COBOLアプリケーション開発のセキュリティSecure Code Warrior
2019年になって、1959年に発明されたコンピュータ言語を使って仕事をすることを話題にするのは、ほとんど滑稽に思えます。古典的なシンガーミシンの糸通しや、シボレー・パークウッドやトライアンフ・ヘラルドのオイルパンの交換などをテーマにしたセミナーやコンベンションは、最近ではあまり多くありません。それらの老朽化した道具のほとんどは、長い間に引退し、より効率的な新しいモデルにアップグレードされています。しかし、他の業界に比べて最先端であるはずのテクノロジーの世界では、同時期にリリースされたCOBOLのような言語が今でも使われているのです。
もちろん、これには非常に大きな理由があります。COBOL(Common Business Oriented Language)は60年前の製品ですが、非常に優れた構造を持っていたため、現在でも関連性があり、広く使用されています。
COBOLは、特定の文章や構文にまとめられた平易な言語を用いて、数学的・数式的なタスクを実行するバックエンドシステムをプログラムする、比較的簡単な方法として作られました。なぜCOBOLは今も生きているのでしょうか?簡単に言えば、非常に優れているからです。ある意味では、金融業や製造業など様々な業界のメインフレームやコアシステムのコンピューティングファブリックの一部となっています。
特に2002年には、新しいアプリケーションのプログラミングをよりスムーズにするために、COBOLをオブジェクト指向言語に変更しました。しかし、ほとんどの場合、COBOLは現在も当時と同じように、縁起の悪いヒーローであり、現代の多くのメインフレームレベルのアプリケーションを支えるバックエンドで働く主力のプログラミング言語である。
COBOLの安全性は?
残念ながら、COBOLが作られた当初は、セキュリティへの配慮があまりなされていませんでした。例えば、多くのCOBOLアプリケーションはパスワードプログラムで保護されていますが、クラッキングを防ぐためのブルートフォースプロテクションなどの強化はほとんど行われていません。さらに、ネットワーク・トラフィックを監視する最新のセキュリティ・ツールの多くは、COBOLのようなビジネス言語で書かれたプログラム内で発生する機能をどのように処理し、評価すればよいのかわからないという事実もあり、問題は深刻です。古典的なコンピュータ言語で動作するシステムに対するセキュリティ監視が不十分であったために、現代の多くの不正侵入が成功しています。2015年には、Office of Personnel Management(OPM)がハッキングされ、400万人以上の米国連邦職員のデータが流出しましたが、その責任はCOBOLを使用していたことにあり、このような旧式のシステムに最新のセキュリティ対策を施すことができなかったとされています。
一昔前までは、COBOLをはじめとする当時のホットな言語に精通したプログラマー軍団がセキュリティを提供していました。1960年代には、COBOLは現在のJavaや.Netのようなもので、それを知っている人は部署のロックスターでした。2019年現在、そのような人たちは、保護していたシステムが引退していなくても、とっくに引退しているでしょう。
拡大するCOBOLのフロントラインの守備範囲
いわゆるグレイベアードと呼ばれる人たちの中には、以前働いていた時と同じメインフレームを守るために、契約社員として組織に戻ってきた人も少なくない。彼らの奇妙な服装(幅広のネクタイにスリーピースのスーツ)と妙に礼儀正しい物腰は、スキニージーンズとおかっぱ頭の現代のヒップスターたちとは全く相容れないものであった。しかし、COBOLやその他の古代言語でコードを書くプログラマーはほとんどいないので、彼らは絶対に必要な存在だった。残念なことに、この最後の魔法使いのような人たちも消えていき、最終的にはボカラトンに引っ越して、本当の意味での引退を楽しむことになる。
そのため、古い言語を理解し、その言語が持つセキュリティ上の脆弱性を理解する人材が切実に求められています。たとえ若い人たちが古典的な言語でコードを書くことができなくても、少なくともその仕組みや潜在的な脆弱性を理解しておく必要があります。というのも、COBOLの開発は比較的安定していますが、ネットワークを狙う脅威は進化し続けているからです。前述のCOBOLパスワードアプリケーションのように、60年前にプログラムされた古代のサイバーセキュリティ技術を現代の攻撃者からメインフレームを守るために使おうとすることは、宇宙海兵隊の小隊と戦うために槍兵のファランクスを配備するようなもので、ハリウッド映画のような奇跡が起こらない限り、槍を持った男たちにとって悪い結果になるでしょう。
古くても新しくても、安全でなければなりません。
だからこそ、私たちは幅広いプログラミング言語やフレームワークをカバーする高度なトレーニングシステムが重要だと考えています。多くのセキュリティトレーニングの問題点は、情報が一般的すぎたり、最悪の場合、参加している開発者の日々の仕事には全く関係がないということです。Javaにしか適用されない脆弱性について半日かけて学んでも、COBOLの開発者がシステムを強化するのには役立ちませんし、「セキュリティ」は必須コースが終了すれば忘れ去られるような、箱庭的な演習であるという考えが蔓延しています。付け加えると、Javaのセキュリティバグに関するトレーニングは、Java Springの開発者には必ずしも適用できません。セキュアなコーディングは、フレームワークレベルであっても、すべての言語で異なるからです。
すべての開発者をセキュリティ・スーパーヒーローにするというミッションのもと、私たちは、世界で最も標的とされる重要な施設でいまだに使用されている有効なコンピュータ言語を見逃すことはありません。私たちのプラットフォームでは、COBOLに関連する最新の実践的な課題やトレーニングが、Googles Golangのような今日入手可能な最新のプログラミングツールと一緒に提供されています。このような柔軟性により、トレーニングは個人に関連したものとなり、職場環境を模した文脈の中で行われるため、最大限の関与と効果を得ることができます。結局のところ、強固なセキュリティ文化を構築することは、サイバー脅威との戦いにおいて最も重要であるため、トレーニングは実用的であるべきです(もちろん、楽しいものでなければなりません!)。
私たちは、この業界が、古くなった言語を実行しているシステムに対するセキュリティ上の脅威であろうと、最新のモバイルアプリケーションに対するセキュリティ上の脅威であろうと、問題にならない段階に到達することを望んでいます。すべての開発者が、これらの脆弱性、攻撃者がそれを悪用するために使用するツールやテクニック、そしてそれらを冷静に阻止する方法について、最高の情報を身につけてほしいのです。私たちは、サイバーセキュリティの脅威に直面しても、決して降参したり放棄したりしません。脅威や脆弱性がどれほど最新のものであろうと、どれほど昔に作られたものであろうと、いつでも Secure Code Warrior脅威や脆弱性がどのようにして作られたかにかかわらず、いつでも、どのようにしてそれらを打ち破るかを学ぶために
PS: 古代の言語はSQLインジェクションの影響を受けないと思っていませんか?考え直してください。今すぐCOBOLでSQLインジェクションを見つけて修正してみてください。
レガシーCOBOLは、古いコンピュータ言語ではありますが、現在でも有効です。COBOLによるセキュアなアプリケーション開発については、Secure Code Warrior をご覧ください。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
2019年になって、1959年に発明されたコンピュータ言語を使って仕事をすることを話題にするのは、ほとんど滑稽に思えます。古典的なシンガーミシンの糸通しや、シボレー・パークウッドやトライアンフ・ヘラルドのオイルパンの交換などをテーマにしたセミナーやコンベンションは、最近ではあまり多くありません。それらの老朽化した道具のほとんどは、長い間に引退し、より効率的な新しいモデルにアップグレードされています。しかし、他の業界に比べて最先端であるはずのテクノロジーの世界では、同時期にリリースされたCOBOLのような言語が今でも使われているのです。
もちろん、これには非常に大きな理由があります。COBOL(Common Business Oriented Language)は60年前の製品ですが、非常に優れた構造を持っていたため、現在でも関連性があり、広く使用されています。
COBOLは、特定の文章や構文にまとめられた平易な言語を用いて、数学的・数式的なタスクを実行するバックエンドシステムをプログラムする、比較的簡単な方法として作られました。なぜCOBOLは今も生きているのでしょうか?簡単に言えば、非常に優れているからです。ある意味では、金融業や製造業など様々な業界のメインフレームやコアシステムのコンピューティングファブリックの一部となっています。
特に2002年には、新しいアプリケーションのプログラミングをよりスムーズにするために、COBOLをオブジェクト指向言語に変更しました。しかし、ほとんどの場合、COBOLは現在も当時と同じように、縁起の悪いヒーローであり、現代の多くのメインフレームレベルのアプリケーションを支えるバックエンドで働く主力のプログラミング言語である。
COBOLの安全性は?
残念ながら、COBOLが作られた当初は、セキュリティへの配慮があまりなされていませんでした。例えば、多くのCOBOLアプリケーションはパスワードプログラムで保護されていますが、クラッキングを防ぐためのブルートフォースプロテクションなどの強化はほとんど行われていません。さらに、ネットワーク・トラフィックを監視する最新のセキュリティ・ツールの多くは、COBOLのようなビジネス言語で書かれたプログラム内で発生する機能をどのように処理し、評価すればよいのかわからないという事実もあり、問題は深刻です。古典的なコンピュータ言語で動作するシステムに対するセキュリティ監視が不十分であったために、現代の多くの不正侵入が成功しています。2015年には、Office of Personnel Management(OPM)がハッキングされ、400万人以上の米国連邦職員のデータが流出しましたが、その責任はCOBOLを使用していたことにあり、このような旧式のシステムに最新のセキュリティ対策を施すことができなかったとされています。
一昔前までは、COBOLをはじめとする当時のホットな言語に精通したプログラマー軍団がセキュリティを提供していました。1960年代には、COBOLは現在のJavaや.Netのようなもので、それを知っている人は部署のロックスターでした。2019年現在、そのような人たちは、保護していたシステムが引退していなくても、とっくに引退しているでしょう。
拡大するCOBOLのフロントラインの守備範囲
いわゆるグレイベアードと呼ばれる人たちの中には、以前働いていた時と同じメインフレームを守るために、契約社員として組織に戻ってきた人も少なくない。彼らの奇妙な服装(幅広のネクタイにスリーピースのスーツ)と妙に礼儀正しい物腰は、スキニージーンズとおかっぱ頭の現代のヒップスターたちとは全く相容れないものであった。しかし、COBOLやその他の古代言語でコードを書くプログラマーはほとんどいないので、彼らは絶対に必要な存在だった。残念なことに、この最後の魔法使いのような人たちも消えていき、最終的にはボカラトンに引っ越して、本当の意味での引退を楽しむことになる。
そのため、古い言語を理解し、その言語が持つセキュリティ上の脆弱性を理解する人材が切実に求められています。たとえ若い人たちが古典的な言語でコードを書くことができなくても、少なくともその仕組みや潜在的な脆弱性を理解しておく必要があります。というのも、COBOLの開発は比較的安定していますが、ネットワークを狙う脅威は進化し続けているからです。前述のCOBOLパスワードアプリケーションのように、60年前にプログラムされた古代のサイバーセキュリティ技術を現代の攻撃者からメインフレームを守るために使おうとすることは、宇宙海兵隊の小隊と戦うために槍兵のファランクスを配備するようなもので、ハリウッド映画のような奇跡が起こらない限り、槍を持った男たちにとって悪い結果になるでしょう。
古くても新しくても、安全でなければなりません。
だからこそ、私たちは幅広いプログラミング言語やフレームワークをカバーする高度なトレーニングシステムが重要だと考えています。多くのセキュリティトレーニングの問題点は、情報が一般的すぎたり、最悪の場合、参加している開発者の日々の仕事には全く関係がないということです。Javaにしか適用されない脆弱性について半日かけて学んでも、COBOLの開発者がシステムを強化するのには役立ちませんし、「セキュリティ」は必須コースが終了すれば忘れ去られるような、箱庭的な演習であるという考えが蔓延しています。付け加えると、Javaのセキュリティバグに関するトレーニングは、Java Springの開発者には必ずしも適用できません。セキュアなコーディングは、フレームワークレベルであっても、すべての言語で異なるからです。
すべての開発者をセキュリティ・スーパーヒーローにするというミッションのもと、私たちは、世界で最も標的とされる重要な施設でいまだに使用されている有効なコンピュータ言語を見逃すことはありません。私たちのプラットフォームでは、COBOLに関連する最新の実践的な課題やトレーニングが、Googles Golangのような今日入手可能な最新のプログラミングツールと一緒に提供されています。このような柔軟性により、トレーニングは個人に関連したものとなり、職場環境を模した文脈の中で行われるため、最大限の関与と効果を得ることができます。結局のところ、強固なセキュリティ文化を構築することは、サイバー脅威との戦いにおいて最も重要であるため、トレーニングは実用的であるべきです(もちろん、楽しいものでなければなりません!)。
私たちは、この業界が、古くなった言語を実行しているシステムに対するセキュリティ上の脅威であろうと、最新のモバイルアプリケーションに対するセキュリティ上の脅威であろうと、問題にならない段階に到達することを望んでいます。すべての開発者が、これらの脆弱性、攻撃者がそれを悪用するために使用するツールやテクニック、そしてそれらを冷静に阻止する方法について、最高の情報を身につけてほしいのです。私たちは、サイバーセキュリティの脅威に直面しても、決して降参したり放棄したりしません。脅威や脆弱性がどれほど最新のものであろうと、どれほど昔に作られたものであろうと、いつでも Secure Code Warrior脅威や脆弱性がどのようにして作られたかにかかわらず、いつでも、どのようにしてそれらを打ち破るかを学ぶために
PS: 古代の言語はSQLインジェクションの影響を受けないと思っていませんか?考え直してください。今すぐCOBOLでSQLインジェクションを見つけて修正してみてください。
2019年になって、1959年に発明されたコンピュータ言語を使って仕事をすることを話題にするのは、ほとんど滑稽に思えます。古典的なシンガーミシンの糸通しや、シボレー・パークウッドやトライアンフ・ヘラルドのオイルパンの交換などをテーマにしたセミナーやコンベンションは、最近ではあまり多くありません。それらの老朽化した道具のほとんどは、長い間に引退し、より効率的な新しいモデルにアップグレードされています。しかし、他の業界に比べて最先端であるはずのテクノロジーの世界では、同時期にリリースされたCOBOLのような言語が今でも使われているのです。
もちろん、これには非常に大きな理由があります。COBOL(Common Business Oriented Language)は60年前の製品ですが、非常に優れた構造を持っていたため、現在でも関連性があり、広く使用されています。
COBOLは、特定の文章や構文にまとめられた平易な言語を用いて、数学的・数式的なタスクを実行するバックエンドシステムをプログラムする、比較的簡単な方法として作られました。なぜCOBOLは今も生きているのでしょうか?簡単に言えば、非常に優れているからです。ある意味では、金融業や製造業など様々な業界のメインフレームやコアシステムのコンピューティングファブリックの一部となっています。
特に2002年には、新しいアプリケーションのプログラミングをよりスムーズにするために、COBOLをオブジェクト指向言語に変更しました。しかし、ほとんどの場合、COBOLは現在も当時と同じように、縁起の悪いヒーローであり、現代の多くのメインフレームレベルのアプリケーションを支えるバックエンドで働く主力のプログラミング言語である。
COBOLの安全性は?
残念ながら、COBOLが作られた当初は、セキュリティへの配慮があまりなされていませんでした。例えば、多くのCOBOLアプリケーションはパスワードプログラムで保護されていますが、クラッキングを防ぐためのブルートフォースプロテクションなどの強化はほとんど行われていません。さらに、ネットワーク・トラフィックを監視する最新のセキュリティ・ツールの多くは、COBOLのようなビジネス言語で書かれたプログラム内で発生する機能をどのように処理し、評価すればよいのかわからないという事実もあり、問題は深刻です。古典的なコンピュータ言語で動作するシステムに対するセキュリティ監視が不十分であったために、現代の多くの不正侵入が成功しています。2015年には、Office of Personnel Management(OPM)がハッキングされ、400万人以上の米国連邦職員のデータが流出しましたが、その責任はCOBOLを使用していたことにあり、このような旧式のシステムに最新のセキュリティ対策を施すことができなかったとされています。
一昔前までは、COBOLをはじめとする当時のホットな言語に精通したプログラマー軍団がセキュリティを提供していました。1960年代には、COBOLは現在のJavaや.Netのようなもので、それを知っている人は部署のロックスターでした。2019年現在、そのような人たちは、保護していたシステムが引退していなくても、とっくに引退しているでしょう。
拡大するCOBOLのフロントラインの守備範囲
いわゆるグレイベアードと呼ばれる人たちの中には、以前働いていた時と同じメインフレームを守るために、契約社員として組織に戻ってきた人も少なくない。彼らの奇妙な服装(幅広のネクタイにスリーピースのスーツ)と妙に礼儀正しい物腰は、スキニージーンズとおかっぱ頭の現代のヒップスターたちとは全く相容れないものであった。しかし、COBOLやその他の古代言語でコードを書くプログラマーはほとんどいないので、彼らは絶対に必要な存在だった。残念なことに、この最後の魔法使いのような人たちも消えていき、最終的にはボカラトンに引っ越して、本当の意味での引退を楽しむことになる。
そのため、古い言語を理解し、その言語が持つセキュリティ上の脆弱性を理解する人材が切実に求められています。たとえ若い人たちが古典的な言語でコードを書くことができなくても、少なくともその仕組みや潜在的な脆弱性を理解しておく必要があります。というのも、COBOLの開発は比較的安定していますが、ネットワークを狙う脅威は進化し続けているからです。前述のCOBOLパスワードアプリケーションのように、60年前にプログラムされた古代のサイバーセキュリティ技術を現代の攻撃者からメインフレームを守るために使おうとすることは、宇宙海兵隊の小隊と戦うために槍兵のファランクスを配備するようなもので、ハリウッド映画のような奇跡が起こらない限り、槍を持った男たちにとって悪い結果になるでしょう。
古くても新しくても、安全でなければなりません。
だからこそ、私たちは幅広いプログラミング言語やフレームワークをカバーする高度なトレーニングシステムが重要だと考えています。多くのセキュリティトレーニングの問題点は、情報が一般的すぎたり、最悪の場合、参加している開発者の日々の仕事には全く関係がないということです。Javaにしか適用されない脆弱性について半日かけて学んでも、COBOLの開発者がシステムを強化するのには役立ちませんし、「セキュリティ」は必須コースが終了すれば忘れ去られるような、箱庭的な演習であるという考えが蔓延しています。付け加えると、Javaのセキュリティバグに関するトレーニングは、Java Springの開発者には必ずしも適用できません。セキュアなコーディングは、フレームワークレベルであっても、すべての言語で異なるからです。
すべての開発者をセキュリティ・スーパーヒーローにするというミッションのもと、私たちは、世界で最も標的とされる重要な施設でいまだに使用されている有効なコンピュータ言語を見逃すことはありません。私たちのプラットフォームでは、COBOLに関連する最新の実践的な課題やトレーニングが、Googles Golangのような今日入手可能な最新のプログラミングツールと一緒に提供されています。このような柔軟性により、トレーニングは個人に関連したものとなり、職場環境を模した文脈の中で行われるため、最大限の関与と効果を得ることができます。結局のところ、強固なセキュリティ文化を構築することは、サイバー脅威との戦いにおいて最も重要であるため、トレーニングは実用的であるべきです(もちろん、楽しいものでなければなりません!)。
私たちは、この業界が、古くなった言語を実行しているシステムに対するセキュリティ上の脅威であろうと、最新のモバイルアプリケーションに対するセキュリティ上の脅威であろうと、問題にならない段階に到達することを望んでいます。すべての開発者が、これらの脆弱性、攻撃者がそれを悪用するために使用するツールやテクニック、そしてそれらを冷静に阻止する方法について、最高の情報を身につけてほしいのです。私たちは、サイバーセキュリティの脅威に直面しても、決して降参したり放棄したりしません。脅威や脆弱性がどれほど最新のものであろうと、どれほど昔に作られたものであろうと、いつでも Secure Code Warrior脅威や脆弱性がどのようにして作られたかにかかわらず、いつでも、どのようにしてそれらを打ち破るかを学ぶために
PS: 古代の言語はSQLインジェクションの影響を受けないと思っていませんか?考え直してください。今すぐCOBOLでSQLインジェクションを見つけて修正してみてください。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
2019年になって、1959年に発明されたコンピュータ言語を使って仕事をすることを話題にするのは、ほとんど滑稽に思えます。古典的なシンガーミシンの糸通しや、シボレー・パークウッドやトライアンフ・ヘラルドのオイルパンの交換などをテーマにしたセミナーやコンベンションは、最近ではあまり多くありません。それらの老朽化した道具のほとんどは、長い間に引退し、より効率的な新しいモデルにアップグレードされています。しかし、他の業界に比べて最先端であるはずのテクノロジーの世界では、同時期にリリースされたCOBOLのような言語が今でも使われているのです。
もちろん、これには非常に大きな理由があります。COBOL(Common Business Oriented Language)は60年前の製品ですが、非常に優れた構造を持っていたため、現在でも関連性があり、広く使用されています。
COBOLは、特定の文章や構文にまとめられた平易な言語を用いて、数学的・数式的なタスクを実行するバックエンドシステムをプログラムする、比較的簡単な方法として作られました。なぜCOBOLは今も生きているのでしょうか?簡単に言えば、非常に優れているからです。ある意味では、金融業や製造業など様々な業界のメインフレームやコアシステムのコンピューティングファブリックの一部となっています。
特に2002年には、新しいアプリケーションのプログラミングをよりスムーズにするために、COBOLをオブジェクト指向言語に変更しました。しかし、ほとんどの場合、COBOLは現在も当時と同じように、縁起の悪いヒーローであり、現代の多くのメインフレームレベルのアプリケーションを支えるバックエンドで働く主力のプログラミング言語である。
COBOLの安全性は?
残念ながら、COBOLが作られた当初は、セキュリティへの配慮があまりなされていませんでした。例えば、多くのCOBOLアプリケーションはパスワードプログラムで保護されていますが、クラッキングを防ぐためのブルートフォースプロテクションなどの強化はほとんど行われていません。さらに、ネットワーク・トラフィックを監視する最新のセキュリティ・ツールの多くは、COBOLのようなビジネス言語で書かれたプログラム内で発生する機能をどのように処理し、評価すればよいのかわからないという事実もあり、問題は深刻です。古典的なコンピュータ言語で動作するシステムに対するセキュリティ監視が不十分であったために、現代の多くの不正侵入が成功しています。2015年には、Office of Personnel Management(OPM)がハッキングされ、400万人以上の米国連邦職員のデータが流出しましたが、その責任はCOBOLを使用していたことにあり、このような旧式のシステムに最新のセキュリティ対策を施すことができなかったとされています。
一昔前までは、COBOLをはじめとする当時のホットな言語に精通したプログラマー軍団がセキュリティを提供していました。1960年代には、COBOLは現在のJavaや.Netのようなもので、それを知っている人は部署のロックスターでした。2019年現在、そのような人たちは、保護していたシステムが引退していなくても、とっくに引退しているでしょう。
拡大するCOBOLのフロントラインの守備範囲
いわゆるグレイベアードと呼ばれる人たちの中には、以前働いていた時と同じメインフレームを守るために、契約社員として組織に戻ってきた人も少なくない。彼らの奇妙な服装(幅広のネクタイにスリーピースのスーツ)と妙に礼儀正しい物腰は、スキニージーンズとおかっぱ頭の現代のヒップスターたちとは全く相容れないものであった。しかし、COBOLやその他の古代言語でコードを書くプログラマーはほとんどいないので、彼らは絶対に必要な存在だった。残念なことに、この最後の魔法使いのような人たちも消えていき、最終的にはボカラトンに引っ越して、本当の意味での引退を楽しむことになる。
そのため、古い言語を理解し、その言語が持つセキュリティ上の脆弱性を理解する人材が切実に求められています。たとえ若い人たちが古典的な言語でコードを書くことができなくても、少なくともその仕組みや潜在的な脆弱性を理解しておく必要があります。というのも、COBOLの開発は比較的安定していますが、ネットワークを狙う脅威は進化し続けているからです。前述のCOBOLパスワードアプリケーションのように、60年前にプログラムされた古代のサイバーセキュリティ技術を現代の攻撃者からメインフレームを守るために使おうとすることは、宇宙海兵隊の小隊と戦うために槍兵のファランクスを配備するようなもので、ハリウッド映画のような奇跡が起こらない限り、槍を持った男たちにとって悪い結果になるでしょう。
古くても新しくても、安全でなければなりません。
だからこそ、私たちは幅広いプログラミング言語やフレームワークをカバーする高度なトレーニングシステムが重要だと考えています。多くのセキュリティトレーニングの問題点は、情報が一般的すぎたり、最悪の場合、参加している開発者の日々の仕事には全く関係がないということです。Javaにしか適用されない脆弱性について半日かけて学んでも、COBOLの開発者がシステムを強化するのには役立ちませんし、「セキュリティ」は必須コースが終了すれば忘れ去られるような、箱庭的な演習であるという考えが蔓延しています。付け加えると、Javaのセキュリティバグに関するトレーニングは、Java Springの開発者には必ずしも適用できません。セキュアなコーディングは、フレームワークレベルであっても、すべての言語で異なるからです。
すべての開発者をセキュリティ・スーパーヒーローにするというミッションのもと、私たちは、世界で最も標的とされる重要な施設でいまだに使用されている有効なコンピュータ言語を見逃すことはありません。私たちのプラットフォームでは、COBOLに関連する最新の実践的な課題やトレーニングが、Googles Golangのような今日入手可能な最新のプログラミングツールと一緒に提供されています。このような柔軟性により、トレーニングは個人に関連したものとなり、職場環境を模した文脈の中で行われるため、最大限の関与と効果を得ることができます。結局のところ、強固なセキュリティ文化を構築することは、サイバー脅威との戦いにおいて最も重要であるため、トレーニングは実用的であるべきです(もちろん、楽しいものでなければなりません!)。
私たちは、この業界が、古くなった言語を実行しているシステムに対するセキュリティ上の脅威であろうと、最新のモバイルアプリケーションに対するセキュリティ上の脅威であろうと、問題にならない段階に到達することを望んでいます。すべての開発者が、これらの脆弱性、攻撃者がそれを悪用するために使用するツールやテクニック、そしてそれらを冷静に阻止する方法について、最高の情報を身につけてほしいのです。私たちは、サイバーセキュリティの脅威に直面しても、決して降参したり放棄したりしません。脅威や脆弱性がどれほど最新のものであろうと、どれほど昔に作られたものであろうと、いつでも Secure Code Warrior脅威や脆弱性がどのようにして作られたかにかかわらず、いつでも、どのようにしてそれらを打ち破るかを学ぶために
PS: 古代の言語はSQLインジェクションの影響を受けないと思っていませんか?考え直してください。今すぐCOBOLでSQLインジェクションを見つけて修正してみてください。
始めるためのリソース
セキュア・バイ・デザインベストプラクティスの定義、開発者の能力向上、予防的セキュリティ成果のベンチマーク
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士、そして専門家であるクリス・イングリス(Chris Inglis)氏(元米国サイバーディレクター、現パラディン・キャピタル・グループ戦略顧問)、デヴィン・リンチ(Devin Lynch)氏(パラディン・グローバル・インスティテュート・シニアディレクター)が、CISO、アプリケーション・セキュリティ担当副社長、ソフトウェア・セキュリティの専門家など、企業のセキュリティ・リーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします。
セキュリティ スキルのベンチマーク: 企業におけるセキュアな設計の合理化
セキュアバイデザイン(SBD)構想の成功に関する有意義なデータを見つけることは、非常に困難である。CISO は、セキュリティプログラム活動の投資収益率(ROI)とビジネス価値を、従業員レベルと企業レベルの両方で証明しようとすると、しばしば困難に直面します。言うまでもなく、企業にとって、現在の業界標準に対して自社の組織がどのようにベンチマークされているかを把握することは特に困難です。大統領の国家サイバーセキュリティ戦略は、関係者に「デザインによるセキュリティとレジリエンスを受け入れる」ことを求めている。セキュアバイデザインの取り組みを成功させる鍵は、開発者にセキュアなコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが整っていることを保証することである。本プレゼンテーションでは、25万人以上の開発者から収集した社内データ、データに基づく顧客の洞察、公的研究など、複数の一次ソースから得られた無数の定性的・定量的データを紹介します。こうしたデータ・ポイントの集積を活用することで、複数の業種におけるセキュア・バイ・デザイン・イニシアチブの現状をお伝えすることを目的としています。本レポートでは、この領域が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティのリスク軽減に与える大きな影響、コードベースから脆弱性のカテゴリーを排除できる可能性について詳述しています。
始めるためのリソース
明らかになった:サイバー業界はセキュア・バイ・デザインをどのように定義しているか
最新のホワイトペーパーでは、当社の共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士が、CISO、AppSecリーダー、セキュリティ専門家を含む20人以上の企業セキュリティリーダーと対談し、このパズルの重要なピースを見つけ出し、Secure by Design運動の背後にある現実を明らかにしました。セキュア・バイ・デザインは、セキュリティ・チーム全体で共有された野心ですが、共有されたプレイブックはありません。
