サイバーセキュリティ業界の分析。繰り返される脆弱性を修正しなければならない
この記事の一部分は ヘルプネットセキュリティ.この記事は更新され、ここでシンジケートされています。
私はこれまで、ソフトウェアの脆弱性を発見し、修正し、議論し、破壊することにキャリアを費やしてきました。一般的なセキュリティバグの場合、90年代以降に発見されたにもかかわらず、同じ期間、修正方法が知られているにもかかわらず、ソフトウェアを苦しめ、大きな問題を引き起こし続けています。まるでグラウンドホッグデイのような感覚です。
しかし、もうひとつ小さな問題があります。現代のサイバーセキュリティは、止まることのない猛攻撃に対抗するための現実的なアドバイスや迅速な解決策を得られていないのです。もちろん、それぞれの侵害はそれぞれの方法で異なりますし、脆弱なソフトウェアを悪用することができる攻撃ベクトルも数多くあります。実現可能な一般的なアドバイスは限られていますが、ベスト・プラクティスのアプローチは、刻々と欠陥が増えています。
そのため、私は、サイバーセキュリティに関する解説や分析の多くが、多くの脆弱性の根本原因である「人間」に真に対処するソリューションを省いていることに疑問を感じています。Gartner社の最新版「Hype Cycle for Application Security」やForrester社の「The State of Application Security 2021」は、どちらもセキュリティ専門家にとってのバイブルであり、彼らのプログラムや潜在的な製品採用の形成に役立っていることは間違いありませんが、ほぼ完全にツールに焦点を当てています。Aberdeen社が2017年に発表したレポートでは、平均的なセキュリティ技術スタックがいかに手に負えないものになっているかが示されており、CISOはセキュリティ戦略の一環として何百もの製品を管理していましたが、4年後の今、私たちはより多くのリスク、より多くの脆弱性、そして成長する技術スタックの獣への追加に取り組んでいます。
セキュリティツールは必要不可欠なものですが、私たちはもっと視野を広げて、セキュリティ対策に必要な「人」の要素のバランスを取り戻す必要があります。
オートメーションは未来だ。なぜサイバーセキュリティの人間的要素を気にする必要があるのか?
私たちの生活の中では、事実上すべてのものがソフトウェアによって支えられています。そして、多くの産業において、かつて存在していた人間の要素に代わって自動化が進んでいることは事実です。これは、世界のデジタル化が急速に進んでいることの表れであり、AIと機械学習は多くの組織が将来を見据えたホットな話題となっています。
では、人間を中心としたサイバーセキュリティへのアプローチは、技術的に進歩した問題に対する時代遅れの解決策以外の何物でもないのでしょうか。最近では、5億件以上のアカウントに影響を与えたFacebookの不正アクセスを含め、過去1年間に数十億件のデータ記録が盗まれたという事実は、私たちが脅威となるアクターに真剣に対抗するために十分な努力をしていない(あるいは正しいアプローチをとっていない)ことを示しているはずです。
サイバーセキュリティのツールは、サイバー防御のために必要な要素であり、ツールは常に必要なものです。アナリストは、企業のリスク軽減のために最新のツールを推奨しており、それは今後も変わりません。しかし、大量のコードを作成する際にコードの品質(そして定義上はセキュリティ)を管理することは難しく、ツールだけではその役割を果たすことができません。現在までのところ、単一のツールは存在しません。
- すべての言語、すべてのフレームワークで、すべての脆弱性をスキャンします。
- スピードスキャン
- 偽陽性と偽陰性による二重処理の最小化
ツールは、時間がかかり、煩雑で扱いにくいものです。しかし何よりも、ツールは問題を発見するだけで、問題を解決したり、解決策を提案するものではありません。後者の場合、セキュリティの専門家が必要となりますが、彼らは手薄で過重労働を強いられており、延々と続くペンテストやスキャンの結果の中から宝物を見つけるために、ゴミ箱をかき分けなければなりません。
IBM Cyber Security Intelligence Index Reportによると、データ漏洩の95%にヒューマンエラーが関与していることが明らかになっています。そのうちの約半分は ソフトウェアの脆弱性に直接関連しており、その多くは、SDLCの初期段階において安全なコーディングと認識をより強く遵守することができれば軽減される可能性があります。しかし、これを実現するためには、開発者のワークフローに内在させることに加えて、開発者の教育に、より鋭く、より適切に焦点を当てることが重要です。
好むと好まざるとにかかわらず、ソフトウェア開発プロセスには人間が深く入り込んでおり、サイバーセキュリティは圧倒的に人間の問題であると言えます。ツールは、私たちのアプローチの根本的な欠陥を修正するための万能薬にはなりませんが、人間の解決策を再構築するための重要なサポート役となります。
もっと良いツールを(たくさん)作ったらどうだろう?
セキュリティ・ツールは常に向上しています。SAST/DAST/IASTツールは大きく進歩し、スピードとインテリジェンスが向上しており、RASPは多くのアプリケーション環境で真剣に防御を検討すべきものです。ファイアウォール、シークレット・マネージャー、クラウドやネットワーク・セキュリティ・アプリケーションなど、どれも当然のことです。
人間は常により良いツールを作ろうと努力することができますが、私たちが暮らすデジタル世界のセキュリティやデータ保護のニーズに、技術革新が追いついていないのが現状です。ツールは、ほとんどの場合、ロボットを想定して作られています。開発者やセキュリティチームがコードをスキャンしたり、監視したり、保護したりするのをサポートしてくれるかもしれませんが、インタラクションは非常に限られており、セキュリティ意識を高めたり、セキュリティの成果を上げるためのコアスキルを向上させたりするソリューションはほとんどありません。
実際、半数以上の企業が、ツールが有効に機能しているかどうかさえわからず、壊滅的なデータ侵害を回避できるかどうかも自信がないといいます。これは非常に貧しい感情であり、ツールに固執する業界では、異なるアプローチへのサポートが不足しているため、現状とその中の問題を強固にする傾向があります。
人が主体となってセキュリティに取り組むためにはどうすればよいのでしょうか。
アプリケーションセキュリティ技術のトレンドを先取りすることが有益であることは疑いの余地がありませんし、肥大化した技術スタックのアップグレードや統合の優先順位を決めるのにも役立ちます。しかし、脆弱なソフトウェアの根本原因である私たち人間をターゲットにしないことは、サイバーセキュリティの戦線で私たちが負け続けることになります。
コードレベルのセキュリティ脆弱性の数を減らすことに真剣に取り組みたいのであれば、開発者がセキュリティに対する責任を分担して成功するための基盤を提供する必要があります。開発者には、関連性のある実践的な教育と現場でのスキルアップが必要であり、また、ワークフローを妨げたり、セキュリティの開発が面倒になったりしないような機能的なツールが必要です。理想的なのは、開発者を中心としたツールであり、開発者のユーザーエクスペリエンスを第一に考えて作られていることです。
今日に至るまで、開発者を対象とした正式なセキュリティ認証プログラムは存在しませんが、すべての企業は、一般的な脆弱性を早期かつ頻繁に退治し、大きな技術スタックが行動を起こしてすべてを遅らせる前に、安全なコーディングスキルをベンチマークして成長させることで利益を得ることができます。
セキュリティ意識の高い開発者のチームは、あらゆる組織にとっての隠れた宝です。しかし、価値のあるものは何でもそうですが、効果的なドリームチームを導入するには時間と努力が必要です。開発者がセキュリティに関心を持ち、安全なコーディングがコード品質の基礎であると考えるようになるには、セキュリティを最優先するという組織全体のコミットメントが必要です。そして、チーム全体が、コードを書く際に一般的な脆弱性を排除するというポジティブなインパクトを持つようになれば、これに対抗できるツールは地球上に存在しません。
ピーテル・ダンヒユー
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
サイバーセキュリティ業界の分析。繰り返される脆弱性を修正しなければならない
この記事の一部分は ヘルプネットセキュリティ.この記事は更新され、ここでシンジケートされています。
私はこれまで、ソフトウェアの脆弱性を発見し、修正し、議論し、破壊することにキャリアを費やしてきました。一般的なセキュリティバグの場合、90年代以降に発見されたにもかかわらず、同じ期間、修正方法が知られているにもかかわらず、ソフトウェアを苦しめ、大きな問題を引き起こし続けています。まるでグラウンドホッグデイのような感覚です。
しかし、もうひとつ小さな問題があります。現代のサイバーセキュリティは、止まることのない猛攻撃に対抗するための現実的なアドバイスや迅速な解決策を得られていないのです。もちろん、それぞれの侵害はそれぞれの方法で異なりますし、脆弱なソフトウェアを悪用することができる攻撃ベクトルも数多くあります。実現可能な一般的なアドバイスは限られていますが、ベスト・プラクティスのアプローチは、刻々と欠陥が増えています。
そのため、私は、サイバーセキュリティに関する解説や分析の多くが、多くの脆弱性の根本原因である「人間」に真に対処するソリューションを省いていることに疑問を感じています。Gartner社の最新版「Hype Cycle for Application Security」やForrester社の「The State of Application Security 2021」は、どちらもセキュリティ専門家にとってのバイブルであり、彼らのプログラムや潜在的な製品採用の形成に役立っていることは間違いありませんが、ほぼ完全にツールに焦点を当てています。Aberdeen社が2017年に発表したレポートでは、平均的なセキュリティ技術スタックがいかに手に負えないものになっているかが示されており、CISOはセキュリティ戦略の一環として何百もの製品を管理していましたが、4年後の今、私たちはより多くのリスク、より多くの脆弱性、そして成長する技術スタックの獣への追加に取り組んでいます。
セキュリティツールは必要不可欠なものですが、私たちはもっと視野を広げて、セキュリティ対策に必要な「人」の要素のバランスを取り戻す必要があります。
オートメーションは未来だ。なぜサイバーセキュリティの人間的要素を気にする必要があるのか?
私たちの生活の中では、事実上すべてのものがソフトウェアによって支えられています。そして、多くの産業において、かつて存在していた人間の要素に代わって自動化が進んでいることは事実です。これは、世界のデジタル化が急速に進んでいることの表れであり、AIと機械学習は多くの組織が将来を見据えたホットな話題となっています。
では、人間を中心としたサイバーセキュリティへのアプローチは、技術的に進歩した問題に対する時代遅れの解決策以外の何物でもないのでしょうか。最近では、5億件以上のアカウントに影響を与えたFacebookの不正アクセスを含め、過去1年間に数十億件のデータ記録が盗まれたという事実は、私たちが脅威となるアクターに真剣に対抗するために十分な努力をしていない(あるいは正しいアプローチをとっていない)ことを示しているはずです。
サイバーセキュリティのツールは、サイバー防御のために必要な要素であり、ツールは常に必要なものです。アナリストは、企業のリスク軽減のために最新のツールを推奨しており、それは今後も変わりません。しかし、大量のコードを作成する際にコードの品質(そして定義上はセキュリティ)を管理することは難しく、ツールだけではその役割を果たすことができません。現在までのところ、単一のツールは存在しません。
- すべての言語、すべてのフレームワークで、すべての脆弱性をスキャンします。
- スピードスキャン
- 偽陽性と偽陰性による二重処理の最小化
ツールは、時間がかかり、煩雑で扱いにくいものです。しかし何よりも、ツールは問題を発見するだけで、問題を解決したり、解決策を提案するものではありません。後者の場合、セキュリティの専門家が必要となりますが、彼らは手薄で過重労働を強いられており、延々と続くペンテストやスキャンの結果の中から宝物を見つけるために、ゴミ箱をかき分けなければなりません。
IBM Cyber Security Intelligence Index Reportによると、データ漏洩の95%にヒューマンエラーが関与していることが明らかになっています。そのうちの約半分は ソフトウェアの脆弱性に直接関連しており、その多くは、SDLCの初期段階において安全なコーディングと認識をより強く遵守することができれば軽減される可能性があります。しかし、これを実現するためには、開発者のワークフローに内在させることに加えて、開発者の教育に、より鋭く、より適切に焦点を当てることが重要です。
好むと好まざるとにかかわらず、ソフトウェア開発プロセスには人間が深く入り込んでおり、サイバーセキュリティは圧倒的に人間の問題であると言えます。ツールは、私たちのアプローチの根本的な欠陥を修正するための万能薬にはなりませんが、人間の解決策を再構築するための重要なサポート役となります。
もっと良いツールを(たくさん)作ったらどうだろう?
セキュリティ・ツールは常に向上しています。SAST/DAST/IASTツールは大きく進歩し、スピードとインテリジェンスが向上しており、RASPは多くのアプリケーション環境で真剣に防御を検討すべきものです。ファイアウォール、シークレット・マネージャー、クラウドやネットワーク・セキュリティ・アプリケーションなど、どれも当然のことです。
人間は常により良いツールを作ろうと努力することができますが、私たちが暮らすデジタル世界のセキュリティやデータ保護のニーズに、技術革新が追いついていないのが現状です。ツールは、ほとんどの場合、ロボットを想定して作られています。開発者やセキュリティチームがコードをスキャンしたり、監視したり、保護したりするのをサポートしてくれるかもしれませんが、インタラクションは非常に限られており、セキュリティ意識を高めたり、セキュリティの成果を上げるためのコアスキルを向上させたりするソリューションはほとんどありません。
実際、半数以上の企業が、ツールが有効に機能しているかどうかさえわからず、壊滅的なデータ侵害を回避できるかどうかも自信がないといいます。これは非常に貧しい感情であり、ツールに固執する業界では、異なるアプローチへのサポートが不足しているため、現状とその中の問題を強固にする傾向があります。
人が主体となってセキュリティに取り組むためにはどうすればよいのでしょうか。
アプリケーションセキュリティ技術のトレンドを先取りすることが有益であることは疑いの余地がありませんし、肥大化した技術スタックのアップグレードや統合の優先順位を決めるのにも役立ちます。しかし、脆弱なソフトウェアの根本原因である私たち人間をターゲットにしないことは、サイバーセキュリティの戦線で私たちが負け続けることになります。
コードレベルのセキュリティ脆弱性の数を減らすことに真剣に取り組みたいのであれば、開発者がセキュリティに対する責任を分担して成功するための基盤を提供する必要があります。開発者には、関連性のある実践的な教育と現場でのスキルアップが必要であり、また、ワークフローを妨げたり、セキュリティの開発が面倒になったりしないような機能的なツールが必要です。理想的なのは、開発者を中心としたツールであり、開発者のユーザーエクスペリエンスを第一に考えて作られていることです。
今日に至るまで、開発者を対象とした正式なセキュリティ認証プログラムは存在しませんが、すべての企業は、一般的な脆弱性を早期かつ頻繁に退治し、大きな技術スタックが行動を起こしてすべてを遅らせる前に、安全なコーディングスキルをベンチマークして成長させることで利益を得ることができます。
セキュリティ意識の高い開発者のチームは、あらゆる組織にとっての隠れた宝です。しかし、価値のあるものは何でもそうですが、効果的なドリームチームを導入するには時間と努力が必要です。開発者がセキュリティに関心を持ち、安全なコーディングがコード品質の基礎であると考えるようになるには、セキュリティを最優先するという組織全体のコミットメントが必要です。そして、チーム全体が、コードを書く際に一般的な脆弱性を排除するというポジティブなインパクトを持つようになれば、これに対抗できるツールは地球上に存在しません。
