セキュリティコードインサイト

サイバー脅威が増加し続ける状況の中で、コーダーたちは一歩前進しているのでしょうか？最も重要な開発者であるセキュアコーディングの人材要素は、接続された世界を守る上で自らの役割を果たす準備ができているのでしょうか？この疑問に答えるために、Secure Code Warrior が Evans Data Corp と共同で実施した、セキュアコーディング、セキュアコードの実践、およびセキュア運用に関する開発者の意識に関する最近の調査から得られた、いくつかの洞察を見てみましょう。 ‍

開発者のセキュリティコーディング技術 — 認識と現実

まもなくリリース予定のバージョンにおける対応から予防への転換：アプリケーションセキュリティの変容。調査に参加した開発者の97％はセキュリティコーディングに関する十分な教育を受けたと考えており、95％はセキュリティコーディング教育が自身のキャリアに有益だったことに同意しています。しかし、こうした主張を額面通りに受け入れる前に、まず反省し、いくつかの重要な疑問を投げかける必要があります。コードの脆弱性が依然として広く蔓延している理由は何でしょうか？開発者が十分なセキュリティコーディング教育を受けているにもかかわらず、なぜ従来と同様の脆弱性が生じ続けるのでしょうか？同じ10種類のソフトウェア脆弱性が、過去20年以上にわたりセキュリティ侵害の大半を引き起こしてきたのはなぜでしょうか？  

一体どうしたんだ？

開発者たちは自分たちがセキュリティ教育を十分に受けていると言うが、これは過信ではないだろうか？一つ確かなのは、こうした肯定的な自己評価が、セキュリティコーディングの難しさに対する開発者自身の見解と矛盾している点だ。大半の開発者は価値ある十分な教育を受けたと語る一方で、大半の開発者と開発管理者は依然として、セキュリティコードの実践を実装することがやや難しいと考えている。

• 開発管理者の91%以上が、セキュリティコードプラクティスの実装が難しいと述べています。
• 開発者の88%以上が安全なコーディングは難しいと考えています。セキュリティコーディングにおいて最も重要な「人的要素」であるにもかかわらず、開発者は必要なセキュリティコード教育を受けていません。これは、次のようなセキュリティコード教育が必要であることを意味します。より優れたセキュリティコード教育とセキュリティ強化 を通じて、顧客の思考様式に基づいてセキュリティが内在化されます。

セキュリティコードの実装はなぜそんなに難しいのでしょうか？

開発者と開発管理者は、セキュリティコードの実装が難しいと感じる理由を理解するため、実装に関連する主な懸念事項を特定するよう求められました。

その結果、28%が学習プロセスが難しいと感じている一方、24%は学習プロセス自体が退屈だと回答しました。

これらの主要な関心事は関連性を持っています。学習プロセスが難しいため、より参加型の教育が必要です。また、学習プロセスが退屈であるため、開発者により適した、開発者中心の成人学習の必要性を強調します。

「しっかり身につけられて、他のシナリオにも適切に適用できる何かを学びたいです。それがまさにセキュアコードウォリアーでしょう。」
‍
シニアスタッフソフトウェアエンジニア @ ForgerOck

消えたリンク

セキュリティコーディングの変革を主導するSecure Code Warriorは、セキュリティコーディング技術の習得を前向きでやりがいのある経験とする人間中心のアプローチを採用しています。コーディングしながらセキュリティ問題を特定・解決できる100%実践型で楽しくインタラクティブな教育を通じて、開発者がセキュリティコーディングの実践に完全に没頭できるようにします。これらの機能により、脆弱性が明日のニュースになる前に未然に防ぎ、リリースにかかるコストと時間を削減できます。

しかし、私たちの言葉を信じてはいけません。

「Secure Code Warrior® ポータルは、様々な技術のセキュリティ脆弱性について学べる優れたプラットフォームです。興味深くインタラクティブな機能をすべて備えています。」

セキュリティテスター、中小企業小売業者
Tweed: 5AC-3CA-F68

「Secure Code Warriorはゲーミフィケーションを活用し、セキュリティコーディングの重要性を非常に楽しく魅力的な方法で強調することができました。」

グローバル500金融サービス企業、ソフトウェアエンジニア
Tweed: B0D-73D-BE3

そしてそれらの出所はさらに多く存在します。したがって、セキュリティコード教育に対するこの新たなアプローチを間近で個人的に検証し、これを通じて開発者がどのように成長できるのかを確かめたいとお考えなら、真のセキュリティスーパーヒーローの皆さん、ぜひお見せしたいと思います。

10月は長い間、組織がサイバーセキュリティに対する意識を倍増させる月であった。しかし2025年、その状況は大きく変わっている。AIによるソフトウェア開発は、もはや試験的なプロジェクトではなく、主流となっている。オートコンプリートのコパイロットとして始まったものは、アプリケーション全体を生成するエージェント型AIシステムへと加速している。開発者はもはや単なるコードの作者ではなく、AIが生成したアウトプットのレビュアーであり、エディターであり、擁護者なのだ。

この変化はチャンスであると同時にリスクでもある。AIは、より迅速なデリバリーを約束するが、同時に露出を拡大し、コンプライアンスへの圧力を高め、弾力的な開発者のセキュリティ対策の必要性を高める。サイバーセキュリティ啓発月間は、旧態依然としたフィッシング詐欺の注意喚起や詐欺の発見演習に頼り続けることはできない。この月間は、企業がAIのスピードに合わせてコードを保護できるようにする、AIを意識した準備態勢へと進化しなければならない。

サイバーセキュリティ啓発月間が進化しなければならない理由

この20年間、サイバーセキュリティ啓発月間は、フィッシングや詐欺メールにスポットライトを当て、パスワード衛生の強化を促し、多要素認証を推進し、ソフトウェアのアップデートを従業員に喚起し、ソーシャル・エンジニアリングに警告を発するという、お馴染みのスクリプトを踏襲してきた。安全なブラウジング、ランサムウェア、データプライバシー、リモートワークの安全性などが強調される年もある。これらはすべて重要ではあるが、同じような古いプレイブック、つまり、AI主導の開発の世界で企業が実際に直面するリスクをもはや反映していない、繰り返されるテーマのチェックリストを表している。

サイバーセキュリティ啓発月間」の意義を維持するためには、一般的な啓発にとどまらず、今日のソフトウェア開発ライフサイクルの現実を反映した、安全なコーディング演習からAIを活用したコードレビューまで、開発者ファーストの実践を強調する必要がある。

成熟した組織の中には、OWASPトップ10トレーニングや開発者に焦点を当てたビデオモジュールのような活動を啓発活動に取り入れ、すでにこの方向に進み始めているところもある。しかし、こうしたアプローチも進化する必要がある。AIは、コードの作成、レビュー、デプロイの方法を根本的に変えつつあるという現実がある。意識向上は、表面的な注意喚起から、AIが生成するコードが新たな攻撃対象となる未来に向けて企業を準備することにシフトしなければならない。

Secure Code Warrior、適切なAIセキュリティ・スキルを身につけた開発者は、組織にとって生産性を10倍向上させることができると信じています。しかし、そのようなスキルがなければ、10倍以上のコード、技術的負債、脆弱性を生み出す可能性があります。

企業のセキュリティ・リーダーにとって、その意味は明らかだ：

• コードが増えれば露出も増える：AIはデリバリーを加速させるが、監視なしでは脆弱性と技術的負債を指数関数的に増大させ、企業リスクを高める可能性がある。
• コンプライアンスだけではないガバナンス政府や業界団体は、現在の基準では不十分であることを示している。例えば、EUのAI法はすでにAIシステムの透明性、リスク分類、監視に関する要件を導入しており、他の地域もこれに倣う可能性がある。CISOは将来の規制を予測し、可視化とガバナンス管理によってシャドーAIに積極的に対処すべきである。 
• スキル格差の拡大：開発者は、プロンプト・インジェクションや安全でないAPIなど、AI特有の攻撃サーフェスに対応できる能力を身につける必要がある。実際、2025年版Thales Data Threat Reportによると、企業の70%近くがAI開発のペースをセキュリティ上の最大の懸念事項として挙げており、導入と準備のミスマッチが拡大していることが明らかになっています。

CISOはもはやAIの導入を副次的な取り組みとして扱うことはできない。今やAIは、企業がどのようにソフトウェアを構築し、提供し、セキュアにしていくかの中心的な役割を担っている。

Secure Code Warrior使命認識から行動へ

Secure Code Warrior、意識向上は出発点に過ぎないと考えています。企業には、開発者のリスクを大規模に管理するための測定可能なアクションが必要です。当社のプラットフォームは、CISOがセキュアコーディングを組織のDNAに組み込み、リスクを低減して回復力を強化するために必要な可視性と成果を提供します。

• 10,000以上のセキュアコーディングレッスンが、70以上の言語とフレームワークにわたって600以上の脆弱性をカバーします。
• 実際のAIのワークフローをシミュレートするAIチャレンジにより、開発者はAIが生成したコードのレビューとセキュリティ確保について現実的な練習ができる。
• SCW Trust^Score®ベンチマークは 、デベロッパーのリスク状況および測定可能な進捗状況について、CISOに客観的な可視性を提供します。
• SCW信託代理店AIこれは、観測可能性とガバナンスをAI支援開発に拡張し、シャドーAIを明るみに出し、AIが生成したコードを実際のリスク指標に接続し、責任ある採用を保証します。 

これらは単なるトレーニング・モジュールではなく、組織のリスクを軽減し、取締役会や規制当局に回復力を示し、実証済みの成果をもたらす強力な学習・ガバナンス・ツールである。

サイバーモン2025AIの時代

サイバーセキュリティ意識向上月間を具体的なものにするため、Secure Code Warrior 毎年10月に、世界的な意識を企業の行動に変えるイベント「Cybermon」を開催しています。

今年のテーマ「The Age of AI（AIの時代）」は、ソフトウェア開発で進行中の激変を反映している。サイバモン2025は10月6日に開幕し、組織は以下のことを可能にする：

• AI主導の環境で、安全なコードレビューのスキルを試す。
• 取締役会や規制当局に進捗状況を示す、測定可能なゲーム化されたキャンペーンを開始する。
• 企業のリスク管理の優先順位に沿った安全な開発文化を醸成する。

サイバーモンは、CISOがアウェアネスを運用化し、スローガンから測定可能な組織全体への影響へと変化させることを支援する。

CISOのための戦略的行動への呼びかけ

AI主導の開発は、もはや地平線上にあるのではなく、ここにある。コード配信のスピードは増し、リスクは増大し、AIが生成したコードを安全に保護する責任は、今や企業のリーダーにある。

任務は明確だ：

• AIセキュリティのスキルギャップを埋める
• 開発者のリスクを大規模に測定し、低減する。
• 将来の規制の可能性を予測し、可視化とガバナンス管理によってシャドーAIに積極的に対処する。 

Secure Code Warrior、企業規模のソフトウェアのセキュリティ確保に必要な専門知識、可視性、およびガバナンスによって、CISOがこの新時代を乗り切れるよう支援することをお約束します。SCW Trust^Score®やTrust Agent.AIのような機能により、組織は認識を測定可能な企業規模の回復力に変えることができます：のような機能により、企業は認識を測定可能な企業全体の回復力に変えることができます。SCW Trust Agentの詳細については、こちらをご覧ください：AI - AI支援SDLCのための可視性とガバナンス。

この10月、私たちは表面的な認識を超えて、明瞭さ、自信、そして弾力性をもってAIの時代を受け入れよう。

‍

悪質なソフトウェアサプライチェーン侵害が発覚し、サイバーセキュリティ業界は再び警戒態勢を強化せざるを得なくなりました。主要なLinuxディストリビューションに同梱されるXZ Utilsデータ圧縮ライブラリに影響を与えるこの脆弱性はCVE-2024-3094として記録され、最終的には信頼されていたボランティアシステム管理者が意図的にバックドアを挿入したことが判明しています。悪用が成功した場合、状況によってはリモートコード実行 (RCE) を可能にする深刻な問題であり、既存のソフトウェアビルドプロセスに重大な損害をもたらす可能性があります。

幸いにも、悪意のあるコードが安定したLinuxリリースに侵入する前に別の管理者がこの脅威を発見しましたが、Fedora Rawhideの一部としてXZ Utilsバージョン5.6.0および5.6.1の実行を開始したユーザーにとっては依然として問題であり、組織にとっては緊急レベルの優先度でパッチ適用が求められています。こうした発見が適時になされなければ、リスクプロファイルから見て、これはおそらくSolarWindsを上回る最も破壊的なサプライチェーン攻撃の一つとして記録されるでしょう。

重要なシステムの維持管理をコミュニティのボランティアに依存していることは広く文書化されていますが、この事件のように影響力の大きい問題が表面化するまではほとんど議論されません。彼らのたゆまぬ努力はオープンソースソフトウェアの維持に不可欠ですが、これはソフトウェアリポジトリへのアクセス制御を強化することは言うまでもなく、開発者レベルでのセキュリティ技術と認識に重点を置く必要性を浮き彫りにしています。

XZ Utilsのバックドアとは何か、またどのように緩和されますか？

3月29日、レッドハットは緊急セキュリティ警告を発表しました。これはFedora Linux 4.0およびFedora Rawhideユーザーに対し、最新版の「XZ」圧縮ツールおよびライブラリに、第三者の不正アクセスを容易にするために特別に作成されたと思われる悪意のあるコードが含まれていることを通知するものです。 この悪意のあるコードがどのように注入されたかは、今後の集中的な研究対象となるでしょう。しかしこれは、脅威アクターである「Gia Tan」という偽名を持つ人物による、数年にわたる精巧で忍耐強いソーシャルエンジニアリングの実践に該当します。 「ジア・タン」と呼ばれる攻撃者は、2年以上にわたりXZ Utilsプロジェクトおよびコミュニティに正当な貢献を行いながら、他のメンテナの信頼を得るために計り知れない時間を費やしました。複数の偽装アカウントによってボランティアプロジェクト所有者であるラッセ・コリンの信頼が弱まった後、最終的に「信頼できる管理者」の地位を獲得したのです。

‍

‍

この特異なシナリオは、高度な技術を持つ者が一般的に知識不足の人々に対して用いる戦術の犠牲となっている代表的な事例であり、精密な役割ベースのセキュリティ意識教育の必要性を示しています。これは単なるMicrosoftソフトウェアエンジニアでありPostgreSQLメンテナンス担当者である人物の好奇心と迅速な思考によるものでした。アンドレス・プロウンドバックドアが発見され、バージョンがロールバックされたことで、近年の歴史上最も破壊的となり得たサプライチェーン攻撃を阻止したのです。

バックドア自体は公式に最も深刻な脆弱性として追跡されています。NISTレジストリ。当初はSSH認証のバイパスを可能にするものと考えられていましたが、追加調査により、Fedora LowHide、Fedora 41、Kali Linux、OpenSUSE Micro OS、OpenSUSE Tumbleweed、および一部のDebianバージョンを含む脆弱なLinuxシステムにおいて、認証不要のリモートコード実行が可能であることが判明しました。

Jia Tanは悪意のあるパッケージを発見するために多大な努力を払ったようです。悪意のあるパッケージは、ビルドプロセス中に自身を構成するようにトリガーされると、systemdを介したSSHDの認証を妨害します。Red Hatの詳細な説明によれば、適切な状況下では、この妨害により攻撃者はSSHD認証を侵害し、システム全体にリモートで不正アクセスする可能性が生じます。

マイクロソフトは、包括的なガイダンス発表システムにおいて、エクスプロイト事例を検索しその影響を緩和すること、およびCISAが推奨する即時措置について発表しました。影響を受ける開発者とユーザーは、XZ Utils 5.4.6 Stableのような無傷のバージョンにXZ Utilsをダウングレードする必要があります。

この種の攻撃を防ぐことは非常に困難です。 特にソフトウェアでオープンソースコンポーネントを活用する場合、サプライチェーンのセキュリティに対する確信と透明性がほとんどないためです。私たちはすでにソフトウェアサプライチェーンの偶発的な欠陥に対処してきましたが、こうしたリスクにはオープンソースのセキュリティを侵害しようとする悪意のある意図を持って意図的に仕込まれたセキュリティバグが含まれることが明らかになりました。

ほとんどの開発者は、セキュリティ意識が高く、セキュリティ知識が豊富で、偏執的でない限り、この種の攻撃を防ぐことはできません。脅威行為者の思考様式を必要とするレベルに近いものです。しかし、最も重要な考慮事項は常に、次のようなソースコードリポジトリを中心に据えるべきです。 内部的に管理されている（つまりオープンソースではない）ものです。この情報は、検証済みの関連セキュリティ技術を持つ者のみが利用可能であるべきです。AppSec専門家は、セキュリティに熟練した開発者だけが最終マスターブランチに変更をコミットできるようにするブランチレベルのセキュリティ制御などの設定を検討できます。

ボランティアのメンテナは英雄ですが、安全なソフトウェアを維持するには多くの努力が必要です。

ソフトウェアエンジニアリングの領域を離れた人々にとって、活発なボランティアコミュニティが自らの時間を使って重要なシステムを熱心に維持管理するという概念は理解しがたいものです。しかし、これがオープンソース開発の特性であり、サプライチェーンを保護するセキュリティ専門家にとっては依然として深刻なリスク領域として残っています。

オープンソースソフトウェアは、ほぼすべての企業のデジタルエコシステムにおいて重要な部分を占めています。信頼できるメンテナ（そのほとんどは善意で行動しています）は、技術進歩と完全性を私心なく追求する真の英雄的存在ですが、彼らを孤立した状態で提供し続けることは理不尽なことです。DevSecOpsが中心となるこの時代において、セキュリティは共同責任であり、すべての開発者は業務中に発生する可能性のあるセキュリティ問題を解決できる知識と適切なツールを備える必要があります。セキュリティ意識と実践的スキルはソフトウェア開発プロセスにおいて妥協できない水準でなければならず、企業レベルで変化に影響を与えることはセキュリティリーダーの役割です。

深い知見に基づき、現代の組織に根付くセキュリティ文化を構築しましょう。 教育課程 セキュアコードウォリアーより。

9年ほど前、私は友人、家族、元同僚、潜在的な投資家らと、会社を設立したいという私の意図について何度も話し合いました。皆が支持してくれ、ある人々は私たちが存在するために必要な天使となってくれ、またある人々は理性の声として行動してくれました。 次のような冷徹な統計を引用しました。スタートアップの90%は結局失敗します。5社に1社は最初の2年以内に廃業に追い込まれる計算です。

これまでの道のりには、障害や予測不可能な経済的逆風、重大なリスクがなかったわけではありません。しかし、共同創業者のマティアスと、私の傍らにいる優秀なチームと共にあれば、どんな困難にも耐えられると確信しています。

本日は私たちの9回目の誕生日です。状況が急速に変化し続ける中、サイバーセキュリティ分野における私たちの実績と持続的な地位について、私は今もなお非常に誇りに思い、感謝しています。

‍

新規顧客、新たな機会

このような経済環境下での成長は容易ではありません。しかし私たちは、スピードと効率性を向上させ、拡大する顧客基盤により多くの価値を提供する方法を模索し続けています。2023年には顧客リストにティア1企業のロゴを多数追加しましたが、真の成果は、セキュリティソフトウェア開発に向けて新たなアプローチを積極的に試みようとする彼らの意志を目の当たりにできたことです。レガシー環境ではリリースがはるかに困難になり得るにもかかわらず、です。

これらの業界の巨頭たちは、変化を主導する上で重要な役割を果たすことができます。セキュリティ分野の変化を目の当たりにしたい場合、必ず確認すべき点です。

そして2023年、私たちは以下の事実を知り、大変嬉しく思いました。

>>年次デブリンピック グローバル セキュアコーディング トーナメントが100%成長しました。日程を保存し、関心分野を登録しましょう！2024年10月15日開始のトーナメントに向けて！

>>40万人以上の開発者がセキュアコードウォリアー学習プラットフォームを利用しています。

>>ユーザーベースの30%（約75,000人）のデータを分析した結果、Secure Code Warriorを使用してセキュアコーディング手法を学び適用する開発者は、組織内で同僚よりも53%少ない脆弱性を導入することが明らかになりました。素晴らしいですね！

AIがヘッドラインと取締役会を掌握しているが、私たちは準備が整っている。

昨年はAI、機械学習、大規模言語モデル（LLM）技術に関する誇大宣伝が避けられず、わずか12ヶ月でAIコーディングツールやセキュリティツールの猛攻が多くの開発者のコード記述方法を変え始めました。

現在の時代精神を捉え、大量採用を求める新技術は驚くほど強力であり、AI補助コーディングツールは今後も存在し続けるでしょう。しかしこれまで同様、こうした技術は結局、セキュリティソフトウェア開発と効率性の間の格差を広げてきました。組織がスピードと状況認識、脆弱性検出のバランスを取る必要性に直面する中、セキュリティ技術を備えた開発者への需要はかつてないほど高まっています。 後者の場合、経験豊富な者の監督下で行うことが最善です。ある意味、これがペアプログラミングの未来であり、ツール自体がソフトウェア開発の新たな独自の地平を切り開いています。

インタラクティブチャレンジをプレイできますAI/LLMツールがセキュリティに与える影響を直接確認し、近い将来に開発者のセキュリティ技術向上に注力できる絶好の機会を逃さないでください。また、セキュリティを最優先としつつ速度と効率性を追求する組織との協業準備が整っています。

サイバーセキュリティのリーダーと肩を並べて、開発者中心のポジティブなセキュリティ成果を創出する

9年間、私たちはソフトウェアエンジニアをセキュリティプログラムの中核として位置付けてきました。この分野で10年目を迎える2024年は、史上最も革新的な年となるでしょう。

当社の製品ロードマップは驚くべき新機能で満ちており、これらの機能を皆様と共有したいと考えています。セキュリティ責任者の皆様が開発コホートを通じて達成できるよう、当社が支援できる点に特にご関心をお持ちだと承知しております。

これからも見守ってくださり、共に歩んでくださり、ありがとうございます。

SDLCのセキュリティコードのためのアジャイル学習は成果を結びます

このブログ記事は、セキュアコードのためのアジャイル学習プラットフォームの特徴と利点を説明する3部作シリーズの第3部です。パート1では、アジャイル学習の概念と、Secure Code Warriorのプラットフォームがいくつかのアジャイル原則をどのように体現しているかを紹介しました。パート2では、アジャイル学習プラットフォームが従来のコンプライアンス中心のセキュリティ教育をどのように置き換えるかを考察しました。

アジャイル学習プラットフォームは、学習者が業務の一部として日常業務に真に統合される現場実習教育を通じて、新しい技術をより効果的に内面化し活用できる学習体験を提供します。SCWがセキュリティコーディング技術を習得する開発者に適用したようなこの学習アプローチは、SCWを従来の学習方法と区別し、我々を差別化します。シリーズ第3弾となる最終ブログでは、組織がセキュアコーディング向けアジャイル学習プラットフォームから期待できるROIと、組織の数値をモデル化する方法について解説します。

ビジネスへの影響

セキュリティコード学習にアジャイルアプローチを採用した組織は、以下の2つのレバレッジにより2～3倍のビジネス効果を得られます。脆弱性の修正を迅速化、および手戻りコストの回避。 

‍

‍

SDLCにおいて脆弱性を早期に解決すればするほど、脆弱性によって発生する可能性のある損害と解決コストも減少します。以前Aetnaで最高セキュリティ責任者を、MassMutualでCISOを務めたセキュリティ専門家ジム・ラウス（Jim Routh）によれば、ソフトウェアを本番環境にリリースした後、保守モードでSDLC段階を実施する場合、欠陥1件あたりのコストは14,000ドル以上に増加するとのことです。テスト中に解決すればコストを半減でき、コーディング段階で解決すればコストを14分の1に削減できます。

‍

‍

開発者が脆弱性をより迅速に修正したり完全に防止したりする能力を備えれば備えるほど、組織がソフトウェア製品や内部アプリケーションで負担すべきコストとリスクは減少します。脆弱性予防とソフトウェア品質への投資を目指す組織は、開発者に即時のビジネス影響をもたらすよう特別に設計された柔軟な体験と多様な学習パスを提供する、俊敏な学習プラットフォームを提供します。

‍

研究出典NIST脆弱性を修正するのに必要な時間は様々ですが、以下の表の推定値は大企業顧客を対象とした実際のシナリオで確認されました。

‍

‍

SCWの顧客は、チームが新たなセキュアコーディング技術を開発した後、開発者が脆弱性を最大50～60%速く修正し、本番コードにおける高リスク脆弱性の発生を50%削減できることを確認しました。組織ごとに経験は異なりますが、この結果は5,000人以上の開発者を擁する大企業で観察されました。開発者の生産性向上は収益に影響を与えました。

運用コスト削減：脆弱性をより迅速に修正

より安全なソフトウェア開発プロセスが財務に与える影響と、アジャイル学習プラットフォームへの投資が開発者が脆弱性をより迅速に解決するのにどのように役立つかを理解するには、以下のモデルを使用し、青色で表示された変数を自社の数値で置き換えてください。

 ベースライン:

‍

MTTRベースのアジャイル学習プラットフォームのメリット予測（平均復旧時間）

‍

予防価値：再作業コストの防止

アジャイル学習プラットフォームは、開発者が最初から安全なコードを書けるよう支援します。こうした財務的影響を把握するためのモデルが以下に示されています。

‍

アジャイル学習アプローチが違いを生み出します。

SCWアジャイル学習プラットフォームは、セキュリティコードのための他の開発者向けセキュリティ教育手法よりも優れています。SCWのお客様は優れた成果を上げており、もちろんこれは固有の状況における個別のコストや脆弱性指標によって異なる場合があります。例えば大手金融サービス企業であるインベストネットでは、SCWトレーニングを受けた開発者が同僚よりも2.7倍多くの脆弱性を修正したことが判明しました。また、SCWトレーニングを受けた1,200人の開発者グループは、未解決問題の解決率を120%向上させました。

あらゆるビジネスソリューションへの投資と同様に、固有の状況を評価することが重要です。当社チームは貴社と協力し、現状を評価し、カスタマイズされたビジネスケースを開発できます。直接その影響を評価したい場合は、このブログで説明されているモデルを使用して以下を検討してください。Sageとの最近の顧客ウェビナーでは、英国に本社を置く20億ドル規模の会計・ERPソフトウェア企業が、強固なセキュリティ文化構築プログラムの一環として脆弱性対応のMTTRを82%削減した事例が紹介されています。

セキュアコード・ウォリアーの紹介

セキュリティコードウォリアーは、開発者にセキュリティコードを作成する技術を提供します。当社の学習プラットフォームは、開発者がソフトウェアセキュリティ原則を学び、適用し、維持できるようアジャイル学習手法を採用しているため、最も効果的なセキュリティコーディングソリューションです。600社以上の企業がSecure Code Warriorを信頼し、アジャイル学習セキュリティプログラムを実装し、 セキュリティソフトウェアを迅速に提供し、開発者中心のセキュリティ文化を構築しています。詳細を知る準備はできていますか？デモをリクエストしてください。

時間は金なり。ではなぜ時間を無駄にするのでしょうか？

エンジニアリングマネージャー - 現実を見据える時が来ました。開発者はどれだけの時間をコーディングに費やしているでしょうか？いいえ、開発者が一日中パジャマ姿で遊んでチップスを食べながらNetflixを見ている事実を認めるよう促そうとしているわけではありません。しかし代わりに、自問してみてください。チームが意味のある仕事に一日何時間を費やしていると思いますか？

では、開発者が週にコーディングに費やす時間を考えてみましょう。そのうちのどれだけの時間がレガシーコードの再実装、バグの発見と修正、技術的な問題の解決に使われているでしょうか？おそらくかなりの時間でしょう。

私たちはその気持ちがよくわかります。開発者は、今日のソフトウェア開発ライフサイクルにおいて克服できない困難やギャップに直面したとき、進歩が阻まれ挫折感を味わうことが少なくありません。

• 平均的にソフトウェア開発チームはリリース前にコードの約26%を再作業します。
• 開発者は技術的負債の処理に週平均13.5時間を費やしています。これは過去のミスを修正するために年間700時間以上を消費している計算になります。
• 開発者は週に4時間を「悪いコード」の作業に費やしています。これは1年間で850億ドルの機会費用損失に相当します。
• 開発者の41%が、組織において機能とセキュリティが同等に重要だと回答しました。
• 開発者の63%は、脆弱性のないセキュリティコードを書くことが非常に難しいと考えています。

出典: ストライプレポート、開発者係数; 開発者主導セキュリティ現状調査 2022

前回のコードレビューでAppSecチームがコードに安全上の問題があると判断した場面を思い出してください。チームがこれらの脆弱性を修正する際、どれほどの困難に直面したかを考えてみてください。実行可能な解決策を見つけるためにより多くの時間を費やす必要があり、問題を解決する前に、いったいどの部分が機能停止していたのかを特定するためにも、さらに時間を費やす可能性が高かったのです。

出典: ストライプレポート、開発者係数

このように延々と繰り返される中断と手戻りは、破壊的であるだけでなく、生産性を低下させ、士気をくじきます。

安全にコーディングし、プロセス時間を節約できるより良い方法があります。

私たちは皆、一日のうちで仕事を処理するためにより多くの時間を費やしたいと願っています。しかし時には、持っている時間を使って一生懸命働くのではなく、よりスマートに働く方法を見つける必要がある時があります。

欠陥や脆弱性を見つけるために、自分自身のコードではないかもしれないコードをくまなく探して時間を浪費する代わりに、最初からコードをより良く書く方が、より単純ではないでしょうか？

エンジニアリング管理者があらゆる方法でコスト削減を図ろうとする現代の技術は、困難に直面しています。ソフトウェアライセンス、任意費用、さらには給与に至るまで、すべてが課題を抱えています。しかし、それが必要ないとしたらどうでしょうか？ソフトウェア開発プロセスの非効率性は数値化が難しいものの、最終的には多大なコストを伴い、解決も困難です。

開発者中心のセキュリティにより、開発者はプロセスの全段階でセキュリティを所有することで、SDLC内での効率性と生産性を高めることができます。

脆弱なコードの再構築に要する時間を削減することは、単なるコスト削減にとどまらず、その部門に再投資できる機会となります。無駄に費やされていた時間は、革新的な新機能の開発やアプリケーションの有意義な改善に活用できます。以前は進展が見られず挫折感を抱えていた開発者たちは、価値を創出できる機会を通じてやる気を引き出されるでしょう。

開発者は、作業負荷の過剰、優先順位の変更によるコードの破棄や時間の浪費、低品質なコードを修正する十分な時間が与えられなかったことが、ワークロードに最も大きな悪影響を与えていると考えています。知識不足と脆弱性対策のための場当たり的な解決策が加わることで、さらなる時間の浪費と急増するコストが見込まれます。

出典: 開発者主導セキュリティ現状調査 2022

技術は非常に速い速度で発展するため、開発者が遅れを取らずについていけるツールを提供することが重要です。開発者に最初から安全にコーディングし、脆弱性を迅速に修正できる知識を提供すれば、長期的にコードの再作業や技術的負債の解決に伴う厄介な問題に対処する際に、チームは優位性を得られます。

企業がより迅速に動き、俊敏性を維持し、 新たに台頭するトレンドを活用するには、既存の開発者人材をより効果的に動員する必要があります。開発者がセキュリティに注力するよう動機付けることは、単なるコストと結果だけに限定されるべきではありません。SDLCの全段階にセキュリティを強化・統合することは、チーム全体の利益であるだけでなく、個々の開発者にとっても専門的な利益となります。安全にコーディングできるスキルを備えた開発者は、今後数年間で高く評価されるでしょう。 安全にコーディングすることで、将来的に解決すべき問題が減少するからです。

左から始めるということは、単に迅速に動くという意味ではなく、開発者が速度低下なしにセキュリティの責任を分担できるようにすることを意味します。セキュリティ技術を備えた開発者が適切に実行されれば、イノベーションを妨げることなく、手直しを招く脆弱性を減らし、ソフトウェアのリリース速度を維持し、コード品質を保証することで生産性を高めることができます。

よりスマートで、より速く、より安全なコーディング

セキュアコードウォリアーは、安全にコーディングできる技術を提供することで、セキュリティ中心の開発者文化を構築します。当社の主力学習プラットフォームは、開発者がセキュリティコードを迅速に記述するために必要な技術を素早く学び、構築し、適用できるよう、関連技術基盤のパス、実践的な課題、状況に応じたツールを提供します。

卒業生であれベテランであれ、すべての開発者が問うべき質問があります。そしてその答えは重要です。アジャイルの世界では、ソフトウェアエンジニアリングにおいてどれほど成功できるか、そして次の雇用主にとってどれほど価値ある人材となるかに直接影響するため、その重要性はさらに高まっています。

百万ドルの質問です。実はこれは数百万ドルの質問です！

私が安全にコーディングできるよう、助けてくれると約束してくれましたか？

データ侵害による平均コストは現在360万ドルに達しています。今年、企業が侵害を受ける確率は4分の1に達します。こうした事実を踏まえると、開発者がセキュリティコーディングやセキュリティ能力を自らのDNAに刻み込んで大学を卒業できないことについて、多くの人が不満を表明しています。

なぜでしょうか？ソフトウェアエンジニアリングはまだ比較的新しい職業です。コードを素早く書き、洗練され機能的なものにする方法を人々に教えることに重点が置かれてきましたが、コードの安全性を確保することにはほとんど焦点が当てられてきませんでした。方法論、技術、言語、そして機会の変化のスピードは、こうした主要な技術的ギャップをさらに悪化させるばかりです。

教育システムを急速に変えることはできないため、開発者と企業双方が、開発者が職場でセキュリティコーディング技術を学ぶ必要があることを期待すべきです。一部の職業では失敗から学ぶことができますが、他の職業では不可能な場合もあります。サイバーセキュリティも同様です。

実務開発者向けのセキュリティ教育も適切に実施できていなかったことがわかります。世界で発生する主要なセキュリティ侵害事故の大部分は、ハッカーがコンピュータネットワークへの権限を取得し、貴重なデータにアクセスして収集することを可能にするコーディングエラーによって引き起こされています。Verizonデータ侵害調査レポート（DBIR）2017によると、全セキュリティ侵害の30%がウェブアプリケーションセキュリティの脆弱性によって直接発生したことが明らかになっており、この結論は2013年以降のDBIRレポートでも一貫して適用されています。

2017年グローバルDevSecOpsスキル調査2017年8月に発表されたこの報告書は、私たちが既に認識していた事実を裏付けるものでした。DevOps専門家の65%は、IT分野に参入する際、DevSecOpsに関する知識を備えることが極めて重要であると考えている一方で、70%は今日のDevSecOpsの世界で成功するために必要な教育を、正規の教育を通じて受けていないと考えています。

調査に参加した採用担当者のうち、約40％がセキュリティテストに関する十分な知識を備えた多目的の高度な開発者を最も採用が難しい職種と回答しました。回答者の70％は、受けたセキュリティ教育が現在の職務に適していないと回答しました。実際に全く機会を与えられなかったと回答した人は4％未満でした。

私はほぼ10年間、専門のホワイトハットハッカーで構成された複数のチームと共に働きながら、この事実を直接目撃してきました。悲劇的な時期に、私たちは大企業、新興企業、政府部門に侵入し、常に同じ弱点を見つけ出しました。

これがまさに、開発者が採用される際に声を上げるべき理由です。採用予定の企業が開発者向けセキュリティ教育を真剣に受け止めていない場合、どの会社に入社を検討しているのかを改めて考えるべきです。

次に尋ねるべき質問は、どのように配送する予定かということです。直接体験し、インタラクティブに進めることは可能でしょうか？スライドウェア、ビデオ、 クリック可能なアニメーション、あるいは抽象的な議論を用いた脆弱性に関する開発者向けセキュリティ教育では、コーディングに直接役立つとは限りません。最新の脆弱性に関する最新情報を継続的に受け取れる仕組みはありますか？学べるセキュリティギルドやコミュニティは存在しますか？助けが必要な時に支援を受けられるセキュリティ専門家はいますか？

セキュリティコーディング技術を習得するには、特定のコーディングフレームワークにおける実践問題を通じて継続的に学習し、様々なシナリオで多様な脆弱性に直面する必要があります。例えば、SQLインジェクションについて学ぶだけでは不十分です。こうした危険なコーディングパターンを理解するには、様々なタイプの例を繰り返し経験する必要があります。

ある顧客は開発者に、2か月間毎日単一のチャレンジ（5分間）をプレイするよう要求しました。トレーニング前後でスキルをテストした結果、数百人の開発者グループにおいてセキュアコーディング能力が60%向上したことが確認されました。つまり、ライフサイクル後期にセキュリティバグを発見・修正するために必要なリソースが削減され、長期的に大幅なコスト削減効果が得られます。つまり、ハッカーがコードを利用して企業データを侵害することはなくなるでしょう。

IDCの調査によると、2014年には全世界で1,100万人の専門開発者が存在しました。2015年、バーニンググラス（Burning Glass）は、コーディングスキルを必要とする職種が700万件に達し、プログラミング関連職種が市場平均より12%速いペースで成長している事実を発見しました。

ソフトウェア関連の職種は数多く存在します。したがって、立場を堅持し、自身のセキュリティ、セキュリティ、そして顧客のセキュリティに責任を持つために最善を尽くす雇用主を選択してください。さらに、あなた自身に投資する企業を選んでください。

卒業生であれベテランであれ、すべての開発者が問うべき質問があります。そしてその答えは重要です。アジャイルの世界では、ソフトウェアエンジニアリングにおいてどれほど成功できるか、そして次の雇用主にとってどれほど価値ある人材となるかに直接影響するため、その重要性はさらに高まっています。

百万ドルの質問です。実はこれは数百万ドルの質問です！

私が安全にコーディングできるよう、助けてくれると約束してくれましたか？

貧弱なコードの代償です

技術の発展により、開発者はこれまで以上に容易にコードを迅速にリリースできるようになりました。これは革新にとっては興味深いことかもしれませんが、ソフトウェアの品質とセキュリティを拡張する上では負担となる可能性があります。追加ツール、教育プログラム、開発者スキルの向上への投資を正当化することは、コードのデプロイ速度が維持されるならば「あれば良いもの」のように見えるかもしれませんが、重要なビジネス機能のように見えることもあります。

より迅速な配送コードは容易になったかもしれませんが、残念ながら配送の安全なコードはそうではありません。組織はこれまで以上に多くの脅威に脆弱になっています。サイバー犯罪によるコストは世界的に膨大であり、急速に増加しています。実際、2020年のサイバー犯罪によるコストは約1兆ドルに達しました。平均的なデータ侵害のコストは435万ドルで、既存顧客や潜在顧客のビジネス損失に加え、検知、エスカレーション、再作業に費やされたリソース全体に及んでいます。

このような天文学的な費用にもかかわらず、組織の半数以上は開発者に毎年正式なセキュリティコード教育を要求していません。

セキュリティ専門家は皆、脆弱性を見つけて修正する作業がまるでモグラたたきゲームのように感じられることを知っています。修正戦略を含むセキュリティプログラムを既に保有していても、改善の機会は常に存在します。ほとんどの組織は、災害復旧やバックアップ機能をテストする際に、自社のセキュリティアプローチが想定していたほど強固ではないことに気づきます。サイバー攻撃に対する組織のレジリエンス強化が最優先課題の一つであるなら、セキュリティ態勢を持続的に改善するためには、開発者に委ねられた視点を移行することが望ましい。最初から安全なコードを構築し、脆弱性を迅速に発見・修正できる十分な知識を備えた熟練かつ有能な開発者チームこそが、リスクを軽減する最も費用対効果の高い方法である。

開発者教育に関する一つの誤解は、単なるビジネスコストや保険証券にかかる費用だということです。アリアンツのDevSecAwareエバンジェリストであるクラウス・クリンガー（Klaus Klinger）はこう述べています。「すべては経営陣から始まらなければなりません。開発者教育への投資は損失ではなく、品質、生産性、そして会社の評判への投資なのです。」

この分野ではROIを定量化することが難しい場合もありますが、組織が最終的に考慮すべきは、セキュリティ態勢がリスクを低減し、アプローチを簡素化し、開発者チームの時間と生産性を節約するのにどのように役立つかです。

サイバーセキュリティ費用のROIをどのように定量化できるでしょうか？

ROIに関しては、二つのフレーム、すなわちリスク軽減によるコスト削減とセキュリティ教育の影響という二つのフレームで考えることが重要です。

ごく一般的な例を考えてみましょう。脆弱性やセキュリティ侵害により、チームが問題と解決策を探している間、電子商取引サイトが数日間強制的にオフライン状態になります。問題解決の失敗によるコストは、運用停止による収益損失、認証情報の盗難による影響、顧客信頼の喪失（長期的な売上減少につながる）、問題解決に伴う全体的な生産性低下として定量化できます。

これは結局のところ、費用対効果分析に集約されます。評価すべき主要領域は、企業のセキュリティ成熟度レベル、企業のリスク許容度、および維持管理または改善が必要なコード領域です。

人々はしばしば、成功と価値を判断するために誤った指標に焦点を当てます。おそらく私たちは、プログラムの初期投資収益率についてあまり気にせず、代わりに次のことを測定すべきかもしれません。プログラム自体による影響について。

影響立証のための措置

ROIを設定するには、測定可能な目標を設定する必要があります。これは、開発者のセキュリティコーディング知識を評価し、開発者の技術向上が必要な部分を理解することから始まります。

出発点は、参加度を測定し、より充実した教育プログラムを構築する方法に関する戦略的決定を下すことです。最も重要なのは効果を測定することです。まず、各チームがプログラムを開始する前に、コード分析、バグバウンティ、または既存の脆弱性テストを通じて、ソフトウェア開発ライフサイクルで発見される脆弱性の数を把握することから始めましょう。教育プログラムが望ましい結果をもたらしていることを確認する最も簡単な方法の一つは、コードベースに流入する脆弱性の全体的な減少を測定することです。

‍

ROI評価のための主要な質問:‍

1.アプローチを簡素化していますか？

問題に対してより多くのツールを使用しているのか、それとも問題の根本原因から解決しているのか？技術スタックにツールを追加し続けると、「スイスチーズ」方式のアプローチ、つまり脆弱性を見つけて対処するだけの方法になりかねません。また、多くの脆弱性の原因であるコードにはほとんど影響を与えずに、運用コストだけが増加します。スキャンやペネトレーションテストツールは必ず装備すべきですが、最終防衛ラインにしてはなりません。

2.効率性と生産性は向上していますか？

AppSecから送信されたコードの徹底的なコードレビューと再作業に要する時間は、生産性を大幅に低下させる可能性があります。開発者チームが自ら実践できるよう権限を付与し支援することで、消火訓練を減らすことができます。セキュリティコードトレーニングは、セキュリティプログラムのプラスの影響を評価するための優れたベンチマークとなるべきです。

3.リスクを低減していますか？

脆弱性を見つけて解決することは、巨大なパズルを解くことに似ているかもしれません。時には強力なソリューションで完了するのに数日、数週間、あるいは数ヶ月かかることもあります。AppSecは、開発者がソースから直接修正措置を講じられるようにすることで、リスク監視と組織のセキュリティ態勢強化に集中できるようにします。

4.速度は上げているが、品質は維持できているのか？

迅速なデリバリーコードが常に良いとは限りません。問題を解決するためにコードに脆弱性を導入すると、将来的に多くの問題が発生し、技術的負債が蓄積される可能性があります。ここでは短期的な思考だけでは解決策にはなりません。最初からコードを保護することで、後々問題が悪化しないようにし、リスクを軽減できます。

追跡すべき推奨指標:

• 参加 - 教育に要する時間をどの程度確保しており、開発者の参加状況はどのようになっていますか？教育課程を修了し、評価を受け、トーナメントに参加していますか？
• 技術 - 強みのある領域はどこですか？改善が必要だと考えた領域は何ですか？
• 脆弱性の減少 - コードレビュー中に脆弱性が目に見えて減少していることに気づきましたか？AppSecで発生する手戻りが減っていますか？
• 生産性 - 問題解決にどれくらい時間がかかりますか？脆弱性の削減によって生産性や速度が向上した事例を目にしたことはありますか？

左に移動して価値を創造する

セキュリティ侵害と脆弱性は毎年急速に増加しています。まずコードから始め、セキュリティに対する包括的なアプローチを事前に構築することが重要です。これにより、次のような利点を得ることができます。

• 問題の一部だけを解決するツールにお金を投資する代わりに、最も重要なリソースである人材に投資して複雑性を低減します。
• AppSecで一般的に特定できる再作業や修正を制限することで、効率性と全体的な効果を改善します。コードがデプロイされた後
• リスクを軽減し、コンプライアンスを達成することで、高額な罰金、顧客信頼の喪失、あるいは最悪の場合のデータ侵害によるコストを回避できます。

短期的な思考と迅速な修正は避けてください。技術的負債が生じるだけでなく、将来的にさらなるコストが発生する可能性があります。開発者が脆弱性やサイバー犯罪に対する最善の防御線となるよう、技術向上の力を活用して長期的な計画を立て、その影響とコスト削減効果を直接確認してください。

‍

データ侵害とそれに伴うコストが増加し続ける中、世界中で生成されるコードの量はセキュリティ専門家が単独で処理するには大きすぎます。企業にはセキュリティコーディング技術を備えた開発者が必要です。 開発者は、自分のキャリアアップにはセキュリティコーディングスキルが必要であることを認識しています。しかし、現在のセキュリティコード教育は彼らを失望させています。では、開発者はセキュリティコード教育に何を求めているのでしょうか？この疑問に答えるため、Secure Code Warrior が Evans Data Corp* と共同で実施した、セキュリティコーディング、セキュリティコードの実践、およびセキュリティ運用に関する開発者の意識に関する最新の調査から得られた、いくつかの洞察を見てみましょう。ホワイトペーパーをダウンロード こちら).

開発者が求める教育形態に対する答えは非常に明確です。開発者の75％が、最も効果的で満足度の高い学習方法である体系的な実務教育を好みました。そして教育に含めるべき内容に関して、開発者たちはいくつかの非常に明確で具体的な質問を投げかけています。

• 65%は言語別の脆弱性に関する教育が必要だと回答しました。
• 65%はOWASPトップ10の脅威に対する教育をもっと受けたいと考えている
• また、NIST（58%）、CIS（52%）、PCI DSS（50%）をはじめとするコンプライアンスセキュリティフレームワークに焦点を当てたいと考える顧客が多くいます。
• 78%は教育の一環として非公式な同僚コーチングと指導を希望しています。
  

しかし開発者たちは、構造化されていない学習よりも構造化されたカリキュラムを強く好むが、カリキュラムが提供される方法は決定的に重要である。もちろん、これはまた別の重要な疑問を提起する。

開発者はどのように学ぶことを好むのでしょうか？

開発者は座って講師の話を聞きたがりません。自ら実践したいからです。彼らは実際のアプリケーションに焦点を当てた教育を求めていますが、これは現在の教育プログラムでは著しく不足している部分です。企業提供の教育をどう改善できるかという質問に対し、回答者の30％が実践的な応用、特に実際の業務シナリオに焦点を当てた教育を望んでいると答えました。

開発者教育には、実践と言語別・フレームワーク別の「ゲーム化された」コーディング課題を含むガイド付き学習パスを提供する人間主導のアプローチが必要です。役割別に指定された「ゲーム化された」教育は、組織が特定の脆弱性を対象に開発者の学習対象を指定できる構成可能な学習モジュールを通じて、開発者の参加意欲を高めます。

ソフトウェアセキュリティを開発プロセスの本質的な部分として組み込む方法を、開発者が求める教育を提供する体系的な技術ベースの経路を通じて学ぶには デモをリクエスト 今すぐ。

対話型シミュレーションを通じてコードのセキュリティ脆弱性を特定し、批判的に思考し、解決策または複数の解決策を見つけることができます。コードを新たな視点で捉え直すことができ、実際に体験できて本当に楽しかったです！
ソフトウェアエンジニア、金融サービス‍

*対応から予防への転換：アプリケーションセキュリティの変容する姿。Secure Code Warrior & Evans Data Corporation 2020