セキュアコードインサイト

AI主導の開発により、まったく新しい種類のソフトウェアリスクが導入されました。プロンプト・インジェクション、RAG操作、過剰なエージェント権限は、もはや理論上の問題ではなく、現代のアプリケーションでは現実となっています。

開発者は、現実世界の複雑さを反映した環境で、これらの新たな脅威パターンに実際に触れる必要があります。だからこそ、私たちはCybermon 2025 AI/LLMボスミッションを、限られたイベント体験から、Secure Code Warrior内でデプロイ可能なクエストトピックコレクションへと変えました。Cybermon 2025: Beat the Bossコレクションは、新しいクエストを作成すると、「セキュリティコンセプト」の「特定のコンセプト」セクションに表示されます。

サイバーモン2025: ボスを倒せ組織は、これらの難易度の高いAIセキュリティの課題をいつでも安全なコーディングプログラムに統合できます。

ビート・ザ・ボスとは

Beat the Bossは、現実世界の安全なAI開発能力をテストするために設計された4つの高度なAI/LLMチャレンジをまとめたものです。

各トピックには、短い紹介ビデオとガイドライン、ガイド付きのウォークスルーウォームアップ、Cybermon 2025のオリジナルの高難易度ボスミッションが含まれています。これらの没入型シナリオでは、AI対応アプリケーションが進化するにつれて開発者が理解しなければならない実践的なAI脆弱性クラスに焦点を当てています。

4つのボスミッションはそれぞれ異なるAIリスク領域を対象としており、AI搭載システムにおける現実世界の脅威パターンをシミュレートします。

• バイパス — ダイレクト・プロンプト・インジェクション
• Keykraken — 間接プロンプトインジェクション
• プロンプトガイスト — ベクトルと埋め込みの弱点
• プロキシサーファ — 過剰なエージェンシー

思い通りに実行してください

一度に1人のボスにスポットライトを当て、それぞれの脆弱性にふさわしい焦点を当てることをお勧めします。多くの組織が以下を実行することを選択しています。

• 重点的な AI セキュリティスプリントとして、週に 1 人のボスを配置する
• または、「今月の脆弱性」イニシアチブとして毎月1回

社内イベントを設定する管理者向けに、構造化されたロールアウトガイダンスとダウンロード可能なブランディングアセットがナレッジベースで用意されています。
サイバーモン2025: 自分だけのビート・ザ・ボスイベントを開催

AIセキュリティ対策の運用化

AIによる開発加速は、ソフトウェアリスクの状況を一変させています。新興の脆弱性クラスには、認識以上のものが必要であり、応用経験が求められます。

Beat the Bossを使用すると、組織は進化するAI脅威パターンを実用的な開発者能力に変換できます。

開発者は各課題を個別に試し、ガイド付きのウォークスルーソリューションを確認することで、攻撃者の考え方や防御戦略を強化できます。チャレンジ後の学習には、ソリューション全編のウォークスルー動画が用意されています。

多くのチームが社内の知識共有セッションを通じて経験を拡大し、イベントベースの学習を競争型から協調型学習へとシフトさせています。セキュリティと開発はチームスポーツです。開発者、セキュリティリーダー、エンジニアリングチームが協力して、拡大するAI攻撃対象領域を理解し、緩和することが、組織を最もよく保護します。ディブリーフ、ソリューションレビューの共有、チーム間の議論の促進は、個々の課題の解決を集合的な能力に変えるのに役立ちます。

Beat the Bossを安全なコーディングの取り組みに統合することで、開発チーム全体で測定可能なAIセキュリティの成熟度を高めながら、安全なAI導入を強化できます。

始めよう

Cybermon 2025: Beat the Bossコレクションは、新しいクエストを作成すると、「セキュリティコンセプト」の「特定のコンセプト」セクションに表示されます。 セキュア・コード・ウォリアーのアカウントにログインします。ロールアウトを設定し、チーム全体で安全なAI開発を強化できます。

サイバー・レジリエンス法は、EUに拠点を置く企業だけでなく、デジタル製品を欧州市場に販売するあらゆる企業にとって、急速に戦略的優先事項になりつつあります。コンプライアンスの期限は2027年までですが、エンジニアリングチームとセキュリティチームは、セキュリティ・バイ・デザイン・プラクティス、脆弱性処理、開発能力について、すでに厳しい質問を投げかけています。

多くの規制が文書化と監査に焦点を当てるのとは異なり、CRAは以下を定めています：安全なソフトウェア設計と開発がコンプライアンスの中核であること。セキュリティ・バイ・デザイン機能に早期に投資した組織は、より迅速にコンプライアンスを達成し、製品のセキュリティが購入の決定要因となりつつある市場で差別化を図ることができます。

サイバー・レジリエンス法が求めるもの

サイバーレジリエンス法（CRA）は、ソフトウェア、オペレーティングシステム、コネクテッドデバイス、組み込みシステムなど、デジタルコンポーネントがEU市場に出回っているほとんどの製品に基本的なサイバーセキュリティ要件を導入しています。

さらに重要なのは、責任が置かれる場所をシフトすることです。

セキュリティはもはや実行時や運用上の問題だけではありません。CRAの下では、設計および開発義務がアーキテクチャ、実装、メンテナンス、脆弱性処理にまたがっています。

エンジニアリングおよびセキュリティリーダーにとって、これは次のことを意味します。

• 製品はセキュアバイデザインの原則に従って製造する必要があります
• 既知の脆弱性は可能な限り防止し、効果的に処理する必要があります
• 組織は、安全な開発慣行が実施されていることを証明する必要があります

つまり、コンプライアンスは、開発者がコードを作成および管理する方法と切り離せないということです。

CRAが適用されるのは誰か

EUによって導入されたものの、CRAの適用対象は世界中のあらゆる組織です。これにより、以下を含む対象デジタル製品がEU市場に参入します。

• 対象製品のリモートデータ処理コンポーネントとして機能するサービスを提供するソフトウェアベンダーおよびSaaSプロバイダー
• デジタル製品またはコネクテッド製品のメーカー
• 輸入業者、流通業者、小売業者
• サードパーティのデジタルコンポーネントを組み込む組織

グローバル企業にとって、CRAへの対応は国境を越えた開発要件や地域のコンプライアンス演習ではありません。

組織が今始めている理由

主なマイルストーン:

• 2026年9月— 脆弱性報告義務の開始
• 2027年12月— 完全なコンプライアンスが必要です

紙の上では、そのタイムラインは快適に見えるかもしれません。実際には、開発の変革は四半期単位ではなく、何年にもわたって起こります。

セキュリティ・バイ・デザインはポリシーの更新ではありません。これには以下が必要です。

• 言語やチームを超えて何千もの開発者のスキルアップを支援する
• 設計段階から見たセキュアな期待を日々のワークフローに組み込む
• 事後対応型の脆弱性修復から予防への移行
• 安全な開発手法が一貫して適用されていることを示す測定可能な証拠の作成

これらの変化は、採用、オンボーディング、アーキテクチャの決定、SDLCプロセス、エンジニアリング文化に影響を与えます。2026年後半まで延期する組織は、規制圧力のもとで能力の改善を試みることになりますが、これははるかに費用がかかり、混乱を招く方法です。

執行には重大な財務リスクも伴います。CRAの第64条では、重要なサイバーセキュリティ要件に違反した場合、罰金は1,500万ユーロ、つまり世界の年間売上高の2.5%に達することがあります。

2026年後半まで待つのは遅すぎます。

CRAは究極的には開発者能力の課題です

多くの規制はポリシーと文書化に重点を置いています。CRA はさらに進んで、コンプライアンスをソフトウェアの設計と構築に使用される実際の慣行と結びつけています。これにより、単なるガバナンス要件ではなく、運用上の規律としての安全な開発に対する期待が高まります。

エンジニアリングリーダーにとって、コンプライアンスとは、開発チームが次のような安全なプラクティスを一貫して適用しているかどうかにかかっているということです。

• 一般的な脆弱性クラスの理解
• 安全な設計とアーキテクチャの原則の適用
• 安全でない実装パターンの回避
• サードパーティおよびオープンソースコンポーネントの責任ある取り扱い

セキュリティツールは、問題を検出する上で重要な役割を果たします。しかし、ツールの弱点はコードが書かれた後に明らかになります。セキュリティ・バイ・デザインを実現するには、開発者はまず脆弱性を防止し、チーム、言語、製品を問わず一貫して防止する必要があります。

ツールだけではこれを実現できません。セキュリティ・バイ・デザインによる成果は、以下の要素によって決まります。人間の能力。

セキュア・コード・ウォリアーがCRA準備をどのようにサポートするか

セキュア・コード・ウォリアーが提供するCARに沿った学習経路それが組み合わさったもの：

• CRA スタンダードクエスト付録I、パートIの技術的脆弱性要件へのマッピング
• セキュア・バイ・デザイン・コンセプト・コレクション
• 言語に特化した実践的な脆弱性学習

SCWのCRAに合わせたすべての学習コンテンツに関するワンシートガイドをご覧ください。SCWはコンプライアンスを証明しません。当社ではCRAの準備状況を、以下を通じてサポートしています。規制の安全な開発原則に沿った構造化された学習と測定可能な能力向上

CRA準備態勢の構築を今すぐ開始

CRAは、業界が向かっている方向性を反映しています。つまり、デフォルトでは設計エンジニアリングによるセキュリティが求められています。現在、開発者の能力に投資している組織は、コンプライアンスだけでなく、よりレジリエントでリスクの低いソフトウェアを長期的に構築する上でも有利な立場にあります。

Secure Code Warriorがコンプライアンスの達成にどのように役立つかの詳細については、以下のナレッジベースをご覧ください。セキュア・コード・ウォリアーがコンプライアンスの達成にどのように役立つか

深く掘り下げ始めます成功を実現する10の要因という基本的な ステップはイネーブラー1: 定義済みで測定可能な成功基準。セキュア・コーディング・プログラムが旅のようなものだとすれば、最初の、そして最も重要なステップは、自分がどこに向かっているのかを正確に知ることです。これが最初のイネーブラーの本質です。

成功基準をビジネス成果に結びつける

成功するセキュア・コーディング・プログラムを構築するには、ビジネス成果と密接に関連する明確な目標が必要です。イネーブラー1は、「セキュア・コーディング・プログラムで解決しようとしている問題や課題は、非常に具体的かつ測定可能な言葉で言えば、何か」という核となる質問に答えます。

おそらく貴組織は、コンプライアンス要件やセキュリティ侵害・サイバー攻撃の回避を求めていることでしょう。あるいは、組織としてゼロから始め、再加工にかかるコストと時間を削減し、開発者が最初から安全にコーディングできるようトレーニングすることを求めているかもしれません。

モチベーション、組織の現状、または選択したセキュリティトレーニングプラットフォームに関わらず、プログラムの長期的な成功は、賛同を得て永続的な成功を確実にするために、ビジネス目標と結びつけられた明確な目標を持つことに大きく依存します。

成功基準を決定する際には、プログラムの主要な利害関係者を考慮してください。経営陣のスポンサーとそのビジネス目標を把握することで、部門横断的な導入促進につながります。

成功を具体的かつ測定可能なものにする

これらの目標は、その性質上、組織固有のものでなければなりません。とはいえ、以下の典型的なビジネス目標を見直し、それらがどのようにして新たなアイデアを生み出すかを検討してください。

リスク低減：開発者リスクを軽減し、コーディング上の欠陥によって生じる脆弱性を削減します。これにはリスクの特定とアプリケーションの攻撃対象領域の縮小が含まれます。

プログラムはしばしば、脆弱性密度や脆弱性注入率の低減・回避といった指標を目標とする。

運用速度：製品提供速度を最大化し、開発者のフラストレーションと離職率を低減し、手戻り作業に費やす時間を削減します。セキュアコーディング研修は、ソフトウェア開発ライフサイクルの後半で発見されるバグのあるコードの手戻り作業という時間的損失を回避する手助けとなるため、開発者にとって大きなインセンティブとなります。

プログラムはしばしば、開発者の脆弱性修正平均時間（MTTR）の短縮を目標とする。

規制コンプライアンス：外部コンプライアンスを達成する。例えば、PCI-DSS（支払いシステムに携わる全開発者への研修を義務付ける）などの基準への準拠。

人材と信頼：開発者組織内におけるセキュリティと脆弱性への関与と認識を高めつつ、顧客の信頼を維持・構築する。一部の企業では、セキュリティ対応開発者が市場での差別化確立に寄与する。

プログラムでは、開発者に対する最低限のスキル要件を設定したり、専門的なセキュリティチャンピオンプログラムを創設したりすることが多い。

共同成功計画における成功の文書化

達成基準を定義したら、次のステップはその基準を文書化することです。共同成功計画。この計画は、トレーニングプラットフォームやCSMなどの外部サポートを含め、プログラムの主要な利害関係者と部門を超えて共有された設計図です。

サクセスプランには以下が含まれます。

1. バリュードライバー: これらには、コードセキュリティの向上とプログラムの「理由」への回答に関する大まかなビジネス目標が含まれます。
2. 現在の状態: これにより「私たちは今どこにいるのか？」が明確になります。（例:現在のセキュアコーディングスキルや既存のトレーニングプログラム）。
3. 望ましい状態: 次に、「私たちはどこになりたいのか？」を記録します。そして、セキュアコーディングスキルのギャップをどのように埋めるかを明らかにしてください。
4. KPI / 主要業績評価指標: これらは成功を示す指標であり、プログラムの展開とともに現在の状態と将来の状態のギャップが縮まりつつあることを示しています。

まず1つか2つの特定の指標から始めることをお勧めします。必要に応じて後で拡張します。これらのKPI/対策は、S.M.A.R.T. の原則（具体的、測定可能、達成可能、関連性、期限付き）に従わなければなりません。追跡しやすく、解釈の余地がないものでなければなりません。計画を実行に移すには、あらゆる側面からの説明責任が必要であり、リーダーとともに価値とROIを定期的かつ合意された頻度で検討する必要があります。

これらの基準を明示的に定義し測定することで、セキュアコーディングプログラムは単なるコストセンターから、重要なビジネス成果を検証可能な形で推進する原動力へと移行します。これは、プログラムを成熟させるために必要な第一歩です。

次に、詳しく説明します。イネーブラー2：シニア・リーダーシップ・スポンサーシップ。セキュア・コーディング・プログラムの 展開を成功させる上で、リーダーシップが果たす重要な役割について議論します。

他に質問はありますか？お客様はアカウントチームに連絡するか、support@securecodewarrior.comまでお問い合わせください。見込み顧客は、当社にご連絡いただくことで営業チームのメンバーと話すことができます。こちらからお問い合わせください。

起業という冒険に真っ向から飛び込む決断をした個人は、高尚な呼称「起業家」から、明らかに華やかさのかけらもない「まったくの狂人」まで、様々な呼び名で呼ばれる。Secure Code Warriorめた今、私はその中間あたりに満足している。 

過去5年間は多くの人々にとって回復力の試練となった。経済的要因をはじめとする予期せぬ困難が次々と襲いかかり、地球上で最も聡明な人々さえ予測できなかった。ここで「適者生存」という言葉が思い浮かぶかもしれないが、私はむしろ次の言葉を引用したい：

「種の生存を決定づけるのは、最も強いものでも、最も賢いものでもない。変化に最も適応できるものである。」

（これはよくチャールズ・ダーウィンに誤って帰せられるが、実際にはレオン・C・メギンソン教授がダーウィンの著作『種の起源』を要約した際に述べた言葉である。いつかパブクイズで大賞を勝ち取るのに役立つだろう。）

さて、この世界において、変化と適応力のより良い例が人工知能以外にどこにあるだろうか？大規模言語モデル（LLM）が爆発的に普及してから3年以上が経過したが、我々は今なお、この進化形が何であるか、何ができるのか、そして今日存在するほぼあらゆる役割において、いかにして最善の形で我々に役立つのかを理解しようと躍起になっている。 いずれにせよ、人工知能は定着した存在であり、特にサイバーセキュリティの実務者として、公式な規制やガイドラインが整っていない状況下でも、一歩先を行く姿勢でこれを守らねばならない。

2025年はAI、サイバーセキュリティ、そしてSCWにとって大きな年でした。私は2026年を静かな自信と、努力が実を結んだ者だけが持つ楽観をもって迎えています。 

私たちはいくつかの重要なマイルストーンを達成しました。これにはAIを活用したソフトウェア開発の安全確保への進出も含まれます。具体的には：

• リリース済み Trust Agent: AI ベータテスト開始：CCIAの新たな調査で生成AIが史上最速で普及する技術と確認されたことから、開発者層におけるAIコーディングエージェントやアシスタントの急激な普及、さらにはセキュリティ対策よりも速いペースで進められる企業レベルの急ごしらえの導入は驚くべきことではない。
  
  当社最新技術「Trust Agent: AI」は、AI生成コードに対する可視性とガバナンスという欠けていた要素を提供します。これにより企業セキュリティ責任者は、セキュリティを犠牲にすることなく、ソフトウェア開発ライフサイクル（SDLC）におけるAI導入を自信を持って管理するために必要な深い可観測性と制御を実現できます。
• 最新の主要収益目標を達成： 収益目標の達成は 、Secure Code Warrior 全体の粘り強さと革新性の証です。 この取り組みを始めた当初、私たちの使命はセキュリティを単なる「チェックボックス」的な対応から脱却させ、開発者が最初の1行から安全なコードを書けるようにすることでした。
  
  このビジョンが世界中の多くの企業に共感を呼んでいることは、業界がようやく開発者中心のセキュリティへと焦点を移しつつある証です。そして、私たちの戦士たちが皆のためにソフトウェアをより安全にするために尽力している姿を、これほど誇りに思うことはありません。
• 戦略的パートナーとの専門的連携： Aikido、OpenText、Black Duckといった優れた企業との提携は 、シームレスで開発者中心のセキュリティエコシステム構築という当社の使命において重要な前進です。脆弱性の特定と修正に必要な専門スキルの提供との間のギャップを埋めることで、開発者指向のソフトウェアリスクに対する効果的なループクローズを実現しています。
  
  この提携を非常に誇りに思います。これは、断片化されたツール群から脱却し、セキュリティが開発ワークフローの自然な延長となる統合された体験へと戦略的に移行することを意味しています。

新たな重要な年を迎えるにあたり、増え続ける支援者の皆様、特に広範なサイバーコミュニティの皆様に感謝申し上げます。皆様は繰り返し発生する脆弱性、低いセキュリティ意識、質の低いコード出力との戦いにおいて主導的な役割を果たし続けています。新たな安全基準を採用することで、ソフトウェア、サービス、技術のセキュリティにおいて真の改善が見え始めるでしょう。 

AIがコードの大半を記述する未来に向け、熟練した人間の監視のもと、当社は全投資を注ぎ込み急成長を遂げています。この新たな世界の要求に応えるため、当社のSCWラーニングは急速に進化しており、SCWトラストエージェント：AIは今後3ヶ月以内に提供開始され、SDLCにおけるLLMやMCPなどの安全な運用を支援します。 また、間もなく主要市場プレイヤーとの画期的な新提携を発表する予定です。

どうぞご期待ください！

この記事のバージョンが掲載されました SC マガジン。ここで修正およびシンジケートされています。


泥棒に家に侵入されたことがあれば、最初は何かがおかしいという気持ちが沈み、その後、自分が実際に盗まれて侵害されたことに気づくのがわかるでしょう。フォートノックスに匹敵するセキュリティ対策への転換は言うまでもなく、通常は不快感が長続きします。

泥棒が自分で鍵を作ったために家が壊されたと想像してみてください。彼らは忍び寄り、好き放題に出入りしますが、気づかれないよう細心の注意を払っています。そしてある日、冷凍庫に隠していた宝石が消え、金庫が空になり、身の回りの品々が略奪されていることに気づくのが遅すぎたのです。これは、ゼロデイ・サイバー攻撃の被害に遭った場合に組織が直面する現実と全く同じです。2020年、ポネモン・インスティテュートが行った調査では、次のことが明らかになりました。データ漏洩の成功事例の80%はゼロデイ攻撃の結果であり、残念ながら、ほとんどの企業はこの統計を大幅に改善するための準備が整っていません。

ゼロデイ攻撃は、当然のことながら、攻撃者が最初に侵入するため、開発者が悪用される可能性のある既存の脆弱性を発見してパッチを適用する時間が全くありません。被害が発生したら、ビジネスに対するソフトウェアと評判の低下の両方を修正しようとすると、狂ったような争いが繰り広げられます。攻撃者は常に有利な立場にあり、その優位性を可能な限り封じ込めることが重要です。

誰も欲しがらなかったホリデーギフトであるLog4Shellは、現在インターネットを席巻しており、10億台を超えるデバイスがこの壊滅的なJavaの脆弱性の影響を受けていると言われています。これは記録上最悪のゼロデイ攻撃になりつつあり、まだ始まったばかりです。にもかかわらず一部のレポートエクスプロイトは公開の数日前に開始されたと述べ、2016年のブラックハットカンファレンスでのプレゼンテーションから、これはしばらく前から知られていた問題だったと思われます。痛い。さらに悪いことに、この脆弱性は非常に簡単に悪用され、世界中のあらゆるスクリプト小僧や脅威アクターが、この脆弱性を狙っています。

では、ソフトウェア開発プロセスで見逃されてきた脆弱性は言うまでもなく、滑りやすい邪悪な脅威から身を守るための最善の方法は何でしょうか？それでは見てみましょう。

大きなターゲットに対するゼロデイ攻撃は稀です（そして高価です）

ダークウェブにはエクスプロイトの巨大な市場があり、一例を挙げると、ゼロデイはかなりの金額になる傾向があります。この記事を書いている時点で250万ドルで上場しています。Apple iOSの脆弱性として報告されているが、セキュリティ研究者による提示価格が高騰しているのは驚くべきことではない。結局のところ、これは実際に数百万台のデバイスを侵害し、数十億もの機密データレコードを収集し、発見されパッチが適用される前に可能な限り長くそれを続けるためのゲートウェイとなり得るのである。

しかし、そもそも誰がそんなお金を持っているのでしょうか？通常、組織化されたサイバー犯罪シンジケートは、特に人気の高いランサムウェア攻撃に対して、価値があると判断されれば資金を調達します。しかし、世界の政府や防衛部門は、脅威インテリジェンスのために利用できるエクスプロイトの顧客であり、よりポジティブなシナリオでは、企業自身が潜在的なゼロデイエクスプロイトの購入者となり、災害を軽減できる可能性があります。

2021年には記録が破られました。ゼロデイ攻撃のライブディスカバリーの対象となり、脆弱性について調査されるリスクが最も高いのは大規模な組織、政府機関、およびインフラストラクチャです。ゼロデイ攻撃の可能性から完全に保護する方法はありませんが、寛大でよく構成されたバグ報奨金プログラムを提供することで、ある程度「ゲームをする」ことができます。ダークウェブマーケットプレイスで誰かがソフトウェア城の鍵を提供するまで待つのではなく、合法的なセキュリティマニアを味方につけ、倫理的開示や潜在的な修正に対して適切な報酬を提供してください。

そして、それがたまたま身の毛もよだつようなゼロデイ脅威である場合は、Amazonギフトカード以上のものを支払う必要があると考えて間違いありません（そうする価値はあります）。

ツールの使用は、セキュリティ担当者の負担となる可能性があります。

煩雑なセキュリティツールは長年の課題であり、平均的なCISOが管理するセキュリティツールは55～75個に上ります。世界で最も使いにくい（比喩的な）スイスアーミーナイフであることはさておき、53％の企業が自社のセキュリティツールが効果的に機能しているかさえ確信を持てないと回答しています。ポネモン研究所によるある調査によれば、別の調査では、自社のセキュリティスタックが「完全に効果的」だと考えているCISOはわずか17％であることが明らかになりました。

燃え尽き症候群、セキュリティスキルを持つ人材の不足、アジリティの必要性で知られるこの分野では、膨大なツールセットのデータ、レポート、監視という形で、セキュリティ専門家が情報過多の処理を強いられることは大きな負担となっています。これはまさに、Log4jの脆弱性を適切に評価した際にも当てはまる可能性のある、クリティカルなアラートを見逃す原因となるシナリオです。

予防的セキュリティには、開発者主導の脅威モデリングを含める必要があります

コードレベルの脆弱性は開発者によって導入されることが多く、安全なコーディングスキルを身につけるには、正確なガイダンスと定期的な学習経路が必要です。しかし、次のレベルのセキュア開発者には、ソフトウェア作成プロセスの一部として、脅威モデリングを学び、実践する機会が与えられています。

自社のソフトウェアを最もよく知っている人々が、そこに座ってそれを作成した開発者であることは驚くべきことではありません。彼らは、ユーザーによるソフトウェアの操作方法、機能の使用場所、そしてセキュリティを十分に認識していれば、ソフトウェアが壊れたり悪用されたりする可能性のあるシナリオについて、強力な知識を持っています。

これをLog4Shellエクスプロイトに戻すと、残念ながら専門家や複雑なツールセットでは致命的な脆弱性が検出されないというシナリオが見られます。ただし、ライブラリがユーザー入力をサニタイズするように構成されていれば、まったく発生しなかった可能性があります。そうしないという決定は、利便性を高めるためにあいまいな機能だったようですが、悪用するのが非常に簡単になりました（SQLインジェクションレベルを考えてみてください。確かに天才的なものではありません）。セキュリティに精通した熱心な開発者のグループが脅威モデリングを行っていたなら、このシナリオは理論化され、検討されていた可能性が高いでしょう。

優れたセキュリティプログラムには感情的な要素があり、人間が作り出した問題の解決の中心には人間の介入と微妙な違いがあります。脅威モデリングを効果的に行うには、共感と経験が必要であり、ソフトウェアとアプリケーションのアーキテクチャレベルでの安全なコーディングと構成も求められます。これは開発者が一夜にして取り組むべきことではありませんが、この重要なタスクに対するセキュリティチームのプレッシャーを取り除くことができるレベルまで開発者をスキルアップさせるための明確な道筋を用意することが理想的です （また、両チーム間の信頼関係を築くための優れた方法でもあります）。

ゼロデイは n 日につながる

ゼロデイ対策の次の段階は、パッチをできるだけ早く配布することです。脆弱なソフトウェアのすべてのユーザーができるだけ早く、そして確実に攻撃者が最初にパッチを適用する前に、パッチを適用することを望みます。Log4Shellの脅威は、ハートブリードを凌駕する可能性を秘めている点にあります。何百万ものデバイスに組み込まれ、ソフトウェアビルド全体で複雑な依存関係を生み出しているにもかかわらず、その持続性と高い有効性を維持しているのです。

現実的には、この種の陰湿な攻撃を完全に阻止する方法はありません。しかし、あらゆる手段を駆使して高品質で安全なソフトウェアを作成し、重要なインフラストラクチャと同じ考え方で開発に取り組むことを約束すれば、私たち全員に戦うチャンスがあります。

AI支援開発（あるいは、よりトレンディなバージョンの「バイブコーディング」） は、コード作成に大きな変革をもたらしています。定評のある開発者がこれらのツールを大量に採用しており、私たちの中で常に独自のソフトウェアを作成したいと思っていたが、関連する経験がなかった人々も、以前はコストと時間がかかりすぎていたであろう資産を構築するためにこれらのツールを活用しています。このテクノロジーはイノベーションの新時代の到来を告げると期待されていますが、セキュリティリーダーが軽減に苦労している様々な新しい脆弱性とリスクプロファイルをもたらします。

InvariantLabsは最近、強力なAIツールが他のソフトウェアやデータベースと自律的に相互作用できるようにするAPIのようなフレームワークであるモデルコンテキストプロトコル（MCP）の重大な脆弱性を発見しました。これにより、企業にとって特に損害を与える可能性のある新しい脆弱性カテゴリである「ツールポイズニング攻撃」と呼ばれる攻撃が可能になります。WindsurfやCursorなどの主要なAIツールも例外ではありません。何百万人ものユーザーがいるため、この新たなセキュリティ問題を管理するための認識とスキルが最も重要です。

現状では、これらのツールの出力は、エンタープライズ対応とラベル付けできるほど一貫して安全とは言えません。最近の研究論文（AWSとIntuitのセキュリティ研究者、ヴィネス・サイ・ナラジャラとイダン・ハブラーによる）では次のように指摘されています：「AIシステムがより自律的になり、MCPなどを通じて外部ツールやリアルタイムデータと直接やり取りするようになるにつれ、それらの相互作用が安全であることを確認することが絶対に不可欠になります。」

エージェンシーAIシステムとモデルコンテキストプロトコルのリスクプロファイル

モデルコンテキストプロトコルは便利なソフトウェアです。アンソロピック社製。これにより、大規模言語モデル（LLM）AIエージェントと他のツールとのより適切でシームレスな統合が可能になります。これは強力なユースケースであり、プロプライエタリなアプリケーションとGitHubのようなビジネスに不可欠なSaaSツールと最先端のAIソリューションとの間で、様々な可能性が広がります。MCPサーバーを書くだけで、それをどのように機能させ、どのような目的で機能させたいかについてのガイドラインを設定する作業に着手できます。

MCPテクノロジーがセキュリティに与える影響は、実際にはほぼポジティブなものです。LLMとセキュリティ専門家が使用する技術スタックをより容易に統合できるという約束は、無視できないほど魅力的であり、少なくとも各タスク用のカスタムコードを作成してデプロイしなければこれまで不可能だったレベルの正確なセキュリティタスクの自動化の可能性を示しています。データ、ツール、担当者間の広範囲にわたる可視性と接続性が、効果的なセキュリティ防御と計画の基本であることを考えると、MCPによって提供されるLLMの相互運用性の強化は、エンタープライズセキュリティにとって有望な展望です。

ただし、MCPを使用すると、他の脅威ベクトルが発生する可能性があり、注意深く管理しない限り企業の攻撃対象領域が大幅に拡大する可能性があります。インバリアントラボが指摘しているように、ツールポイズニング攻撃は、AIモデルによる機密データの流出や不正アクションにつながる可能性のある新しい脆弱性カテゴリであり、そこから、セキュリティへの影響はすぐに非常に深刻なものとなります。

InvariantLabsによれば、ツールポイズニング攻撃は、ユーザーには表示されないが、AIモデルでは完全に読み取れる（実行可能な）悪意のある指示がMCPツールの説明文に埋め込まれている場合に可能となる。これにより、ツールはユーザーに気付かれることなく不正なアクションを実行するよう仕向けられる。問題は、MCPが全てのツールの説明文を信頼できるものと想定している点にあり、これは脅威アクターの耳に心地よく響く。

彼らは、ツールが危険にさらされると次のような結果になる可能性があることを指摘しています。

• 機密ファイル（SSH キー、設定ファイル、データベースなど）にアクセスするよう AI モデルに指示する。
• これらの悪意のある行為が本質的に知らないユーザーから隠されている環境で、このデータを抽出して送信するようにAIに指示する。
• ツールの引数と出力という一見シンプルなUI表現の背後に隠れることで、ユーザーが見るものとAIモデルが実行するものとの間に断絶が生じます。

これは懸念される新たな脆弱性のカテゴリーであり、MCPの使用が避けられないほど増加するにつれて、ほぼ確実にこのカテゴリーが頻繁に見られるようになるでしょう。企業のセキュリティプログラムが進化するにつれて、この脅威を見つけて軽減するために慎重な対策を講じることになるため、開発者がソリューションに参加できるよう十分な準備を整えることが重要です。

セキュリティスキルを持つ開発者のみがエージェントAIツールを活用すべき理由

Agentic AIコーディングツールは、ソフトウェア開発の効率、生産性、柔軟性を向上させる機能に加え、AI支援コーディングの次の進化と見なされています。コンテキストと意図を理解する能力が強化されているため特に便利ですが、攻撃者による即時注入、幻覚、行動操作などの脅威から免れることはできません。

開発者は良いコードコミットと悪いコードコミットの間の防衛線であり、セキュリティと批判的思考の両方のスキルを磨くことは、安全なソフトウェア開発の将来の基盤となるでしょう。

AIの出力は、決して盲目的に信頼して実装すべきではありません。このテクノロジーによってもたらされる生産性の向上を安全に活用できるのは、状況に応じた批判的思考を行うセキュリティスキルのある開発者です。それでも、人間の専門家がツールによって生み出された作業を評価、脅威モデル化し、最終的に承認できる、ペアプログラミング環境のような環境でなければなりません。

開発者が AI を使用してスキルを向上させ、生産性を向上させる方法の詳細をご覧ください。こちら。

実践的な緩和手法、および最新の研究論文でさらに詳しく

AIコーディングツールとMCPテクノロジーは、サイバーセキュリティの将来において重要な要素になると考えられますが、状況を把握する前に深く掘り下げないことが重要です。

ナラジャラとハブラーの論文は、企業レベルでMCPを実施するための包括的な緩和戦略と、そのリスクの継続的な管理について詳細に説明しています。最終的には、多層防御とゼロトラストの原則を中心に、この新しいエコシステムが企業環境に与える固有のリスクプロファイルを明確に対象としています。特に開発者にとっては、以下の分野における知識のギャップを埋めることが不可欠です。

• 認証とアクセス制御: エージェント型AIツールは、人間がエンジニアリングタスクに取り組むのとほぼ同じように、問題を解決し、そのために計画された目標を達成するための自律的な意思決定を行うように機能します。しかし、すでに確立しているように、熟練した人間がこれらのプロセスを監視することは無視できないため、これらのツールをワークフローで使用する開発者は、自分がどのようなアクセス権を持っているか、どのようなデータを取得または公開する可能性があるか、どこで共有されるかを正確に把握する必要があります。
• 一般的な脅威の検出と軽減: ほとんどの AI プロセスに当てはまることですが、ツールの出力にある潜在的な欠陥や不正確さを見つけるには、ユーザー自身がタスクに習熟している必要があります。開発者は、セキュリティプロセスを効果的に見直すために、継続的なスキルアップとスキルの検証を受ける必要があります。そしてAI が生成したコードを、セキュリティの精度と信頼性をもってレビューできます。
• セキュリティポリシーと AI ガバナンスの連携: 開発者は承認されたツールについて周知し、スキルアップやツールへのアクセスを得る機会を与える必要があります。コミットを信頼する前に、開発者とツールの両方がセキュリティベンチマークの対象となるべきです。

最近リリースした研究論文では、バイブコーディングとAIアシストコーディングの出現、そしてAIを活用した次世代のソフトウェアエンジニアを育成するために企業が取るべき措置について考察しています。今すぐチェックして、開発チームを強化するためにご連絡ください。

この記事のバージョンは、最初に掲載されました Dゾーン。ここで更新され、シンジケートされました。

ペイメントカード業界データセキュリティ基準 (PCI DSS) バージョン 4.0 はほとんどすべてを変える電子決済を受け入れる企業や組織（その大多数）のセキュリティについて。そして間違いなく、この更新はほとんどの企業にとって変革をもたらすでしょう。セキュリティプロセスの多くをアップグレードし、暗号化、認証、アクセス制御、鍵管理など、これまで採用が遅れていたかもしれない分野に関する新しい保護を導入する必要があります。

新しい要件は複雑なため、組織には2025年3月までに完全に準拠することが義務付けられています。しかし、その期限は、多くの人が認識しているよりも早く到来します。実際、先見の明のある企業の多くは、開発者が未解決のコンプライアンス状況を乗り切れるようにするための対策を今すぐ講じています。

既成概念にとらわれないトレーニングの枠を超えて

組織の開発者は、インフラストラクチャの多くが依存するコードを作成するため、新しい PCI DSS 4.0 要件の実装に関しては、開発者が手始めとして適しているのは理にかなっています。ただし、ほとんどの開発者は、最新のセキュリティ意識向上プログラムの一環として、スキルアップのための戦略的サポートを必要としています。これは、新しい標準で要求されるより高いレベルのセキュリティを実装し、維持するために必要な経験を身につけるためです。

実際、PCI DSS 4.0の要件12.6.2は、組織に正式なセキュリティプログラムを実装し、最新の脅威情報と防御技術で常に最新の状態に保つよう指示しています。旧基準では、基本的なセキュリティプログラムや「チェックボックス形式」の年次コンプライアンス研修でも目的は達成できました。この新しい基準ではさらに多くのことが義務付けられており、企業環境内の特定の脅威や脆弱性に対処するセキュリティ研修プログラムも義務付けられています。例えば、個人情報の盗難が組織にとって大きな問題である場合、研修ではそれに対処する必要があります。

実践的な観点からも、新しい基準に準拠する場合でも、最小限のトレーニングではもはや十分ではないことは明らかです。代わりに、組織は、セキュリティのベストプラクティスを実際の日常業務に適用する方法を教える、包括的でアジャイルな学習経路を開発者に提供する必要があります。最低限のコンプライアンスへの取り組みにとどまらず、開発者がセキュリティを真に理解するために必要なリソースを提供することで、組織は開発者がPCI DSS 4.0に準拠しつつ、全体としてより適切なセキュリティ上の意思決定を行えるようにすることができます。

幸いなことに、PCI DSS 4.0の新しい要件の多くは、認証、暗号化、アクセス制御、鍵管理など、ほとんどの開発者がすでに慣れ親しんでいる分野を対象としています。開発者にスキル向上のための、適切で関連性のある使い慣れたリソースが提供されれば、組織はPCI DSS 4.0が必要とする新しい標準や責任の増大に対して、開発者がより簡単に準備できるようになります。

PCI DSS 4.0を基盤として活用し、全体的なセキュリティを強化する

新しいPCI DSS 4.0基準への準拠を成功させるには、適切なセキュリティ教育を通じて開発者のニーズに応えることが鍵ですが、組織のサイバーセキュリティ強化に向けた取り組みは、それだけでは終わりません。確かに要件は厳しいものですが、ほとんどの組織が要件に準拠するために努力する必要がある以上、全体的なセキュリティ意識とトレーニングを向上させるための足がかりとしてこの取り組みを行わない理由はありません。これは、組織がコンプライアンス要件を満たすのに役立つだけでなく、ベストプラクティスを優先し、組織内の全員が同じセキュリティ第一の目標に向かって取り組むことを保証する、ポジティブなセキュリティ文化の醸成にもつながります。

確かに学習には時間がかかりますが、開発者はそのような努力で参加してくれるでしょう。エバンスデータでは、世界中で活発に活動している1,200人以上のプロ開発者のうち、圧倒的多数が安全なコードを作成し、組織でより良いセキュリティ文化を確立するという概念を支持していると答えています。ほとんどの開発者が、開発プロセスの一部として、戦略的かつ支援された安全なコーディングへの移行とセキュリティの優先順位変更を歓迎していることは明らかです。

PCI DSS 4.0で義務付けられているセキュリティアップグレードは、企業がセキュリティのベストプラクティスとトレーニングの改善に投資し、組織内でより良い全体的なセキュリティ文化を取り入れるための絶好の機会となります。

企業がセキュアコーディングのスキルを関連するツールやトレーニングと統合できるプログラムに投資すれば、開発者はより容易にセキュリティ成熟度を高めることができます。その結果、開発者がより的確な意思決定を行えるようになり、新しい厳格なPCI DSS 4.0基準をはるかに超えて、組織の全体的なセキュリティ体制を改善する上で、開発者がより的確な意思決定を行えるようになるという、セキュリティ文化の醸成に役立ちます。

技術ニュースを数分間閲覧するだけで、脅威環境がいかに危険になりつつあるかがすぐに明らかになります。毎日、重大な侵害、新たな脆弱性、またはサイバー攻撃者や犯罪者による活発な悪用の脅威に関する報告が寄せられているようです。そして、ほぼすべての業界指標とレポートには、サイバー脅威の数が増加し続けていることが示されており、ほとんどの専門家がこの傾向が今後何年にもわたって続くと予測しています。

こうした新たな脅威に立ち向かうのは、ITセキュリティ担当者の最前線で、人員不足と人材不足が深刻化しています。高給で、どの企業や組織にとっても必要不可欠な存在であるにもかかわらず、セキュリティ担当者が不足していることは決してありません。最近の調査によると、戦略国際問題研究所（CSIS）が実施した調査では、IT意思決定者の82%が、組織がサイバーセキュリティスキルの不足に苦しんでいると答え、71%がその不足が組織に直接的かつ測定可能な損害をもたらしたと回答しました。報告書によると、米国だけでも、約94万人しか雇用されていない分野で、52万件以上のサイバーセキュリティ関連の求人が空いていることが明らかになりました。

世界中で、現在約350万件のサイバーセキュリティ関連の仕事が未充足です。つまり、トップレベルの専門家を雇用し維持するために多額の費用を支払っても構わないと考えている組織でさえ、適切な候補者を見つけるのに苦労しているということです。平均すると、サイバーセキュリティのポジションを埋めるのに要する時間は、他の職種よりも約21%長くなります。

開発者支援があまりにも長い間無視されてきた

過去のブログ多数で書き留めました。サイバーセキュリティ防御におけるこれらの重大なギャップを埋めるために開発者を活用できるということです。ただ、従来、開発者はサイバーセキュリティに関するトレーニングを受けていませんでした。彼らの職務遂行能力は、ほとんどすべて導入までのスピードと時間に基づいていました。セキュリティは、さらに先のアプリケーションセキュリティチームの仕事でした。

残念ながら、単に方針を変えて、開発者に急にアプリケーションやプログラムにセキュリティを追加し始めるよう頼むだけの問題ではありません。たとえ開発者が進んでそうした変更を行おうとしても、調査の結果、その多くがそうであることが明らかになったとしても、それを実現するためにはやはりトレーニングが必要です。また、上層部からの励ましや支援も必要ですが、有意義な学習が可能になることが、最初の、そして多くの場合最大の障害となります。

世界中で何百万もの高給で安全性の高いITセキュリティ職が空いているのには理由があります。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。比較的技術に精通した開発者であっても、サイバーセキュリティを教えようとしても、定型的なトレーニングを効率的に行うことはできません。そのトレーニングは、すぐに実施され、記憶に残らず、プラスの影響も最小限に抑えられます。特に、すでに過大な負担がかかっているスケジュールにこれらの要件が追加された場合はなおさらです。

足場を作って高台にたどり着こう

従来の方法でサイバーセキュリティスキルを教えることは、地面から足を離さずに超高層ビルを建てようとするようなものです。学生にはサイバーセキュリティのような複雑な分野の多くの高レベルの概念を習得するのに必要な基礎がないため、それは不可能です。これを補うために、「足場学習」という概念を活用することができます。

スキルアップに足場型のアプローチ、つまり「階層化」アプローチを使用する場合、大きなトピックは通常、個別の学習経験や概念に分解されます。これにより、学生は適切な演習と指導を通じて各概念を習得し、各要素に必要なすべてのサポートを受けることができます。建物の高さが高くなるにつれて物理的な足場が構築されるのと同じように、新しく高度な概念は既に習得されている概念の上に重ねられます。こうすることで、学生は支援なしでは習得できないレベルよりも高いレベルの理解とスキルの習得が可能になります。

そして、物理的な足場と同じように、そのサポートは不要になると段階的に取り除かれ、生徒が習熟するにつれて生徒に対する責任も大きくなります。

足場型学習は主に、生徒が支援なしで困難な課題に取り組んだときにイライラしたり、おびえたり、落胆したりしたときに経験する可能性のある否定的な感情や自己認識を減らすために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組む際にも大きな価値があります。開発者を子供のように扱う方法とは程遠く、セキュリティチームでの経験がイライラさせたり落胆させたりするような効果をもたらす可能性がある場合、特に彼らの努力がバグ修正や新たな批判と共に返送される場合には、非常に有用です。

開発者がセキュアコーディングの基礎を理解するためのツールが提供される場合（通常はOWASP トップ10）、セキュリティバグがどのように発生するのか、なぜ危険なのか、本番環境に移行する前に修正する方法を自分で確認できます。そこから、より複雑な脆弱性に取り組み、適切な修正を適用するための実践的な経験を積むことで、知識を広げることができます。レイヤーは少しずつ増えていき、安全でないソフトウェアアーキテクチャや脅威モデリングなどの高度なセキュリティ問題に関しては、これらの飛躍はそれほど恐ろしいものではなく、正確に取り組むことができます。

業界として、開発者にセキュリティの専門家になることを期待すべきではありませんが、組織はより高品質なソフトウェアを作成できるよう、開発者支援のための新たな基準を採用できます。エンジニアリング部門でスキル向上に取り組んでいる組織への付加価値として、各段階または足場の各レベルは、学習を進めるにつれて、サイバーセキュリティの強化に直接つながります。結果を見るためにコースが終了するまで待つ必要はありません。

サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。セキュリティプログラムを足場に組み込むことで最大限に活用でき、メリットはほぼすぐに明らかになります。改善はほぼ即座に開始され、時間の経過とともに継続的に向上していきます。

私たちと一緒にセキュリティに強い開発者の育成を始めましょう。以下をチェックしてください。

コース
ミッション
開発者トレーニング

...そしてもっと！

私たちは最近、最初の投稿を見て非常に興奮しました。それはフォーブス・テクノロジー・カウンシルの会長兼CEOであるピーター・ダンヒューによるライブ配信です。この投稿では、より安全なコードを作成するために開発者のスキルを向上させることが、サイバー攻撃やデータ漏洩を防ぐ鍵となることを詳しく説明しました。それだけでなく、セキュリティを意識した同じ開発者が、多くのIT部門が認識しているよりも早く、より優れた、より安全なコードをどのように提供できるかが明らかになりました。このアプローチの必要性は確かに説得力があります。最近の調査では、現在、サイバー攻撃は39秒ごとに発生していることが示されており、ランサムウェア攻撃がたった1回成功しただけで混乱が生じたことは誰もが経験しています。コロニアルパイプラインの大規模な混乱は、ソーラーウィンズハックのような破壊力はありませんでした。

‍

多くの一般的な脆弱性が存在し続けているのは、貧弱なコーディングパターンを、より安全で確実な方法で同じ機能を実現するためのより良い方法に置き換える方法を開発者にわざわざ示す人が誰もいなかったためです。また、開発後期にソフトウェアを修正することによる影響は、費やされる時間と導入の遅延の両面で、非常にコストがかかります。コードのデプロイ後、特に攻撃者がこれまで発見されていなかった脆弱性を悪用した後のコードの修正には、数百万ドルの費用がかかることがあります。それに、重大な侵害を受けた企業の評判へのダメージも考慮に入れていません。

セキュリティトレーニングを受けた開発者は、自然と優れたコーダーになります。確かに、CISOはセキュリティツールをすぐに廃止すべきではありませんが、包括的で予防的なセキュリティアプローチを上層部から主導することで、CISOは自社最大の資源である人的要因を活用できます。特に、ソフトウェア開発ライフサイクルの初期段階からセキュアコーディングに関してはそうです。

そのために、覚えておくべき上位3つの戦略を以下に示します。

1。事後対応ではなく、先を見越して行動しましょう

企業は、独自のビジョンを開発して追求するのではなく、競合他社の行動に対応するなど、事後対応型の罠に陥ることがよくあります。また、多くの企業が、コード内のセキュリティ脆弱性に関してはこのアプローチをデフォルトとして採用し、侵害が成功した結果として強制された場合にのみサイバーセキュリティを真剣に受け止めます。残念ながら、それまでに被害は収まり、罰金、復旧費用、顧客の減少、ブランド回復のすべてが収益に打撃を与えます。対策ではなく、最初から安全なコードを作成することに集中するのではなく、自動または手動のコードスキャンを利用して既存のコードの脆弱性を発見する方法もあります。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに含まれる脆弱性が多いほど、一部がすり抜ける可能性が高くなります。

積極的なアプローチを取り、開発者と協力して最初から安全なコードを作成できるよう支援することによってのみ、コーディングの脆弱性がユーザーに公開される可能性を大幅に減らすソフトウェア開発ライフサイクルを確立できます。

2。スキルアップ、やりすぎないで

安全なコードを作成するために必要な知識を開発者に提供することを決めたら、そのアプローチを賢く選択してください。コーディングをやめるような社内トレーニングワークショップは、開発者と管理者の両方を苛立たせます。夕方または週末に参加する必要があるオフサイトコースは、さらに人気がありません。最善のアプローチは、コーディングスキルを徐々に身につけることです。コーディングプロセス中に関連情報を段階的に提供することで、開発者の気を散らしたり、開発プロセスを遅らせたりすることなく、基本的にスキルを向上させます。

3。インセンティブを与える、思い込まないでください

開発者は、セキュリティスキルの向上を罰や骨の折れる作業と見なすべきではありません。マネージャーは、企業の成功においてセキュアコードが果たす重要な役割を伝えることで、開発者を鼓舞しなければなりません。また、セキュアコーダーは会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要です。

バイデン政権は歓迎されました 大統領令 サイバーセキュリティへの注力が強まり、「開発者やサプライヤー自身のセキュリティ慣行を評価するための基準を組み込み、安全な慣行への適合を実証するための革新的なツールや方法を特定する」必要性が高まっています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。導入されたシステムやツールをどうにかして無視したり、誤解したり、悪用したり、その他の方法で回避したりする個人の能力を完全に排除するツールはありません。企業のセキュリティを最大化するには、CISOは人的要因を活用し、開発者が積極的にセキュリティを支持し、実践するよう奨励する必要があります。