高度なセキュリティ・インテリジェンス。開発者のNIST対応を支援するGuidedcourses

2021年9月23日発行
マティアス・マドゥ博士著
ケーススタディ

高度なセキュリティ・インテリジェンス。開発者のNIST対応を支援するGuidedcourses

2021年9月23日発行
マティアス・マドゥ博士著
リソースを見る
リソースを見る

最近のサイバーセキュリティ業界では、非常に喜ばしい動きがあります。多くの組織で、ソフトウェアの構築時にできるだけ早い段階でセキュリティを優先させるという考え方が改善され始めているようです。これに、バイデン大統領のサイバーセキュリティに関する大統領令のような公式措置が加わり、ソフトウェアのセキュリティとデータの安全性を確保するために、誰もが自分の役割を果たす必要があることがはっきりしてきました。特に素晴らしいのは、安全なコーディング基準を維持するための開発者の役割についての議論が、政府レベルでも継続して行われていることです。

しかし、この会話には何かが欠けています。大統領令では、開発者には検証されたセキュリティスキルが必要であると示唆されていますが、現在そのような公式の認証は存在しません。しかし、適切なツールを導入し、リリース速度を維持しながら、脆弱性を大幅に削減するための戦略を考えた場合、多くの企業は、望ましい結果を生み出すにはあまりにも一般的すぎます。ここで多くの企業が行き詰まってしまうのですが、限られた開発者のトレーニングに固執したり、実践的なスキルを身につけるための一般的な基礎を構築しなかったりしています。

セキュリティを意識した開発者は木に登るように育つわけではありませんが、適切なツールを用いれば、より早く育成・向上させることができます。そのために、米国政府の大統領令のガイドラインに基づいて構成された、NISTコンプライアンスのための独自のコースを発表することができました。

開発者にとって意味のある、コードレベルのサポート

NISTのEOクリティカルソフトウェアのガイドラインを参考に、政府の最高レベルで使用されている重要なソフトウェアのセキュリティを最終的に向上させ、より高品質な開発のベンチマークとなるような5つの重要な目標を設定しました。

開発チームが真の意味で成功するためには、スキルアップが理論を超えたものでなければなりません。また、答えを見つけてアジャイルでいるために、仕事とトレーニングの間で常に状況を切り替えるようなことがないような方法で実施されなければなりません。細心のセキュリティ対策(セキュリティチームは言うまでもなく)は、オンタイムでの開発スプリントの妨げになると考えられており、機能重視の平均的なエンジニアのスタイルを著しく阻害しています。 

開発者のニーズに合わせてカスタマイズされた、短くてスナック感覚のマイクロラーニングは、冷ややかな目で見られることが少なく、記憶に残る実践的なスキルの習得につながります。 

NISTのコースでどのように構成されているか見てみましょう。

GuidedCourses 開発者がNISTに対応できるようサポート


目的1:EOに不可欠なソフトウェアおよびEOに不可欠なソフトウェアプラットフォームを不正なアクセスや使用から保護する

セキュリティの誤設定や不適切な認証方法は、攻撃者がシステムへの侵入、アカウントの乗っ取り、データの盗用を成功させるために利用されています。これらは一般的なバグであり、うまく利用されると大きな問題に発展します。

についてです。 Secure Code Warrior Learning PlatformDevOpsエンジニアの場合、開発者が日常業務でどのようにバグが現れるかを正確に反映した実世界のコードスニペットに基づく課題をプレイし、バグを保護するための正確な解決策を見つけることができる。DevOpsエンジニアにとって、インフラの安全確保には綿密なアクセス制御設定が必要であり、Terraform、CloudFormation、AnsibleなどのInfrastructure as Code(IaC)言語や、Docker、Kubernetesで使われるコードには、この要件を満たすための専門課題が存在する。

目的2: EOクリティカル・ソフトウェアおよびEOクリティカル・ソフトウェア・プラットフォームで使用されるデータの機密性、完全性、可用性を保護する。

脆弱性の発見 ユーザーの作成


この目的のためには、すべての道はアクセスコントロールにつながります。OWASPのトップ10 2021では、アクセスコントロールの不具合がインジェクションの不具合を抑えてトップになりました。

このコースでは、コードレベルでの最小特権などの概念を扱い、ユーザーアカウントのアクセスを必要な領域のみに制限するというアプローチをベストプラクティスとして浸透させます。

目的3:EOに不可欠なソフトウェアプラットフォームとそのプラットフォームに配備されているソフトウェアを特定して維持し、EOに不可欠なソフトウェアを悪用から保護する。

大規模な組織における最大の課題の1つは、現在使用されているすべての異なるソフトウェア、システム、およびコンポーネントのセキュリティ監視を維持することです。リスク管理とパッチ適用に関しては、これらの要素はあらゆるセキュリティプログラムの中で優先されなければならず、開発者はセキュリティメンテナンスを行うために高い警戒心を持っていなければなりません。 

Secure Code Warrior Learning Platform 、開発者は、脆弱なコンポーネントや、権限に基づくセキュリティの誤設定を特定し、修正するための課題をプレイすることができます。

目的4:EOクリティカル・ソフトウェアおよびEOクリティカル・ソフトウェア・プラットフォームに関わる脅威やインシデントを迅速に検知し、対応し、回復する。

残念なことに、多くの企業がサイバーセキュリティの問題に対処する際に、予防ではなくインシデント対応に重点を置いていることは、時間とお金の無駄遣いです。開発者は、セキュリティのベストプラクティスに基づいた適切なトレーニングを受ければ、予防のための武器を提供することができます。 

目標4では、開発者が自分の役割として、環境やエンドポイントのセキュリティをソフトウェアとネットワークの両方のレベルで継続的に監視することを求めています。ロギングとモニタリングが不十分であることも、一般的で陰湿なバグの一つであり、エンジニアが日常業務の中でこれをうまく使いこなすことが重要である。

Secure Code Warrior Learning Platform 、開発者は、ウェブ、API、クラウドのいずれの言語を使っているかに関わらず、これらのスキルを磨くための課題をプレイすることができます。

持続可能なセキュリティ意識を

目的5: EOクリティカル・ソフトウェアおよびEOクリティカル・ソフトウェア・プラットフォームのセキュリティを促進する人間の行為の理解とパフォーマンスを強化する。

これはかなり一般化されたものですが、達成すべき最も重要なものです...そして、最初の4つの目的をマスターしていなければ、これを達成することはできません。このガイドラインでは、頻繁にセキュリティ意識向上のための活動を行い、EOクリティカルなソフトウェアに対するすべての「人間の行為」は、自分の役割と責任に照らして適切な訓練を受けた人が行うことを求めています。

開発者は、セキュリティ設定やアクセス制御に加えて、コードを最も身近に感じている人の一人です。NISTが示す高い基準を達成するためには、特に大規模な開発者を対象とした実践的なコース構成が効果的であると言えます。 

開発者が貴重なセキュリティXPを獲得できるようにします。


あなたの開発チームの経験値とセキュリティIQを今すぐにでも高めましょう。

リソースを見る
リソースを見る

著者

マティアス・マドゥ博士

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

高度なセキュリティ・インテリジェンス。開発者のNIST対応を支援するGuidedcourses

2024年1月22日発行
マティアス・マドゥ博士著

最近のサイバーセキュリティ業界では、非常に喜ばしい動きがあります。多くの組織で、ソフトウェアの構築時にできるだけ早い段階でセキュリティを優先させるという考え方が改善され始めているようです。これに、バイデン大統領のサイバーセキュリティに関する大統領令のような公式措置が加わり、ソフトウェアのセキュリティとデータの安全性を確保するために、誰もが自分の役割を果たす必要があることがはっきりしてきました。特に素晴らしいのは、安全なコーディング基準を維持するための開発者の役割についての議論が、政府レベルでも継続して行われていることです。

しかし、この会話には何かが欠けています。大統領令では、開発者には検証されたセキュリティスキルが必要であると示唆されていますが、現在そのような公式の認証は存在しません。しかし、適切なツールを導入し、リリース速度を維持しながら、脆弱性を大幅に削減するための戦略を考えた場合、多くの企業は、望ましい結果を生み出すにはあまりにも一般的すぎます。ここで多くの企業が行き詰まってしまうのですが、限られた開発者のトレーニングに固執したり、実践的なスキルを身につけるための一般的な基礎を構築しなかったりしています。

セキュリティを意識した開発者は木に登るように育つわけではありませんが、適切なツールを用いれば、より早く育成・向上させることができます。そのために、米国政府の大統領令のガイドラインに基づいて構成された、NISTコンプライアンスのための独自のコースを発表することができました。

開発者にとって意味のある、コードレベルのサポート

NISTのEOクリティカルソフトウェアのガイドラインを参考に、政府の最高レベルで使用されている重要なソフトウェアのセキュリティを最終的に向上させ、より高品質な開発のベンチマークとなるような5つの重要な目標を設定しました。

開発チームが真の意味で成功するためには、スキルアップが理論を超えたものでなければなりません。また、答えを見つけてアジャイルでいるために、仕事とトレーニングの間で常に状況を切り替えるようなことがないような方法で実施されなければなりません。細心のセキュリティ対策(セキュリティチームは言うまでもなく)は、オンタイムでの開発スプリントの妨げになると考えられており、機能重視の平均的なエンジニアのスタイルを著しく阻害しています。 

開発者のニーズに合わせてカスタマイズされた、短くてスナック感覚のマイクロラーニングは、冷ややかな目で見られることが少なく、記憶に残る実践的なスキルの習得につながります。 

NISTのコースでどのように構成されているか見てみましょう。

GuidedCourses 開発者がNISTに対応できるようサポート


目的1:EOに不可欠なソフトウェアおよびEOに不可欠なソフトウェアプラットフォームを不正なアクセスや使用から保護する

セキュリティの誤設定や不適切な認証方法は、攻撃者がシステムへの侵入、アカウントの乗っ取り、データの盗用を成功させるために利用されています。これらは一般的なバグであり、うまく利用されると大きな問題に発展します。

についてです。 Secure Code Warrior Learning PlatformDevOpsエンジニアの場合、開発者が日常業務でどのようにバグが現れるかを正確に反映した実世界のコードスニペットに基づく課題をプレイし、バグを保護するための正確な解決策を見つけることができる。DevOpsエンジニアにとって、インフラの安全確保には綿密なアクセス制御設定が必要であり、Terraform、CloudFormation、AnsibleなどのInfrastructure as Code(IaC)言語や、Docker、Kubernetesで使われるコードには、この要件を満たすための専門課題が存在する。

目的2: EOクリティカル・ソフトウェアおよびEOクリティカル・ソフトウェア・プラットフォームで使用されるデータの機密性、完全性、可用性を保護する。

脆弱性の発見 ユーザーの作成


この目的のためには、すべての道はアクセスコントロールにつながります。OWASPのトップ10 2021では、アクセスコントロールの不具合がインジェクションの不具合を抑えてトップになりました。

このコースでは、コードレベルでの最小特権などの概念を扱い、ユーザーアカウントのアクセスを必要な領域のみに制限するというアプローチをベストプラクティスとして浸透させます。

目的3:EOに不可欠なソフトウェアプラットフォームとそのプラットフォームに配備されているソフトウェアを特定して維持し、EOに不可欠なソフトウェアを悪用から保護する。

大規模な組織における最大の課題の1つは、現在使用されているすべての異なるソフトウェア、システム、およびコンポーネントのセキュリティ監視を維持することです。リスク管理とパッチ適用に関しては、これらの要素はあらゆるセキュリティプログラムの中で優先されなければならず、開発者はセキュリティメンテナンスを行うために高い警戒心を持っていなければなりません。 

Secure Code Warrior Learning Platform 、開発者は、脆弱なコンポーネントや、権限に基づくセキュリティの誤設定を特定し、修正するための課題をプレイすることができます。

目的4:EOクリティカル・ソフトウェアおよびEOクリティカル・ソフトウェア・プラットフォームに関わる脅威やインシデントを迅速に検知し、対応し、回復する。

残念なことに、多くの企業がサイバーセキュリティの問題に対処する際に、予防ではなくインシデント対応に重点を置いていることは、時間とお金の無駄遣いです。開発者は、セキュリティのベストプラクティスに基づいた適切なトレーニングを受ければ、予防のための武器を提供することができます。 

目標4では、開発者が自分の役割として、環境やエンドポイントのセキュリティをソフトウェアとネットワークの両方のレベルで継続的に監視することを求めています。ロギングとモニタリングが不十分であることも、一般的で陰湿なバグの一つであり、エンジニアが日常業務の中でこれをうまく使いこなすことが重要である。

Secure Code Warrior Learning Platform 、開発者は、ウェブ、API、クラウドのいずれの言語を使っているかに関わらず、これらのスキルを磨くための課題をプレイすることができます。

持続可能なセキュリティ意識を

目的5: EOクリティカル・ソフトウェアおよびEOクリティカル・ソフトウェア・プラットフォームのセキュリティを促進する人間の行為の理解とパフォーマンスを強化する。

これはかなり一般化されたものですが、達成すべき最も重要なものです...そして、最初の4つの目的をマスターしていなければ、これを達成することはできません。このガイドラインでは、頻繁にセキュリティ意識向上のための活動を行い、EOクリティカルなソフトウェアに対するすべての「人間の行為」は、自分の役割と責任に照らして適切な訓練を受けた人が行うことを求めています。

開発者は、セキュリティ設定やアクセス制御に加えて、コードを最も身近に感じている人の一人です。NISTが示す高い基準を達成するためには、特に大規模な開発者を対象とした実践的なコース構成が効果的であると言えます。 

開発者が貴重なセキュリティXPを獲得できるようにします。


あなたの開発チームの経験値とセキュリティIQを今すぐにでも高めましょう。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。