マティアス・マドゥ博士

Codeers Conquer Security Infrastructure as Codeシリーズ - ビジネスロジック

この脆弱性は、コーダーがビジネスロジックのルールを適切に実装しなかった場合に発生し、悪意のあるユーザーがアプリケーションを悪用した場合、さまざまな種類の攻撃に対して脆弱になる可能性があります。

ありふれた風景の中に隠れている。SolarWinds社への攻撃で明らかになったのは、悪意のあるサイバーリスクだけではない。

サイバーセキュリティ業界のクリスマスを台無しにするものといえば、米国政府に影響を与えた過去最大のサイバースパイ活動になりそうな、壊滅的なデータ侵害でしょう。

Equifax社のハッキングの根本原因はウェブアプリの脆弱性

今回のEquifax社のハッキングの根本的な原因は、Webアプリの脆弱性にあります。この種の脆弱性は10年以上前から存在していましたが、今日でも非常に重要です。

OWASPの2021年リストシャッフル。新たな戦闘計画と主な敵

脆弱性の王様と呼ばれたインジェクション攻撃（カテゴリ別）が、アクセス制御の不備に負けてワースト1位になったことは、開発者にとっても注目すべき点です。

学術研究から産業界への移行は簡単ではない

Show 139: Matias Madou、セキュアな開発トレーニングとソフトウェア・セキュリティ・テストの研究について語る

Coders Conquer Security OWASP Top 10 API Series - Broken Object Level Authorization

一般的には、ユーザーからの入力を利用してデータソースにアクセスするすべての機能に対して、オブジェクトレベルの権限チェックを行うべきであり、これを怠ると大きなリスクを伴います。

Strike First, Strike Hard: なぜキュレートされたセキュアコーディングcourses はサイバー脅威に容赦ない。

厳選されたコースには、開発者が習熟しなければならないモジュールが正確に含まれているため、強力なインパクトがあり、日々の仕事でセキュリティのベストプラクティスを実践することができます。

30万人の開発者が実際に行っているセキュリティ対策とは？

約95,000のアプリケーションに携わる約30万人の開発者がBSIMM8を利用して、ソフトウェア・セキュリティ・イニシアチブ（SSI）の計画、実行、測定に役立てています。

ClickShareの脆弱性にはパッチが適用されたが、より大きな問題が隠されていた

しかし、プレゼンテーションツールのような一見シンプルな機器でも、驚くほど複雑で、しかもあらゆるものとネットワークでつながっている今日の世界では、セキュリティ修正を開発プロセスに戻すことは簡単ではありません。

ウェビナーDevOpsに "Sec "を導入する準備はできていますか？

私たちは、セキュリティが組織全体、そしてSDLC全体で共有された責任であると考えられる段階に到達しなければなりません。これは、本格的なサポート体制の整ったDevSecOps環境に取り組むことで、確実に可能になります。

Coders Conquer Security OWASP Top 10 API Series - Missing Function Level Access Control

機能レベルのアクセス制御が欠落している脆弱性は、制限されるべき機能をユーザーが実行したり、保護されるべきリソースにアクセスしたりすることを可能にします。

Coders Conquer Security OWASP Top 10 API Series - Broken Authentication

認証は、多くの場合、アプリケーションや潜在的にネットワークの他の部分へのゲートウェイとして機能するため、攻撃者にとって魅力的なターゲットとなります。認証プロセスが壊れていたり、脆弱性があったりすると、攻撃者がその弱点を発見して悪用する可能性が高くなります。

石油・ガス業界における "爆発的 "サイバー攻撃は生命を脅かす

爆発を防ぐことができたのは、攻撃者のコンピュータコードのミスだけだったと、捜査当局は述べている。

攻撃対象が無限に広がる時代の予防策

ソフトウェア開発はもはや孤立した存在ではなく、クラウド、家電や自動車の組み込みシステム、重要なインフラ、そしてもちろんそれらをつなぐAPIなど、ソフトウェアによるリスクのあらゆる側面を考慮すると、攻撃対象はボーダーレスで制御不能なものとなっています。

セキュリティを意識した開発者たち。AppSecはあなたを必要としています。

開発者は、AppSecに飛び込んで儲けることができる絶好のポジションにいます。

ソフトウェアベンダーは、あなたと同じようにセキュリティに気を配っているのでしょうか？

ここ2、3年のサイバーセキュリティの標準は大きく変化しており、義務ではないが、すべての組織がこれに倣い、ベンダーのセキュリティ慣行を自社の内部セキュリティ・プログラムの一部であるかのように精査することが目標になるはずだ。

Coders Conquer Security OWASP Top 10 API Series - Mass Assignment

最近の多くのフレームワークでは、クライアントからの入力をコードの変数や内部オブジェクトに自動的にバインドする関数の使用が開発者に奨励されているため、大量割り当ての脆弱性が生まれました。

私のワークフローを乱すのはやめてください適切なセキュリティトレーニングを適切なタイミングで受ける方法

私たちは、必要なときにトレーニングを受けるための障壁を減らすために何ができるか、また、マイクロラーニングをよりシームレスな方法でワークフローに導入できるかを考え始めました。

不適切なコーディングパターンは、セキュリティ上の大きな問題につながる可能性があります...では、なぜ私たちはそれを奨励するのでしょうか？

開発者は、脆弱性がどのように機能するか、なぜ危険か、どのようなパターンが脆弱性を引き起こすか、どのような設計やコーディングパターンが脆弱性を修正するかについて、彼らの世界で意味のある文脈で基礎的な理解がなければ、脆弱性削減にプラスの影響を与えることはできないでしょう。足場となるアプローチは、安全なコーディング、コードベースの防御、セキュリティを意識した開発者としての立場の意味を全体像として理解するために、知識の層を重ねることを可能にします。

ゼロデイ攻撃は増加の一途をたどっています。そろそろ防御策を練る時期です。

ゼロデイ攻撃は、定義上、脅威の主体が最初に侵入したため、開発者が既存の脆弱性を発見し、パッチを適用する時間をゼロにするものです。被害が拡大すると、ソフトウェアとビジネスへの風評被害の両方を修正するために、猛烈な奔走が必要になります。攻撃者は常に優位に立っており、その優位性を可能な限り閉じることが重要です。

退屈なPCI-DSSコンプライアンスを、誰にとっても意味のあるエクササイズに変える。パート1 - AppSec

本章は、組織内での PCI-DSS コンプライアンスの成功をテーマとした 2 部構成のパート 1 です。この章では、AppSec スペシャリストが開発マネージャと密接に協力して、開発者に力を与え、SSDLC を強化し、一般的な法律から具体的な成果を得る方法について詳しく説明します。

開発者にセキュリティを意識したコーディングをさせたい？そのためのトレーニングを開発者に提供します。

開発者が教室に行ったり、コンテキストスイッチで5つのステップを踏んだりして、静的な理論ベースのトレーニングにアクセスするインセンティブは何でしょうか？

AppSecツールが銀の弾丸であるならば、なぜ多くの企業がそれを採用しないのでしょうか？

AppSecツールが期待通りに活用されていない理由はいくつかありますが、それはツールやその機能の問題ではなく、それらがセキュリティプログラム全体とどのように統合されているかという点にあります。

エキスパートインタビューOscar Quintas氏のInfrastructure as Code

今回は、当社のエキスパートであるオスカー・キンタスにスポットライトを当ててみたいと思います。Oscar Quintasは、プロダクトコンテンツチームに所属し、シニアセキュリティリサーチャーとして活躍しています。彼はInfrastructure as Code（IaC）に関する専属の魔術師でもあります。

Happy birthday SQL injection, the bug that can't be squashed

今日はSQLインジェクションの22回目の誕生日ですが、この脆弱性はお酒が飲める年齢であるにもかかわらず、我々はこの脆弱性を永久に潰すことなく、そのまま放置しています。

開発者がサイバー犯罪を撲滅するためには、2つのパートに分けてトレーニングを行う必要があります。

サイバーセキュリティの分野では、ヒーローと悪役の間の競争が不公平であることはよく知られています。機密データは新たな金塊であり、攻撃者は防御策を回避するために素早く適応し、大小のセキュリティバグを利用して潜在的な利益を得ようとします。

Coders Conquer Security OWASP Top 10 API Series - Lack of Resources and Rate Limiting

この脆弱性は、あまりにも多くのリクエストが同時に来た場合に、APIがこれらのリクエストを処理するための十分なコンピューティングリソースを持っていない場合に発生します。その結果、APIが利用できなくなったり、新しいリクエストに反応しなくなったりします。

2022年に無視できないサイバーセキュリティの課題

サイバー犯罪に対抗するためには、できるだけ彼らと歩調を合わせ、予防的な考え方で彼らの遊び場を先取りすることが必要です。ここでは、来年、サイバー犯罪者が騒ぎ出すと思われる場所を紹介します。

Codeers Conquer Security Infrastructure as Codeシリーズ。ミッシングファンクションレベルのアクセスコントロール

インフラレベルのアクセスコントロールが完璧に行われていないと、企業全体が攻撃者に開放され、その脆弱性をゲートウェイとして、不正なスヌーピングや完全な攻撃を受けることになります。

Death by Doki：深刻なDockerの新たな脆弱性（とその対策

サイバー攻撃はますます頻繁になってきており、Linuxベースのインフラに影響を与える脅威は、クラウドに保存されている機密データの戦利品を割る機会を最終目的として、より一般的になってきています。

Coders Conquer Security OWASP Top 10 API Series - Excessive Data Exposure

この脆弱性の実際の仕組みは他の脆弱性と似ていますが、この場合の「過剰なデータ露出」とは、法的に保護されたデータや非常に機密性の高いデータを含むことと定義されています。

良い電子レンジが悪くなるとき組込みシステムのセキュリティが開発者の次のボス争いになる理由

Webベースのソフトウェア、API、モバイル機器などと同様に、組み込みシステムの脆弱なコードは、攻撃者に発見されると悪用される可能性があります。

退屈なPCI-DSS準拠を、誰にとっても有意義なエクササイズに変える。パート2 - CISOと開発者の意識

本記事は、組織内の PCI-DSS コンプライアンスに関するミニシリーズのパート 2 です。最終章では、CTO と CISO が、サイバーリスクを低減し、このプロセスをシームレスに成功させるために、そして開発者にとっても少し楽しいものにするために、どのようにトップから指揮を執ることができるかを詳しく説明します。

あなたの組織は本当にDevSecに対応していますか？それをテストしてみましょう。

あなたの組織を念頭に置いて、これらの質問をあなたの役割の文脈で考えてみてください。DevSecのテストにかけると、どうなるでしょうか？

SQLインジェクションがAppSec界のゴキブリである理由（そして、CISOがSQLインジェクションを根絶する方法

ゴキブリは核爆発でも生き延びることができるという有名な説があります。

Coders Conquer Security OWASP Top 10 API Series - Insufficient Logging and Monitoring

ロギングとモニタリングが不十分な欠陥は、認証の失敗、アクセス拒否、入力検証エラーのすべてをロギングするというサイバーセキュリティ計画が失敗した結果、発生することがほとんどです。

セキュリティを制する者たち Infrastructure as Code シリーズ。安全でない暗号技術

最近では、パスワード、個人情報、財務記録などの重要なデータを安置する際にハッシュ化することは、サイバーセキュリティ対策の基礎となっています。

NISTで動き出す。未来のサイバー防衛に関する人間主導の立場

バイデン政権が最近発表したサイバーセキュリティに関する大統領令は、セキュリティ業界でも話題になっています。特に、日々の業務の中で安全なコーディングのベストプラクティスを適用することの重要性を開発者に理解してもらおうとしている人たちが多いようです。

39秒ごとに発生しているサイバー攻撃。政府はついに反撃の準備を整えたのか？

私たちは、サイバーセキュリティのベストプラクティスに対して、人間主導のアプローチを強化する必要があります。そして、自動化やツール、すでに組み込まれ発見された問題への対応に過度に依存するよりも、より良い結果を得ることができます。

高度なセキュリティ・インテリジェンス。開発者のNIST対応を支援するGuidedcourses

開発者は、セキュリティ設定やアクセス制御に加えて、コードを最も身近に感じている人の一人です。NISTが示す高い基準を達成するためには、特に大規模な開発者を対象とした実践的なコース構成が効果的であると言えます。

IntroducingMissions: 開発者中心のセキュリティトレーニングの次のフェーズ

この度、Secure Code Warrior プラットフォームの新機能として、Missions がリリースされました。この全く新しいチャレンジカテゴリーは、開発者が開発したセキュリティトレーニングの次の段階で、ユーザーがセキュリティの知識を思い出すことから、実際のシミュレーション環境でそれを適用することへと移行します。

未来の仕事は柔軟であり、それはサイバーセキュリティにとって素晴らしいことである

新しい働き方への違和感は、未知数であることからくるものなのか、少しの不信感からくるものなのか、はたまたリモートワークを信じていないのか、いずれにしても、リモートワークに抵抗感のある企業は、優秀な人材の確保、グローバルな展開の維持、そして率直に言って、時代の変化に遅れをとる傾向があると私は感じています。

Codeers Conquer Security Infrastructure as Codeシリーズ。パスワードの平文保存

最近のコンピュータ・セキュリティでは、ほとんどの場合、パスワードが使われています。二要素認証や生体認証など、他のセキュリティ手法を採用していても、ほとんどの組織では、保護の一要素としてパスワードによるセキュリティを採用しています。

1行のコードで100万円

アビオニクス機器のコードを1行変更するのにかかる費用は100万ドル（約1億円）で、導入には1年かかるという。ボーイング737をベースにしているサウスウエスト航空にとって、それは "破産 "を意味する。

セキュリティツール過多の悩み

複雑なセキュリティ・ツールの氾濫は、CISOにとってサイバーセキュリティをさらに困難なものにしている。

SSDLCの各段階で安全なコーディングスキルを身につける

Secure Code Warrior は、GitHubのコードスキャンにコンテクスト学習をもたらすGitHubアクションを構築しました。つまり、開発者はSnyk Container Actionのようなサードパーティのアクションを使って脆弱性を発見し、CWEに特化した、関連性の高い学習によって出力を増強することができます。

私のペンテスト、私の敵？開発者が語る、ペンテストと静的解析の結果についての本音

ペネトレーションテストや静的解析スキャンツール（SAST）は、セキュリティリスクを軽減するための全体的なプロセスの一部であり、私たちの活動とは無関係に動作します。

left of left」から始める。安全なコードは常に品質の高いコードか？

ある程度の品質のコードは、その定義上、安全でもありますが、すべての安全なコードが必ずしも良い品質であるとは限りません。レフト・オブ・レフト "から始めることが、純粋に安全なコーディング基準を確保するための公式なのでしょうか？

セキュリティを制する者たち Infrastructure as Code シリーズ - 信頼できないソースからのコンポーネントの使用

ここで注目するのは、信頼されていないソースからのコードを使用するという、一見良さそうに見える行為が大きな問題を引き起こしているという、脆弱性を誘発する行為です。

2016年に発覚したEquifaxのセキュリティ問題

2016年に話を進めると、x0rzという名前で活動している研究者のツイートによると、セキュリティ研究者がEquifaxのメインサイトにクロスサイトスクリプティング（XSS）と呼ばれる一般的な脆弱性を発見しました。

Coders Conquer Security OWASP Top 10 API Series - 不適切な資産管理

この脆弱性はどちらかというと人為的、管理的な問題であり、古いAPIがより安全な新バージョンに置き換えられるべき時期になっても、そのまま放置されてしまう。

チャンピオンvs.コーチ。すべての開発チームに両方が必要な理由

サイバーセキュリティへの取り組みで目標を達成している企業の多くは、公式のセキュリティ・チャンピオン・プログラムを導入しており、チーム間の連絡や一般的な応援、ベストプラクティスの監督など、セキュリティに関する重要な責任を、そのような役割への適性と情熱を持つ個人に与えています。

Rustが最も愛されているプログラミング言語に選ばれるのは5回目。新たなセキュリティの救世主となるか？

Rustは、一般的に使用されている言語から既知の機能的な要素を取り入れ、複雑さを排除しつつ、性能と安全性を導入するという異なる哲学で取り組んでいます。

Coders Conquer Security OWASP Top 10 API Series - Disabled Security Features/Debug Features Enabled/Improper Permissions

APIの場合はもう少し多いと思いますが、攻撃者はネットワーク上のあらゆる場所で、パッチが適用されていない欠陥や保護されていないファイルやディレクトリを見つけようとします。デバッグが有効になっていたり、セキュリティ機能が無効になっているAPIに出くわすと、彼らの悪事が少しだけ楽になります。

最高のDevSecOpsエンジニアになるには

世界は、ウォーターフォール、アジャイル、そして現在のDevOpsを経て、次の解決策を模索し始めています。また、開発者として、このようなアプローチの変化に対応するためのあなたの役割は何でしょうか？

足場のある学習がセキュリティに強い開発者を育てる理由

業界としては、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織は開発者のイネーブルメントのための新しい基準を採用することで、より高品質のソフトウェアを生み出すことができます。

セキュリティを制する者は、Infrastructure as Codeシリーズを制す。トランスポート・レイヤー・プロテクションの不備

また、アプリケーションは、ワークロード全体の一部として、他のプログラムとデータを共有することもあります。トランスポート層が保護されていないと、外部からの盗み見や内部からの不正な閲覧に対して脆弱になってしまいます。

National Cybersecurity Awareness Month（全米サイバーセキュリティ意識向上月間）。フィッシング対策の強化

今年は、コーディングコミュニティのための新しい無料アプリも発表されました。

信頼関係の構築AppSecと開発者の真のセキュリティシナジーへの道

不信感という不安定な基盤の上に築かれた関係は、あまり期待せずに臨むのが一番です。悲しいことに、これは組織内の開発者とAppSecチームの間の仕事上の関係の状態である可能性があります。

Codeers Conquer Security Infrastructure as Codeシリーズ。セキュリティの設定ミス - 不適切なパーミッション

セキュリティの誤設定、特に不適切なパーミッションに関する誤設定は、開発者がタスクを遂行するために新しいユーザーを作成したり、ツールとしてのアプリケーションにパーミッションを与えたりする際によく起こります。

Codeers Conquer Security Infrastructure as Codeシリーズ。セキュリティ機能の無効化

攻撃者は常に、簡単に利用できる脆弱性を最初に見つけようとし、スクリプトを使って一般的な弱点を洗い出すこともあります。これは、泥棒が通りにあるすべての車をチェックして、鍵のかかっていないドアがないかどうかを確認するのと同じことで、窓を壊すよりもずっと簡単なことです。

組織のセキュリティ成熟度を過大評価していないか？

世界のソフトウェア・ニーズを満たすために書き込まれる膨大なコードと相反する持続的なスキル不足により、多くの企業がサイバーセキュリティ戦略や既存のインフラに遅れをとっている。今こそ、サイバーセキュリティの成熟度を全体的に正直に見つめ直し、目の前にある実行可能なクイックウィンを評価すべき時なのだ。

2023年、世界トップクラスのCISOはいかにして予算と取締役会の信頼を勝ち得ているか？

CISOの立場はますます危うくなっている：より多くの資産を保護し、より多くのコードを出荷し、より大きな攻撃対象領域を削減し、急速に減少する財源でそれを行う。サイバーセキュリティがコストセンターと見なされていることは避けられない事実であり、組織のセキュリティ・プログラムが、脅威行為者が明日の悲惨な見出しをつけるのを阻止しているにもかかわらず、セキュリティ・リーダーは、経営幹部が納得できる言葉で、部門の全体的なビジネス価値を売り込み、証明するためにもっと努力しなければならない。

適切なサポートにより、開発者は組織を優れたPCI DSS 4.0準拠へと導くことができます。

企業のセキュア設計イニシアチブの意義ある成功を推進

当社の最新の研究論文「セキュリティ スキルのベンチマーク: 企業における Secure-by-Design の合理化」は、企業レベルでの実際の Secure-by-Design イニシアチブを詳細に分析し、データに基づく調査結果に基づいてベスト プラクティス アプローチを導き出した結果です。

開発者がセキュリティ・スキルをベンチマークするメリット

セキュアなコードとセキュアバイデザインの原則への注目が高まっているため、開発者は SDLC の最初からサイバーセキュリティのトレーニングを受ける必要があり、Secure Code Warriorの Trust Score のようなツールはその進捗を測定し、改善するのに役立つ。

予防的セキュリティと反応的セキュリティ：予防はより良い治療法である

レガシーコードやレガシーシステムに、新しいアプリケーションと同時に予防的セキュリティを導入するという考えは、困難なものに思えるかもしれない。しかし、セキュアバイデザインのアプローチは、開発者のスキルアップによって実施され、これらのシステムにセキュリティのベストプラクティスを適用することができる。これは、多くの組織がセキュリティ体制を改善するための最善のチャンスである。 

トラストスコアが明らかにするセキュア・バイ・デザインのアップスキリング・イニシアチブの価値

セキュア・コード・トレーニングが有効であることは、私たちの調査で明らかになっています。トラストスコアは、600以上の組織で25万人以上の学習者が行った学習データから2000万以上の学習データを抽出したアルゴリズムを使用して、脆弱性を減少させる効果や、イニシアチブをさらに効果的にする方法を明らかにしています。

セキュリティ スキルのベンチマーク: 企業におけるセキュアな設計の合理化

セキュアバイデザイン（SBD）構想の成功に関する有意義なデータを見つけることは、非常に困難である。CISO は、セキュリティプログラム活動の投資収益率（ROI）とビジネス価値を、従業員レベルと企業レベルの両方で証明しようとすると、しばしば困難に直面します。言うまでもなく、企業にとって、現在の業界標準に対して自社の組織がどのようにベンチマークされているかを把握することは特に困難です。大統領の国家サイバーセキュリティ戦略は、関係者に「デザインによるセキュリティとレジリエンスを受け入れる」ことを求めている。セキュアバイデザインの取り組みを成功させる鍵は、開発者にセキュアなコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが整っていることを保証することである。本プレゼンテーションでは、25万人以上の開発者から収集した社内データ、データに基づく顧客の洞察、公的研究など、複数の一次ソースから得られた無数の定性的・定量的データを紹介します。こうしたデータ・ポイントの集積を活用することで、複数の業種におけるセキュア・バイ・デザイン・イニシアチブの現状をお伝えすることを目的としています。本レポートでは、この領域が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティのリスク軽減に与える大きな影響、コードベースから脆弱性のカテゴリーを排除できる可能性について詳述しています。

要塞を築けソフトウェア・セキュリティにおける開発者支援に不可欠な6つの柱

このホワイトペーパーでは、セキュリティの専門家であり、Secure Code Warrior の CTO 兼共同設立者であるマティアス・マドゥー博士が、次のような内容について説明します。企業レベルでセキュリティ・プログラムを導入している10人のエグゼクティブから学んだ教訓と、成功への道筋で避けるべき一般的な落とし穴。