信頼スコアは、Secure By-Design-Upskilling イニシアチブの価値を示します
組織のセキュリティ態勢を確実に向上させる方法は、開発者向けのセキュリティコーディングベストプラクティスを、基準線やベンチマークを含むフレームワークで提供し、必要な学習パスを設計することです。しかしセキュリティコーディングは一度で解決できる問題ではありません。組織のDNAに組み込まれ、生活様式として定着させる必要があります。開発者は左にシフトするだけでなく、左から始め、左へ移動し続ける必要があります。
単に教育を提供するだけでは不十分です。組織では、開発者が教育内容を完全に習得し、SDLC(ソフトウェア開発ライフサイクル)の初期段階で日常業務の一部としてベストプラクティスを実践していることを確認する必要があります。内部基準や業界ベンチマークと比較して開発者の成果を追跡し、進捗を測定することで、教育投資のROIを効果的に評価すべきです。
セキュアコードウォリアーズ信頼スコアは、個々の開発者の成果に対する可視性を提供し、データを集計して組織全体の成果を評価します。改善が必要な領域を特定すると同時に、スキル向上プログラムの効果を可視化します。また、一般データ保護規則(GDPR)、決済カード業界データセキュリティ基準(PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)など、様々なコンプライアンス要件への準拠を支援します。
当社の研究によると、セキュリティコード教育は効果的であることが示されました。Trust Scoreは、600以上の組織における25万人以上の学習者が業務で得た2,000万以上の学習データポイントに基づくアルゴリズムを使用し、脆弱性を除去するのに効果的であり、イニシアチブをより効果的にする方法を示しています。
教育を通じてセキュリティが強化されます — 開発者が教育を受けると
長年にわたり、SDLCの開始時にセキュリティのベストプラクティスを採用することは、ソフトウェア業界ではほとんど野心的な取り組みのように見えました。 いつかは必要だが、今日では優先順位が低い。しかしソフトウェア開発のスピードが加速し続ける中、ソフトウェアの脆弱性を標的にして構築される高度で破壊的なサイバー脅威の速度も同様に加速しており、セキュアコーディングは必須となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は、セキュアコーディングを前面に押し出し、中心に据えている。セキュリティを考慮した設計(Secure by Design)は、成長を続ける国際的なイニシアチブ運動である。
当社の研究により、セキュアバイデザインアプローチとソフトウェア脆弱性の低減との間に明確な相関関係が実証されました。SCW顧客ベースの脆弱性削減データ(26%)を分析した結果、開発者教育を通じてソフトウェア脆弱性が22%から84%に減少したことが明らかになりました。この範囲は、関連する企業の規模(開発者数が比較的少ない小規模企業ほど劇的な結果を生む)、学習グループが特定の問題に焦点を当てていたかどうか、といった変数に起因しており、 この場合、欠陥の割合がより高くなりました。
大企業の結果はほぼ一致していました。開発者が7,000人以上いる企業では、開発者のセキュリティ技術向上により脆弱性が47%から53%まで減少すると予測できます。例えば、10,000人以上の開発者を擁するある企業(プラットフォームで最高実績を上げた企業でも、ベンチマークが最も高い企業でもない)では、脆弱性が53%減少しました。
もちろん、最も効果的な教育のために広範で画一的なアプローチが必要なわけではありません。開発者の作業環境と開発者が行う開発のタイプに合わせて調整されるべきです。
企業はまず、開発者が単にコードを書くのと同じように自然にセキュアなコードを書けるようにするために、備えるべき基本技術を確立しなければなりません。アップスキリングプログラムは、行う作業の種類や使用する言語に合った実際のシナリオを用いた実践的でアジャイルなトレーニングで構成されるべきです。また、トレーニングセッションは業務スケジュールに合わせられるほど柔軟である必要があります。
開発者の場合、技術セットにはコード作成以上の作業が含まれます。開発者は人工知能アシスタントやサードパーティ製ソフトウェア(例:オープンソースリポジトリ)を確認できる必要があります。開発者たちは熱心なユーザーとして生成AIモデルを活用し、一般的にこのモデルがより多くのコードをより速く生成できる利点を高く評価しました。しかし回答者の76%が、AIが生成したコードは人間が作成したコードよりも安全だと回答した一方で、56.4%は依然としてAIが時々または頻繁にエラーを発生させると回答しました。同じ調査では、開発者の80%がAIコードのセキュリティポリシー適用を省略していることが明らかになり、これはAIコードの問題が未解決のままであることを示唆しています。
セキュアバイデザインのアプローチでは、開発者はセキュリティチームと別々に作業するのではなく、セキュリティチームと協力してSDLCの初期段階でこれらの問題を解決し、コードが本番環境に投入される前に欠陥を特定して修正します。
信頼スコアは個人および企業の業績を測定します。
継続的な教育の実施も重要です。企業は、最高職位から各職位に至るまで、全社的に適用されるセキュリティ優先の文化を採用すべきです。継続的な改善とSDLC全体における模範的なセキュリティ慣行の適用に重点を置く必要があります。技術とサイバー犯罪者は進化を止めず、サイバーセキュリティも同様です。ソフトウェアを開発する組織にとって、セキュリティ教育を受けた開発者が基盤となります。
したがって、トレーニングが効果的に定着したことを証明することは、トレーニング自体と同様に重要です。信頼スコアは、開発者個人と組織全体の成果を把握できるだけでなく、組織が成果データを詳細に分析し、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てられるようにします。個別の成果および集計された成果結果のデータは、トレーニングを改善すべき領域(例:開発者の日常的な成果に望ましい影響を与えていないかどうか)を特定するのにも役立ちます。
組織はTrust Scoreを通じて開発者の実績を評価し、開発者が必要なセキュリティ技術を習得し、使用していることを確認することで、コード作成ライセンスを取得したかどうかを確認できます。これにより、組織は資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセス権を自信を持って付与し、まだ準備が整っていないツールを使用する開発者にはアクセスを拒否できます。
変化するセキュリティ文化の証
サイバーセキュリティはもはや単なるセキュリティ問題ではありません。これは多くの組織にとって最も重要な資産であるデータの完全性に影響を与えるビジネス上の問題です。深刻な侵害は組織の運営、評判、そして潜在的には組織の存続可能性にも影響を及ぼします。規制当局もサイバーセキュリティの重要性を軽視しておらず、ますます厳格な規制を実施する中で、CISOや潜在的には他の上級管理職に対して訴訟を起こす意向を示しています。 こうした規制当局は、Uberや SolarWindsの事例のように刑事告発を行うほどです。
今日の環境では、全社的なセキュリティ文化の採用が不可欠です。企業価値の相当部分がデータ、アプリケーション、サービスに存在するため、セキュアコーディングは企業文化の中核要素です。文化変革に教育が寄与した証拠とともに、文化的思考様式の一部である標的型教育と技術向上は、組織がセキュリティ態勢を強化する道へと進むことを可能にします。
開発者主導のセキュリティプログラムには価値があります。その証拠が信頼スコアです。
当社の研究によると、セキュリティコード教育は効果的であることが示されました。Trust Scoreは、600以上の組織における25万人以上の学習者が業務で得た2,000万以上の学習データポイントに基づくアルゴリズムを使用し、脆弱性を除去するのに効果的であり、イニシアチブをより効果的にする方法を示しています。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
組織のセキュリティ態勢を確実に向上させる方法は、開発者向けのセキュリティコーディングベストプラクティスを、基準線やベンチマークを含むフレームワークで提供し、必要な学習パスを設計することです。しかしセキュリティコーディングは一度で解決できる問題ではありません。組織のDNAに組み込まれ、生活様式として定着させる必要があります。開発者は左にシフトするだけでなく、左から始め、左へ移動し続ける必要があります。
単に教育を提供するだけでは不十分です。組織では、開発者が教育内容を完全に習得し、SDLC(ソフトウェア開発ライフサイクル)の初期段階で日常業務の一部としてベストプラクティスを実践していることを確認する必要があります。内部基準や業界ベンチマークと比較して開発者の成果を追跡し、進捗を測定することで、教育投資のROIを効果的に評価すべきです。
セキュアコードウォリアーズ信頼スコアは、個々の開発者の成果に対する可視性を提供し、データを集計して組織全体の成果を評価します。改善が必要な領域を特定すると同時に、スキル向上プログラムの効果を可視化します。また、一般データ保護規則(GDPR)、決済カード業界データセキュリティ基準(PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)など、様々なコンプライアンス要件への準拠を支援します。
当社の研究によると、セキュリティコード教育は効果的であることが示されました。Trust Scoreは、600以上の組織における25万人以上の学習者が業務で得た2,000万以上の学習データポイントに基づくアルゴリズムを使用し、脆弱性を除去するのに効果的であり、イニシアチブをより効果的にする方法を示しています。
教育を通じてセキュリティが強化されます — 開発者が教育を受けると
長年にわたり、SDLCの開始時にセキュリティのベストプラクティスを採用することは、ソフトウェア業界ではほとんど野心的な取り組みのように見えました。 いつかは必要だが、今日では優先順位が低い。しかしソフトウェア開発のスピードが加速し続ける中、ソフトウェアの脆弱性を標的にして構築される高度で破壊的なサイバー脅威の速度も同様に加速しており、セキュアコーディングは必須となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は、セキュアコーディングを前面に押し出し、中心に据えている。セキュリティを考慮した設計(Secure by Design)は、成長を続ける国際的なイニシアチブ運動である。
当社の研究により、セキュアバイデザインアプローチとソフトウェア脆弱性の低減との間に明確な相関関係が実証されました。SCW顧客ベースの脆弱性削減データ(26%)を分析した結果、開発者教育を通じてソフトウェア脆弱性が22%から84%に減少したことが明らかになりました。この範囲は、関連する企業の規模(開発者数が比較的少ない小規模企業ほど劇的な結果を生む)、学習グループが特定の問題に焦点を当てていたかどうか、といった変数に起因しており、 この場合、欠陥の割合がより高くなりました。
大企業の結果はほぼ一致していました。開発者が7,000人以上いる企業では、開発者のセキュリティ技術向上により脆弱性が47%から53%まで減少すると予測できます。例えば、10,000人以上の開発者を擁するある企業(プラットフォームで最高実績を上げた企業でも、ベンチマークが最も高い企業でもない)では、脆弱性が53%減少しました。
もちろん、最も効果的な教育のために広範で画一的なアプローチが必要なわけではありません。開発者の作業環境と開発者が行う開発のタイプに合わせて調整されるべきです。
企業はまず、開発者が単にコードを書くのと同じように自然にセキュアなコードを書けるようにするために、備えるべき基本技術を確立しなければなりません。アップスキリングプログラムは、行う作業の種類や使用する言語に合った実際のシナリオを用いた実践的でアジャイルなトレーニングで構成されるべきです。また、トレーニングセッションは業務スケジュールに合わせられるほど柔軟である必要があります。
開発者の場合、技術セットにはコード作成以上の作業が含まれます。開発者は人工知能アシスタントやサードパーティ製ソフトウェア(例:オープンソースリポジトリ)を確認できる必要があります。開発者たちは熱心なユーザーとして生成AIモデルを活用し、一般的にこのモデルがより多くのコードをより速く生成できる利点を高く評価しました。しかし回答者の76%が、AIが生成したコードは人間が作成したコードよりも安全だと回答した一方で、56.4%は依然としてAIが時々または頻繁にエラーを発生させると回答しました。同じ調査では、開発者の80%がAIコードのセキュリティポリシー適用を省略していることが明らかになり、これはAIコードの問題が未解決のままであることを示唆しています。
セキュアバイデザインのアプローチでは、開発者はセキュリティチームと別々に作業するのではなく、セキュリティチームと協力してSDLCの初期段階でこれらの問題を解決し、コードが本番環境に投入される前に欠陥を特定して修正します。
信頼スコアは個人および企業の業績を測定します。
継続的な教育の実施も重要です。企業は、最高職位から各職位に至るまで、全社的に適用されるセキュリティ優先の文化を採用すべきです。継続的な改善とSDLC全体における模範的なセキュリティ慣行の適用に重点を置く必要があります。技術とサイバー犯罪者は進化を止めず、サイバーセキュリティも同様です。ソフトウェアを開発する組織にとって、セキュリティ教育を受けた開発者が基盤となります。
したがって、トレーニングが効果的に定着したことを証明することは、トレーニング自体と同様に重要です。信頼スコアは、開発者個人と組織全体の成果を把握できるだけでなく、組織が成果データを詳細に分析し、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てられるようにします。個別の成果および集計された成果結果のデータは、トレーニングを改善すべき領域(例:開発者の日常的な成果に望ましい影響を与えていないかどうか)を特定するのにも役立ちます。
組織はTrust Scoreを通じて開発者の実績を評価し、開発者が必要なセキュリティ技術を習得し、使用していることを確認することで、コード作成ライセンスを取得したかどうかを確認できます。これにより、組織は資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセス権を自信を持って付与し、まだ準備が整っていないツールを使用する開発者にはアクセスを拒否できます。
変化するセキュリティ文化の証
サイバーセキュリティはもはや単なるセキュリティ問題ではありません。これは多くの組織にとって最も重要な資産であるデータの完全性に影響を与えるビジネス上の問題です。深刻な侵害は組織の運営、評判、そして潜在的には組織の存続可能性にも影響を及ぼします。規制当局もサイバーセキュリティの重要性を軽視しておらず、ますます厳格な規制を実施する中で、CISOや潜在的には他の上級管理職に対して訴訟を起こす意向を示しています。 こうした規制当局は、Uberや SolarWindsの事例のように刑事告発を行うほどです。
今日の環境では、全社的なセキュリティ文化の採用が不可欠です。企業価値の相当部分がデータ、アプリケーション、サービスに存在するため、セキュアコーディングは企業文化の中核要素です。文化変革に教育が寄与した証拠とともに、文化的思考様式の一部である標的型教育と技術向上は、組織がセキュリティ態勢を強化する道へと進むことを可能にします。
開発者主導のセキュリティプログラムには価値があります。その証拠が信頼スコアです。
組織のセキュリティ態勢を確実に向上させる方法は、開発者向けのセキュリティコーディングベストプラクティスを、基準線やベンチマークを含むフレームワークで提供し、必要な学習パスを設計することです。しかしセキュリティコーディングは一度で解決できる問題ではありません。組織のDNAに組み込まれ、生活様式として定着させる必要があります。開発者は左にシフトするだけでなく、左から始め、左へ移動し続ける必要があります。
単に教育を提供するだけでは不十分です。組織では、開発者が教育内容を完全に習得し、SDLC(ソフトウェア開発ライフサイクル)の初期段階で日常業務の一部としてベストプラクティスを実践していることを確認する必要があります。内部基準や業界ベンチマークと比較して開発者の成果を追跡し、進捗を測定することで、教育投資のROIを効果的に評価すべきです。
セキュアコードウォリアーズ信頼スコアは、個々の開発者の成果に対する可視性を提供し、データを集計して組織全体の成果を評価します。改善が必要な領域を特定すると同時に、スキル向上プログラムの効果を可視化します。また、一般データ保護規則(GDPR)、決済カード業界データセキュリティ基準(PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)など、様々なコンプライアンス要件への準拠を支援します。
当社の研究によると、セキュリティコード教育は効果的であることが示されました。Trust Scoreは、600以上の組織における25万人以上の学習者が業務で得た2,000万以上の学習データポイントに基づくアルゴリズムを使用し、脆弱性を除去するのに効果的であり、イニシアチブをより効果的にする方法を示しています。
教育を通じてセキュリティが強化されます — 開発者が教育を受けると
長年にわたり、SDLCの開始時にセキュリティのベストプラクティスを採用することは、ソフトウェア業界ではほとんど野心的な取り組みのように見えました。 いつかは必要だが、今日では優先順位が低い。しかしソフトウェア開発のスピードが加速し続ける中、ソフトウェアの脆弱性を標的にして構築される高度で破壊的なサイバー脅威の速度も同様に加速しており、セキュアコーディングは必須となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は、セキュアコーディングを前面に押し出し、中心に据えている。セキュリティを考慮した設計(Secure by Design)は、成長を続ける国際的なイニシアチブ運動である。
当社の研究により、セキュアバイデザインアプローチとソフトウェア脆弱性の低減との間に明確な相関関係が実証されました。SCW顧客ベースの脆弱性削減データ(26%)を分析した結果、開発者教育を通じてソフトウェア脆弱性が22%から84%に減少したことが明らかになりました。この範囲は、関連する企業の規模(開発者数が比較的少ない小規模企業ほど劇的な結果を生む)、学習グループが特定の問題に焦点を当てていたかどうか、といった変数に起因しており、 この場合、欠陥の割合がより高くなりました。
大企業の結果はほぼ一致していました。開発者が7,000人以上いる企業では、開発者のセキュリティ技術向上により脆弱性が47%から53%まで減少すると予測できます。例えば、10,000人以上の開発者を擁するある企業(プラットフォームで最高実績を上げた企業でも、ベンチマークが最も高い企業でもない)では、脆弱性が53%減少しました。
もちろん、最も効果的な教育のために広範で画一的なアプローチが必要なわけではありません。開発者の作業環境と開発者が行う開発のタイプに合わせて調整されるべきです。
企業はまず、開発者が単にコードを書くのと同じように自然にセキュアなコードを書けるようにするために、備えるべき基本技術を確立しなければなりません。アップスキリングプログラムは、行う作業の種類や使用する言語に合った実際のシナリオを用いた実践的でアジャイルなトレーニングで構成されるべきです。また、トレーニングセッションは業務スケジュールに合わせられるほど柔軟である必要があります。
開発者の場合、技術セットにはコード作成以上の作業が含まれます。開発者は人工知能アシスタントやサードパーティ製ソフトウェア(例:オープンソースリポジトリ)を確認できる必要があります。開発者たちは熱心なユーザーとして生成AIモデルを活用し、一般的にこのモデルがより多くのコードをより速く生成できる利点を高く評価しました。しかし回答者の76%が、AIが生成したコードは人間が作成したコードよりも安全だと回答した一方で、56.4%は依然としてAIが時々または頻繁にエラーを発生させると回答しました。同じ調査では、開発者の80%がAIコードのセキュリティポリシー適用を省略していることが明らかになり、これはAIコードの問題が未解決のままであることを示唆しています。
セキュアバイデザインのアプローチでは、開発者はセキュリティチームと別々に作業するのではなく、セキュリティチームと協力してSDLCの初期段階でこれらの問題を解決し、コードが本番環境に投入される前に欠陥を特定して修正します。
信頼スコアは個人および企業の業績を測定します。
継続的な教育の実施も重要です。企業は、最高職位から各職位に至るまで、全社的に適用されるセキュリティ優先の文化を採用すべきです。継続的な改善とSDLC全体における模範的なセキュリティ慣行の適用に重点を置く必要があります。技術とサイバー犯罪者は進化を止めず、サイバーセキュリティも同様です。ソフトウェアを開発する組織にとって、セキュリティ教育を受けた開発者が基盤となります。
したがって、トレーニングが効果的に定着したことを証明することは、トレーニング自体と同様に重要です。信頼スコアは、開発者個人と組織全体の成果を把握できるだけでなく、組織が成果データを詳細に分析し、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てられるようにします。個別の成果および集計された成果結果のデータは、トレーニングを改善すべき領域(例:開発者の日常的な成果に望ましい影響を与えていないかどうか)を特定するのにも役立ちます。
組織はTrust Scoreを通じて開発者の実績を評価し、開発者が必要なセキュリティ技術を習得し、使用していることを確認することで、コード作成ライセンスを取得したかどうかを確認できます。これにより、組織は資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセス権を自信を持って付与し、まだ準備が整っていないツールを使用する開発者にはアクセスを拒否できます。
変化するセキュリティ文化の証
サイバーセキュリティはもはや単なるセキュリティ問題ではありません。これは多くの組織にとって最も重要な資産であるデータの完全性に影響を与えるビジネス上の問題です。深刻な侵害は組織の運営、評判、そして潜在的には組織の存続可能性にも影響を及ぼします。規制当局もサイバーセキュリティの重要性を軽視しておらず、ますます厳格な規制を実施する中で、CISOや潜在的には他の上級管理職に対して訴訟を起こす意向を示しています。 こうした規制当局は、Uberや SolarWindsの事例のように刑事告発を行うほどです。
今日の環境では、全社的なセキュリティ文化の採用が不可欠です。企業価値の相当部分がデータ、アプリケーション、サービスに存在するため、セキュアコーディングは企業文化の中核要素です。文化変革に教育が寄与した証拠とともに、文化的思考様式の一部である標的型教育と技術向上は、組織がセキュリティ態勢を強化する道へと進むことを可能にします。
開発者主導のセキュリティプログラムには価値があります。その証拠が信頼スコアです。
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
組織のセキュリティ態勢を確実に向上させる方法は、開発者向けのセキュリティコーディングベストプラクティスを、基準線やベンチマークを含むフレームワークで提供し、必要な学習パスを設計することです。しかしセキュリティコーディングは一度で解決できる問題ではありません。組織のDNAに組み込まれ、生活様式として定着させる必要があります。開発者は左にシフトするだけでなく、左から始め、左へ移動し続ける必要があります。
単に教育を提供するだけでは不十分です。組織では、開発者が教育内容を完全に習得し、SDLC(ソフトウェア開発ライフサイクル)の初期段階で日常業務の一部としてベストプラクティスを実践していることを確認する必要があります。内部基準や業界ベンチマークと比較して開発者の成果を追跡し、進捗を測定することで、教育投資のROIを効果的に評価すべきです。
セキュアコードウォリアーズ信頼スコアは、個々の開発者の成果に対する可視性を提供し、データを集計して組織全体の成果を評価します。改善が必要な領域を特定すると同時に、スキル向上プログラムの効果を可視化します。また、一般データ保護規則(GDPR)、決済カード業界データセキュリティ基準(PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)など、様々なコンプライアンス要件への準拠を支援します。
当社の研究によると、セキュリティコード教育は効果的であることが示されました。Trust Scoreは、600以上の組織における25万人以上の学習者が業務で得た2,000万以上の学習データポイントに基づくアルゴリズムを使用し、脆弱性を除去するのに効果的であり、イニシアチブをより効果的にする方法を示しています。
教育を通じてセキュリティが強化されます — 開発者が教育を受けると
長年にわたり、SDLCの開始時にセキュリティのベストプラクティスを採用することは、ソフトウェア業界ではほとんど野心的な取り組みのように見えました。 いつかは必要だが、今日では優先順位が低い。しかしソフトウェア開発のスピードが加速し続ける中、ソフトウェアの脆弱性を標的にして構築される高度で破壊的なサイバー脅威の速度も同様に加速しており、セキュアコーディングは必須となった。サイバーセキュリティ・インフラセキュリティ庁(CISA)は、セキュアコーディングを前面に押し出し、中心に据えている。セキュリティを考慮した設計(Secure by Design)は、成長を続ける国際的なイニシアチブ運動である。
当社の研究により、セキュアバイデザインアプローチとソフトウェア脆弱性の低減との間に明確な相関関係が実証されました。SCW顧客ベースの脆弱性削減データ(26%)を分析した結果、開発者教育を通じてソフトウェア脆弱性が22%から84%に減少したことが明らかになりました。この範囲は、関連する企業の規模(開発者数が比較的少ない小規模企業ほど劇的な結果を生む)、学習グループが特定の問題に焦点を当てていたかどうか、といった変数に起因しており、 この場合、欠陥の割合がより高くなりました。
大企業の結果はほぼ一致していました。開発者が7,000人以上いる企業では、開発者のセキュリティ技術向上により脆弱性が47%から53%まで減少すると予測できます。例えば、10,000人以上の開発者を擁するある企業(プラットフォームで最高実績を上げた企業でも、ベンチマークが最も高い企業でもない)では、脆弱性が53%減少しました。
もちろん、最も効果的な教育のために広範で画一的なアプローチが必要なわけではありません。開発者の作業環境と開発者が行う開発のタイプに合わせて調整されるべきです。
企業はまず、開発者が単にコードを書くのと同じように自然にセキュアなコードを書けるようにするために、備えるべき基本技術を確立しなければなりません。アップスキリングプログラムは、行う作業の種類や使用する言語に合った実際のシナリオを用いた実践的でアジャイルなトレーニングで構成されるべきです。また、トレーニングセッションは業務スケジュールに合わせられるほど柔軟である必要があります。
開発者の場合、技術セットにはコード作成以上の作業が含まれます。開発者は人工知能アシスタントやサードパーティ製ソフトウェア(例:オープンソースリポジトリ)を確認できる必要があります。開発者たちは熱心なユーザーとして生成AIモデルを活用し、一般的にこのモデルがより多くのコードをより速く生成できる利点を高く評価しました。しかし回答者の76%が、AIが生成したコードは人間が作成したコードよりも安全だと回答した一方で、56.4%は依然としてAIが時々または頻繁にエラーを発生させると回答しました。同じ調査では、開発者の80%がAIコードのセキュリティポリシー適用を省略していることが明らかになり、これはAIコードの問題が未解決のままであることを示唆しています。
セキュアバイデザインのアプローチでは、開発者はセキュリティチームと別々に作業するのではなく、セキュリティチームと協力してSDLCの初期段階でこれらの問題を解決し、コードが本番環境に投入される前に欠陥を特定して修正します。
信頼スコアは個人および企業の業績を測定します。
継続的な教育の実施も重要です。企業は、最高職位から各職位に至るまで、全社的に適用されるセキュリティ優先の文化を採用すべきです。継続的な改善とSDLC全体における模範的なセキュリティ慣行の適用に重点を置く必要があります。技術とサイバー犯罪者は進化を止めず、サイバーセキュリティも同様です。ソフトウェアを開発する組織にとって、セキュリティ教育を受けた開発者が基盤となります。
したがって、トレーニングが効果的に定着したことを証明することは、トレーニング自体と同様に重要です。信頼スコアは、開発者個人と組織全体の成果を把握できるだけでなく、組織が成果データを詳細に分析し、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てられるようにします。個別の成果および集計された成果結果のデータは、トレーニングを改善すべき領域(例:開発者の日常的な成果に望ましい影響を与えていないかどうか)を特定するのにも役立ちます。
組織はTrust Scoreを通じて開発者の実績を評価し、開発者が必要なセキュリティ技術を習得し、使用していることを確認することで、コード作成ライセンスを取得したかどうかを確認できます。これにより、組織は資格のある開発者に最も機密性の高いデータや重要なソフトウェアプロジェクトへのアクセス権を自信を持って付与し、まだ準備が整っていないツールを使用する開発者にはアクセスを拒否できます。
変化するセキュリティ文化の証
サイバーセキュリティはもはや単なるセキュリティ問題ではありません。これは多くの組織にとって最も重要な資産であるデータの完全性に影響を与えるビジネス上の問題です。深刻な侵害は組織の運営、評判、そして潜在的には組織の存続可能性にも影響を及ぼします。規制当局もサイバーセキュリティの重要性を軽視しておらず、ますます厳格な規制を実施する中で、CISOや潜在的には他の上級管理職に対して訴訟を起こす意向を示しています。 こうした規制当局は、Uberや SolarWindsの事例のように刑事告発を行うほどです。
今日の環境では、全社的なセキュリティ文化の採用が不可欠です。企業価値の相当部分がデータ、アプリケーション、サービスに存在するため、セキュアコーディングは企業文化の中核要素です。文化変革に教育が寄与した証拠とともに、文化的思考様式の一部である標的型教育と技術向上は、組織がセキュリティ態勢を強化する道へと進むことを可能にします。
開発者主導のセキュリティプログラムには価値があります。その証拠が信頼スコアです。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約ダウンロード
%20(1).avif)
.avif)
