ピーテル・ダンヒユー

オーストラリア政府はどのように国家サイバーセキュリティ防御能力を構築し、脅威に立ち向かうのか

オーストラリア政府がサイバーセキュリティを真剣に扱う取り組みからは、サイバーセキュリティが国家レベルの重要なリスク領域と位置付けられていることが明らかだが、その戦略は十分に先見性のあるものと言えるだろうか？

左移動だけでは不十分：なぜ左移動が卓越したソフトウェアセキュリティ実現の鍵なのか

「左にずらす」という多くの取り組み、すなわち開発プロセスの早期段階でセキュリティを導入する試みは、十分な効果を発揮することがまったくできない。

認証セキュリティ意識：開発者の能力向上を目的とした行政命令

米国連邦政府の最新行政命令は、機能的なサイバーセキュリティの多くの側面に触れているが、初めて特に開発者への影響と、彼らが検証されたセキュリティスキルと意識を必要としている点を概説している。

新しいNISTガイドライン：なぜカスタマイズされたトレーニングが安全なソフトウェア作成に不可欠なのか

米国立標準技術研究所（NIST）は、ソフトウェアの脆弱性とサイバーリスクを軽減するための複数の行動計画を詳細に説明する更新版ホワイトペーパーを発表した。

急成長：5歳の誕生日おめでとう、セキュリティコードの勇者たち

私はこの記事を、あらゆる事実やデータから書き始めることもできた。急成長を続けるスタートアップ企業について、それらが確かに強い印象を与え、当社の持続的な成長軌道も堅調であることを示すために。しかし私にとって、これらの数字は2019年に最も誇りに思ったことを反映していない。

Secure Code Warrior 、ようやく現実味を帯びてきた

私たちの誕生日の節目は、これまでの成果を振り返り、チームを称え、新たな年を自信を持って迎える良い機会です。設立から7年が経った今、私は自問します：私たちは成し遂げたのか？これは真の企業と言えるのか？確かに私たちは成熟しましたが、創業時から持っていた好奇心、情熱、そしてギーク精神を決して失わないことを願っています。

開発者を激励することは、セキュリティ慣行を改善する鍵である

専門開発者はDevSecOpsを推進し安全なコードを記述したいと考えているが、組織がこの取り組みを推進するには、この大きな変化を支える必要がある。

Secure Code Warrior ：全員ロケット船に乗船

今週、私たちは正式に「セキュリティコードの戦士」誕生8周年を祝います。一方で、これはアポロ11号ミッションの350倍に相当し、サッカー試合45,000回分に相当し、あるいは『スーパーマリオ オデッセイ』を5696回クリアし終えるまでの時間にあたります。他方では、これは巨大なカメの寿命のわずか3分の1に過ぎません（ご参考までに、カメの寿命は250年です）。急成長するスタートアップの世界において、この8年間は紆余曲折、教訓、そして数々の成果に満ちた旅路であり、その多くは私たちが最初の事業計画書に署名した時点では想像もできなかったものです。

API on Wheels：リスクに満ちた脆弱性の旅

APIの安全性を偶然の機会に委ねることは、将来問題を引き起こす必然の道であり、最悪の場合、壊滅的な結果をもたらす可能性があり、せいぜい苛立たしい手戻りと低性能に終わるに過ぎない。

COVID-19接触者追跡：安全なコード化はどのように行われているのか？

接触者追跡アプリケーションの背後にある考え方は合理的である。この技術が適切に機能すれば、感染のホットスポットを迅速に特定し、包括的な検査を実施することを可能にする。これら両者は、感染性の高いウイルスの拡散に対抗する上で重要な要素である。

Webアプリケーションのセキュリティ脆弱性を引き起こす忘れられた人的要因

もし開発者に、安全なコードがなぜ重要なのか、安全でないコードの結果、そして最も重要なこととして、それぞれのプログラミングフレームワーク内でこうした脆弱性を書き込まないようにする方法について誰も教えたことがなければ、開発者はどのように安全なコードを書くべきでしょうか？

コピー＆ペーストは危険なコーディング技術である

この研究の意義は、これまで報告されたことのない大量の衝撃的なセキュリティコーディング問題について、経験的証拠を提供した点にある。

2019年最も危険なソフトウェアの欠陥：歴史が繰り返されるさらなる証拠

昨年末、MITREの素晴らしいコミュニティが2019年に世界で最も影響力のあるCWEトップ25の危険なソフトウェア欠陥リストを発表した。そしてそのほとんどは驚くに値しないものばかりだった。

安全コードの戦士たち―私たちの3歳の誕生日おめでとう

私たちのビジョンは、セキュリティを向上させることで、開発者が最初から安全なコードを書くスキルとツールを提供し、組織における最初の防衛ラインとなることです。

なぜ私たちは好奇心旺盛なセキュリティ担当者を罰するのではなく支援する必要があるのか

青少年安全研究員ビル・デミルカピが学校で使用されているソフトウェアの重大な脆弱性を暴露した。これは確かに懐かしい記憶を呼び起こす。好奇心旺盛な子供だった頃、ソフトウェアの蓋を開けて中を覗き込み、その仕組みを確かめようとしたことを思い出す…そして、それを解読できるかどうかを確かめようとしたのだ。

一部の最高情報セキュリティ責任者は、セキュリティスキル不足を機会に変えつつある

開発者が最初から安全なコードを書けるようにすることで、最高情報セキュリティ責任者（CISO）はセキュリティのジレンマから脱却し、積極的な制御を掌握する機会を得られる。また、セキュリティチームと開発チームに迅速で簡便かつ測定可能な改善をもたらす可能性もある。

左に移動

開発者が JavaScript コーディング時にクロスサイトスクリプティングの脆弱性を書き込んだ場合、そして彼らがその脆弱性を生成してから数分以内に検出できる場合

2021年サイバーセキュリティ予測：星間戦争の幕開け

我々は、2021年が新たなタイプの宇宙競争を主流に組み込む年になると予測している：私たちの銀河系をサイバー攻撃から守るための競争である。

サイバー犯罪者が医療分野を攻撃している（しかし我々は反撃できる）

医療分野は次の「大きな」サイバーセキュリティの戦場となる可能性があり、犯罪者が狙うのは医療問題を診断し、治療を提供し、生命を維持する機械そのものである。

DevSecOps：従来のセキュリティ脆弱性が新たな役割を果たしている

サイバーセキュリティの分野では、私たちは往々にして狩人のような存在だ。視線を地平線に固定し、次の突破口となる脆弱性を探し続けている。しかし、こうした先を見据えた監視は、意外な結果をもたらす可能性がある。それは、私たちの全体的なセキュリティ意識を弱めてしまうことだ。

2019年 OWASP AppSec Day：セキュリティ開発者の育成

これらの開発者中心の活動は、カレンダー上で私が最も楽しみにしているイベントの一つです。これらは「卑斯地提醒」コミュニティが「地下人」ではないことを示すとともに、ソフトウェアエンジニアや専門家の能力を強化し、彼らが職場で安全を保てるようにするものです。

AppSecの荒野で変革を起こす必要がある：2019年の予測

私たちが直面する真の戦いは、スクリプト少年や危険な組織的なサイバー犯罪集団に対するものではなく…より多くの人々にデータ漏洩の発生を気にかけさせることにある。

ソフトウェアの安全性は無法地帯だ（それは私たちを殺すだろう）

ソフトウェアの安全性は常に私の最優先事項であり、デジタル化が進む個人情報の共有という生活様式がもたらす真の危険性も同様です。結局のところ、私たちは基本的に規制も監視もされず、見過ごされている領域にいるのです。ここはまさに無法地帯です。

あなたの安全計画はインシデント対応に重点を置いていますか？それは間違いです。

セキュリティチーム以外では、特に重大なセキュリティインシデントが発生していない状況では、予防的アプローチよりも受動的な方法に重点を置くことが広く理解されない可能性がある。

サイバーセキュリティ研修と積極的強化

改訂されたPCIセキュリティ基準委員会ガイドライン：それらは十分に左にシフトしたか？

今年、PCIセキュリティ基準委員会は、PCIソフトウェアセキュリティフレームワークの一部として、新たなソフトウェアセキュリティガイドラインを発表しました。この更新は、ソフトウェアセキュリティのベストプラクティスを現代のソフトウェア開発と整合させることを目的としています。

元宇宙における悪意：新たな領域で既知のサイバー脅威に対抗する

現在のデジタル界の寵児——メタバース——の出現は、コードレベルの脆弱性とソーシャルエンジニアリングに広大な新たな攻撃面をもたらした。しかも我々は、煙幕と鏡で成り立つこの新たな競争環境で戦う準備を全く整えていない。

御社の開発者は最初のリスクラインか、それとも防衛ラインか？当社のセキュリティコーディングチェックリストで御社の評価を測定しましょう

最高情報責任者が企業の俊敏性を積極的に構築するにつれ、セキュアコーディングスキルはイノベーションの武器となり、これらのスキルがなければ破壊的なツールとなる。

ファーウェイの英国におけるセキュリティ問題は、安全なコーディングの必要性を示している

英国ファーウェイサイバーセキュリティ評価センターの最新報告書は、ファーウェイのソフトウェアエンジニアリングプロセスにおける主要なセキュリティ問題を特定した。しかしこれは解決可能な問題である。

APIの保護：不可能な任務？

APIの安全性は深刻な課題ですが、十分なトレーニング、計画、そしてベストプラクティスへの注力があれば、最も悪質な脆弱性さえも緩和できます。

静的 vs.動的サイバーセキュリティトレーニング：衝動的なコンプライアンス対応と将来の問題

規制措置は時間の経過とともに改善・発展していくことは間違いないが、組織が今まさに緊急ボタンを押して研修を開始しているならば、将来に向けて準備が整っていないことに気づくかもしれない。

なぜDevOps導入は頻繁に失敗するのか（そしてそれを修正する方法）

DevOpsを真に成功裏に導入できる企業はほとんどありません。しかし、企業全体で適切な支援、育成、理解を提供することで、プロセスを変革することが可能です。

GitHubユーザーがプレーンテキストの苦痛により身代金を要求される

最近GitHubリポジトリに対する攻撃は、セキュリティ業界で周知の問題を浮き彫りにした：ほとんどの開発者はセキュリティ意識がまったく不十分であり、貴重なデータは常に危険に晒されている可能性がある。

DevSecOpsのより明るい未来？それはあなたが想像するよりずっと近い

コード内の脆弱性を発見するソリューションは数多く存在しますが、セキュリティにおいては、開発者が最初からこうしたミスを犯さないよう、セキュリティガイドラインに従うよう指導することに重点を置く必要があります。

政府のサプライチェーンにおけるサイバーセキュリティの脆弱性を明らかにする

明らかに、サイバーセキュリティは重要であるが、サプライチェーンの文脈において、それは具体的に何を意味するのか？

DACH地域におけるDevSecOps：セキュアコーディングパイロットプログラムの主な発見

GDPRの施行、および多段階攻撃によって多くの公人やドイツ連邦政府サーバーの機密データが暴露されたことを受けた戦略の見直しを経て、サイバーセキュリティへの意識と対策がDACH地域の指導者にとって最優先課題であることが明らかになった。

より多くの脆弱性、より多くの問題：サードパーティ製アプリケーションの信頼コスト

私たちは、安全を企業のイノベーションの道における刺激的な障害と見なすことを止めなければならない。

村が必要だ：コミュニティ精神がより安全な開発環境をどう生み出すか

様々な分野から集まった多様な開発者がおり、私たちの行うすべてのことにコミュニティ意識が込められています。

開発者は「安全なコーディング」をどのように定義するか？

セキュリティコーディング行動を構成する要素については、まだ議論の余地があります。エヴァンス・データとの共同による最新の調査によると、この感情は白黒で表現されています。2022年開発者主導のセキュリティ状況調査では、1200人の現役開発者の重要な見解と経験を深く掘り下げ、セキュリティ分野における彼らの姿勢と課題について明らかにしています。

安全分野の女性：ファテマ・ベイドゥーンに焦点を当てる

当社のカスタマーサクセス担当副社長であるファテマ・ベイドゥーンは最近、熱心な聴衆に向けて「未来を導く：女性サイバーセキュリティ人材育成における改善策」と題した講演を行いました。彼女はサイバーセキュリティ業界における前向きな変革を推進する上で、常に不可欠な存在です。

教育現場で疑問視されている「徹底したセキュリティトレーニング

安全なコーディングは、高等教育機関におけるソフトウェアエンジニアリングの必須要素となる必要がありますが、一部の大学は、一流のトレーニングを提供し、開発プロセスの初期段階からセキュリティを優先させることで、先導的な役割を果たしています。

創造力豊かな最高情報セキュリティ責任者（CISO）と最高情報責任者（CIO）が、いかにしてセキュリティ計画を革新し変革するか

創造力に富み、人々を鼓舞する最高情報セキュリティ責任者（CISO）と最高情報責任者（CIO）は、デジタル世界の革新を推進し、その形を創り出す存在です。しかし同時に、組織のセキュリティ文化における変革の重要な役割を担うこともできます。

世界規模のパッチ：VxWorksの脆弱性が数百万台のデバイスを危険に晒す

一般消費者にとってVxWorksは広く知られた名前ではありませんが、このソフトウェア製品は毎日、あなたや私のような多くの人々に恩恵をもたらしています。今、私たちは数億台のVxWorksベースのデバイスが侵害される可能性に直面しています。

なぜゲーミフィケーションがソフトウェアの安全性を高める鍵なのか

私たちは対話の方法を変え、セキュリティをすべての開発者の仕事と生活に不可欠な要素とするよう努めなければなりません。これを実現する最良の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティ面で力を与え、彼らと対話することだと考えます。

安全コードの戦士たち、六年：私たちは成長したのか？

これは一年の中でも特別な瞬間（少なくとも私たちにとっては）であり、私はこの一年間の太陽の周りを巡った軌跡を振り返り、成長と教訓、そして避けられない不確実性に満ちた新たな年を迎えるために、この365日間に取り組んできたことを顧みる。

セキュリティコードの戦士と脆弱性ハンター：セキュリティギークの楽園における天の配剤

これは公式発表です：私たちはBugcrowdと連携し、開発者に対するセキュアコーディングの教育、能力強化、啓発に取り組んでいます。

開発者選手権：AppSecがセキュリティ文化と参加意欲を高める秘策

そろそろイメージチェンジする時期だと思いませんか？それは会話のトーンを変えて、すべてをもっと前向きにするのと同じくらい簡単です（ましてや楽しいことですよ！）。双方にとって、特に開発チームにとっては。

この心を読む者から教訓を得て、安全を再び楽しいものにしよう！

経営幹部向けのサイバーセキュリティ研修であれ、開発者向けのJavaやC#のセキュアプログラミングスキル習得支援であれ、創造性、ゲーミフィケーション、そして楽しさを取り入れる余地は常にあります。

国際エンジニアリング界女性の日：私たちのスターを知ろう

6月23日はギークカレンダーにおける特別な項目であり、国際女性エンジニアリングデーを記念するものです。これは、ソフトウェア開発における女性の貢献を明らかにする機会となります。

同情、感謝、そして謙虚さを保つこと：私たちの文化の基盤

ソフトウェアセキュリティ業界は、温かく曖昧な感情や奇抜な観察、人生論評で知られるわけではない。しかし、年を重ねるにつれ、私たちが世界に与えるかもしれない影響について、自らも振り返るようになった。

採用プロセスを改善するビデオゲーム

サイバーセキュリティのベストプラクティスを理解するには、金融業界をご覧ください。

サイバー攻撃の増加に伴い——あらゆる分野の組織に影響を及ぼす——高額なコスト、不名誉、そして利益への影響を伴うデータ漏洩の脅威は現実のものとなっている。問題は縮小するどころか、腫瘍のように拡大している。

サイバーセキュリティの未来：今後1年間に起こらないこと

私たちの業界では、多くのセキュリティ専門家が今年の注目すべき問題を予測し始めていますが、2019年に50億件以上の機密データ記録が盗まれたことを踏まえると、近い将来にサイバーセキュリティで起こらないことを予測する方がより正確であると考えます。

効果的な開発者向けセキュリティ研修の実施方法：5つの重要なカリキュラム

効果的な開発者向けセキュリティトレーニングを実施するための5つの重要な教訓

組織階層構造における組織階層構造の再考

厳格な階層構造でアプリケーションとソフトウェアを定義し、最小権限でこれらのポリシーを実行することで、アプリケーションとソフトウェアを保護し、生存と発展を可能にします。

私たちはオープンソースソフトウェアのセキュリティ動員計画を実施するのに十分な成熟度を備えているでしょうか？

オープンソースソフトウェアセキュリティ動員計画は、開発者主導のセキュリティにおける積極的な一歩を象徴しています。しかし、私たちは皆、現状を把握し、組織が十分に成熟しているか、開発チームが最新の優れた防御戦略を実施するのに十分なセキュリティ意識とスキルを備えているかを率直に評価しなければなりません。

最高のブランチ：当社のAppSecリーダーが知恵を共有

組織のAppSec予算を最大限に活用する方法といった注目課題や、聴衆から寄せられたいくつかの難題に対し、AppSecチームは真の朝の魔法を提供しました。これによりセキュリティ専門家は組織内で実行可能な計画を策定できるよう支援します。

4歳の誕生日おめでとう、Secure Code Warrior、この厚かましい小僧め

娘と会社の年齢を重ねるほど、起業の旅と「初めての母親になる」という旅には多くの共通点があることに気づかされる。私はもう4年目だ。

すべての開発者は、潜在的な雇用主にこの百万ドルの価値がある質問をすべきだ

すべての開発者は自問すべき問題がある。新卒であろうとベテランであろうと関係ない。その答えは重要だ。

サイバーセキュリティ業界分析：私たちが修正すべきもう一つの繰り返し発生する脆弱性

現実的な助言も得られず、現代のサイバーセキュリティに対する絶え間ない攻撃に対抗する最速の解決策も存在しない。もちろん、各脆弱性は独自の特徴を持ち、脆弱なソフトウェアを悪用する攻撃手法も数多く存在する。実用的な汎用的な助言は限られるが、ベストプラクティス手法には刻一刻と新たな欠陥が露呈しているようだ。

COBOLアプリケーション開発セキュリティ | セキュアコードの戦士

伝統的なCOBOLは古いプログラミング言語ですが、今でも有効です。Secure Code Warrior WarriorでCOBOLのセキュアなアプリケーション開発Secure Code Warrior 。

漏洩したAPIは企業の評判を台無しにする可能性がある

APIの安全性は、多くのセキュリティ専門家が差し迫った問題と認識しており、私たちが習得すべき知識でもあります。

PCI-DSS 4.0 は想像以上に早く登場します。これは組織のネットワークレジリエンスを高める機会です。

今年早些时候，PCI安全标准委员会公布了其支付卡行业数据安全标准（PCI DSS）的4.0版本。尽管组织要到2025年3月才能完全遵守4.0，但此次更新是他们迄今为止最具变革性的更新，将要求大多数企业评估（并可能升级）复杂的安全流程和技术堆栈的元素。さらに、開発者向けに役割ベースのセキュリティ意識向上トレーニングと定期的なセキュアコーディング教育の実施が義務付けられた。

セキュアコード・ウォリアーの最高経営責任者であり共同創設者のピーター・ダンシエ氏は次のように述べた：「誰もが自身のサイバーセキュリティにおいて、担うべき役割を自覚し、その役割を受け入れるべきである」

CyberNews がSecure Code Warrior 、ピーター・ダンシックス氏との質疑応答を実施。

主動的防御：国家サイバーセキュリティ戦略を活用した高度な脅威防御

CISAの国家サイバーセキュリティ戦略は、ソフトウェア基準を包括的に向上させ、最終的にセキュリティ技術開発者の新時代を切り開くための最良の機会である。

LLMs：一種の（不完全ながら）完全に人間的な安全なコーディング手法？

LLM型人工知能技術がソフトウェア開発だけでなく、多くの分野における仕事の進め方を変えるのは避けられないように思えるが、私たちは一歩引いて、表層的な話題を超えたリスクを考慮しなければならない。プログラミングパートナーとしての欠点は、おそらくそれが最も「人間らしい」特性である点にある。

安全なコーディングの基準を高める：未来志向の企業にアジャイル学習を組み込む

当社はCラウンドの資金調達を完了し、次の段階の使命に向けて5000万ドルを調達したことを発表します。その使命とは、より多くの先駆的な組織が開発チームの力を活用し、一般的な脆弱性を抑制する手助けをすることです。

：刺激的なパートナーシップにより、企業の俊敏な学習と開発者主導のパフォーマンスを促進します

当社の新たな資金調達ラウンドが始まりました。このたび、当社の発展の新たな一歩を踏み出したことを大変嬉しく思います。セキュリティ業界のリーダーであるシスコシステムズは、製品スイートにエキサイティングな新機能を追加したことを歓迎します：セキュリティコードの専門家が支援するシスコシステムズ開発者向けセキュリティトレーニングです。

あなたのセキュリティ・プログラムはCISAのサイバーセキュリティ戦略プランに対応していますか？

サイバーセキュリティ戦略計画は、ほとんどの組織がサイバーセキュリティにアプローチする方法に大きな変化を迫るものであり、開発者はこれらの新しい目標の達成を支援するユニークな立場にある。

九の力：激動のサイバーセキュリティ時代において、セキュリティコードの勇士たちの遺産を育む

本日は私たちの9回目の誕生日です。状況が急速に変化し続ける中、サイバーセキュリティ分野における私たちの成果と確固たる地位に対して、私は非常に誇りと感謝の念を抱いています。

LinuxのXZ Utilsバックドアは、より広範なサプライチェーンセキュリティ問題を浮き彫りにした。これを阻止するには、コミュニティ精神だけでは不十分だ。

主要なLinuxディストリビューションで使用されているXZ Utilsデータ圧縮ライブラリにおいて、CVE-2024-3094という深刻な脆弱性が発見されました。この脆弱性は脅威アクターによってバックドアプログラムを介して導入されたものです。この高深刻度の問題は潜在的なリモートコード実行を可能にし、ソフトウェア構築プロセスに重大なリスクをもたらします。脆弱性はFedora Rawhideの初期版XZ Utils（5.6.0および5.6.1）に影響し、組織に対し緊急パッチ適用が求められています。本事象は、オープンソースソフトウェアの維持管理におけるコミュニティボランティアの重要性を浮き彫りにするとともに、ソフトウェア開発ライフサイクル全体におけるセキュリティ対策とアクセス制御の強化が必要であることを示しています。

捍卫者十年：安全コードの勇士が十歳になりました

Secure Code Warrior 、10年間にわたり宇宙船を導き、あらゆる教訓、勝利、挫折を乗り越えてきました。開発者リスク管理分野のリーダーとして、私たちは規模を拡大し、次の章——SCW 2.0——を迎える準備を整えています。

Vibe Codingはあなたのコードベースを兄弟会パーティーに変えてしまうのか？

プログラミングはまるで大学の兄弟会のパーティーのようで、人工知能は全ての祝祭の中心的存在だ、小桶よ。心身を解き放ち、創造力を発揮して、想像力がどこへ導くか見てみよう。これは確かに楽しいが、小桶を何杯か飲んだ後は、適度な飲酒（あるいは人工知能の使用）が間違いなくより安全な長期的な解決策だ。

良い道具が悪用される時：AIツール中毒、そしてAIが二重スパイになるのを防ぐ方法

ソフトウェア開発にエージェント型AIを早く導入しよう！(ネタバレ: たぶんやめた方がいい)

サイバーセキュリティの世界はエージェント型AIの動きが早すぎる？AIセキュリティの未来はここにあり、専門家は考察から現実へ移行する時期に来ている。

SCW 11周年：適応力と継続的改善のリアルタイムな教訓

2025年はAI、サイバーセキュリティ、そしてSCWにとって大きな年でした。私は2026年を静かな自信と、努力が実を結んだ者だけが持つ楽観をもって迎えています。