迅速かつ安全にイノベーションを起こす - Trust Agent：AI

AIコーディングツールの広範な採用は、開発ライフサイクルに重大な新たなリスク層を導入している。可視化とガバナンスがなければ、「シャドーAI」や安全でないコードの流入にさらされることになる。トラスト・エージェントAIは、セキュリティを犠牲にすることなく、AIの導入を自信を持って管理するために必要な、深い観測性と制御性を提供します。AIツールの使用状況と開発者のセキュアなコーディングスキルを関連付けることで、当社のソリューションは、コミットレベルでのリスクの特定と軽減を支援し、これまで以上に迅速かつセキュアにイノベーションを実現します。

SCW Trust Agent：AIは、セキュリティ体制の強化、開発ライフサイクルの最適化、脆弱性の大幅な削減に役立ちます。

‍

大規模な言語モデルは、スピードと生産性において抗しがたい利点をもたらすが、同時に企業に紛れもないリスクをもたらす。従来のセキュリティ・ガードレールだけでは、大洪水を制御することはできない。開発者には、ソフトウェア開発ライフサイクルの初期段階でセキュリティ上の欠陥を特定し、それを防止するための、正確で検証済みのセキュリティ・スキルが必要です。

‍セキュリティ・トレーニングは、開発者のワークフローにおける単なるハードルのひとつに感じられるかもしれない。

‍

開発者リスクマネジメントは、アプリケーションセキュリティに対する全体的かつ積極的なアプローチであり、アプリケーション層自体のビットやバイトの中ではなく、コードの貢献者に焦点を当てたものである。

SDLC 全体にわたって開発者のセキュリティリスクをプロアクティブに測定、管理、緩和することで、セキュリティ態勢を改善し、ソフトウェアを迅速にリリースし、脆弱性を 53% 以上削減します。

デベロッパーリスクマネジメントの背後にある哲学は、コード貢献者のスキルアップと、プログラム的にセキュアコーディングスキルにガバナンスを適用することで、開発者主導のセキュアコードイニシアチブの利益と影響が飛躍的に増大するというものである。

米国政府のサイバーセキュリティ＆インフラセキュリティ局（CISA）が包括的なセキュア・バイ・デザイン・ガイドラインを発表してから2年が経過し、ソフトウェアメーカーに影響を与える分水嶺となった。初めて、ソフトウェアの品質とセキュリティの基準を引き上げるためのトップレベルのサポートが目に見える形で行われ、脆弱性のないコードを出荷するためのエンドユーザーではなく、ベンダーの責任への取り組みが推進された。

しかし、これらの原則を企業レベルで実際に実施することに関するコンセンサスは、なかなか得られないことが判明した。セキュリティ専門家の間でも、セキュア・バイ・デザインを構成するものについてのコンセンサスは得られていないようであり、ましてやそれを達成するための標準的な道筋が示されているわけでもない。 Secure Code WarriorSecure Code Warrior は、ソフトウェアの構築に重点を置く企業のセキュリティ専門家にインタビューを行い、Secure by Design の原則に対する現在のアプローチ（現在のセキュリティ態勢とソフトウェア開発ライフサイクル（SDLC）にどのように実装されているかなど）を深く掘り下げました。その結果、CISA の指針を実施するための広く受け入れられている標準がないこと、また、展開が成功したかどうかを判断するためのアクティブなベンチマークがないことが明らかになりました。業界として、セキュリティの説明責任とソフトウエアの品質が高まるというメリットを享受するためには、これは迅速に修正されなければなりません。 

‍

このリサーチペーパーでは、Secure Code Warrior 共同設立者であるPieter Danhieux氏とMatias Madou博士、そして専門家の寄稿者である元米国サイバーディレクター（現在はPaladin Capital Groupの戦略顧問）のChris Inglis氏、Paladin Global InstituteのシニアディレクターであるDevin Lynch氏が、CISO、アプリケーションセキュリティ担当副社長、ソフトウェアセキュリティの専門家など、企業のセキュリティリーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします：

‍

• 企業で直面する一般的なセキュリティプログラムの課題についての洞察；
• セキュアバイデザイン・イニシアチブの役割；
• ソフトウェア開発におけるAIの役割、最新の脅威モデリング；
• ベストプラクティスの解釈、およびセキュア・バイ・デザイン戦略を業界全体で整合させるために精密データとベンチマーキングが果たす役割。 

‍

セキュアコーディングを定着させる専門家のサポート

SCWのプロフェッショナルサービスは、お客様のプログラムの各段階に深い専門知識を提供します。元セキュリティ専門家のチームが、リスクベースのアプローチで成功を加速します。

• 実戦で培われた専門知識 - 推測ではなく、実世界の洞察に頼る
• 開発者のリスク低減にリスクベースの手法を適用する。
• お客様のチーム、ツール、文化に合わせてロールアウトとトレーニングをカスタマイズします。
• 継続的なレビューとROIの追跡でプログラムを進化させる

プログラムを始めたばかりの方でも、次のレベルに進もうとしている方でも、より早く、そして持続的な成功を収めるために、私たちがお手伝いします。

‍