あなたのセキュリティプログラムは、インシデントレスポンスに重点を置いていますか?それは間違っています。

2021年12月15日発行
ピーテル・ダンヒョウ著
ケーススタディ

あなたのセキュリティプログラムは、インシデントレスポンスに重点を置いていますか?それは間違っています。

2021年12月15日発行
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

この記事の一部分は、Forbes Technology Councilの特集として掲載されました。 フォーブス・テクノロジー・カウンシル.この記事は、Forbes Technology Councilの特集記事として掲載されたものを更新し、こちらに掲載しています。

情報漏えいの被害に遭うことは、非常に残念なことです。最初は否定され、次にパニックになるかもしれません。罵詈雑言が飛び交い、CISOが午前2時に広報担当者と電話会議をしなければならなくなったら、腕まくりをして、エンドポイントやシステムの安全を確保し、潜在的な攻撃手段を迅速に排除する作業に取り掛かることになります。控えめに言っても、ピクニックではありません。 

しかし、これは将来的に多くの組織が直面するであろう現実であり、包括的なサイバーセキュリティインシデント対応計画で絶対に準備しなければならないことです。しかし、問題は、サイバー攻撃を未然に防ぎ、潜在的な被害を軽減するための取り組みではなく、このような後手後手の戦略に時間、リソース、労力の多くが集中してしまうことです。これは、心臓発作の疑いで救急車を呼ぶようなものです。手遅れになる前に予防的な健康対策を実施していた場合に比べて、結果は、言うまでもなく、はるかに悪いものになります。 

そのためには、どのような予防策が必要なのでしょうか。増え続けるサイバーリスクを日々軽減するために、セキュリティ担当者があらゆるツールを駆使する方法を探ってみましょう。

今後の課題を把握する 

当たり前のことですが、サイバーリスクを軽減するための「正しい」計画は、業界によってニュアンスが異なり、望ましい結果を得るために何が必要なのかを前もって理解することが重要です。

現在、どのようなセキュリティ問題があるのか?どのような時間とリソースを費やしていますか?繰り返し発生する問題はどれくらいあるのか?これらは重要な要素であり、基礎的な出発点となります。エンドポイントを保護し、攻撃対象を減らし、潜在的なリスクのある他の領域を先取りするためには、専門知識とツールの観点から何が必要なのかを検討します。

最近のレポートによると、11の業界において、過去1年間、毎日のようにアプリケーションの半分以上に深刻な脆弱性が見つかっています。特に、公益事業、行政、専門サービスの各業界では、既知の脆弱性へのパッチ適用に平均288日を要していました。これは非常に遅く、パッチが適用される前に脆弱性が発見された場合、攻撃者は深刻なダメージを受けるのに十分な時間を費やしてしまいます。大規模なサイバー攻撃の影響に備えて最善の策を講じるには、インシデントへの対応だけでは不十分であり、危機的状況があまりにも高いことを痛感させられます。

文化的変化への賛同を得るための準備

現状を打破することは眉唾ものですが、実は、セキュリティプログラムは常に継続的に改善していく必要があります。すべての構成要素が常に適切であるべきであり、新たな開発を評価し、それを織り込む必要があります。 

事後対応ではなく予防的なアプローチを重視することは、セキュリティチームの外部ではあまり理解されていないかもしれません。特に、大規模で悪質なセキュリティインシデントが発生していない場合はなおさらです。壊れていないもの、直す必要のないものと思われているかもしれません。このような場合には、役員の賛同を得ることが不可欠です。彼らが考慮すべき、より適切なポイントをいくつか挙げてみましょう。

  • クリティカルインシデントの潜在的なコストと比較して、役割ベースのトレーニングや関連ツールなどの予防的措置にかかる時間とコストの削減効果 
  • 脆弱性を発見して修正することで、セキュリティチームからの指摘が減り、リリースを予定通りに進めることができるようになりました。
  • なぜ、開発チームからリリースに至るまで、潜在的なセキュリティリスクを準備し、先取りすることで、全体としてより多くの時間(言うまでもなく、多額の現金)を節約できるのか。例えば、テスト段階で発見された後期の脆弱性や、さらに悪いことにポストプロダクションで発見された脆弱性は、平均して3000%ものコストアップにつながります。

たとえ最初は違和感があっても、提案された文化的変化がビジネス目標と一致していることが重要です。 

セキュリティ意識は何か、セキュリティスキルは何か

業界として、セキュリティ意識の重要性は頻繁に語られており、これは組織内のすべてのスタッフにとってますます重要な要素となっています。しかし、特に技術職の方にとっては、リップサービスや受動的なトレーニングだけでは十分ではありません。

簡単に言えば、コードを触る人は、安全にコーディングするためのスキルを身につけていなければ、潜在的なセキュリティリスクとなります。基本的なセキュリティパラメータの一般的な認識は良いスタートとなりますが、優れた安全なコーディングパターンの文脈上の知識がなければ、悪い習慣が蔓延します。そして、質の高い開発スキルの欠如は、攻撃者が汚い仕事をするために利用します。 

開発者を見捨てないでください。

しかし、多くの組織では、セキュリティ対策において開発者が重要視されることはほとんどありません。銀行や金融などの一部の業界では、コンプライアンスや規制の要件が厳しく、その結果、すべてのスタッフに対するセキュリティ対策やトレーニングが強化されています。銀行や金融業界は他の業界に比べて進んでいますが、地球上のほぼすべての組織は、セキュリティに精通した開発者の軍隊を社内に持つことで、一般的なセキュリティバグを未然に察知する能力を身につけることができます。しかし、ほとんどの企業では、このセキュリティプログラムの重要な要素を実現できていません。年々増加する大量のコードを保護するためには、この要素が必要です。

予防的なセキュリティは、ソフトウェアを作成するために指がキーボードに触れた瞬間から始めるべきですが、開発者が単独でセキュリティのスキルギャップを埋めることは期待できません。開発者がより高い水準のコード品質に到達するためには、適切なツールセットと状況に応じたガイダンスが必要であり、それが日常業務の一部となっていれば、常に最高の結果が得られる。

リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

あなたのセキュリティプログラムは、インシデントレスポンスに重点を置いていますか?それは間違っています。

2024年1月22日発行
Pieter Danhieux著

この記事の一部分は、Forbes Technology Councilの特集として掲載されました。 フォーブス・テクノロジー・カウンシル.この記事は、Forbes Technology Councilの特集記事として掲載されたものを更新し、こちらに掲載しています。

情報漏えいの被害に遭うことは、非常に残念なことです。最初は否定され、次にパニックになるかもしれません。罵詈雑言が飛び交い、CISOが午前2時に広報担当者と電話会議をしなければならなくなったら、腕まくりをして、エンドポイントやシステムの安全を確保し、潜在的な攻撃手段を迅速に排除する作業に取り掛かることになります。控えめに言っても、ピクニックではありません。 

しかし、これは将来的に多くの組織が直面するであろう現実であり、包括的なサイバーセキュリティインシデント対応計画で絶対に準備しなければならないことです。しかし、問題は、サイバー攻撃を未然に防ぎ、潜在的な被害を軽減するための取り組みではなく、このような後手後手の戦略に時間、リソース、労力の多くが集中してしまうことです。これは、心臓発作の疑いで救急車を呼ぶようなものです。手遅れになる前に予防的な健康対策を実施していた場合に比べて、結果は、言うまでもなく、はるかに悪いものになります。 

そのためには、どのような予防策が必要なのでしょうか。増え続けるサイバーリスクを日々軽減するために、セキュリティ担当者があらゆるツールを駆使する方法を探ってみましょう。

今後の課題を把握する 

当たり前のことですが、サイバーリスクを軽減するための「正しい」計画は、業界によってニュアンスが異なり、望ましい結果を得るために何が必要なのかを前もって理解することが重要です。

現在、どのようなセキュリティ問題があるのか?どのような時間とリソースを費やしていますか?繰り返し発生する問題はどれくらいあるのか?これらは重要な要素であり、基礎的な出発点となります。エンドポイントを保護し、攻撃対象を減らし、潜在的なリスクのある他の領域を先取りするためには、専門知識とツールの観点から何が必要なのかを検討します。

最近のレポートによると、11の業界において、過去1年間、毎日のようにアプリケーションの半分以上に深刻な脆弱性が見つかっています。特に、公益事業、行政、専門サービスの各業界では、既知の脆弱性へのパッチ適用に平均288日を要していました。これは非常に遅く、パッチが適用される前に脆弱性が発見された場合、攻撃者は深刻なダメージを受けるのに十分な時間を費やしてしまいます。大規模なサイバー攻撃の影響に備えて最善の策を講じるには、インシデントへの対応だけでは不十分であり、危機的状況があまりにも高いことを痛感させられます。

文化的変化への賛同を得るための準備

現状を打破することは眉唾ものですが、実は、セキュリティプログラムは常に継続的に改善していく必要があります。すべての構成要素が常に適切であるべきであり、新たな開発を評価し、それを織り込む必要があります。 

事後対応ではなく予防的なアプローチを重視することは、セキュリティチームの外部ではあまり理解されていないかもしれません。特に、大規模で悪質なセキュリティインシデントが発生していない場合はなおさらです。壊れていないもの、直す必要のないものと思われているかもしれません。このような場合には、役員の賛同を得ることが不可欠です。彼らが考慮すべき、より適切なポイントをいくつか挙げてみましょう。

  • クリティカルインシデントの潜在的なコストと比較して、役割ベースのトレーニングや関連ツールなどの予防的措置にかかる時間とコストの削減効果 
  • 脆弱性を発見して修正することで、セキュリティチームからの指摘が減り、リリースを予定通りに進めることができるようになりました。
  • なぜ、開発チームからリリースに至るまで、潜在的なセキュリティリスクを準備し、先取りすることで、全体としてより多くの時間(言うまでもなく、多額の現金)を節約できるのか。例えば、テスト段階で発見された後期の脆弱性や、さらに悪いことにポストプロダクションで発見された脆弱性は、平均して3000%ものコストアップにつながります。

たとえ最初は違和感があっても、提案された文化的変化がビジネス目標と一致していることが重要です。 

セキュリティ意識は何か、セキュリティスキルは何か

業界として、セキュリティ意識の重要性は頻繁に語られており、これは組織内のすべてのスタッフにとってますます重要な要素となっています。しかし、特に技術職の方にとっては、リップサービスや受動的なトレーニングだけでは十分ではありません。

簡単に言えば、コードを触る人は、安全にコーディングするためのスキルを身につけていなければ、潜在的なセキュリティリスクとなります。基本的なセキュリティパラメータの一般的な認識は良いスタートとなりますが、優れた安全なコーディングパターンの文脈上の知識がなければ、悪い習慣が蔓延します。そして、質の高い開発スキルの欠如は、攻撃者が汚い仕事をするために利用します。 

開発者を見捨てないでください。

しかし、多くの組織では、セキュリティ対策において開発者が重要視されることはほとんどありません。銀行や金融などの一部の業界では、コンプライアンスや規制の要件が厳しく、その結果、すべてのスタッフに対するセキュリティ対策やトレーニングが強化されています。銀行や金融業界は他の業界に比べて進んでいますが、地球上のほぼすべての組織は、セキュリティに精通した開発者の軍隊を社内に持つことで、一般的なセキュリティバグを未然に察知する能力を身につけることができます。しかし、ほとんどの企業では、このセキュリティプログラムの重要な要素を実現できていません。年々増加する大量のコードを保護するためには、この要素が必要です。

予防的なセキュリティは、ソフトウェアを作成するために指がキーボードに触れた瞬間から始めるべきですが、開発者が単独でセキュリティのスキルギャップを埋めることは期待できません。開発者がより高い水準のコード品質に到達するためには、適切なツールセットと状況に応じたガイダンスが必要であり、それが日常業務の一部となっていれば、常に最高の結果が得られる。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。