サイバーセキュリティの未来。来るべき年に起きないこと

2020年4月6日発行
ピーテル・ダンヒョウ著
ケーススタディ

サイバーセキュリティの未来。来るべき年に起きないこと

2020年4月6日発行
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

この記事の一部分は、「Dark Reading」に掲載されています。 ダークリーディング.この記事は、Dark Readingに掲載されたものを、シンジケーション用に更新したものです。

私たちの業界では、多くのセキュリティ専門家が来年の話題の問題を予測することを習慣にしていますが(私も例外ではありません)、2019年に50億件以上の機密データ記録が盗まれたことを受けて、2020年、あるいは予見可能な未来にサイバーセキュリティで何が起きないかを予測する方が正確だと考えました。

このリストは、共同設立者であるマティアス・マドゥと一緒に、笑いながら作成しました。軽い気持ちで書いたつもりですが、悪意のあるサイバー攻撃からすべての組織を守るための長い道のりを考えさせられます。

それでは、私たちの水晶玉を見て、私たちの予測を明らかにしましょう。私たちは見ることができません。

すべてのソフトウェアからSQLインジェクションを根絶する

地球上のすべてのセキュリティ専門家は、SQLインジェクションのバグを特定するために脱線しなくなる日を待ち望んでいたと思います。

悲しいことに、私たちはこの日を20年以上も待ち続けており、少なくともあと1回は待ち続けることになるでしょう。それは、ゴキブリのように、永久に根絶やしにしようとするこれまでのあらゆる戦術に耐えてきた脆弱性です。

しかし、ソフトウェア開発の各段階(特に最初の段階)におけるセキュリティのベストプラクティスの優先順位は依然として低く、SQLインジェクションが発見されて以来、コード生産量が大幅に増加していることを考えると、明らかに不十分です。しかし、ソフトウェア開発の各段階(特に最初から)におけるセキュリティのベストプラクティスの優先順位は依然として低く、SQLインジェクションが発見されて以来、コード生産量が大幅に増加していることを考えると、確かに不十分です。

(SQLインジェクションを引き起こす可能性のあるコーディングパターンについてもっと理解したいですか?ここでチャレンジしてみてください)。

開発者とAppSecが親友に

ああ、開発者とAppSecチーム。彼らが仲良くなることはあるのでしょうか、それともロッキーとアポロのようにライバル関係になる運命なのでしょうか。簡単に言えば、「仲良くできる」ということですが、現在、彼らの優先順位はしばしば非常に異なっています。

この2人がプロジェクトの現場で出会うと、意見が食い違い、最後のハードルで衝突することになります。開発者は、美しく機能的な機能を構築していますが(これが彼らの最優先事項です)、セキュリティの脆弱性が発見されると、その機能はバラバラになってしまいます。ソフトウェア・セキュリティの専門家は、事実上、彼らの作ったものを醜いと言い、開発者に戻ってバグを修正することを強要し、しばしばデプロイメントを遅らせることになります。

現在の状態では、開発者とAppSecチームが、安全なソフトウェアの作成という共通の目標に向かって取り組むまで、この問題は解決しません。2020年(多くの企業ではその数年後)にデフォルトのプロセスとして実現するわけではありませんが、DevSecOpsムーブメントの出現以降、開発者はセキュリティに関するスキルアップの必要性を認識し、最初からセキュリティ目標を含むより高い基準で作業するようになっています。

セキュリティ専門家の供給過剰

2020年、2025年、2030年......世界的に見ても、セキュリティの専門家が不足していることはほぼ確実です。

ISC(2)の報告書によると、現在、約293万人のサイバーセキュリティ分野の人材が不足しているとのことです。この状況は改善される前に悪化することは確実であり、今後数年のうちに私たちを救ってくれる隠れたセキュリティ軍団は存在しません。

当面、このスキル不足に対処するための最大のチャンスは、セキュリティを組織の優先事項とし、既存の従業員をスキルアップさせることです。これは、開発者に安全にコーディングするためのトレーニングとツールを提供し、会社全体のセキュリティ文化を構築することを意味します。現在のAppSecチームのほとんどは、よく知られた古いセキュリティ・バグと戦っていることでしょう(上記のポイント1を参照)。このような一般的な問題を解決するために貴重な時間や労力を費やす必要がないようにすれば、難しいセキュリティ問題(現時点では、APIに関する問題や開発パイプラインに適合するツールの構築などが考えられます)に集中するための帯域が確保されます。

生成されるコードが少ない

世界は驚異的な速さでデジタル化されており、社会的な需要は揺らぐことはありません。

コードの量が増えれば、必然的に潜在的なセキュリティの脆弱性も増えるため、2020年がソフトウェアの生産や侵害にとって低調な年になると考えるのは、グランドナショナルでユニコーンレースが開催されるのと同じくらい現実的です。

データ記録が盗まれることが減った

先に述べたように、コードが増えれば脆弱性が増え、攻撃者がデータを盗む方法を見つける機会が増えることになります。

2019年には少なくとも53億件の記録が世界中で盗まれ、攻撃者に対する防御は、いまだに必死になって反応しているスクランブル状態です。この数字は、今後1年間で2倍にはならないかもしれませんが、それに近い数字になると思います。

一例として、米国で報告された盗難データの前年比の推移を見てみましょう。

2005年から2018年までの米国における年間データ漏洩件数と暴露されたレコードのグラフ
出典 Statista

2005年から2010年の間を見てみると、年によって多少の波はあるものの、着実に増加しています。これは興味深いことですが、注目すべき重要な要因は、2009年に報告された侵害の数が2008年に比べて急激に減少したことです。しかし、侵害件数が少ないにもかかわらず、盗まれた記録の数は明らかに増加しています。

データレコードは新たな金塊であり、攻撃者にとって価値のあるものです。このグラフは、侵害盗まれた記録の数が全般的に増加傾向にあることを反映しており、2017年に大きなピークがありました。2018年は、セキュリティ対策が強化されたためか、攻撃件数は減少傾向にありましたが、入手した記録数は過去最高となりました。サイバー攻撃は今後ますます高度化、大量化し、すぐにはなくならないでしょう。また、世界的に見ても、企業がこれまで以上に多くのソフトウェアを急速に生産していることから、2020年に景気が悪化するとは考えられません。企業は、私たちのデータの門番であり、私たちのプライバシーを守るために、よりスマートに仕事をする必要があります。

ビデオベースのセキュリティトレーニングをより長く、より頻繁に行うことを求めるデベロッパー

開発者が大好きなものといえば、何時間ものコンピュータ・ベースド・トレーニング(CBT)ビデオを見ることです。実際、この魅力的なコンテンツへの需要は非常に高く、Netflixはセキュリティトレーニングビデオ専用の新しいサブカテゴリーを発表する予定です。

えー、ダメです。今も、2020年も、絶対にありません。

開発者がセキュリティを知るきっかけとなるのは、職場でのコンプライアンス研修であることが多い。セキュア・コーディングが高等教育の一環として行われることはほとんどなく、職場でのトレーニングがソフトウェア・セキュリティとの最初の出会いとなります。そして、当然のことながら、彼らはそれを好まないことが多いのです。

開発者がセキュリティに真剣に取り組むためには、そしてトレーニングが役に立つためには、開発者の仕事に関連し、魅力的で、文脈に沿ったものでなければなりません。単発のコンプライアンス・トレーニングや、延々と続く退屈なビデオでは、開発者の心をつかむことはできませんし、脆弱性を減らすこともできません。

開発者集団が一般的な脆弱性に対してセキュリティを意識した防御力を持つようになることを望むならば、彼らが日々の仕事の中で遭遇するような実際のコード例を使って作業をしてもらいましょう。また、学習内容を一口サイズにして、簡単に組み立てることができるようにし、遊び心を持って学習意欲を高めるようにします。セキュリティ文化を発展させるためには、ポジティブで魅力的であり、組織全体で実際のスキルとソリューションを開発する必要があります。

誰にもわかりません。適切なトレーニングを受ければ、開発者は自分の中のセキュリティチャンピオンを認識し、安全なコーディングの利点を広く伝えることができるかもしれません。

サイバーセキュリティ関連の事故による死亡者数ゼロ

さて、これは明らかに笑い事ではありません。私は何度も言ってきましたが、サイバー攻撃に関連した事件で人々が死に始めるまでは、世界はサイバーセキュリティに関心を持たないでしょう。

問題は、このようなことがすでに起こっているのに、ほとんど気づかれていないことです。

米国の病院に対するサイバー攻撃が、2019年の心臓発作による死亡者数の増加と関連していることがわかりました。もちろん、攻撃者が患者に致死的な心臓イベントを起こしたわけではありませんが、病院のシステムや機器をランサムウェアで攻撃したことで、重要な治療のための治療時間が遅くなってしまったのです。

セントラルフロリダ大学が行ったこの研究では、3000の病院を分析し、そのうち311の病院がデータ漏洩を経験しました。セキュリティ事故の影響を受けた病院では、心臓発作が疑われる患者に心電図を実施するのに平均2.7分長くかかっていました。これは、手順の変更、新たに導入されたセキュリティ対策、ITサポートの問題などにより、以前よりも多くの時間を要したためと考えられます。心臓発作の発見と治療は時間との戦いであり、これらの病院では、年間平均で心臓発作1万件あたり36人の死者が出ています。

これは衝撃的なことであり、残念ながら、改善される前にさらに悪化すると思います。ソフトウェアセキュリティを向上させ、すべてのビジネスにおいて最優先事項とするために、私たち全員がもっと努力する必要があることを、今回の結果ははっきりと認識させてくれるでしょう。

"フード付きハッカー "のストックイメージの減少

画像検索で「ハッカー」と入力すると、フードを被った顔のない人物がノートパソコンをタイプしている画像や、ガイ・フォークスのマスクを被った似たような人物の画像が、必然的に何千枚も出てきます。

このようなステレオタイプのハッカー像はもう飽きられていますし、誰もが悪者のように見えてしまいます。セキュリティ業界には良い人も悪い人もたくさんいますが、「ハッカー」というイメージにまつわるネガティブな意味合いは、すべての人に不利益をもたらします。
この状況がすぐに変わると思いますか?おそらく変わらないと思いますが、夢を見るのはいいことです。今のところ、セキュリティは決して怖いものではないということを覚えておくことが大切です。

リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

サイバーセキュリティの未来。来るべき年に起きないこと

2024年1月22日発行
Pieter Danhieux著

この記事の一部分は、「Dark Reading」に掲載されています。 ダークリーディング.この記事は、Dark Readingに掲載されたものを、シンジケーション用に更新したものです。

私たちの業界では、多くのセキュリティ専門家が来年の話題の問題を予測することを習慣にしていますが(私も例外ではありません)、2019年に50億件以上の機密データ記録が盗まれたことを受けて、2020年、あるいは予見可能な未来にサイバーセキュリティで何が起きないかを予測する方が正確だと考えました。

このリストは、共同設立者であるマティアス・マドゥと一緒に、笑いながら作成しました。軽い気持ちで書いたつもりですが、悪意のあるサイバー攻撃からすべての組織を守るための長い道のりを考えさせられます。

それでは、私たちの水晶玉を見て、私たちの予測を明らかにしましょう。私たちは見ることができません。

すべてのソフトウェアからSQLインジェクションを根絶する

地球上のすべてのセキュリティ専門家は、SQLインジェクションのバグを特定するために脱線しなくなる日を待ち望んでいたと思います。

悲しいことに、私たちはこの日を20年以上も待ち続けており、少なくともあと1回は待ち続けることになるでしょう。それは、ゴキブリのように、永久に根絶やしにしようとするこれまでのあらゆる戦術に耐えてきた脆弱性です。

しかし、ソフトウェア開発の各段階(特に最初の段階)におけるセキュリティのベストプラクティスの優先順位は依然として低く、SQLインジェクションが発見されて以来、コード生産量が大幅に増加していることを考えると、明らかに不十分です。しかし、ソフトウェア開発の各段階(特に最初から)におけるセキュリティのベストプラクティスの優先順位は依然として低く、SQLインジェクションが発見されて以来、コード生産量が大幅に増加していることを考えると、確かに不十分です。

(SQLインジェクションを引き起こす可能性のあるコーディングパターンについてもっと理解したいですか?ここでチャレンジしてみてください)。

開発者とAppSecが親友に

ああ、開発者とAppSecチーム。彼らが仲良くなることはあるのでしょうか、それともロッキーとアポロのようにライバル関係になる運命なのでしょうか。簡単に言えば、「仲良くできる」ということですが、現在、彼らの優先順位はしばしば非常に異なっています。

この2人がプロジェクトの現場で出会うと、意見が食い違い、最後のハードルで衝突することになります。開発者は、美しく機能的な機能を構築していますが(これが彼らの最優先事項です)、セキュリティの脆弱性が発見されると、その機能はバラバラになってしまいます。ソフトウェア・セキュリティの専門家は、事実上、彼らの作ったものを醜いと言い、開発者に戻ってバグを修正することを強要し、しばしばデプロイメントを遅らせることになります。

現在の状態では、開発者とAppSecチームが、安全なソフトウェアの作成という共通の目標に向かって取り組むまで、この問題は解決しません。2020年(多くの企業ではその数年後)にデフォルトのプロセスとして実現するわけではありませんが、DevSecOpsムーブメントの出現以降、開発者はセキュリティに関するスキルアップの必要性を認識し、最初からセキュリティ目標を含むより高い基準で作業するようになっています。

セキュリティ専門家の供給過剰

2020年、2025年、2030年......世界的に見ても、セキュリティの専門家が不足していることはほぼ確実です。

ISC(2)の報告書によると、現在、約293万人のサイバーセキュリティ分野の人材が不足しているとのことです。この状況は改善される前に悪化することは確実であり、今後数年のうちに私たちを救ってくれる隠れたセキュリティ軍団は存在しません。

当面、このスキル不足に対処するための最大のチャンスは、セキュリティを組織の優先事項とし、既存の従業員をスキルアップさせることです。これは、開発者に安全にコーディングするためのトレーニングとツールを提供し、会社全体のセキュリティ文化を構築することを意味します。現在のAppSecチームのほとんどは、よく知られた古いセキュリティ・バグと戦っていることでしょう(上記のポイント1を参照)。このような一般的な問題を解決するために貴重な時間や労力を費やす必要がないようにすれば、難しいセキュリティ問題(現時点では、APIに関する問題や開発パイプラインに適合するツールの構築などが考えられます)に集中するための帯域が確保されます。

生成されるコードが少ない

世界は驚異的な速さでデジタル化されており、社会的な需要は揺らぐことはありません。

コードの量が増えれば、必然的に潜在的なセキュリティの脆弱性も増えるため、2020年がソフトウェアの生産や侵害にとって低調な年になると考えるのは、グランドナショナルでユニコーンレースが開催されるのと同じくらい現実的です。

データ記録が盗まれることが減った

先に述べたように、コードが増えれば脆弱性が増え、攻撃者がデータを盗む方法を見つける機会が増えることになります。

2019年には少なくとも53億件の記録が世界中で盗まれ、攻撃者に対する防御は、いまだに必死になって反応しているスクランブル状態です。この数字は、今後1年間で2倍にはならないかもしれませんが、それに近い数字になると思います。

一例として、米国で報告された盗難データの前年比の推移を見てみましょう。

2005年から2018年までの米国における年間データ漏洩件数と暴露されたレコードのグラフ
出典 Statista

2005年から2010年の間を見てみると、年によって多少の波はあるものの、着実に増加しています。これは興味深いことですが、注目すべき重要な要因は、2009年に報告された侵害の数が2008年に比べて急激に減少したことです。しかし、侵害件数が少ないにもかかわらず、盗まれた記録の数は明らかに増加しています。

データレコードは新たな金塊であり、攻撃者にとって価値のあるものです。このグラフは、侵害盗まれた記録の数が全般的に増加傾向にあることを反映しており、2017年に大きなピークがありました。2018年は、セキュリティ対策が強化されたためか、攻撃件数は減少傾向にありましたが、入手した記録数は過去最高となりました。サイバー攻撃は今後ますます高度化、大量化し、すぐにはなくならないでしょう。また、世界的に見ても、企業がこれまで以上に多くのソフトウェアを急速に生産していることから、2020年に景気が悪化するとは考えられません。企業は、私たちのデータの門番であり、私たちのプライバシーを守るために、よりスマートに仕事をする必要があります。

ビデオベースのセキュリティトレーニングをより長く、より頻繁に行うことを求めるデベロッパー

開発者が大好きなものといえば、何時間ものコンピュータ・ベースド・トレーニング(CBT)ビデオを見ることです。実際、この魅力的なコンテンツへの需要は非常に高く、Netflixはセキュリティトレーニングビデオ専用の新しいサブカテゴリーを発表する予定です。

えー、ダメです。今も、2020年も、絶対にありません。

開発者がセキュリティを知るきっかけとなるのは、職場でのコンプライアンス研修であることが多い。セキュア・コーディングが高等教育の一環として行われることはほとんどなく、職場でのトレーニングがソフトウェア・セキュリティとの最初の出会いとなります。そして、当然のことながら、彼らはそれを好まないことが多いのです。

開発者がセキュリティに真剣に取り組むためには、そしてトレーニングが役に立つためには、開発者の仕事に関連し、魅力的で、文脈に沿ったものでなければなりません。単発のコンプライアンス・トレーニングや、延々と続く退屈なビデオでは、開発者の心をつかむことはできませんし、脆弱性を減らすこともできません。

開発者集団が一般的な脆弱性に対してセキュリティを意識した防御力を持つようになることを望むならば、彼らが日々の仕事の中で遭遇するような実際のコード例を使って作業をしてもらいましょう。また、学習内容を一口サイズにして、簡単に組み立てることができるようにし、遊び心を持って学習意欲を高めるようにします。セキュリティ文化を発展させるためには、ポジティブで魅力的であり、組織全体で実際のスキルとソリューションを開発する必要があります。

誰にもわかりません。適切なトレーニングを受ければ、開発者は自分の中のセキュリティチャンピオンを認識し、安全なコーディングの利点を広く伝えることができるかもしれません。

サイバーセキュリティ関連の事故による死亡者数ゼロ

さて、これは明らかに笑い事ではありません。私は何度も言ってきましたが、サイバー攻撃に関連した事件で人々が死に始めるまでは、世界はサイバーセキュリティに関心を持たないでしょう。

問題は、このようなことがすでに起こっているのに、ほとんど気づかれていないことです。

米国の病院に対するサイバー攻撃が、2019年の心臓発作による死亡者数の増加と関連していることがわかりました。もちろん、攻撃者が患者に致死的な心臓イベントを起こしたわけではありませんが、病院のシステムや機器をランサムウェアで攻撃したことで、重要な治療のための治療時間が遅くなってしまったのです。

セントラルフロリダ大学が行ったこの研究では、3000の病院を分析し、そのうち311の病院がデータ漏洩を経験しました。セキュリティ事故の影響を受けた病院では、心臓発作が疑われる患者に心電図を実施するのに平均2.7分長くかかっていました。これは、手順の変更、新たに導入されたセキュリティ対策、ITサポートの問題などにより、以前よりも多くの時間を要したためと考えられます。心臓発作の発見と治療は時間との戦いであり、これらの病院では、年間平均で心臓発作1万件あたり36人の死者が出ています。

これは衝撃的なことであり、残念ながら、改善される前にさらに悪化すると思います。ソフトウェアセキュリティを向上させ、すべてのビジネスにおいて最優先事項とするために、私たち全員がもっと努力する必要があることを、今回の結果ははっきりと認識させてくれるでしょう。

"フード付きハッカー "のストックイメージの減少

画像検索で「ハッカー」と入力すると、フードを被った顔のない人物がノートパソコンをタイプしている画像や、ガイ・フォークスのマスクを被った似たような人物の画像が、必然的に何千枚も出てきます。

このようなステレオタイプのハッカー像はもう飽きられていますし、誰もが悪者のように見えてしまいます。セキュリティ業界には良い人も悪い人もたくさんいますが、「ハッカー」というイメージにまつわるネガティブな意味合いは、すべての人に不利益をもたらします。
この状況がすぐに変わると思いますか?おそらく変わらないと思いますが、夢を見るのはいいことです。今のところ、セキュリティは決して怖いものではないということを覚えておくことが大切です。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。