教育現場で疑問視されている「徹底したセキュリティトレーニング
2015年にミッションを開始して以来、私たちの焦点は、開発者向けに楽しく、適切で、魅力的なセキュアコーディングトレーニングを促進することでした。私たちは、開発者にセキュリティのベストプラクティスを理解するための知識とツールを提供することの重要性を長年認識してきました。そして、なぜそれが重要なのか、コードを書く際にどのようにして悪意のある攻撃からソフトウェアを守ることができるのかを説明してきました。
しかし、セキュリティ教育は決して新しい概念ではありません。私たちが最初に取り組んだわけではありませんし、適切なセキュリティ対策は長い間、ソフトウェア開発において考慮されてきました。確かに、ある種のトレーニングは他よりも効果的ですが、特に今日では、ある種のセキュリティ教育へのアクセスは比較的容易になっています。
...では、一体なぜこれほど多くのデータ漏洩が発生しているのでしょうか?9月の時点で、2019年だけでも40億件以上の記録が複数のサイバー攻撃で暴露されています。
現在、多くの企業が、ますます貴重になるデータを安全に保つために、負け戦を強いられています。世界中のCISOやCIOにとって、「左遷」では遅すぎることが明らかになっています。SDLCにおいてセキュリティを左から始めなければならず、それは開発者が適切なセキュリティ知識を持ち、コードがコミットされる前、ましてや公に出る前に欠陥を修正しなければならないことを意味します。
AppSecのスペシャリストだけがセキュリティ知識のゲートキーパーではありません。
かつて、ソフトウェアセキュリティは、非常に特殊で賢いギークたちの領域であり、コードを書いているエンジニアとの交流はほとんどありませんでした。彼らの仕事は、安全でないコードをテストし、破壊し、日の目を見ないようにすることでした。もし彼らが出会うとすれば、それはセキュリティの専門家がコードの欠陥を指摘した結果であり、コードの作成に多大な労力を費やした開発者からは冷たくあしらわれることは確実だった。
現代に戻っても状況はほとんど変わりませんが、今ではより多くの問題が発生しています。ソーシャルメディア上のフォトアルバム、医療記録、銀行取引、そして最も貴重な身分証明書など、私たちの生活のほぼすべての側面がデジタル化されています。これまでは、ほとんどがオフラインのスタンドアローンソフトウェアやオペレーティング・システムで保護されていました。しかし、何十億行ものコードが脅かされ、何億人ものユーザーが危険にさらされる可能性があることを考えると、まったく別の問題です。一人の専門家グループがすべての責任を負うには、あまりにも多くの問題があるため、AppSecと開発チームの間のギャップを埋める必要があります。だからこそ、AppSecと開発チームの間のギャップを埋めなければなりません。両者が協力し、知識を共有し、セキュリティを意識した1つのまとまったユニットとして活動する必要があります。
それには1つだけ問題があります。開発者が意味のある方法で安全なコーディングスキルを学ぶ機会はほとんどありません。ほとんどの高等教育では、セキュリティのベストプラクティスについてはほとんど触れられておらず、現場でのトレーニングの質も千差万別です。
毎日のように大規模な不正アクセスが発生しているのも不思議ではありません。AppSecチェックリストをダウンロードしてください。
コードのライセンス」です。
現在の暗い状況にもかかわらず、私はセキュリティの将来について楽観的に考えています。今、多くの企業が安全なコーディングに真剣に取り組んでいることに、私はとても勇気づけられています。
セキュリティリスクを軽減するためには、開発者が適切なツールと知識を利用する必要があり、また、データ漏洩対策にはセキュリティ意識の高い文化が不可欠であることが、ますます明らかになってきています。開発者がコードを書く際にセキュリティに責任を持てば、攻撃者が単純な欠陥を突いて城の鍵を手に入れることは容易ではなくなるでしょう。
開発者の中には、他の開発者よりもセキュリティ意識が高い人がいるというのが常であり、これは企業にとって大きな課題となっています。社内の開発チームは、ある程度のトレーニングやスキルの監視を受けていることが多いのですが、契約社員やフリーランサー、新卒者が混ざってくると、水が非常に濁ってきます。彼らはセキュリティを意識して行動しているでしょうか?彼らは、クロスサイトスクリプティングのような、何十年も前から存在する欠陥をうまく回避できるでしょうか?判断は難しいですが、彼らはソフトウェア構築の重要な部分を任されることが多いのです。困ったものです。
ありがたいことに、開発者にとって譲れない基準が増えてきています。例えば、一部の組織では Secure Code Warriorを使って開発スキルを評価し、「コードライセンス」を発行している組織もあります。基本的なセキュアコーディングの評価に合格しなければ、どんなプロジェクトにも参加できません。これは、新卒者やインターンがセキュリティスキルを身につける上で非常に有効であると同時に、安全なコーディングを行うことの重要性を浸透させることにもつながっています。結局のところ、ソフトウェアに関しては、セキュリティは品質と同義でなければなりません。
課外授業で大学が注目されています。
セキュアコーディングに関する話題を変えるには、記事や基調講演だけでは不十分です。多くの一流企業が注目し、羨望の的となるハイレベルなセキュリティプログラムを構築しているのを見るのは素晴らしいことだと思います。HSBCもその一つで、新卒者や新入社員ができるだけ早く「Start Left」の道を歩むことができるよう、強力なプログラムを用意しています。HSBCインドのテクノロジー・アカデミーの責任者であるSekhar Babu Tatavartiは、詳細なセキュリティ・トレーニングが必要であると考えています。
「HSBCテクノロジーでは、開発者コミュニティに、銀行を脆弱性から守るためのセキュアコーディングの重要性を理解してもらいたいと考えています。今年の新卒者トレーニングプログラムでは、彼らが現場に出てそれぞれのプロジェクトでコーディングを始める前に、若いうちに最高のセキュアコーディングを自己学習して身につけることができる絶好の機会だと考えました。
卒業生の学習にゲーミフィケーションの手法が素晴らしいということで、Secure Code Warrior のプラットフォームを選びましたが、期待を裏切らない結果となりました。さまざまな技術のホワイトベルト認証を完了しただけでなく、一人ひとりがtournament に熱心に参加してくれたことを嬉しく思います」と述べています。
HSBCのように、開発者レベルでの安全なコーディング能力が不可欠であると考える企業が増えています。このことは、事実上、高等教育全体に光を当てることになっています。CISOやCIOは、新卒のエンジニアがしっかりとしたセキュリティトレーニングを受けずに教育を終えていることに疑問を持ち始めています。
第三次教育のイノベーション。
セキュアコーディングは、高等教育機関におけるソフトウェアエンジニアリングの必須項目になる必要がありますが、一部の大学は、一流のトレーニングを提供し、セキュリティを現場の希少なAppSec専門家の領域ではなく、最初から開発プロセスの一部として優先させるという点で主導的な役割を果たしています。
オーストラリアのクイーンズランド大学では、ライアン・コー教授が、避けられないサイバー攻撃から私たちを守るために、次の世代の開発者の育成に大きく貢献しています。
「ソフトウェアの脆弱性の多くはコーディングの段階で導入されるため、これをソース(すなわちプログラマ)で対処できれば、今日のCVEリストに見られる繰り返し発生する問題のほとんどを根絶することができるだろう。ソフトウェアは現代社会のほとんどの人々の生活や生命に影響を与えるため、大学やトレーニング機関は、駆け出しのプログラマー全員に安全なコーディング方法を教えるという道徳的・社会的責任があります」と述べています。
これは、標準的なcourses からの刺激的な進化であり、重要なセキュリティ意識やスキルを提供するものではありません。そして、これは私がさらに広めたいと思っている「ウイルス」のひとつです。
「2016年に開設されたOptus Macquarie University Cyber Security Hubは、情報セキュリティ、ビジネス、犯罪学、諜報活動、法律、心理学などの学者と、産業界や政府のサイバーセキュリティの専門家を結びつける、オーストラリア初のこの種のイニシアチブです。
私たちの使命は、教育、研究、パートナーシップを通じて、オーストラリアをサイバーセキュリティの世界的リーダーにすることです。そのためには、サイバーセキュリティ分野におけるスキルギャップを解消することが重要であり、2022年には全世界で180万人の雇用が確保されない可能性が高いと予測されています。
このスキルギャップに対処するには、既存の従業員のスキルアップと再教育に加えて、新世代のサイバーセキュリティ専門家の育成を含む多面的なアプローチが必要です」と述べています。
彼らのアプローチは驚くべきもので、部門間のギャップを埋め、活発なセキュリティ意識の鼓動を生み出すのに役立つ、高いエンゲージメントと精度の高い学習を提供しています。彼らはマイクロラーニングを活用し、ゲーム化された一口サイズの学習モジュールを提供することで、高い定着率、エンゲージメント、リピートプレイを実現しています。
「このエンゲージメントの優れた例は、Secure Code warrior とのパートナーシップです。2019年8月にSecure Code Warrior と Cyber Security Hub が主催したtournament を経て、現在はSecure Code Warrior プラットフォームをカリキュラムに組み込むことを検討しており、特に「Secure Applications Development」の新しいユニットに組み込むことを検討しています」とクリストフは述べています。
マッコーリー大学やクイーンズランド大学のような取り組みは、教育現場における安全なコーディングの先駆けとなっています。AppSecの専門家、開発者、そしてより広いセキュリティコミュニティとしての私たちの目標は、私たちが行うすべてのことにセキュリティを組み込むことであり、左から始めるというコミットメントを継続することです。
安全なコーディングは、高等教育機関におけるソフトウェアエンジニアリングの必須要素となる必要がありますが、一部の大学は、一流のトレーニングを提供し、開発プロセスの初期段階からセキュリティを優先させることで、先導的な役割を果たしています。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
2015年にミッションを開始して以来、私たちの焦点は、開発者向けに楽しく、適切で、魅力的なセキュアコーディングトレーニングを促進することでした。私たちは、開発者にセキュリティのベストプラクティスを理解するための知識とツールを提供することの重要性を長年認識してきました。そして、なぜそれが重要なのか、コードを書く際にどのようにして悪意のある攻撃からソフトウェアを守ることができるのかを説明してきました。
しかし、セキュリティ教育は決して新しい概念ではありません。私たちが最初に取り組んだわけではありませんし、適切なセキュリティ対策は長い間、ソフトウェア開発において考慮されてきました。確かに、ある種のトレーニングは他よりも効果的ですが、特に今日では、ある種のセキュリティ教育へのアクセスは比較的容易になっています。
...では、一体なぜこれほど多くのデータ漏洩が発生しているのでしょうか?9月の時点で、2019年だけでも40億件以上の記録が複数のサイバー攻撃で暴露されています。
現在、多くの企業が、ますます貴重になるデータを安全に保つために、負け戦を強いられています。世界中のCISOやCIOにとって、「左遷」では遅すぎることが明らかになっています。SDLCにおいてセキュリティを左から始めなければならず、それは開発者が適切なセキュリティ知識を持ち、コードがコミットされる前、ましてや公に出る前に欠陥を修正しなければならないことを意味します。
AppSecのスペシャリストだけがセキュリティ知識のゲートキーパーではありません。
かつて、ソフトウェアセキュリティは、非常に特殊で賢いギークたちの領域であり、コードを書いているエンジニアとの交流はほとんどありませんでした。彼らの仕事は、安全でないコードをテストし、破壊し、日の目を見ないようにすることでした。もし彼らが出会うとすれば、それはセキュリティの専門家がコードの欠陥を指摘した結果であり、コードの作成に多大な労力を費やした開発者からは冷たくあしらわれることは確実だった。
現代に戻っても状況はほとんど変わりませんが、今ではより多くの問題が発生しています。ソーシャルメディア上のフォトアルバム、医療記録、銀行取引、そして最も貴重な身分証明書など、私たちの生活のほぼすべての側面がデジタル化されています。これまでは、ほとんどがオフラインのスタンドアローンソフトウェアやオペレーティング・システムで保護されていました。しかし、何十億行ものコードが脅かされ、何億人ものユーザーが危険にさらされる可能性があることを考えると、まったく別の問題です。一人の専門家グループがすべての責任を負うには、あまりにも多くの問題があるため、AppSecと開発チームの間のギャップを埋める必要があります。だからこそ、AppSecと開発チームの間のギャップを埋めなければなりません。両者が協力し、知識を共有し、セキュリティを意識した1つのまとまったユニットとして活動する必要があります。
それには1つだけ問題があります。開発者が意味のある方法で安全なコーディングスキルを学ぶ機会はほとんどありません。ほとんどの高等教育では、セキュリティのベストプラクティスについてはほとんど触れられておらず、現場でのトレーニングの質も千差万別です。
毎日のように大規模な不正アクセスが発生しているのも不思議ではありません。AppSecチェックリストをダウンロードしてください。
コードのライセンス」です。
現在の暗い状況にもかかわらず、私はセキュリティの将来について楽観的に考えています。今、多くの企業が安全なコーディングに真剣に取り組んでいることに、私はとても勇気づけられています。
セキュリティリスクを軽減するためには、開発者が適切なツールと知識を利用する必要があり、また、データ漏洩対策にはセキュリティ意識の高い文化が不可欠であることが、ますます明らかになってきています。開発者がコードを書く際にセキュリティに責任を持てば、攻撃者が単純な欠陥を突いて城の鍵を手に入れることは容易ではなくなるでしょう。
開発者の中には、他の開発者よりもセキュリティ意識が高い人がいるというのが常であり、これは企業にとって大きな課題となっています。社内の開発チームは、ある程度のトレーニングやスキルの監視を受けていることが多いのですが、契約社員やフリーランサー、新卒者が混ざってくると、水が非常に濁ってきます。彼らはセキュリティを意識して行動しているでしょうか?彼らは、クロスサイトスクリプティングのような、何十年も前から存在する欠陥をうまく回避できるでしょうか?判断は難しいですが、彼らはソフトウェア構築の重要な部分を任されることが多いのです。困ったものです。
ありがたいことに、開発者にとって譲れない基準が増えてきています。例えば、一部の組織では Secure Code Warriorを使って開発スキルを評価し、「コードライセンス」を発行している組織もあります。基本的なセキュアコーディングの評価に合格しなければ、どんなプロジェクトにも参加できません。これは、新卒者やインターンがセキュリティスキルを身につける上で非常に有効であると同時に、安全なコーディングを行うことの重要性を浸透させることにもつながっています。結局のところ、ソフトウェアに関しては、セキュリティは品質と同義でなければなりません。
課外授業で大学が注目されています。
セキュアコーディングに関する話題を変えるには、記事や基調講演だけでは不十分です。多くの一流企業が注目し、羨望の的となるハイレベルなセキュリティプログラムを構築しているのを見るのは素晴らしいことだと思います。HSBCもその一つで、新卒者や新入社員ができるだけ早く「Start Left」の道を歩むことができるよう、強力なプログラムを用意しています。HSBCインドのテクノロジー・アカデミーの責任者であるSekhar Babu Tatavartiは、詳細なセキュリティ・トレーニングが必要であると考えています。
「HSBCテクノロジーでは、開発者コミュニティに、銀行を脆弱性から守るためのセキュアコーディングの重要性を理解してもらいたいと考えています。今年の新卒者トレーニングプログラムでは、彼らが現場に出てそれぞれのプロジェクトでコーディングを始める前に、若いうちに最高のセキュアコーディングを自己学習して身につけることができる絶好の機会だと考えました。
卒業生の学習にゲーミフィケーションの手法が素晴らしいということで、Secure Code Warrior のプラットフォームを選びましたが、期待を裏切らない結果となりました。さまざまな技術のホワイトベルト認証を完了しただけでなく、一人ひとりがtournament に熱心に参加してくれたことを嬉しく思います」と述べています。
HSBCのように、開発者レベルでの安全なコーディング能力が不可欠であると考える企業が増えています。このことは、事実上、高等教育全体に光を当てることになっています。CISOやCIOは、新卒のエンジニアがしっかりとしたセキュリティトレーニングを受けずに教育を終えていることに疑問を持ち始めています。
第三次教育のイノベーション。
セキュアコーディングは、高等教育機関におけるソフトウェアエンジニアリングの必須項目になる必要がありますが、一部の大学は、一流のトレーニングを提供し、セキュリティを現場の希少なAppSec専門家の領域ではなく、最初から開発プロセスの一部として優先させるという点で主導的な役割を果たしています。
オーストラリアのクイーンズランド大学では、ライアン・コー教授が、避けられないサイバー攻撃から私たちを守るために、次の世代の開発者の育成に大きく貢献しています。
「ソフトウェアの脆弱性の多くはコーディングの段階で導入されるため、これをソース(すなわちプログラマ)で対処できれば、今日のCVEリストに見られる繰り返し発生する問題のほとんどを根絶することができるだろう。ソフトウェアは現代社会のほとんどの人々の生活や生命に影響を与えるため、大学やトレーニング機関は、駆け出しのプログラマー全員に安全なコーディング方法を教えるという道徳的・社会的責任があります」と述べています。
これは、標準的なcourses からの刺激的な進化であり、重要なセキュリティ意識やスキルを提供するものではありません。そして、これは私がさらに広めたいと思っている「ウイルス」のひとつです。
「2016年に開設されたOptus Macquarie University Cyber Security Hubは、情報セキュリティ、ビジネス、犯罪学、諜報活動、法律、心理学などの学者と、産業界や政府のサイバーセキュリティの専門家を結びつける、オーストラリア初のこの種のイニシアチブです。
私たちの使命は、教育、研究、パートナーシップを通じて、オーストラリアをサイバーセキュリティの世界的リーダーにすることです。そのためには、サイバーセキュリティ分野におけるスキルギャップを解消することが重要であり、2022年には全世界で180万人の雇用が確保されない可能性が高いと予測されています。
このスキルギャップに対処するには、既存の従業員のスキルアップと再教育に加えて、新世代のサイバーセキュリティ専門家の育成を含む多面的なアプローチが必要です」と述べています。
彼らのアプローチは驚くべきもので、部門間のギャップを埋め、活発なセキュリティ意識の鼓動を生み出すのに役立つ、高いエンゲージメントと精度の高い学習を提供しています。彼らはマイクロラーニングを活用し、ゲーム化された一口サイズの学習モジュールを提供することで、高い定着率、エンゲージメント、リピートプレイを実現しています。
「このエンゲージメントの優れた例は、Secure Code warrior とのパートナーシップです。2019年8月にSecure Code Warrior と Cyber Security Hub が主催したtournament を経て、現在はSecure Code Warrior プラットフォームをカリキュラムに組み込むことを検討しており、特に「Secure Applications Development」の新しいユニットに組み込むことを検討しています」とクリストフは述べています。
マッコーリー大学やクイーンズランド大学のような取り組みは、教育現場における安全なコーディングの先駆けとなっています。AppSecの専門家、開発者、そしてより広いセキュリティコミュニティとしての私たちの目標は、私たちが行うすべてのことにセキュリティを組み込むことであり、左から始めるというコミットメントを継続することです。
2015年にミッションを開始して以来、私たちの焦点は、開発者向けに楽しく、適切で、魅力的なセキュアコーディングトレーニングを促進することでした。私たちは、開発者にセキュリティのベストプラクティスを理解するための知識とツールを提供することの重要性を長年認識してきました。そして、なぜそれが重要なのか、コードを書く際にどのようにして悪意のある攻撃からソフトウェアを守ることができるのかを説明してきました。
しかし、セキュリティ教育は決して新しい概念ではありません。私たちが最初に取り組んだわけではありませんし、適切なセキュリティ対策は長い間、ソフトウェア開発において考慮されてきました。確かに、ある種のトレーニングは他よりも効果的ですが、特に今日では、ある種のセキュリティ教育へのアクセスは比較的容易になっています。
...では、一体なぜこれほど多くのデータ漏洩が発生しているのでしょうか?9月の時点で、2019年だけでも40億件以上の記録が複数のサイバー攻撃で暴露されています。
現在、多くの企業が、ますます貴重になるデータを安全に保つために、負け戦を強いられています。世界中のCISOやCIOにとって、「左遷」では遅すぎることが明らかになっています。SDLCにおいてセキュリティを左から始めなければならず、それは開発者が適切なセキュリティ知識を持ち、コードがコミットされる前、ましてや公に出る前に欠陥を修正しなければならないことを意味します。
AppSecのスペシャリストだけがセキュリティ知識のゲートキーパーではありません。
かつて、ソフトウェアセキュリティは、非常に特殊で賢いギークたちの領域であり、コードを書いているエンジニアとの交流はほとんどありませんでした。彼らの仕事は、安全でないコードをテストし、破壊し、日の目を見ないようにすることでした。もし彼らが出会うとすれば、それはセキュリティの専門家がコードの欠陥を指摘した結果であり、コードの作成に多大な労力を費やした開発者からは冷たくあしらわれることは確実だった。
現代に戻っても状況はほとんど変わりませんが、今ではより多くの問題が発生しています。ソーシャルメディア上のフォトアルバム、医療記録、銀行取引、そして最も貴重な身分証明書など、私たちの生活のほぼすべての側面がデジタル化されています。これまでは、ほとんどがオフラインのスタンドアローンソフトウェアやオペレーティング・システムで保護されていました。しかし、何十億行ものコードが脅かされ、何億人ものユーザーが危険にさらされる可能性があることを考えると、まったく別の問題です。一人の専門家グループがすべての責任を負うには、あまりにも多くの問題があるため、AppSecと開発チームの間のギャップを埋める必要があります。だからこそ、AppSecと開発チームの間のギャップを埋めなければなりません。両者が協力し、知識を共有し、セキュリティを意識した1つのまとまったユニットとして活動する必要があります。
それには1つだけ問題があります。開発者が意味のある方法で安全なコーディングスキルを学ぶ機会はほとんどありません。ほとんどの高等教育では、セキュリティのベストプラクティスについてはほとんど触れられておらず、現場でのトレーニングの質も千差万別です。
毎日のように大規模な不正アクセスが発生しているのも不思議ではありません。AppSecチェックリストをダウンロードしてください。
コードのライセンス」です。
現在の暗い状況にもかかわらず、私はセキュリティの将来について楽観的に考えています。今、多くの企業が安全なコーディングに真剣に取り組んでいることに、私はとても勇気づけられています。
セキュリティリスクを軽減するためには、開発者が適切なツールと知識を利用する必要があり、また、データ漏洩対策にはセキュリティ意識の高い文化が不可欠であることが、ますます明らかになってきています。開発者がコードを書く際にセキュリティに責任を持てば、攻撃者が単純な欠陥を突いて城の鍵を手に入れることは容易ではなくなるでしょう。
開発者の中には、他の開発者よりもセキュリティ意識が高い人がいるというのが常であり、これは企業にとって大きな課題となっています。社内の開発チームは、ある程度のトレーニングやスキルの監視を受けていることが多いのですが、契約社員やフリーランサー、新卒者が混ざってくると、水が非常に濁ってきます。彼らはセキュリティを意識して行動しているでしょうか?彼らは、クロスサイトスクリプティングのような、何十年も前から存在する欠陥をうまく回避できるでしょうか?判断は難しいですが、彼らはソフトウェア構築の重要な部分を任されることが多いのです。困ったものです。
ありがたいことに、開発者にとって譲れない基準が増えてきています。例えば、一部の組織では Secure Code Warriorを使って開発スキルを評価し、「コードライセンス」を発行している組織もあります。基本的なセキュアコーディングの評価に合格しなければ、どんなプロジェクトにも参加できません。これは、新卒者やインターンがセキュリティスキルを身につける上で非常に有効であると同時に、安全なコーディングを行うことの重要性を浸透させることにもつながっています。結局のところ、ソフトウェアに関しては、セキュリティは品質と同義でなければなりません。
課外授業で大学が注目されています。
セキュアコーディングに関する話題を変えるには、記事や基調講演だけでは不十分です。多くの一流企業が注目し、羨望の的となるハイレベルなセキュリティプログラムを構築しているのを見るのは素晴らしいことだと思います。HSBCもその一つで、新卒者や新入社員ができるだけ早く「Start Left」の道を歩むことができるよう、強力なプログラムを用意しています。HSBCインドのテクノロジー・アカデミーの責任者であるSekhar Babu Tatavartiは、詳細なセキュリティ・トレーニングが必要であると考えています。
「HSBCテクノロジーでは、開発者コミュニティに、銀行を脆弱性から守るためのセキュアコーディングの重要性を理解してもらいたいと考えています。今年の新卒者トレーニングプログラムでは、彼らが現場に出てそれぞれのプロジェクトでコーディングを始める前に、若いうちに最高のセキュアコーディングを自己学習して身につけることができる絶好の機会だと考えました。
卒業生の学習にゲーミフィケーションの手法が素晴らしいということで、Secure Code Warrior のプラットフォームを選びましたが、期待を裏切らない結果となりました。さまざまな技術のホワイトベルト認証を完了しただけでなく、一人ひとりがtournament に熱心に参加してくれたことを嬉しく思います」と述べています。
HSBCのように、開発者レベルでの安全なコーディング能力が不可欠であると考える企業が増えています。このことは、事実上、高等教育全体に光を当てることになっています。CISOやCIOは、新卒のエンジニアがしっかりとしたセキュリティトレーニングを受けずに教育を終えていることに疑問を持ち始めています。
第三次教育のイノベーション。
セキュアコーディングは、高等教育機関におけるソフトウェアエンジニアリングの必須項目になる必要がありますが、一部の大学は、一流のトレーニングを提供し、セキュリティを現場の希少なAppSec専門家の領域ではなく、最初から開発プロセスの一部として優先させるという点で主導的な役割を果たしています。
オーストラリアのクイーンズランド大学では、ライアン・コー教授が、避けられないサイバー攻撃から私たちを守るために、次の世代の開発者の育成に大きく貢献しています。
「ソフトウェアの脆弱性の多くはコーディングの段階で導入されるため、これをソース(すなわちプログラマ)で対処できれば、今日のCVEリストに見られる繰り返し発生する問題のほとんどを根絶することができるだろう。ソフトウェアは現代社会のほとんどの人々の生活や生命に影響を与えるため、大学やトレーニング機関は、駆け出しのプログラマー全員に安全なコーディング方法を教えるという道徳的・社会的責任があります」と述べています。
これは、標準的なcourses からの刺激的な進化であり、重要なセキュリティ意識やスキルを提供するものではありません。そして、これは私がさらに広めたいと思っている「ウイルス」のひとつです。
「2016年に開設されたOptus Macquarie University Cyber Security Hubは、情報セキュリティ、ビジネス、犯罪学、諜報活動、法律、心理学などの学者と、産業界や政府のサイバーセキュリティの専門家を結びつける、オーストラリア初のこの種のイニシアチブです。
私たちの使命は、教育、研究、パートナーシップを通じて、オーストラリアをサイバーセキュリティの世界的リーダーにすることです。そのためには、サイバーセキュリティ分野におけるスキルギャップを解消することが重要であり、2022年には全世界で180万人の雇用が確保されない可能性が高いと予測されています。
このスキルギャップに対処するには、既存の従業員のスキルアップと再教育に加えて、新世代のサイバーセキュリティ専門家の育成を含む多面的なアプローチが必要です」と述べています。
彼らのアプローチは驚くべきもので、部門間のギャップを埋め、活発なセキュリティ意識の鼓動を生み出すのに役立つ、高いエンゲージメントと精度の高い学習を提供しています。彼らはマイクロラーニングを活用し、ゲーム化された一口サイズの学習モジュールを提供することで、高い定着率、エンゲージメント、リピートプレイを実現しています。
「このエンゲージメントの優れた例は、Secure Code warrior とのパートナーシップです。2019年8月にSecure Code Warrior と Cyber Security Hub が主催したtournament を経て、現在はSecure Code Warrior プラットフォームをカリキュラムに組み込むことを検討しており、特に「Secure Applications Development」の新しいユニットに組み込むことを検討しています」とクリストフは述べています。
マッコーリー大学やクイーンズランド大学のような取り組みは、教育現場における安全なコーディングの先駆けとなっています。AppSecの専門家、開発者、そしてより広いセキュリティコミュニティとしての私たちの目標は、私たちが行うすべてのことにセキュリティを組み込むことであり、左から始めるというコミットメントを継続することです。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
2015年にミッションを開始して以来、私たちの焦点は、開発者向けに楽しく、適切で、魅力的なセキュアコーディングトレーニングを促進することでした。私たちは、開発者にセキュリティのベストプラクティスを理解するための知識とツールを提供することの重要性を長年認識してきました。そして、なぜそれが重要なのか、コードを書く際にどのようにして悪意のある攻撃からソフトウェアを守ることができるのかを説明してきました。
しかし、セキュリティ教育は決して新しい概念ではありません。私たちが最初に取り組んだわけではありませんし、適切なセキュリティ対策は長い間、ソフトウェア開発において考慮されてきました。確かに、ある種のトレーニングは他よりも効果的ですが、特に今日では、ある種のセキュリティ教育へのアクセスは比較的容易になっています。
...では、一体なぜこれほど多くのデータ漏洩が発生しているのでしょうか?9月の時点で、2019年だけでも40億件以上の記録が複数のサイバー攻撃で暴露されています。
現在、多くの企業が、ますます貴重になるデータを安全に保つために、負け戦を強いられています。世界中のCISOやCIOにとって、「左遷」では遅すぎることが明らかになっています。SDLCにおいてセキュリティを左から始めなければならず、それは開発者が適切なセキュリティ知識を持ち、コードがコミットされる前、ましてや公に出る前に欠陥を修正しなければならないことを意味します。
AppSecのスペシャリストだけがセキュリティ知識のゲートキーパーではありません。
かつて、ソフトウェアセキュリティは、非常に特殊で賢いギークたちの領域であり、コードを書いているエンジニアとの交流はほとんどありませんでした。彼らの仕事は、安全でないコードをテストし、破壊し、日の目を見ないようにすることでした。もし彼らが出会うとすれば、それはセキュリティの専門家がコードの欠陥を指摘した結果であり、コードの作成に多大な労力を費やした開発者からは冷たくあしらわれることは確実だった。
現代に戻っても状況はほとんど変わりませんが、今ではより多くの問題が発生しています。ソーシャルメディア上のフォトアルバム、医療記録、銀行取引、そして最も貴重な身分証明書など、私たちの生活のほぼすべての側面がデジタル化されています。これまでは、ほとんどがオフラインのスタンドアローンソフトウェアやオペレーティング・システムで保護されていました。しかし、何十億行ものコードが脅かされ、何億人ものユーザーが危険にさらされる可能性があることを考えると、まったく別の問題です。一人の専門家グループがすべての責任を負うには、あまりにも多くの問題があるため、AppSecと開発チームの間のギャップを埋める必要があります。だからこそ、AppSecと開発チームの間のギャップを埋めなければなりません。両者が協力し、知識を共有し、セキュリティを意識した1つのまとまったユニットとして活動する必要があります。
それには1つだけ問題があります。開発者が意味のある方法で安全なコーディングスキルを学ぶ機会はほとんどありません。ほとんどの高等教育では、セキュリティのベストプラクティスについてはほとんど触れられておらず、現場でのトレーニングの質も千差万別です。
毎日のように大規模な不正アクセスが発生しているのも不思議ではありません。AppSecチェックリストをダウンロードしてください。
コードのライセンス」です。
現在の暗い状況にもかかわらず、私はセキュリティの将来について楽観的に考えています。今、多くの企業が安全なコーディングに真剣に取り組んでいることに、私はとても勇気づけられています。
セキュリティリスクを軽減するためには、開発者が適切なツールと知識を利用する必要があり、また、データ漏洩対策にはセキュリティ意識の高い文化が不可欠であることが、ますます明らかになってきています。開発者がコードを書く際にセキュリティに責任を持てば、攻撃者が単純な欠陥を突いて城の鍵を手に入れることは容易ではなくなるでしょう。
開発者の中には、他の開発者よりもセキュリティ意識が高い人がいるというのが常であり、これは企業にとって大きな課題となっています。社内の開発チームは、ある程度のトレーニングやスキルの監視を受けていることが多いのですが、契約社員やフリーランサー、新卒者が混ざってくると、水が非常に濁ってきます。彼らはセキュリティを意識して行動しているでしょうか?彼らは、クロスサイトスクリプティングのような、何十年も前から存在する欠陥をうまく回避できるでしょうか?判断は難しいですが、彼らはソフトウェア構築の重要な部分を任されることが多いのです。困ったものです。
ありがたいことに、開発者にとって譲れない基準が増えてきています。例えば、一部の組織では Secure Code Warriorを使って開発スキルを評価し、「コードライセンス」を発行している組織もあります。基本的なセキュアコーディングの評価に合格しなければ、どんなプロジェクトにも参加できません。これは、新卒者やインターンがセキュリティスキルを身につける上で非常に有効であると同時に、安全なコーディングを行うことの重要性を浸透させることにもつながっています。結局のところ、ソフトウェアに関しては、セキュリティは品質と同義でなければなりません。
課外授業で大学が注目されています。
セキュアコーディングに関する話題を変えるには、記事や基調講演だけでは不十分です。多くの一流企業が注目し、羨望の的となるハイレベルなセキュリティプログラムを構築しているのを見るのは素晴らしいことだと思います。HSBCもその一つで、新卒者や新入社員ができるだけ早く「Start Left」の道を歩むことができるよう、強力なプログラムを用意しています。HSBCインドのテクノロジー・アカデミーの責任者であるSekhar Babu Tatavartiは、詳細なセキュリティ・トレーニングが必要であると考えています。
「HSBCテクノロジーでは、開発者コミュニティに、銀行を脆弱性から守るためのセキュアコーディングの重要性を理解してもらいたいと考えています。今年の新卒者トレーニングプログラムでは、彼らが現場に出てそれぞれのプロジェクトでコーディングを始める前に、若いうちに最高のセキュアコーディングを自己学習して身につけることができる絶好の機会だと考えました。
卒業生の学習にゲーミフィケーションの手法が素晴らしいということで、Secure Code Warrior のプラットフォームを選びましたが、期待を裏切らない結果となりました。さまざまな技術のホワイトベルト認証を完了しただけでなく、一人ひとりがtournament に熱心に参加してくれたことを嬉しく思います」と述べています。
HSBCのように、開発者レベルでの安全なコーディング能力が不可欠であると考える企業が増えています。このことは、事実上、高等教育全体に光を当てることになっています。CISOやCIOは、新卒のエンジニアがしっかりとしたセキュリティトレーニングを受けずに教育を終えていることに疑問を持ち始めています。
第三次教育のイノベーション。
セキュアコーディングは、高等教育機関におけるソフトウェアエンジニアリングの必須項目になる必要がありますが、一部の大学は、一流のトレーニングを提供し、セキュリティを現場の希少なAppSec専門家の領域ではなく、最初から開発プロセスの一部として優先させるという点で主導的な役割を果たしています。
オーストラリアのクイーンズランド大学では、ライアン・コー教授が、避けられないサイバー攻撃から私たちを守るために、次の世代の開発者の育成に大きく貢献しています。
「ソフトウェアの脆弱性の多くはコーディングの段階で導入されるため、これをソース(すなわちプログラマ)で対処できれば、今日のCVEリストに見られる繰り返し発生する問題のほとんどを根絶することができるだろう。ソフトウェアは現代社会のほとんどの人々の生活や生命に影響を与えるため、大学やトレーニング機関は、駆け出しのプログラマー全員に安全なコーディング方法を教えるという道徳的・社会的責任があります」と述べています。
これは、標準的なcourses からの刺激的な進化であり、重要なセキュリティ意識やスキルを提供するものではありません。そして、これは私がさらに広めたいと思っている「ウイルス」のひとつです。
「2016年に開設されたOptus Macquarie University Cyber Security Hubは、情報セキュリティ、ビジネス、犯罪学、諜報活動、法律、心理学などの学者と、産業界や政府のサイバーセキュリティの専門家を結びつける、オーストラリア初のこの種のイニシアチブです。
私たちの使命は、教育、研究、パートナーシップを通じて、オーストラリアをサイバーセキュリティの世界的リーダーにすることです。そのためには、サイバーセキュリティ分野におけるスキルギャップを解消することが重要であり、2022年には全世界で180万人の雇用が確保されない可能性が高いと予測されています。
このスキルギャップに対処するには、既存の従業員のスキルアップと再教育に加えて、新世代のサイバーセキュリティ専門家の育成を含む多面的なアプローチが必要です」と述べています。
彼らのアプローチは驚くべきもので、部門間のギャップを埋め、活発なセキュリティ意識の鼓動を生み出すのに役立つ、高いエンゲージメントと精度の高い学習を提供しています。彼らはマイクロラーニングを活用し、ゲーム化された一口サイズの学習モジュールを提供することで、高い定着率、エンゲージメント、リピートプレイを実現しています。
「このエンゲージメントの優れた例は、Secure Code warrior とのパートナーシップです。2019年8月にSecure Code Warrior と Cyber Security Hub が主催したtournament を経て、現在はSecure Code Warrior プラットフォームをカリキュラムに組み込むことを検討しており、特に「Secure Applications Development」の新しいユニットに組み込むことを検討しています」とクリストフは述べています。
マッコーリー大学やクイーンズランド大学のような取り組みは、教育現場における安全なコーディングの先駆けとなっています。AppSecの専門家、開発者、そしてより広いセキュリティコミュニティとしての私たちの目標は、私たちが行うすべてのことにセキュリティを組み込むことであり、左から始めるというコミットメントを継続することです。
始めるためのリソース
セキュア・バイ・デザインベストプラクティスの定義、開発者の能力向上、予防的セキュリティ成果のベンチマーク
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士、そして専門家であるクリス・イングリス(Chris Inglis)氏(元米国サイバーディレクター、現パラディン・キャピタル・グループ戦略顧問)、デヴィン・リンチ(Devin Lynch)氏(パラディン・グローバル・インスティテュート・シニアディレクター)が、CISO、アプリケーション・セキュリティ担当副社長、ソフトウェア・セキュリティの専門家など、企業のセキュリティ・リーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします。
セキュリティ スキルのベンチマーク: 企業におけるセキュアな設計の合理化
セキュアバイデザイン(SBD)構想の成功に関する有意義なデータを見つけることは、非常に困難である。CISO は、セキュリティプログラム活動の投資収益率(ROI)とビジネス価値を、従業員レベルと企業レベルの両方で証明しようとすると、しばしば困難に直面します。言うまでもなく、企業にとって、現在の業界標準に対して自社の組織がどのようにベンチマークされているかを把握することは特に困難です。大統領の国家サイバーセキュリティ戦略は、関係者に「デザインによるセキュリティとレジリエンスを受け入れる」ことを求めている。セキュアバイデザインの取り組みを成功させる鍵は、開発者にセキュアなコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが整っていることを保証することである。本プレゼンテーションでは、25万人以上の開発者から収集した社内データ、データに基づく顧客の洞察、公的研究など、複数の一次ソースから得られた無数の定性的・定量的データを紹介します。こうしたデータ・ポイントの集積を活用することで、複数の業種におけるセキュア・バイ・デザイン・イニシアチブの現状をお伝えすることを目的としています。本レポートでは、この領域が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティのリスク軽減に与える大きな影響、コードベースから脆弱性のカテゴリーを排除できる可能性について詳述しています。
始めるためのリソース
明らかになった:サイバー業界はセキュア・バイ・デザインをどのように定義しているか
最新のホワイトペーパーでは、当社の共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士が、CISO、AppSecリーダー、セキュリティ専門家を含む20人以上の企業セキュリティリーダーと対談し、このパズルの重要なピースを見つけ出し、Secure by Design運動の背後にある現実を明らかにしました。セキュア・バイ・デザインは、セキュリティ・チーム全体で共有された野心ですが、共有されたプレイブックはありません。
