人間主導の安全なコーディングによる事後対応型から事前対応型への焦点の移行
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
.avif)
.avif)
過去20年以上にわたり、同じ10件のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害を引き起こしています。それでも、多くの企業はいまだに侵害後や事後からの修復を選択しており、そのすべてがもたらす人的影響とビジネス上の影響に悩まされています。しかし今、新しい調査研究により、人間が主導する新しい方向性が示されました。
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身につけることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身につけることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
目次
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]
%20(1).avif)
.avif)
