39秒ごとに発生しているサイバー攻撃。政府はついに反撃の準備を整えたのか?
この記事の一版は VMブログ.この記事は更新され、ここでシンジケートされています。
いくら「サイバーセキュリティ意識向上月間」が過ぎても、エリート・セキュリティ・プロフェッショナルがパラシュートで送り込まれても、ブラックホールに消えたお金がいくらあっても、大規模なデータ侵害の問題は年々悪化しているように思えてなりません。あまりにも日常的に発生しているため、大惨事に至らない限り、最近ではほとんど主流のニュースにはなりません。2020年には、悪意のあるサイバー攻撃によって360億件以上の記録が流出し、2021年にはどれだけの記録が流出するのかが注目されています。
脅威となる人物は常に機会をうかがっており、すべての攻撃が大惨事になるわけではありませんが、平均して39秒ごとに発生しています。私たちはまだ戦いに勝利しているとは言えず、悪者は私たちのデータを守る者よりも圧倒的に有利な立場にあります。
しかし、バイデン政権がサイバーセキュリティを早期に優先事項とし、100億米ドルの追加資金を提供するなど、変化の兆しが見えてきました。これは間違いなく正しい方向への一歩ですが、頻度と巧妙さを増しているサイバー犯罪に実際に歯止めをかけることができるでしょうか?
サイバー脅威を解決するには(世界の)村が必要になる
ますます強力になるサイバー攻撃に対する効果的な防御は、一握りの国だけで行うものではありません。残念ながら、長い間、全体的に一貫した戦略が欠けていました。しかし、国家レベルの脅威が増加していることから、多くの政府が注目しています。
米国政府に影響を与えたSolarWinds社の攻撃は、その可能性を明確に警告するものであり、重要なインフラが侵害された場合の潜在的な被害を示すものでした。最近、FBIはフロリダ州の水道システムが攻撃されたことを警告しました。脅威となる行為者は、遠隔操作で水道を汚染することができました。深刻な被害が発生する前に阻止されましたが、より高度な攻撃者であれば、人命を危険にさらすような大規模な破壊を引き起こした可能性があります。
ゆっくりとではあるが確実に、世界中の政府がサイバー防衛への投資を増やしている。英国はサイバーセキュリティ部門に記録的な投資を行い、新たなタスクフォースを設立した。オーストラリアはサイバーセキュリティ戦略(特にインフラ)を強化し、イスラエルやデンマークなどはサイバー・プログラムでクラス最高とみなされている。日本はサイバー防衛で5位にランクされている。2018年に当時の桜田義孝サイバーセキュリティ担当大臣が「コンピューターを使ったことがない」と発言したことを受け、歓迎すべき信任投票である。シンガポール政府の最近の発表では、将来の通信インフラにおけるAIとサイバーセキュリティの研究に5,000万ドルを投資することが約束された。
未来のテクノロジーに向けて急速に前進するためには、世界的に協調した強力なサイバーセキュリティ対応が不可欠であり、すべての政府機関はこれを重要な焦点として照らすべきです。
お金があれば問題が減るわけではない
米国、英国、オーストラリアを例にとると、いずれも過去2、3年の間に政府主導のサイバーセキュリティや専門知識への投資を増やしており、セキュリティがようやく優先され、「善人」が戦いに勝つために必要なものを手に入れているように見えるかもしれません。
しかし、それはより大きな問題の一部にすぎません。このような資金があれば、(バイデン氏の資金投入で実現したように)専門家のスーパーチームや、包括的なバグ報奨プログラム、そして悲惨な侵害が発生した場合の一流のインシデント対応と被害軽減を行うことができます。そして、このようなサイバー防衛へのアプローチがあるからこそ、タスクフォースや脅威対応にどれだけ資金を投入しても、最小限の進展しか得られないのです。
すべての政府は、事後的なセキュリティ対策に留まらず、より予防的な戦略に真剣に取り組んでいく必要があります。サイバー攻撃を未然に防ぐための対策ではなく、攻撃を受けた後の対応に重点を置いていては、いくら資金を投入してもリスクの増大を抑えることはできません。真のプロアクティブなセキュリティアプローチでは、インフラの強化に予算を配分し、効果的なセキュリティトレーニングやスキルアップを展開することで、最初から攻撃対象をできる限り減らすことを目指します。
サイバーセキュリティのスキルギャップは解消されないが、無駄な可能性もある
高度な訓練を受けたセキュリティの専門家は、世界中で非常に需要が高く、サイバーの専門家が過剰になることはないでしょう。しかし、このような状況だからこそ、政府や組織は、自由に使えるリソースをよりクリエイティブに、より賢く使いこなす必要があるのではないでしょうか。
真の意味でのサイバー防御のためのアプローチは、ソフトウェア開発とインフラストラクチャのプロセスに関わるすべての人が、それぞれの役割に応じて可能な限りセキュリティを意識することから始まります。特に開発者には、セキュリティに関する適切なスキルアップと適切なツールが必要であり、安全なコーディングをプロセスに組み込むことができます。これは、一般的な脆弱性が日の目を見る前に対処できるようにするために大いに役立ちます。これだけでも、ソフトウェア開発のライフサイクルにおけるプレッシャーや手戻りを軽減する強力なステップとなり、コスト削減にもつながります。
サイバーセキュリティのベストプラクティスには、人間主導のアプローチを強化する必要があります。自動化やツールに過度に依存し、すでに組み込まれて発見された問題に対応するよりも、より良い結果を得ることができます。この戦略は、今日発生している侵害の数を見れば、明らかに機能していません。
私たちは、サイバーセキュリティのベストプラクティスに対して、人間主導のアプローチを強化する必要があります。そして、自動化やツール、すでに組み込まれ発見された問題への対応に過度に依存するよりも、より良い結果を得ることができます。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
この記事の一版は VMブログ.この記事は更新され、ここでシンジケートされています。
いくら「サイバーセキュリティ意識向上月間」が過ぎても、エリート・セキュリティ・プロフェッショナルがパラシュートで送り込まれても、ブラックホールに消えたお金がいくらあっても、大規模なデータ侵害の問題は年々悪化しているように思えてなりません。あまりにも日常的に発生しているため、大惨事に至らない限り、最近ではほとんど主流のニュースにはなりません。2020年には、悪意のあるサイバー攻撃によって360億件以上の記録が流出し、2021年にはどれだけの記録が流出するのかが注目されています。
脅威となる人物は常に機会をうかがっており、すべての攻撃が大惨事になるわけではありませんが、平均して39秒ごとに発生しています。私たちはまだ戦いに勝利しているとは言えず、悪者は私たちのデータを守る者よりも圧倒的に有利な立場にあります。
しかし、バイデン政権がサイバーセキュリティを早期に優先事項とし、100億米ドルの追加資金を提供するなど、変化の兆しが見えてきました。これは間違いなく正しい方向への一歩ですが、頻度と巧妙さを増しているサイバー犯罪に実際に歯止めをかけることができるでしょうか?
サイバー脅威を解決するには(世界の)村が必要になる
ますます強力になるサイバー攻撃に対する効果的な防御は、一握りの国だけで行うものではありません。残念ながら、長い間、全体的に一貫した戦略が欠けていました。しかし、国家レベルの脅威が増加していることから、多くの政府が注目しています。
米国政府に影響を与えたSolarWinds社の攻撃は、その可能性を明確に警告するものであり、重要なインフラが侵害された場合の潜在的な被害を示すものでした。最近、FBIはフロリダ州の水道システムが攻撃されたことを警告しました。脅威となる行為者は、遠隔操作で水道を汚染することができました。深刻な被害が発生する前に阻止されましたが、より高度な攻撃者であれば、人命を危険にさらすような大規模な破壊を引き起こした可能性があります。
ゆっくりとではあるが確実に、世界中の政府がサイバー防衛への投資を増やしている。英国はサイバーセキュリティ部門に記録的な投資を行い、新たなタスクフォースを設立した。オーストラリアはサイバーセキュリティ戦略(特にインフラ)を強化し、イスラエルやデンマークなどはサイバー・プログラムでクラス最高とみなされている。日本はサイバー防衛で5位にランクされている。2018年に当時の桜田義孝サイバーセキュリティ担当大臣が「コンピューターを使ったことがない」と発言したことを受け、歓迎すべき信任投票である。シンガポール政府の最近の発表では、将来の通信インフラにおけるAIとサイバーセキュリティの研究に5,000万ドルを投資することが約束された。
未来のテクノロジーに向けて急速に前進するためには、世界的に協調した強力なサイバーセキュリティ対応が不可欠であり、すべての政府機関はこれを重要な焦点として照らすべきです。
お金があれば問題が減るわけではない
米国、英国、オーストラリアを例にとると、いずれも過去2、3年の間に政府主導のサイバーセキュリティや専門知識への投資を増やしており、セキュリティがようやく優先され、「善人」が戦いに勝つために必要なものを手に入れているように見えるかもしれません。
しかし、それはより大きな問題の一部にすぎません。このような資金があれば、(バイデン氏の資金投入で実現したように)専門家のスーパーチームや、包括的なバグ報奨プログラム、そして悲惨な侵害が発生した場合の一流のインシデント対応と被害軽減を行うことができます。そして、このようなサイバー防衛へのアプローチがあるからこそ、タスクフォースや脅威対応にどれだけ資金を投入しても、最小限の進展しか得られないのです。
すべての政府は、事後的なセキュリティ対策に留まらず、より予防的な戦略に真剣に取り組んでいく必要があります。サイバー攻撃を未然に防ぐための対策ではなく、攻撃を受けた後の対応に重点を置いていては、いくら資金を投入してもリスクの増大を抑えることはできません。真のプロアクティブなセキュリティアプローチでは、インフラの強化に予算を配分し、効果的なセキュリティトレーニングやスキルアップを展開することで、最初から攻撃対象をできる限り減らすことを目指します。
サイバーセキュリティのスキルギャップは解消されないが、無駄な可能性もある
高度な訓練を受けたセキュリティの専門家は、世界中で非常に需要が高く、サイバーの専門家が過剰になることはないでしょう。しかし、このような状況だからこそ、政府や組織は、自由に使えるリソースをよりクリエイティブに、より賢く使いこなす必要があるのではないでしょうか。
真の意味でのサイバー防御のためのアプローチは、ソフトウェア開発とインフラストラクチャのプロセスに関わるすべての人が、それぞれの役割に応じて可能な限りセキュリティを意識することから始まります。特に開発者には、セキュリティに関する適切なスキルアップと適切なツールが必要であり、安全なコーディングをプロセスに組み込むことができます。これは、一般的な脆弱性が日の目を見る前に対処できるようにするために大いに役立ちます。これだけでも、ソフトウェア開発のライフサイクルにおけるプレッシャーや手戻りを軽減する強力なステップとなり、コスト削減にもつながります。
サイバーセキュリティのベストプラクティスには、人間主導のアプローチを強化する必要があります。自動化やツールに過度に依存し、すでに組み込まれて発見された問題に対応するよりも、より良い結果を得ることができます。この戦略は、今日発生している侵害の数を見れば、明らかに機能していません。
この記事の一版は VMブログ.この記事は更新され、ここでシンジケートされています。
いくら「サイバーセキュリティ意識向上月間」が過ぎても、エリート・セキュリティ・プロフェッショナルがパラシュートで送り込まれても、ブラックホールに消えたお金がいくらあっても、大規模なデータ侵害の問題は年々悪化しているように思えてなりません。あまりにも日常的に発生しているため、大惨事に至らない限り、最近ではほとんど主流のニュースにはなりません。2020年には、悪意のあるサイバー攻撃によって360億件以上の記録が流出し、2021年にはどれだけの記録が流出するのかが注目されています。
脅威となる人物は常に機会をうかがっており、すべての攻撃が大惨事になるわけではありませんが、平均して39秒ごとに発生しています。私たちはまだ戦いに勝利しているとは言えず、悪者は私たちのデータを守る者よりも圧倒的に有利な立場にあります。
しかし、バイデン政権がサイバーセキュリティを早期に優先事項とし、100億米ドルの追加資金を提供するなど、変化の兆しが見えてきました。これは間違いなく正しい方向への一歩ですが、頻度と巧妙さを増しているサイバー犯罪に実際に歯止めをかけることができるでしょうか?
サイバー脅威を解決するには(世界の)村が必要になる
ますます強力になるサイバー攻撃に対する効果的な防御は、一握りの国だけで行うものではありません。残念ながら、長い間、全体的に一貫した戦略が欠けていました。しかし、国家レベルの脅威が増加していることから、多くの政府が注目しています。
米国政府に影響を与えたSolarWinds社の攻撃は、その可能性を明確に警告するものであり、重要なインフラが侵害された場合の潜在的な被害を示すものでした。最近、FBIはフロリダ州の水道システムが攻撃されたことを警告しました。脅威となる行為者は、遠隔操作で水道を汚染することができました。深刻な被害が発生する前に阻止されましたが、より高度な攻撃者であれば、人命を危険にさらすような大規模な破壊を引き起こした可能性があります。
ゆっくりとではあるが確実に、世界中の政府がサイバー防衛への投資を増やしている。英国はサイバーセキュリティ部門に記録的な投資を行い、新たなタスクフォースを設立した。オーストラリアはサイバーセキュリティ戦略(特にインフラ)を強化し、イスラエルやデンマークなどはサイバー・プログラムでクラス最高とみなされている。日本はサイバー防衛で5位にランクされている。2018年に当時の桜田義孝サイバーセキュリティ担当大臣が「コンピューターを使ったことがない」と発言したことを受け、歓迎すべき信任投票である。シンガポール政府の最近の発表では、将来の通信インフラにおけるAIとサイバーセキュリティの研究に5,000万ドルを投資することが約束された。
未来のテクノロジーに向けて急速に前進するためには、世界的に協調した強力なサイバーセキュリティ対応が不可欠であり、すべての政府機関はこれを重要な焦点として照らすべきです。
お金があれば問題が減るわけではない
米国、英国、オーストラリアを例にとると、いずれも過去2、3年の間に政府主導のサイバーセキュリティや専門知識への投資を増やしており、セキュリティがようやく優先され、「善人」が戦いに勝つために必要なものを手に入れているように見えるかもしれません。
しかし、それはより大きな問題の一部にすぎません。このような資金があれば、(バイデン氏の資金投入で実現したように)専門家のスーパーチームや、包括的なバグ報奨プログラム、そして悲惨な侵害が発生した場合の一流のインシデント対応と被害軽減を行うことができます。そして、このようなサイバー防衛へのアプローチがあるからこそ、タスクフォースや脅威対応にどれだけ資金を投入しても、最小限の進展しか得られないのです。
すべての政府は、事後的なセキュリティ対策に留まらず、より予防的な戦略に真剣に取り組んでいく必要があります。サイバー攻撃を未然に防ぐための対策ではなく、攻撃を受けた後の対応に重点を置いていては、いくら資金を投入してもリスクの増大を抑えることはできません。真のプロアクティブなセキュリティアプローチでは、インフラの強化に予算を配分し、効果的なセキュリティトレーニングやスキルアップを展開することで、最初から攻撃対象をできる限り減らすことを目指します。
サイバーセキュリティのスキルギャップは解消されないが、無駄な可能性もある
高度な訓練を受けたセキュリティの専門家は、世界中で非常に需要が高く、サイバーの専門家が過剰になることはないでしょう。しかし、このような状況だからこそ、政府や組織は、自由に使えるリソースをよりクリエイティブに、より賢く使いこなす必要があるのではないでしょうか。
真の意味でのサイバー防御のためのアプローチは、ソフトウェア開発とインフラストラクチャのプロセスに関わるすべての人が、それぞれの役割に応じて可能な限りセキュリティを意識することから始まります。特に開発者には、セキュリティに関する適切なスキルアップと適切なツールが必要であり、安全なコーディングをプロセスに組み込むことができます。これは、一般的な脆弱性が日の目を見る前に対処できるようにするために大いに役立ちます。これだけでも、ソフトウェア開発のライフサイクルにおけるプレッシャーや手戻りを軽減する強力なステップとなり、コスト削減にもつながります。
サイバーセキュリティのベストプラクティスには、人間主導のアプローチを強化する必要があります。自動化やツールに過度に依存し、すでに組み込まれて発見された問題に対応するよりも、より良い結果を得ることができます。この戦略は、今日発生している侵害の数を見れば、明らかに機能していません。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
この記事の一版は VMブログ.この記事は更新され、ここでシンジケートされています。
いくら「サイバーセキュリティ意識向上月間」が過ぎても、エリート・セキュリティ・プロフェッショナルがパラシュートで送り込まれても、ブラックホールに消えたお金がいくらあっても、大規模なデータ侵害の問題は年々悪化しているように思えてなりません。あまりにも日常的に発生しているため、大惨事に至らない限り、最近ではほとんど主流のニュースにはなりません。2020年には、悪意のあるサイバー攻撃によって360億件以上の記録が流出し、2021年にはどれだけの記録が流出するのかが注目されています。
脅威となる人物は常に機会をうかがっており、すべての攻撃が大惨事になるわけではありませんが、平均して39秒ごとに発生しています。私たちはまだ戦いに勝利しているとは言えず、悪者は私たちのデータを守る者よりも圧倒的に有利な立場にあります。
しかし、バイデン政権がサイバーセキュリティを早期に優先事項とし、100億米ドルの追加資金を提供するなど、変化の兆しが見えてきました。これは間違いなく正しい方向への一歩ですが、頻度と巧妙さを増しているサイバー犯罪に実際に歯止めをかけることができるでしょうか?
サイバー脅威を解決するには(世界の)村が必要になる
ますます強力になるサイバー攻撃に対する効果的な防御は、一握りの国だけで行うものではありません。残念ながら、長い間、全体的に一貫した戦略が欠けていました。しかし、国家レベルの脅威が増加していることから、多くの政府が注目しています。
米国政府に影響を与えたSolarWinds社の攻撃は、その可能性を明確に警告するものであり、重要なインフラが侵害された場合の潜在的な被害を示すものでした。最近、FBIはフロリダ州の水道システムが攻撃されたことを警告しました。脅威となる行為者は、遠隔操作で水道を汚染することができました。深刻な被害が発生する前に阻止されましたが、より高度な攻撃者であれば、人命を危険にさらすような大規模な破壊を引き起こした可能性があります。
ゆっくりとではあるが確実に、世界中の政府がサイバー防衛への投資を増やしている。英国はサイバーセキュリティ部門に記録的な投資を行い、新たなタスクフォースを設立した。オーストラリアはサイバーセキュリティ戦略(特にインフラ)を強化し、イスラエルやデンマークなどはサイバー・プログラムでクラス最高とみなされている。日本はサイバー防衛で5位にランクされている。2018年に当時の桜田義孝サイバーセキュリティ担当大臣が「コンピューターを使ったことがない」と発言したことを受け、歓迎すべき信任投票である。シンガポール政府の最近の発表では、将来の通信インフラにおけるAIとサイバーセキュリティの研究に5,000万ドルを投資することが約束された。
未来のテクノロジーに向けて急速に前進するためには、世界的に協調した強力なサイバーセキュリティ対応が不可欠であり、すべての政府機関はこれを重要な焦点として照らすべきです。
お金があれば問題が減るわけではない
米国、英国、オーストラリアを例にとると、いずれも過去2、3年の間に政府主導のサイバーセキュリティや専門知識への投資を増やしており、セキュリティがようやく優先され、「善人」が戦いに勝つために必要なものを手に入れているように見えるかもしれません。
しかし、それはより大きな問題の一部にすぎません。このような資金があれば、(バイデン氏の資金投入で実現したように)専門家のスーパーチームや、包括的なバグ報奨プログラム、そして悲惨な侵害が発生した場合の一流のインシデント対応と被害軽減を行うことができます。そして、このようなサイバー防衛へのアプローチがあるからこそ、タスクフォースや脅威対応にどれだけ資金を投入しても、最小限の進展しか得られないのです。
すべての政府は、事後的なセキュリティ対策に留まらず、より予防的な戦略に真剣に取り組んでいく必要があります。サイバー攻撃を未然に防ぐための対策ではなく、攻撃を受けた後の対応に重点を置いていては、いくら資金を投入してもリスクの増大を抑えることはできません。真のプロアクティブなセキュリティアプローチでは、インフラの強化に予算を配分し、効果的なセキュリティトレーニングやスキルアップを展開することで、最初から攻撃対象をできる限り減らすことを目指します。
サイバーセキュリティのスキルギャップは解消されないが、無駄な可能性もある
高度な訓練を受けたセキュリティの専門家は、世界中で非常に需要が高く、サイバーの専門家が過剰になることはないでしょう。しかし、このような状況だからこそ、政府や組織は、自由に使えるリソースをよりクリエイティブに、より賢く使いこなす必要があるのではないでしょうか。
真の意味でのサイバー防御のためのアプローチは、ソフトウェア開発とインフラストラクチャのプロセスに関わるすべての人が、それぞれの役割に応じて可能な限りセキュリティを意識することから始まります。特に開発者には、セキュリティに関する適切なスキルアップと適切なツールが必要であり、安全なコーディングをプロセスに組み込むことができます。これは、一般的な脆弱性が日の目を見る前に対処できるようにするために大いに役立ちます。これだけでも、ソフトウェア開発のライフサイクルにおけるプレッシャーや手戻りを軽減する強力なステップとなり、コスト削減にもつながります。
サイバーセキュリティのベストプラクティスには、人間主導のアプローチを強化する必要があります。自動化やツールに過度に依存し、すでに組み込まれて発見された問題に対応するよりも、より良い結果を得ることができます。この戦略は、今日発生している侵害の数を見れば、明らかに機能していません。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード始めるためのリソース
セキュア・バイ・デザインベストプラクティスの定義、開発者の能力向上、予防的セキュリティ成果のベンチマーク
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士、そして専門家であるクリス・イングリス(Chris Inglis)氏(元米国サイバーディレクター、現パラディン・キャピタル・グループ戦略顧問)、デヴィン・リンチ(Devin Lynch)氏(パラディン・グローバル・インスティテュート・シニアディレクター)が、CISO、アプリケーション・セキュリティ担当副社長、ソフトウェア・セキュリティの専門家など、企業のセキュリティ・リーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします。
セキュリティ スキルのベンチマーク: 企業におけるセキュアな設計の合理化
セキュアバイデザイン(SBD)構想の成功に関する有意義なデータを見つけることは、非常に困難である。CISO は、セキュリティプログラム活動の投資収益率(ROI)とビジネス価値を、従業員レベルと企業レベルの両方で証明しようとすると、しばしば困難に直面します。言うまでもなく、企業にとって、現在の業界標準に対して自社の組織がどのようにベンチマークされているかを把握することは特に困難です。大統領の国家サイバーセキュリティ戦略は、関係者に「デザインによるセキュリティとレジリエンスを受け入れる」ことを求めている。セキュアバイデザインの取り組みを成功させる鍵は、開発者にセキュアなコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが整っていることを保証することである。本プレゼンテーションでは、25万人以上の開発者から収集した社内データ、データに基づく顧客の洞察、公的研究など、複数の一次ソースから得られた無数の定性的・定量的データを紹介します。こうしたデータ・ポイントの集積を活用することで、複数の業種におけるセキュア・バイ・デザイン・イニシアチブの現状をお伝えすることを目的としています。本レポートでは、この領域が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティのリスク軽減に与える大きな影響、コードベースから脆弱性のカテゴリーを排除できる可能性について詳述しています。
