39秒ごとに発生しているサイバー攻撃。政府はついに反撃の準備を整えたのか?
この記事の一版は VMブログ.この記事は更新され、ここでシンジケートされています。
いくら「サイバーセキュリティ意識向上月間」が過ぎても、エリート・セキュリティ・プロフェッショナルがパラシュートで送り込まれても、ブラックホールに消えたお金がいくらあっても、大規模なデータ侵害の問題は年々悪化しているように思えてなりません。あまりにも日常的に発生しているため、大惨事に至らない限り、最近ではほとんど主流のニュースにはなりません。2020年には、悪意のあるサイバー攻撃によって360億件以上の記録が流出し、2021年にはどれだけの記録が流出するのかが注目されています。
脅威となる人物は常に機会をうかがっており、すべての攻撃が大惨事になるわけではありませんが、平均して39秒ごとに発生しています。私たちはまだ戦いに勝利しているとは言えず、悪者は私たちのデータを守る者よりも圧倒的に有利な立場にあります。
しかし、バイデン政権がサイバーセキュリティを早期に優先事項とし、100億米ドルの追加資金を提供するなど、変化の兆しが見えてきました。これは間違いなく正しい方向への一歩ですが、頻度と巧妙さを増しているサイバー犯罪に実際に歯止めをかけることができるでしょうか?
サイバー脅威を解決するには(世界の)村が必要になる
ますます強力になるサイバー攻撃に対する効果的な防御は、一握りの国だけで行うものではありません。残念ながら、長い間、全体的に一貫した戦略が欠けていました。しかし、国家レベルの脅威が増加していることから、多くの政府が注目しています。
米国政府に影響を与えたSolarWinds社の攻撃は、その可能性を明確に警告するものであり、重要なインフラが侵害された場合の潜在的な被害を示すものでした。最近、FBIはフロリダ州の水道システムが攻撃されたことを警告しました。脅威となる行為者は、遠隔操作で水道を汚染することができました。深刻な被害が発生する前に阻止されましたが、より高度な攻撃者であれば、人命を危険にさらすような大規模な破壊を引き起こした可能性があります。
徐々にではありますが、確実に、世界中の政府がサイバー防衛への投資を強化しています。英国は、サイバーセキュリティ分野で記録的な投資を行い、新しいタスクフォースを設立しました。オーストラリアは、サイバーセキュリティ戦略(特にインフラ)を強化し、イスラエルやデンマークなどは、サイバープログラムで最高レベルとされています。日本は、サイバー防衛分野で5位にランクされています。これは、2018年に桜田義孝サイバーセキュリティ担当大臣(当時)が「コンピュータを使ったことがない」と発言したことを受けて、自信を持って発表したものです。シンガポール政府の最近の発表では、将来の通信インフラにおけるAIとサイバーセキュリティの研究に5,000万ドルを投資することが約束され、デジタルの安全性と完全性を強固にするための先進的な動きとなっています。
未来のテクノロジーに向けて急速に前進するためには、世界的に協調した強力なサイバーセキュリティ対応が不可欠であり、すべての政府機関はこれを重要な焦点として照らすべきです。
お金があれば問題が減るわけではない
米国、英国、オーストラリアを例にとると、いずれも過去2、3年の間に政府主導のサイバーセキュリティや専門知識への投資を増やしており、セキュリティがようやく優先され、「善人」が戦いに勝つために必要なものを手に入れているように見えるかもしれません。
しかし、それはより大きな問題の一部にすぎません。このような資金があれば、(バイデン氏の資金投入で実現したように)専門家のスーパーチームや、包括的なバグ報奨プログラム、そして悲惨な侵害が発生した場合の一流のインシデント対応と被害軽減を行うことができます。そして、このようなサイバー防衛へのアプローチがあるからこそ、タスクフォースや脅威対応にどれだけ資金を投入しても、最小限の進展しか得られないのです。
すべての政府は、事後的なセキュリティ対策に留まらず、より予防的な戦略に真剣に取り組んでいく必要があります。サイバー攻撃を未然に防ぐための対策ではなく、攻撃を受けた後の対応に重点を置いていては、いくら資金を投入してもリスクの増大を抑えることはできません。真のプロアクティブなセキュリティアプローチでは、インフラの強化に予算を配分し、効果的なセキュリティトレーニングやスキルアップを展開することで、最初から攻撃対象をできる限り減らすことを目指します。
サイバーセキュリティのスキルギャップは解消されないが、無駄な可能性もある
高度な訓練を受けたセキュリティの専門家は、世界中で非常に需要が高く、サイバーの専門家が過剰になることはないでしょう。しかし、このような状況だからこそ、政府や組織は、自由に使えるリソースをよりクリエイティブに、より賢く使いこなす必要があるのではないでしょうか。
真の意味でのサイバー防御のためのアプローチは、ソフトウェア開発とインフラストラクチャのプロセスに関わるすべての人が、それぞれの役割に応じて可能な限りセキュリティを意識することから始まります。特に開発者には、セキュリティに関する適切なスキルアップと適切なツールが必要であり、安全なコーディングをプロセスに組み込むことができます。これは、一般的な脆弱性が日の目を見る前に対処できるようにするために大いに役立ちます。これだけでも、ソフトウェア開発のライフサイクルにおけるプレッシャーや手戻りを軽減する強力なステップとなり、コスト削減にもつながります。
サイバーセキュリティのベストプラクティスには、人間主導のアプローチを強化する必要があります。自動化やツールに過度に依存し、すでに組み込まれて発見された問題に対応するよりも、より良い結果を得ることができます。この戦略は、今日発生している侵害の数を見れば、明らかに機能していません。
私たちは、サイバーセキュリティのベストプラクティスに対して、人間主導のアプローチを強化する必要があります。そして、自動化やツール、すでに組み込まれ発見された問題への対応に過度に依存するよりも、より良い結果を得ることができます。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するMatias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
この記事の一版は VMブログ.この記事は更新され、ここでシンジケートされています。
いくら「サイバーセキュリティ意識向上月間」が過ぎても、エリート・セキュリティ・プロフェッショナルがパラシュートで送り込まれても、ブラックホールに消えたお金がいくらあっても、大規模なデータ侵害の問題は年々悪化しているように思えてなりません。あまりにも日常的に発生しているため、大惨事に至らない限り、最近ではほとんど主流のニュースにはなりません。2020年には、悪意のあるサイバー攻撃によって360億件以上の記録が流出し、2021年にはどれだけの記録が流出するのかが注目されています。
脅威となる人物は常に機会をうかがっており、すべての攻撃が大惨事になるわけではありませんが、平均して39秒ごとに発生しています。私たちはまだ戦いに勝利しているとは言えず、悪者は私たちのデータを守る者よりも圧倒的に有利な立場にあります。
しかし、バイデン政権がサイバーセキュリティを早期に優先事項とし、100億米ドルの追加資金を提供するなど、変化の兆しが見えてきました。これは間違いなく正しい方向への一歩ですが、頻度と巧妙さを増しているサイバー犯罪に実際に歯止めをかけることができるでしょうか?
サイバー脅威を解決するには(世界の)村が必要になる
ますます強力になるサイバー攻撃に対する効果的な防御は、一握りの国だけで行うものではありません。残念ながら、長い間、全体的に一貫した戦略が欠けていました。しかし、国家レベルの脅威が増加していることから、多くの政府が注目しています。
米国政府に影響を与えたSolarWinds社の攻撃は、その可能性を明確に警告するものであり、重要なインフラが侵害された場合の潜在的な被害を示すものでした。最近、FBIはフロリダ州の水道システムが攻撃されたことを警告しました。脅威となる行為者は、遠隔操作で水道を汚染することができました。深刻な被害が発生する前に阻止されましたが、より高度な攻撃者であれば、人命を危険にさらすような大規模な破壊を引き起こした可能性があります。
徐々にではありますが、確実に、世界中の政府がサイバー防衛への投資を強化しています。英国は、サイバーセキュリティ分野で記録的な投資を行い、新しいタスクフォースを設立しました。オーストラリアは、サイバーセキュリティ戦略(特にインフラ)を強化し、イスラエルやデンマークなどは、サイバープログラムで最高レベルとされています。日本は、サイバー防衛分野で5位にランクされています。これは、2018年に桜田義孝サイバーセキュリティ担当大臣(当時)が「コンピュータを使ったことがない」と発言したことを受けて、自信を持って発表したものです。シンガポール政府の最近の発表では、将来の通信インフラにおけるAIとサイバーセキュリティの研究に5,000万ドルを投資することが約束され、デジタルの安全性と完全性を強固にするための先進的な動きとなっています。
未来のテクノロジーに向けて急速に前進するためには、世界的に協調した強力なサイバーセキュリティ対応が不可欠であり、すべての政府機関はこれを重要な焦点として照らすべきです。
お金があれば問題が減るわけではない
米国、英国、オーストラリアを例にとると、いずれも過去2、3年の間に政府主導のサイバーセキュリティや専門知識への投資を増やしており、セキュリティがようやく優先され、「善人」が戦いに勝つために必要なものを手に入れているように見えるかもしれません。
しかし、それはより大きな問題の一部にすぎません。このような資金があれば、(バイデン氏の資金投入で実現したように)専門家のスーパーチームや、包括的なバグ報奨プログラム、そして悲惨な侵害が発生した場合の一流のインシデント対応と被害軽減を行うことができます。そして、このようなサイバー防衛へのアプローチがあるからこそ、タスクフォースや脅威対応にどれだけ資金を投入しても、最小限の進展しか得られないのです。
すべての政府は、事後的なセキュリティ対策に留まらず、より予防的な戦略に真剣に取り組んでいく必要があります。サイバー攻撃を未然に防ぐための対策ではなく、攻撃を受けた後の対応に重点を置いていては、いくら資金を投入してもリスクの増大を抑えることはできません。真のプロアクティブなセキュリティアプローチでは、インフラの強化に予算を配分し、効果的なセキュリティトレーニングやスキルアップを展開することで、最初から攻撃対象をできる限り減らすことを目指します。
サイバーセキュリティのスキルギャップは解消されないが、無駄な可能性もある
高度な訓練を受けたセキュリティの専門家は、世界中で非常に需要が高く、サイバーの専門家が過剰になることはないでしょう。しかし、このような状況だからこそ、政府や組織は、自由に使えるリソースをよりクリエイティブに、より賢く使いこなす必要があるのではないでしょうか。
真の意味でのサイバー防御のためのアプローチは、ソフトウェア開発とインフラストラクチャのプロセスに関わるすべての人が、それぞれの役割に応じて可能な限りセキュリティを意識することから始まります。特に開発者には、セキュリティに関する適切なスキルアップと適切なツールが必要であり、安全なコーディングをプロセスに組み込むことができます。これは、一般的な脆弱性が日の目を見る前に対処できるようにするために大いに役立ちます。これだけでも、ソフトウェア開発のライフサイクルにおけるプレッシャーや手戻りを軽減する強力なステップとなり、コスト削減にもつながります。
サイバーセキュリティのベストプラクティスには、人間主導のアプローチを強化する必要があります。自動化やツールに過度に依存し、すでに組み込まれて発見された問題に対応するよりも、より良い結果を得ることができます。この戦略は、今日発生している侵害の数を見れば、明らかに機能していません。
この記事の一版は VMブログ.この記事は更新され、ここでシンジケートされています。
いくら「サイバーセキュリティ意識向上月間」が過ぎても、エリート・セキュリティ・プロフェッショナルがパラシュートで送り込まれても、ブラックホールに消えたお金がいくらあっても、大規模なデータ侵害の問題は年々悪化しているように思えてなりません。あまりにも日常的に発生しているため、大惨事に至らない限り、最近ではほとんど主流のニュースにはなりません。2020年には、悪意のあるサイバー攻撃によって360億件以上の記録が流出し、2021年にはどれだけの記録が流出するのかが注目されています。
脅威となる人物は常に機会をうかがっており、すべての攻撃が大惨事になるわけではありませんが、平均して39秒ごとに発生しています。私たちはまだ戦いに勝利しているとは言えず、悪者は私たちのデータを守る者よりも圧倒的に有利な立場にあります。
しかし、バイデン政権がサイバーセキュリティを早期に優先事項とし、100億米ドルの追加資金を提供するなど、変化の兆しが見えてきました。これは間違いなく正しい方向への一歩ですが、頻度と巧妙さを増しているサイバー犯罪に実際に歯止めをかけることができるでしょうか?
サイバー脅威を解決するには(世界の)村が必要になる
ますます強力になるサイバー攻撃に対する効果的な防御は、一握りの国だけで行うものではありません。残念ながら、長い間、全体的に一貫した戦略が欠けていました。しかし、国家レベルの脅威が増加していることから、多くの政府が注目しています。
米国政府に影響を与えたSolarWinds社の攻撃は、その可能性を明確に警告するものであり、重要なインフラが侵害された場合の潜在的な被害を示すものでした。最近、FBIはフロリダ州の水道システムが攻撃されたことを警告しました。脅威となる行為者は、遠隔操作で水道を汚染することができました。深刻な被害が発生する前に阻止されましたが、より高度な攻撃者であれば、人命を危険にさらすような大規模な破壊を引き起こした可能性があります。
徐々にではありますが、確実に、世界中の政府がサイバー防衛への投資を強化しています。英国は、サイバーセキュリティ分野で記録的な投資を行い、新しいタスクフォースを設立しました。オーストラリアは、サイバーセキュリティ戦略(特にインフラ)を強化し、イスラエルやデンマークなどは、サイバープログラムで最高レベルとされています。日本は、サイバー防衛分野で5位にランクされています。これは、2018年に桜田義孝サイバーセキュリティ担当大臣(当時)が「コンピュータを使ったことがない」と発言したことを受けて、自信を持って発表したものです。シンガポール政府の最近の発表では、将来の通信インフラにおけるAIとサイバーセキュリティの研究に5,000万ドルを投資することが約束され、デジタルの安全性と完全性を強固にするための先進的な動きとなっています。
未来のテクノロジーに向けて急速に前進するためには、世界的に協調した強力なサイバーセキュリティ対応が不可欠であり、すべての政府機関はこれを重要な焦点として照らすべきです。
お金があれば問題が減るわけではない
米国、英国、オーストラリアを例にとると、いずれも過去2、3年の間に政府主導のサイバーセキュリティや専門知識への投資を増やしており、セキュリティがようやく優先され、「善人」が戦いに勝つために必要なものを手に入れているように見えるかもしれません。
しかし、それはより大きな問題の一部にすぎません。このような資金があれば、(バイデン氏の資金投入で実現したように)専門家のスーパーチームや、包括的なバグ報奨プログラム、そして悲惨な侵害が発生した場合の一流のインシデント対応と被害軽減を行うことができます。そして、このようなサイバー防衛へのアプローチがあるからこそ、タスクフォースや脅威対応にどれだけ資金を投入しても、最小限の進展しか得られないのです。
すべての政府は、事後的なセキュリティ対策に留まらず、より予防的な戦略に真剣に取り組んでいく必要があります。サイバー攻撃を未然に防ぐための対策ではなく、攻撃を受けた後の対応に重点を置いていては、いくら資金を投入してもリスクの増大を抑えることはできません。真のプロアクティブなセキュリティアプローチでは、インフラの強化に予算を配分し、効果的なセキュリティトレーニングやスキルアップを展開することで、最初から攻撃対象をできる限り減らすことを目指します。
サイバーセキュリティのスキルギャップは解消されないが、無駄な可能性もある
高度な訓練を受けたセキュリティの専門家は、世界中で非常に需要が高く、サイバーの専門家が過剰になることはないでしょう。しかし、このような状況だからこそ、政府や組織は、自由に使えるリソースをよりクリエイティブに、より賢く使いこなす必要があるのではないでしょうか。
真の意味でのサイバー防御のためのアプローチは、ソフトウェア開発とインフラストラクチャのプロセスに関わるすべての人が、それぞれの役割に応じて可能な限りセキュリティを意識することから始まります。特に開発者には、セキュリティに関する適切なスキルアップと適切なツールが必要であり、安全なコーディングをプロセスに組み込むことができます。これは、一般的な脆弱性が日の目を見る前に対処できるようにするために大いに役立ちます。これだけでも、ソフトウェア開発のライフサイクルにおけるプレッシャーや手戻りを軽減する強力なステップとなり、コスト削減にもつながります。
サイバーセキュリティのベストプラクティスには、人間主導のアプローチを強化する必要があります。自動化やツールに過度に依存し、すでに組み込まれて発見された問題に対応するよりも、より良い結果を得ることができます。この戦略は、今日発生している侵害の数を見れば、明らかに機能していません。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約するMatias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
この記事の一版は VMブログ.この記事は更新され、ここでシンジケートされています。
いくら「サイバーセキュリティ意識向上月間」が過ぎても、エリート・セキュリティ・プロフェッショナルがパラシュートで送り込まれても、ブラックホールに消えたお金がいくらあっても、大規模なデータ侵害の問題は年々悪化しているように思えてなりません。あまりにも日常的に発生しているため、大惨事に至らない限り、最近ではほとんど主流のニュースにはなりません。2020年には、悪意のあるサイバー攻撃によって360億件以上の記録が流出し、2021年にはどれだけの記録が流出するのかが注目されています。
脅威となる人物は常に機会をうかがっており、すべての攻撃が大惨事になるわけではありませんが、平均して39秒ごとに発生しています。私たちはまだ戦いに勝利しているとは言えず、悪者は私たちのデータを守る者よりも圧倒的に有利な立場にあります。
しかし、バイデン政権がサイバーセキュリティを早期に優先事項とし、100億米ドルの追加資金を提供するなど、変化の兆しが見えてきました。これは間違いなく正しい方向への一歩ですが、頻度と巧妙さを増しているサイバー犯罪に実際に歯止めをかけることができるでしょうか?
サイバー脅威を解決するには(世界の)村が必要になる
ますます強力になるサイバー攻撃に対する効果的な防御は、一握りの国だけで行うものではありません。残念ながら、長い間、全体的に一貫した戦略が欠けていました。しかし、国家レベルの脅威が増加していることから、多くの政府が注目しています。
米国政府に影響を与えたSolarWinds社の攻撃は、その可能性を明確に警告するものであり、重要なインフラが侵害された場合の潜在的な被害を示すものでした。最近、FBIはフロリダ州の水道システムが攻撃されたことを警告しました。脅威となる行為者は、遠隔操作で水道を汚染することができました。深刻な被害が発生する前に阻止されましたが、より高度な攻撃者であれば、人命を危険にさらすような大規模な破壊を引き起こした可能性があります。
徐々にではありますが、確実に、世界中の政府がサイバー防衛への投資を強化しています。英国は、サイバーセキュリティ分野で記録的な投資を行い、新しいタスクフォースを設立しました。オーストラリアは、サイバーセキュリティ戦略(特にインフラ)を強化し、イスラエルやデンマークなどは、サイバープログラムで最高レベルとされています。日本は、サイバー防衛分野で5位にランクされています。これは、2018年に桜田義孝サイバーセキュリティ担当大臣(当時)が「コンピュータを使ったことがない」と発言したことを受けて、自信を持って発表したものです。シンガポール政府の最近の発表では、将来の通信インフラにおけるAIとサイバーセキュリティの研究に5,000万ドルを投資することが約束され、デジタルの安全性と完全性を強固にするための先進的な動きとなっています。
未来のテクノロジーに向けて急速に前進するためには、世界的に協調した強力なサイバーセキュリティ対応が不可欠であり、すべての政府機関はこれを重要な焦点として照らすべきです。
お金があれば問題が減るわけではない
米国、英国、オーストラリアを例にとると、いずれも過去2、3年の間に政府主導のサイバーセキュリティや専門知識への投資を増やしており、セキュリティがようやく優先され、「善人」が戦いに勝つために必要なものを手に入れているように見えるかもしれません。
しかし、それはより大きな問題の一部にすぎません。このような資金があれば、(バイデン氏の資金投入で実現したように)専門家のスーパーチームや、包括的なバグ報奨プログラム、そして悲惨な侵害が発生した場合の一流のインシデント対応と被害軽減を行うことができます。そして、このようなサイバー防衛へのアプローチがあるからこそ、タスクフォースや脅威対応にどれだけ資金を投入しても、最小限の進展しか得られないのです。
すべての政府は、事後的なセキュリティ対策に留まらず、より予防的な戦略に真剣に取り組んでいく必要があります。サイバー攻撃を未然に防ぐための対策ではなく、攻撃を受けた後の対応に重点を置いていては、いくら資金を投入してもリスクの増大を抑えることはできません。真のプロアクティブなセキュリティアプローチでは、インフラの強化に予算を配分し、効果的なセキュリティトレーニングやスキルアップを展開することで、最初から攻撃対象をできる限り減らすことを目指します。
サイバーセキュリティのスキルギャップは解消されないが、無駄な可能性もある
高度な訓練を受けたセキュリティの専門家は、世界中で非常に需要が高く、サイバーの専門家が過剰になることはないでしょう。しかし、このような状況だからこそ、政府や組織は、自由に使えるリソースをよりクリエイティブに、より賢く使いこなす必要があるのではないでしょうか。
真の意味でのサイバー防御のためのアプローチは、ソフトウェア開発とインフラストラクチャのプロセスに関わるすべての人が、それぞれの役割に応じて可能な限りセキュリティを意識することから始まります。特に開発者には、セキュリティに関する適切なスキルアップと適切なツールが必要であり、安全なコーディングをプロセスに組み込むことができます。これは、一般的な脆弱性が日の目を見る前に対処できるようにするために大いに役立ちます。これだけでも、ソフトウェア開発のライフサイクルにおけるプレッシャーや手戻りを軽減する強力なステップとなり、コスト削減にもつながります。
サイバーセキュリティのベストプラクティスには、人間主導のアプローチを強化する必要があります。自動化やツールに過度に依存し、すでに組み込まれて発見された問題に対応するよりも、より良い結果を得ることができます。この戦略は、今日発生している侵害の数を見れば、明らかに機能していません。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード