に被害は発生しており、罰金、復旧費用、顧客離れ、ブランド回復が財務結果に悪影響を及ぼす。 別の「反応的」アプローチとして、既存コードの脆弱性検出に自動／手動コード分析を依存し、そもそも安全なコード作成に注力しないケースもある。 残念ながら、コードのデジタル化は完璧な解決策ではない。つまり、コードに脆弱性が多いほど、その一部が見過ごされる可能性が高くなる。

開発者との積極的な連携を通じて、初期段階から安全なコード作成を支援するアプローチを採用することで初めて、コーディング上の脆弱性がユーザーに開示される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立できます。

2. スキルを向上させ、やりすぎないようにしましょう

開発者に安全なコードを作成するために必要な知識を提供すると決めたら、アプローチを慎重に選択してください。コーディングを中断させる社内トレーニングワークショップは、開発者と管理者の双方を苛立たせます。夜間や週末の参加を必要とする外部研修は、さらに不評です。 最良のアプローチは、コーディングスキルを段階的に育成し、コーディングプロセス中に段階的に関連情報を提供することです。つまり、開発者の注意を大幅にそらしたり開発プロセスを遅らせたりすることなく、スキルを向上させる方法です。

3.促すことはあっても、決めつけないでください

開発者は、セキュリティスキルの強化を罰や完全な負担と捉えてはならない。管理者は、安全なコードが企業の成功に果たす重要な役割を説明することで、開発者にインスピレーションを与えるべきである。また、安全なコーダーが企業にとってより価値が高く、将来的にキャリアの機会が広がることを理解させることも重要である。

バイデン政権は歓迎されている 大統領令 は、サイバーセキュリティと「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を含め、安全な慣行への準拠を実証するための革新的なツールや手法を特定する」必要性をより強調した。 しかし、ツールは重要ではあるが十分ではない。いかなるツールも、個人が導入されたシステムやツールを無視したり、誤解したり、悪用したり、回避したりする能力を完全に排除することはできない。企業のセキュリティを最適化するためには、CISO（最高情報セキュリティ責任者）は人的要因を活用し、開発者が自発的なセキュリティの支持者かつ実践者となるよう促す必要がある。