組織のセキュリティ成熟度を過大評価していないか?
この記事のバージョンは ダーク・リーディング.
多くの企業が成長、イノベーション、デジタル・トランスフォーメーションの波を乗り越えていく中で、企業の規模が拡大するにつれて、いくつかの領域が未完成のままであることは当然のことである。これは、組織のサイバーセキュリティ・プログラム、特にセキュリティ・リーダーがリスク・エクスポージャーを増大させる新たな脅威、脆弱性、技術開発の一歩先を行くために戦う場合、しばしば当てはまります。
しかし、世界のソフトウェア・ニーズを満たすために書き込まれる膨大なコードと相反する根強いスキル不足により、多くの企業はサイバーセキュリティ戦略や既存のインフラに遅れをとっている。また、業界はツールベースのアプローチに固執しているように見えるため、熟練した人材の力は、機能する防御プログラムでは見過ごされがちである。
サイバーセキュリティの成熟度を全体的に正直に見つめ直し、目の前にある実行可能なクイックウィンを評価する時だ。
持続可能なサイバーセキュリティの成熟はプロセスである。
世間一般は、どの企業も強固なサイバーセキュリティ・プログラムを持っており、保護は適切なソフトウェアを選択し、フォース・シールドのように作動させるだけで、脅威行為者を足止めできると思いがちだ。2022年は、コスタリカ政府全体が身代金を要求されるなど、サイバーインシデントが過去最悪となった年である。
多くの業界、特に金融業界では、コンプライアンスを重視し、厳格なセキュリティ対策を要求する複雑化する規制の枠組みに縛られているが、現実には、ほとんどの組織がサイバー耐性を欠いている。世界の大企業の半数以上が、サイバー攻撃を阻止する効果に乏しく、悪用された脆弱性を迅速に発見し修正することもできていない。
人材、プロセス、技術のベストプラクティス・トリプルスレットを包含する、定義された成熟したプログラムを持つ、先進的と考えられる組織でさえ、脅威の状況の速いペースでの要求についていくのに苦労することがある。多くの企業が躓いている重要な分野の 1 つは、特に開発チームにおける役割ベースのセキュリティ意識である。組織内のすべての人が、攻撃対象領域を縮小するために果たす役割を理解する必要がありますが、日々コードを扱う開発チームは、セキュリティに対する真に変革的なアプローチの運転席に座ることができます。
全体的で防御的なセキュリティプログラムは、継続的な改善が求められるものであり、強固な基盤の構築に細心の注意を払う必要がある。このような基盤が主にツールベースのものである場合、成熟度がセキュリティ・リーダーの期待よりも低い可能性が高い。Ponemon Instituteの調査によると、企業の53%が、自社のセキュリティ技術スタックが侵害を効果的に阻止できると確信していないことが明らかになった。大小を問わず、サイバー攻撃の成功の主な原因はヒューマンエラーであるため、開発者を戦略的なセキュリティ強化から外すことは火遊びである。
開発者を優れたソフトウェアセキュリティの原動力にする
サイバー攻撃にまつわる不愉快な真実は、攻撃者がセキュリティ成熟度のどの段階にいるかにかかわらず、ほとんどすべてのケースにおいて、標的企業よりも明らかに有利な立場にあるということです。攻撃者は時間、ツール、モチベーションを持ち、あらゆる弱点を入念にスキャンし、その弱点を突破して大金を手にすることに専念している。
一方、企業は、ビジネスと顧客のニーズを両立させており、サイバー攻撃による甚大なリスクを回避する余裕はないものの、パフォーマンスを阻害することになりかねない豊富なセキュリティ対策に対応するために、業務のペースを落とすことは現実的ではない。そこで、セキュリティに精通した開発者がサイバー防御の成果を左右するXファクターとなる。
従来は、開発者がセキュリティの責任を有意義な形で共有することができなかったことは長い間知られている。組織は、開発者集団のために実行可能なスキルアップの道筋を構築することができるが、開発者集団は、開発者集団の世界で理にかなった方法で関連する教材を提供する教育オプションを選択する必要がある。最低限、彼らが積極的に使用する言語やフレームワークで、コードベースで遭遇する可能性の高い脆弱性を扱った内容でなければならない。
courses が開発者のワークフローを念頭に置いて構成されている場合、一般的な脆弱性や設定ミスを永続させる劣悪なコーディングパターンを、長期にわたってソフトウェアの品質を大幅に向上させる安全で優れたパターンに置き換えることができる可能性がはるかに高くなる。低品質のソフトウェアは、今年だけで米国に2兆4,100億ドルの損失をもたらした。これは、リスクの高い技術的負債を維持するエラーのサイクルを断ち切ることによってのみ改善できる。
それは、より積極的で全体的なセキュリティ・プログラムに組織全体で取り組むことであり、人が主体となる問題に変化をもたらすために必要な人の力を活用することである。そして、明日のヘッドラインに載らないことが不可欠であるならば、それは確かに努力する価値がある。
マティアス・マドゥ博士
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
組織のセキュリティ成熟度を過大評価していないか?
この記事のバージョンは ダーク・リーディング.
多くの企業が成長、イノベーション、デジタル・トランスフォーメーションの波を乗り越えていく中で、企業の規模が拡大するにつれて、いくつかの領域が未完成のままであることは当然のことである。これは、組織のサイバーセキュリティ・プログラム、特にセキュリティ・リーダーがリスク・エクスポージャーを増大させる新たな脅威、脆弱性、技術開発の一歩先を行くために戦う場合、しばしば当てはまります。
しかし、世界のソフトウェア・ニーズを満たすために書き込まれる膨大なコードと相反する根強いスキル不足により、多くの企業はサイバーセキュリティ戦略や既存のインフラに遅れをとっている。また、業界はツールベースのアプローチに固執しているように見えるため、熟練した人材の力は、機能する防御プログラムでは見過ごされがちである。
サイバーセキュリティの成熟度を全体的に正直に見つめ直し、目の前にある実行可能なクイックウィンを評価する時だ。
持続可能なサイバーセキュリティの成熟はプロセスである。
世間一般は、どの企業も強固なサイバーセキュリティ・プログラムを持っており、保護は適切なソフトウェアを選択し、フォース・シールドのように作動させるだけで、脅威行為者を足止めできると思いがちだ。2022年は、コスタリカ政府全体が身代金を要求されるなど、サイバーインシデントが過去最悪となった年である。
多くの業界、特に金融業界では、コンプライアンスを重視し、厳格なセキュリティ対策を要求する複雑化する規制の枠組みに縛られているが、現実には、ほとんどの組織がサイバー耐性を欠いている。世界の大企業の半数以上が、サイバー攻撃を阻止する効果に乏しく、悪用された脆弱性を迅速に発見し修正することもできていない。
人材、プロセス、技術のベストプラクティス・トリプルスレットを包含する、定義された成熟したプログラムを持つ、先進的と考えられる組織でさえ、脅威の状況の速いペースでの要求についていくのに苦労することがある。多くの企業が躓いている重要な分野の 1 つは、特に開発チームにおける役割ベースのセキュリティ意識である。組織内のすべての人が、攻撃対象領域を縮小するために果たす役割を理解する必要がありますが、日々コードを扱う開発チームは、セキュリティに対する真に変革的なアプローチの運転席に座ることができます。
全体的で防御的なセキュリティプログラムは、継続的な改善が求められるものであり、強固な基盤の構築に細心の注意を払う必要がある。このような基盤が主にツールベースのものである場合、成熟度がセキュリティ・リーダーの期待よりも低い可能性が高い。Ponemon Instituteの調査によると、企業の53%が、自社のセキュリティ技術スタックが侵害を効果的に阻止できると確信していないことが明らかになった。大小を問わず、サイバー攻撃の成功の主な原因はヒューマンエラーであるため、開発者を戦略的なセキュリティ強化から外すことは火遊びである。
開発者を優れたソフトウェアセキュリティの原動力にする
サイバー攻撃にまつわる不愉快な真実は、攻撃者がセキュリティ成熟度のどの段階にいるかにかかわらず、ほとんどすべてのケースにおいて、標的企業よりも明らかに有利な立場にあるということです。攻撃者は時間、ツール、モチベーションを持ち、あらゆる弱点を入念にスキャンし、その弱点を突破して大金を手にすることに専念している。
一方、企業は、ビジネスと顧客のニーズを両立させており、サイバー攻撃による甚大なリスクを回避する余裕はないものの、パフォーマンスを阻害することになりかねない豊富なセキュリティ対策に対応するために、業務のペースを落とすことは現実的ではない。そこで、セキュリティに精通した開発者がサイバー防御の成果を左右するXファクターとなる。
従来は、開発者がセキュリティの責任を有意義な形で共有することができなかったことは長い間知られている。組織は、開発者集団のために実行可能なスキルアップの道筋を構築することができるが、開発者集団は、開発者集団の世界で理にかなった方法で関連する教材を提供する教育オプションを選択する必要がある。最低限、彼らが積極的に使用する言語やフレームワークで、コードベースで遭遇する可能性の高い脆弱性を扱った内容でなければならない。
courses が開発者のワークフローを念頭に置いて構成されている場合、一般的な脆弱性や設定ミスを永続させる劣悪なコーディングパターンを、長期にわたってソフトウェアの品質を大幅に向上させる安全で優れたパターンに置き換えることができる可能性がはるかに高くなる。低品質のソフトウェアは、今年だけで米国に2兆4,100億ドルの損失をもたらした。これは、リスクの高い技術的負債を維持するエラーのサイクルを断ち切ることによってのみ改善できる。
それは、より積極的で全体的なセキュリティ・プログラムに組織全体で取り組むことであり、人が主体となる問題に変化をもたらすために必要な人の力を活用することである。そして、明日のヘッドラインに載らないことが不可欠であるならば、それは確かに努力する価値がある。
