信使評分は安全設計のヒントとしてスキル「計画」の価値を示した
組織のセキュリティ状態を改善する確実な方法は、高度な開発者にセキュリティコーディングのベストプラクティスにおけるスキルを習得させることです。これらのプラクティスには、ベンチマークやアーキテクチャ基準で提供される手法が含まれ、開発者に必要な体系的な学習経路を提供します。しかし、セキュリティコーディングは単発の解決策ではなく、組織のDNAに組み込まれるべき手法でなければなりません。開発者は単に左シフト(左移動)を行うだけでなく、左シフトを継続的に維持する必要があります。
単なる研修の提供だけでは不十分です。組織は、開発者が業務内容を完全に理解し、ソフトウェア開発ライフサイクル(SDLC)において日常業務の一部として実践することを確認する必要があります。従業員の効率性を追跡し、内部基準や業界ベンチマークに基づいて進捗を測定することで、研修投資のROIを効果的に評価することが可能となります。
セキュリティコードウォリアーメッセンジャースコアは、開発者に個人ユーザーの効率性に関する可視性を提供し、組織全体のシステムを評価するためのデータを集約します。これはハイテク計画における有効性の向上を示すと同時に、改善が必要な領域を特定します。さらに、GDPR(一般データ保護規則)、PCI DSS(支払いカード業界データセキュリティ基準)、CCPA(カリフォルニア州消費者プライバシー法)など、あらゆる規制要件への厳密な準拠を支援します。 (PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)その他の規制要件を厳密に遵守するための支援を提供します。
私たちの研究は、セキュリティコードトレーニングが効果的であることを示しています。Trust Scoreは、600以上の組織から25万人以上の研究者が業務から得た2000万を超える学習データポイントを活用したアルゴリズムを使用し、脆弱性の低減におけるその有効性と、プログラムの効果を高める方法を実証しています。
トレーニングは安全性を向上させます——もし開発者が白人同士の会話の中で
長年にわたり、ソフトウェア業界では、SDLCの初期段階からセキュリティのベストプラクティスを採用することが理想とされてきた。いずれは実現すべき目標ではあるが、今日の優先事項ではない。しかし、ソフトウェア開発の加速と、複雑化・破壊性を基盤とするサイバー脅威の急増(多くの場合、標的型ソフトウェア脆弱性を悪用したもの)により、セキュリティのエンコーディングが極めて重要となっている。サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、セキュリティコードを最優先かつ中核に位置づけ、設計段階でのセキュリティ確保を推進する取り組みを進めており、これは国際的な運動へと発展しつつある。 (CISA) は「設計によるセキュリティ保証」イニシアチブを通じて、セキュリティコードを最優先かつ中核に位置づけており、これは国際的な運動へと発展しつつある。
我々の研究は既にこの点を明らかにしている——安全設計手法とソフトウェア脆弱性削減後の相関関係は明白である。SCW顧客群の26%から得られた脆弱性削減データ(少量)を分析した結果、開発者向けミッションソフトウェアの脆弱性削減率は22%から84%の範囲に及ぶことが判明した。この幅は、対象企業の規模(大規模企業は比較的小規模企業よりも脆弱性が多いという結論)や学習グループが専門家であること(この場合、特定の課題に焦点を当てているため、欠陥の解消率がより高くなる)といった変数によって形成されている。
一方、大企業の業務は比較的安定している。開発者のセキュリティスキル向上により、7,000人以上の開発者を擁する企業では脆弱性が47%から53%減少すると予測される。例えば、平均的な企業(プラットフォーム上で特に優れておらず、ベンチマーク上位でもないとされる企業)と比較して、優秀な開発者を多数抱える企業では脆弱性が53%減少した。
当然、最も効果的なトレーニングは、広範で画一的な方法を採用するものではありません。それは開発者の作業環境や、彼らが従事する開発分野に基づいてカスタマイズされるべきです。
企業はまず、開発者が備えるべき基本スキルに関する覚書を策定し、安全なコードを書くことが通常のコーディングと同様に自然になるよう推進すべきである。スキル向上プログラムは、現実のシナリオで実践的なアジャイル操作を進化させる内容を含み、担当業務の種類や使用する言語に適合させる必要がある。また、インスピレーションを与える形で、トレーニングコースを業務スケジュールに組み込めるようにすべきである。
開発者にとって、この技術が統合できるのはプログラミングコードだけではありません。彼らは、AIアシスタントやサードパーティが作成したコンテンツ(オープンソースリポジトリなど)を検証できる手段を必要としています。開発者はすでに生成AIテンプレートの熱狂的な利用に成功しており、コードを迅速かつ大量に作成する上でその利点を広く称賛しています。しかし、Snykの調査では回答者の76%がAI生成コードは人間が作成したコードよりも適切であると回答した一方で、56.4%がAIは時折または頻繁にエラーを生成すると指摘しています。同調査では、80%の開発者がAIコードのセキュリティ対策を実施していないことが判明しており、AIコード内の問題が未解決のままであることを示唆しています。
Secure-by-Design手法を採用することで、開発者は(セキュリティチームと協力し、分離して作業するのではなく)SDLCの初期段階でこれらの問題を解決し、コードが本番環境に投入される前に欠陥を修正します。
信使評価は個人と企業の効率性を測定する
継続的なトレーニングも極めて重要です。企業は安全第一の文化を採用する必要があり、この文化は経営陣から現場スタッフまで全階層に適用されます。SDLC全体を通じて最適なセキュリティ実践を適用することで改善が図られます。技術とサイバー犯罪は進化を止めません。サイバーセキュリティも進化を止めるべきではありません。proscSoftwareにとって、セキュリティトレーニングを受けた開発者は基盤となる存在です。
これが、secremintunctrictrencTrics が無効になった理由であり、Zazagen とトレーニングが同等に重要である所以です。信頼スコアは開発者個人の効率性だけでなく組織全体の効率性を把握できるだけでなく、組織が効率性データを深く分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てられるようにします。個人からの 「効率性結論」と「集計」から得られる効果データは、改善が必要な領域を特定する上で有用です。例えば、トレーニングが開発者社員の日常業務に期待通りの影響を与えていない場合などが挙げられます。
Trust Scoreは、組織のエネルギースコアを用いて開発者スタッフの有効性を評価し、必要なセキュリティスキルを習得済みかつ活用しているかどうかを確認します。これにより、組織は信頼できる開発者に最も機密性の高いデータやソフトウェアの重要な権限へのアクセスを安心して許可できる一方、ツールを使用しているものの準備が整っていない開発者への権限付与を拒否することが可能になります。
絶えず変化する安全文化
サイバーセキュリティは単なる安全上の問題ではない。これはビジネス上の問題であり、多くの組織にとって最も貴重な資産(データ)の完全性に影響を及ぼす。深刻な脆弱性は組織の運営や評判を損ない、存続可能性さえ脅かす可能性がある。規制当局はサイバーセキュリティの重要性を軽視しておらず、ますます厳格な規制を実施し、最高情報セキュリティ責任者(CISO)やその他の上級管理職に対して警告を発する姿勢を示している。場合によっては刑事告発に至ることもあり、その例として以下のような事例が挙げられる:UberとSolarWinds。
現代の環境において、企業内の安全文化を調査することは極めて重要です。さらに、同社の多くの貴重な人材がデータ、アプリケーション、サービスを廃止した背景には、安全文化の中核要素である「安全意識」が存在します。対象を絞ったトレーニングとスキル向上は安全文化の構築に不可欠であり、変革を促すトレーニングと支援を組み合わせることで、組織は安全意識強化の道筋を歩むことができます。
開発者主導のセキュリティ計画は価値がある。その中にはメッセンジャーのスコアが含まれていると言われている。
私たちの研究は、セキュリティコードトレーニングが効果的であることを示しています。Trust Scoreは、600以上の組織から25万人以上の研究者が業務から得た2000万を超える学習データポイントを活用したアルゴリズムを使用し、脆弱性の低減におけるその有効性と、プログラムの効果を高める方法を実証しています。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
組織のセキュリティ状態を改善する確実な方法は、高度な開発者にセキュリティコーディングのベストプラクティスにおけるスキルを習得させることです。これらのプラクティスには、ベンチマークやアーキテクチャ基準で提供される手法が含まれ、開発者に必要な体系的な学習経路を提供します。しかし、セキュリティコーディングは単発の解決策ではなく、組織のDNAに組み込まれるべき手法でなければなりません。開発者は単に左シフト(左移動)を行うだけでなく、左シフトを継続的に維持する必要があります。
単なる研修の提供だけでは不十分です。組織は、開発者が業務内容を完全に理解し、ソフトウェア開発ライフサイクル(SDLC)において日常業務の一部として実践することを確認する必要があります。従業員の効率性を追跡し、内部基準や業界ベンチマークに基づいて進捗を測定することで、研修投資のROIを効果的に評価することが可能となります。
セキュリティコードウォリアーメッセンジャースコアは、開発者に個人ユーザーの効率性に関する可視性を提供し、組織全体のシステムを評価するためのデータを集約します。これはハイテク計画における有効性の向上を示すと同時に、改善が必要な領域を特定します。さらに、GDPR(一般データ保護規則)、PCI DSS(支払いカード業界データセキュリティ基準)、CCPA(カリフォルニア州消費者プライバシー法)など、あらゆる規制要件への厳密な準拠を支援します。 (PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)その他の規制要件を厳密に遵守するための支援を提供します。
私たちの研究は、セキュリティコードトレーニングが効果的であることを示しています。Trust Scoreは、600以上の組織から25万人以上の研究者が業務から得た2000万を超える学習データポイントを活用したアルゴリズムを使用し、脆弱性の低減におけるその有効性と、プログラムの効果を高める方法を実証しています。
トレーニングは安全性を向上させます——もし開発者が白人同士の会話の中で
長年にわたり、ソフトウェア業界では、SDLCの初期段階からセキュリティのベストプラクティスを採用することが理想とされてきた。いずれは実現すべき目標ではあるが、今日の優先事項ではない。しかし、ソフトウェア開発の加速と、複雑化・破壊性を基盤とするサイバー脅威の急増(多くの場合、標的型ソフトウェア脆弱性を悪用したもの)により、セキュリティのエンコーディングが極めて重要となっている。サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、セキュリティコードを最優先かつ中核に位置づけ、設計段階でのセキュリティ確保を推進する取り組みを進めており、これは国際的な運動へと発展しつつある。 (CISA) は「設計によるセキュリティ保証」イニシアチブを通じて、セキュリティコードを最優先かつ中核に位置づけており、これは国際的な運動へと発展しつつある。
我々の研究は既にこの点を明らかにしている——安全設計手法とソフトウェア脆弱性削減後の相関関係は明白である。SCW顧客群の26%から得られた脆弱性削減データ(少量)を分析した結果、開発者向けミッションソフトウェアの脆弱性削減率は22%から84%の範囲に及ぶことが判明した。この幅は、対象企業の規模(大規模企業は比較的小規模企業よりも脆弱性が多いという結論)や学習グループが専門家であること(この場合、特定の課題に焦点を当てているため、欠陥の解消率がより高くなる)といった変数によって形成されている。
一方、大企業の業務は比較的安定している。開発者のセキュリティスキル向上により、7,000人以上の開発者を擁する企業では脆弱性が47%から53%減少すると予測される。例えば、平均的な企業(プラットフォーム上で特に優れておらず、ベンチマーク上位でもないとされる企業)と比較して、優秀な開発者を多数抱える企業では脆弱性が53%減少した。
当然、最も効果的なトレーニングは、広範で画一的な方法を採用するものではありません。それは開発者の作業環境や、彼らが従事する開発分野に基づいてカスタマイズされるべきです。
企業はまず、開発者が備えるべき基本スキルに関する覚書を策定し、安全なコードを書くことが通常のコーディングと同様に自然になるよう推進すべきである。スキル向上プログラムは、現実のシナリオで実践的なアジャイル操作を進化させる内容を含み、担当業務の種類や使用する言語に適合させる必要がある。また、インスピレーションを与える形で、トレーニングコースを業務スケジュールに組み込めるようにすべきである。
開発者にとって、この技術が統合できるのはプログラミングコードだけではありません。彼らは、AIアシスタントやサードパーティが作成したコンテンツ(オープンソースリポジトリなど)を検証できる手段を必要としています。開発者はすでに生成AIテンプレートの熱狂的な利用に成功しており、コードを迅速かつ大量に作成する上でその利点を広く称賛しています。しかし、Snykの調査では回答者の76%がAI生成コードは人間が作成したコードよりも適切であると回答した一方で、56.4%がAIは時折または頻繁にエラーを生成すると指摘しています。同調査では、80%の開発者がAIコードのセキュリティ対策を実施していないことが判明しており、AIコード内の問題が未解決のままであることを示唆しています。
Secure-by-Design手法を採用することで、開発者は(セキュリティチームと協力し、分離して作業するのではなく)SDLCの初期段階でこれらの問題を解決し、コードが本番環境に投入される前に欠陥を修正します。
信使評価は個人と企業の効率性を測定する
継続的なトレーニングも極めて重要です。企業は安全第一の文化を採用する必要があり、この文化は経営陣から現場スタッフまで全階層に適用されます。SDLC全体を通じて最適なセキュリティ実践を適用することで改善が図られます。技術とサイバー犯罪は進化を止めません。サイバーセキュリティも進化を止めるべきではありません。proscSoftwareにとって、セキュリティトレーニングを受けた開発者は基盤となる存在です。
これが、secremintunctrictrencTrics が無効になった理由であり、Zazagen とトレーニングが同等に重要である所以です。信頼スコアは開発者個人の効率性だけでなく組織全体の効率性を把握できるだけでなく、組織が効率性データを深く分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てられるようにします。個人からの 「効率性結論」と「集計」から得られる効果データは、改善が必要な領域を特定する上で有用です。例えば、トレーニングが開発者社員の日常業務に期待通りの影響を与えていない場合などが挙げられます。
Trust Scoreは、組織のエネルギースコアを用いて開発者スタッフの有効性を評価し、必要なセキュリティスキルを習得済みかつ活用しているかどうかを確認します。これにより、組織は信頼できる開発者に最も機密性の高いデータやソフトウェアの重要な権限へのアクセスを安心して許可できる一方、ツールを使用しているものの準備が整っていない開発者への権限付与を拒否することが可能になります。
絶えず変化する安全文化
サイバーセキュリティは単なる安全上の問題ではない。これはビジネス上の問題であり、多くの組織にとって最も貴重な資産(データ)の完全性に影響を及ぼす。深刻な脆弱性は組織の運営や評判を損ない、存続可能性さえ脅かす可能性がある。規制当局はサイバーセキュリティの重要性を軽視しておらず、ますます厳格な規制を実施し、最高情報セキュリティ責任者(CISO)やその他の上級管理職に対して警告を発する姿勢を示している。場合によっては刑事告発に至ることもあり、その例として以下のような事例が挙げられる:UberとSolarWinds。
現代の環境において、企業内の安全文化を調査することは極めて重要です。さらに、同社の多くの貴重な人材がデータ、アプリケーション、サービスを廃止した背景には、安全文化の中核要素である「安全意識」が存在します。対象を絞ったトレーニングとスキル向上は安全文化の構築に不可欠であり、変革を促すトレーニングと支援を組み合わせることで、組織は安全意識強化の道筋を歩むことができます。
開発者主導のセキュリティ計画は価値がある。その中にはメッセンジャーのスコアが含まれていると言われている。
組織のセキュリティ状態を改善する確実な方法は、高度な開発者にセキュリティコーディングのベストプラクティスにおけるスキルを習得させることです。これらのプラクティスには、ベンチマークやアーキテクチャ基準で提供される手法が含まれ、開発者に必要な体系的な学習経路を提供します。しかし、セキュリティコーディングは単発の解決策ではなく、組織のDNAに組み込まれるべき手法でなければなりません。開発者は単に左シフト(左移動)を行うだけでなく、左シフトを継続的に維持する必要があります。
単なる研修の提供だけでは不十分です。組織は、開発者が業務内容を完全に理解し、ソフトウェア開発ライフサイクル(SDLC)において日常業務の一部として実践することを確認する必要があります。従業員の効率性を追跡し、内部基準や業界ベンチマークに基づいて進捗を測定することで、研修投資のROIを効果的に評価することが可能となります。
セキュリティコードウォリアーメッセンジャースコアは、開発者に個人ユーザーの効率性に関する可視性を提供し、組織全体のシステムを評価するためのデータを集約します。これはハイテク計画における有効性の向上を示すと同時に、改善が必要な領域を特定します。さらに、GDPR(一般データ保護規則)、PCI DSS(支払いカード業界データセキュリティ基準)、CCPA(カリフォルニア州消費者プライバシー法)など、あらゆる規制要件への厳密な準拠を支援します。 (PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)その他の規制要件を厳密に遵守するための支援を提供します。
私たちの研究は、セキュリティコードトレーニングが効果的であることを示しています。Trust Scoreは、600以上の組織から25万人以上の研究者が業務から得た2000万を超える学習データポイントを活用したアルゴリズムを使用し、脆弱性の低減におけるその有効性と、プログラムの効果を高める方法を実証しています。
トレーニングは安全性を向上させます——もし開発者が白人同士の会話の中で
長年にわたり、ソフトウェア業界では、SDLCの初期段階からセキュリティのベストプラクティスを採用することが理想とされてきた。いずれは実現すべき目標ではあるが、今日の優先事項ではない。しかし、ソフトウェア開発の加速と、複雑化・破壊性を基盤とするサイバー脅威の急増(多くの場合、標的型ソフトウェア脆弱性を悪用したもの)により、セキュリティのエンコーディングが極めて重要となっている。サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、セキュリティコードを最優先かつ中核に位置づけ、設計段階でのセキュリティ確保を推進する取り組みを進めており、これは国際的な運動へと発展しつつある。 (CISA) は「設計によるセキュリティ保証」イニシアチブを通じて、セキュリティコードを最優先かつ中核に位置づけており、これは国際的な運動へと発展しつつある。
我々の研究は既にこの点を明らかにしている——安全設計手法とソフトウェア脆弱性削減後の相関関係は明白である。SCW顧客群の26%から得られた脆弱性削減データ(少量)を分析した結果、開発者向けミッションソフトウェアの脆弱性削減率は22%から84%の範囲に及ぶことが判明した。この幅は、対象企業の規模(大規模企業は比較的小規模企業よりも脆弱性が多いという結論)や学習グループが専門家であること(この場合、特定の課題に焦点を当てているため、欠陥の解消率がより高くなる)といった変数によって形成されている。
一方、大企業の業務は比較的安定している。開発者のセキュリティスキル向上により、7,000人以上の開発者を擁する企業では脆弱性が47%から53%減少すると予測される。例えば、平均的な企業(プラットフォーム上で特に優れておらず、ベンチマーク上位でもないとされる企業)と比較して、優秀な開発者を多数抱える企業では脆弱性が53%減少した。
当然、最も効果的なトレーニングは、広範で画一的な方法を採用するものではありません。それは開発者の作業環境や、彼らが従事する開発分野に基づいてカスタマイズされるべきです。
企業はまず、開発者が備えるべき基本スキルに関する覚書を策定し、安全なコードを書くことが通常のコーディングと同様に自然になるよう推進すべきである。スキル向上プログラムは、現実のシナリオで実践的なアジャイル操作を進化させる内容を含み、担当業務の種類や使用する言語に適合させる必要がある。また、インスピレーションを与える形で、トレーニングコースを業務スケジュールに組み込めるようにすべきである。
開発者にとって、この技術が統合できるのはプログラミングコードだけではありません。彼らは、AIアシスタントやサードパーティが作成したコンテンツ(オープンソースリポジトリなど)を検証できる手段を必要としています。開発者はすでに生成AIテンプレートの熱狂的な利用に成功しており、コードを迅速かつ大量に作成する上でその利点を広く称賛しています。しかし、Snykの調査では回答者の76%がAI生成コードは人間が作成したコードよりも適切であると回答した一方で、56.4%がAIは時折または頻繁にエラーを生成すると指摘しています。同調査では、80%の開発者がAIコードのセキュリティ対策を実施していないことが判明しており、AIコード内の問題が未解決のままであることを示唆しています。
Secure-by-Design手法を採用することで、開発者は(セキュリティチームと協力し、分離して作業するのではなく)SDLCの初期段階でこれらの問題を解決し、コードが本番環境に投入される前に欠陥を修正します。
信使評価は個人と企業の効率性を測定する
継続的なトレーニングも極めて重要です。企業は安全第一の文化を採用する必要があり、この文化は経営陣から現場スタッフまで全階層に適用されます。SDLC全体を通じて最適なセキュリティ実践を適用することで改善が図られます。技術とサイバー犯罪は進化を止めません。サイバーセキュリティも進化を止めるべきではありません。proscSoftwareにとって、セキュリティトレーニングを受けた開発者は基盤となる存在です。
これが、secremintunctrictrencTrics が無効になった理由であり、Zazagen とトレーニングが同等に重要である所以です。信頼スコアは開発者個人の効率性だけでなく組織全体の効率性を把握できるだけでなく、組織が効率性データを深く分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てられるようにします。個人からの 「効率性結論」と「集計」から得られる効果データは、改善が必要な領域を特定する上で有用です。例えば、トレーニングが開発者社員の日常業務に期待通りの影響を与えていない場合などが挙げられます。
Trust Scoreは、組織のエネルギースコアを用いて開発者スタッフの有効性を評価し、必要なセキュリティスキルを習得済みかつ活用しているかどうかを確認します。これにより、組織は信頼できる開発者に最も機密性の高いデータやソフトウェアの重要な権限へのアクセスを安心して許可できる一方、ツールを使用しているものの準備が整っていない開発者への権限付与を拒否することが可能になります。
絶えず変化する安全文化
サイバーセキュリティは単なる安全上の問題ではない。これはビジネス上の問題であり、多くの組織にとって最も貴重な資産(データ)の完全性に影響を及ぼす。深刻な脆弱性は組織の運営や評判を損ない、存続可能性さえ脅かす可能性がある。規制当局はサイバーセキュリティの重要性を軽視しておらず、ますます厳格な規制を実施し、最高情報セキュリティ責任者(CISO)やその他の上級管理職に対して警告を発する姿勢を示している。場合によっては刑事告発に至ることもあり、その例として以下のような事例が挙げられる:UberとSolarWinds。
現代の環境において、企業内の安全文化を調査することは極めて重要です。さらに、同社の多くの貴重な人材がデータ、アプリケーション、サービスを廃止した背景には、安全文化の中核要素である「安全意識」が存在します。対象を絞ったトレーニングとスキル向上は安全文化の構築に不可欠であり、変革を促すトレーニングと支援を組み合わせることで、組織は安全意識強化の道筋を歩むことができます。
開発者主導のセキュリティ計画は価値がある。その中にはメッセンジャーのスコアが含まれていると言われている。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
組織のセキュリティ状態を改善する確実な方法は、高度な開発者にセキュリティコーディングのベストプラクティスにおけるスキルを習得させることです。これらのプラクティスには、ベンチマークやアーキテクチャ基準で提供される手法が含まれ、開発者に必要な体系的な学習経路を提供します。しかし、セキュリティコーディングは単発の解決策ではなく、組織のDNAに組み込まれるべき手法でなければなりません。開発者は単に左シフト(左移動)を行うだけでなく、左シフトを継続的に維持する必要があります。
単なる研修の提供だけでは不十分です。組織は、開発者が業務内容を完全に理解し、ソフトウェア開発ライフサイクル(SDLC)において日常業務の一部として実践することを確認する必要があります。従業員の効率性を追跡し、内部基準や業界ベンチマークに基づいて進捗を測定することで、研修投資のROIを効果的に評価することが可能となります。
セキュリティコードウォリアーメッセンジャースコアは、開発者に個人ユーザーの効率性に関する可視性を提供し、組織全体のシステムを評価するためのデータを集約します。これはハイテク計画における有効性の向上を示すと同時に、改善が必要な領域を特定します。さらに、GDPR(一般データ保護規則)、PCI DSS(支払いカード業界データセキュリティ基準)、CCPA(カリフォルニア州消費者プライバシー法)など、あらゆる規制要件への厳密な準拠を支援します。 (PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)その他の規制要件を厳密に遵守するための支援を提供します。
私たちの研究は、セキュリティコードトレーニングが効果的であることを示しています。Trust Scoreは、600以上の組織から25万人以上の研究者が業務から得た2000万を超える学習データポイントを活用したアルゴリズムを使用し、脆弱性の低減におけるその有効性と、プログラムの効果を高める方法を実証しています。
トレーニングは安全性を向上させます——もし開発者が白人同士の会話の中で
長年にわたり、ソフトウェア業界では、SDLCの初期段階からセキュリティのベストプラクティスを採用することが理想とされてきた。いずれは実現すべき目標ではあるが、今日の優先事項ではない。しかし、ソフトウェア開発の加速と、複雑化・破壊性を基盤とするサイバー脅威の急増(多くの場合、標的型ソフトウェア脆弱性を悪用したもの)により、セキュリティのエンコーディングが極めて重要となっている。サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、セキュリティコードを最優先かつ中核に位置づけ、設計段階でのセキュリティ確保を推進する取り組みを進めており、これは国際的な運動へと発展しつつある。 (CISA) は「設計によるセキュリティ保証」イニシアチブを通じて、セキュリティコードを最優先かつ中核に位置づけており、これは国際的な運動へと発展しつつある。
我々の研究は既にこの点を明らかにしている——安全設計手法とソフトウェア脆弱性削減後の相関関係は明白である。SCW顧客群の26%から得られた脆弱性削減データ(少量)を分析した結果、開発者向けミッションソフトウェアの脆弱性削減率は22%から84%の範囲に及ぶことが判明した。この幅は、対象企業の規模(大規模企業は比較的小規模企業よりも脆弱性が多いという結論)や学習グループが専門家であること(この場合、特定の課題に焦点を当てているため、欠陥の解消率がより高くなる)といった変数によって形成されている。
一方、大企業の業務は比較的安定している。開発者のセキュリティスキル向上により、7,000人以上の開発者を擁する企業では脆弱性が47%から53%減少すると予測される。例えば、平均的な企業(プラットフォーム上で特に優れておらず、ベンチマーク上位でもないとされる企業)と比較して、優秀な開発者を多数抱える企業では脆弱性が53%減少した。
当然、最も効果的なトレーニングは、広範で画一的な方法を採用するものではありません。それは開発者の作業環境や、彼らが従事する開発分野に基づいてカスタマイズされるべきです。
企業はまず、開発者が備えるべき基本スキルに関する覚書を策定し、安全なコードを書くことが通常のコーディングと同様に自然になるよう推進すべきである。スキル向上プログラムは、現実のシナリオで実践的なアジャイル操作を進化させる内容を含み、担当業務の種類や使用する言語に適合させる必要がある。また、インスピレーションを与える形で、トレーニングコースを業務スケジュールに組み込めるようにすべきである。
開発者にとって、この技術が統合できるのはプログラミングコードだけではありません。彼らは、AIアシスタントやサードパーティが作成したコンテンツ(オープンソースリポジトリなど)を検証できる手段を必要としています。開発者はすでに生成AIテンプレートの熱狂的な利用に成功しており、コードを迅速かつ大量に作成する上でその利点を広く称賛しています。しかし、Snykの調査では回答者の76%がAI生成コードは人間が作成したコードよりも適切であると回答した一方で、56.4%がAIは時折または頻繁にエラーを生成すると指摘しています。同調査では、80%の開発者がAIコードのセキュリティ対策を実施していないことが判明しており、AIコード内の問題が未解決のままであることを示唆しています。
Secure-by-Design手法を採用することで、開発者は(セキュリティチームと協力し、分離して作業するのではなく)SDLCの初期段階でこれらの問題を解決し、コードが本番環境に投入される前に欠陥を修正します。
信使評価は個人と企業の効率性を測定する
継続的なトレーニングも極めて重要です。企業は安全第一の文化を採用する必要があり、この文化は経営陣から現場スタッフまで全階層に適用されます。SDLC全体を通じて最適なセキュリティ実践を適用することで改善が図られます。技術とサイバー犯罪は進化を止めません。サイバーセキュリティも進化を止めるべきではありません。proscSoftwareにとって、セキュリティトレーニングを受けた開発者は基盤となる存在です。
これが、secremintunctrictrencTrics が無効になった理由であり、Zazagen とトレーニングが同等に重要である所以です。信頼スコアは開発者個人の効率性だけでなく組織全体の効率性を把握できるだけでなく、組織が効率性データを深く分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てられるようにします。個人からの 「効率性結論」と「集計」から得られる効果データは、改善が必要な領域を特定する上で有用です。例えば、トレーニングが開発者社員の日常業務に期待通りの影響を与えていない場合などが挙げられます。
Trust Scoreは、組織のエネルギースコアを用いて開発者スタッフの有効性を評価し、必要なセキュリティスキルを習得済みかつ活用しているかどうかを確認します。これにより、組織は信頼できる開発者に最も機密性の高いデータやソフトウェアの重要な権限へのアクセスを安心して許可できる一方、ツールを使用しているものの準備が整っていない開発者への権限付与を拒否することが可能になります。
絶えず変化する安全文化
サイバーセキュリティは単なる安全上の問題ではない。これはビジネス上の問題であり、多くの組織にとって最も貴重な資産(データ)の完全性に影響を及ぼす。深刻な脆弱性は組織の運営や評判を損ない、存続可能性さえ脅かす可能性がある。規制当局はサイバーセキュリティの重要性を軽視しておらず、ますます厳格な規制を実施し、最高情報セキュリティ責任者(CISO)やその他の上級管理職に対して警告を発する姿勢を示している。場合によっては刑事告発に至ることもあり、その例として以下のような事例が挙げられる:UberとSolarWinds。
現代の環境において、企業内の安全文化を調査することは極めて重要です。さらに、同社の多くの貴重な人材がデータ、アプリケーション、サービスを廃止した背景には、安全文化の中核要素である「安全意識」が存在します。対象を絞ったトレーニングとスキル向上は安全文化の構築に不可欠であり、変革を促すトレーニングと支援を組み合わせることで、組織は安全意識強化の道筋を歩むことができます。
開発者主導のセキュリティ計画は価値がある。その中にはメッセンジャーのスコアが含まれていると言われている。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
