あなたのセキュリティ・プログラムはCISAのサイバーセキュリティ戦略プランに対応していますか?
この記事はForbes に掲載されたものです。
サイバーセキュリティ戦略計画は、ほとんどの組織がサイバーセキュリティにアプローチする方法に大きな変更を迫っている。
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2018年の発足以来、米国の重要インフラとコンピューティング・ネットワークの保護に役立ってきただけでなく、その影響力と専門知識は世界的にも反響を呼んでいる。同庁の包括的な助言、セキュリティ勧告、脆弱性レポート、サイバーセキュリティプログラムは、実行可能なベストプラクティスの世界的なベンチマークとなっており、世界のサイバーセキュリティの領域において新たに発表されたCISA 2023-2025戦略計画の重要性を強調している。
CISAの影響力と功績は、特に設立から数年しか経っていないことを考えると、ほとんどの政府機関が達成できたことをはるかに超えて広がっている。これは、脅威の状況が急激に拡大していることや、攻撃者が侵害や搾取の試みに習熟してきていることが少なからず影響している。CISAは、サイバー犯罪者やその他のいわゆる脅威行為者との戦いにおいて指導的な役割を担っており、体系的に傾向を追跡し、サイバーセキュリティのベストプラクティスについて助言している。
しかし、サイバーセキュリティ機関は、有益なアドバイスやガイダンスを提供する一方で、今後数年間のサイバーセキュリティへの取り組みの全体的な方向性を定めることを目的とした全体的な戦略計画を発表したことはなかった。これは単なる計画ではなく、多くの組織が検討し、最終的には実行に移したいと考えるマイルストーンである。この計画がサイバーセキュリティへの取り組み方に大きな変化を求めているという事実は、そのガイダンスに従うことを困難にするかもしれないが、開発コミュニティは、適切なサポート、ツール、スキルアップの道が与えられれば、それを支援できるユニークな立場にある。
世界的なサイバーセキュリティのベストプラクティスに変化が訪れている
一見すると、CISA戦略計画にはフラストレーションが溜まっているように感じられがちだが、CISAは、今と同じことを続けていれば、同じ結果が出続けるという事実を認めているに過ぎない。サイバーセキュリティを向上させるには、現在使用されているソフトウェアやアプリケーションを製造している企業を含め、全体的に大きな変化が必要である。
少なくとも部分的には、ソフトウェアに矛先を向けることは、以前にも紹介した概念である。実際、米国の国家安全保障戦略では、「ソフトウェア・セキュリティの不備は、デジタル・エコシステム全体のシステミック・リスクを大幅に増大させる」と明記されている。CISA戦略計画は、この苦境にアプローチし、解決するための新たな戦略を示している。
CISAが提唱するサイバーセキュリティにおける最大の変革は、ソフトウェアを製造する企業に対し、安全な製品を出荷するよう求めることである。セキュアコーディングのベストプラクティスが確立され、実施されるようになれば、攻撃者が悪用できる脆弱性、特に重大な脆弱性がソフトウェア内に潜むことははるかに少なくなる。確かに、あちこちで何かが見落とされる可能性はまだあり、発見して修正するためには勤勉さが必要だが、毎日何百もの脆弱性が検出され、サイバーセキュリティの守備側に過度の負荷がかかっている現状に比べれば、管理可能な命題である。CISAはその計画の中で、ソフトウェアやその他の技術を製造する者は、自社製品のセキュリティに責任を持つ必要があると明確に述べている。
「社会として、あらゆる技術製品が発売された瞬間に脆弱性を持ち、セキュリティに対する圧倒的な負担が個々の組織やユーザーにあるようなモデルをもはや受け入れることはできない」とCISA戦略計画は述べている。「技術は、市場に投入される前に、悪用可能な欠陥の数を最小限に抑えるように設計、開発、テストされるべきである。
CISAは "組織のリーダーのリスク決定に影響を与えるために利用可能なあらゆる手段を用いる "と述べている。また、現在サイバーインシデントの報告を規定しているCIRCIA(Cyber Incident Reporting for Critical Infrastructure Act of 2022)のような法律が、最終的にこれらの新しい規制への自主的な遵守をより義務的なものへとシフトさせるモデルとして機能する可能性も示唆している。いずれにせよ、現在ソフトウェアやその他のテクノロジーを製造している企業の多くは、この新しいガイダンスに賛同することが有益であろう。
CISAの指針は重要な機会となる
組織は、さらなる規制の可能性に不安を感じるのではなく、CISA戦略計画を利用して、より優れた、より質の高いソフトウェアを目指す機会を受け入れるべきである。これは単なるコンプライアンスの要請ではなく、開発者がスキルを磨き、より安全なデジタル環境に貢献するチャンスなのだ。結局のところ、安全なソフトウェアを作ることは、それを作る会社、それに依存するようになったユーザー、そしてそのソフトウェアやアプリケーションによってデータにアクセスされたり保存されたりする人々を含む、すべての人を助けることになる。ソフトウェアやアプリケーションの大部分を構成するコードが、本番環境に移行する前に可能な限りセキュアに作られていれば、攻撃者だけが手ぶらでいられる。
この新しい方向性を考えると、より安全なコーディングを実装し、CISAプランに準拠するための取り組みを開始するには、すべてのコードを記述またはソース提供する組織の開発者が最適な場所であることは理にかなっている。しかし、開発者は、組織の残りの部分、特に上層部の支援なしには、単独でそれを行うことはできない。脆弱性、安全なコードの書き方、本番環境に到達するずっと前に問題を認識する方法を理解している開発者を確保することが、組織が最終的にコードの出荷に責任を持ち、CISAが言うように、"敵がそれを使って危害を加える前に脆弱性が発見され、修正されるようにする "ための鍵となる。
注意すべき重要な点は、開発者が必要とするトレーニングがかなり高度であるということだ。一貫してセキュアなコードを書くことに習熟するのは困難な努力であり、チェック・ザ・ ボックス的なコンプライアンス対策では対応できない。開発者は、新しい CISA 計画で要求されるセキュリティレベルを維持するために必要なスキルを確実に身につけるために、全体的なセキュリティ意識向上プログラムの一環として、実践的で消化可能かつ継続的な学習成果を提供する、高レベルでアジャイルな学習方法を必要とする。
理想的には、CISA計画に備えるためのスキルアップには、アジャイル開発の原則など、開発者が日常的に使用している高度な手法やプログラムの多くも取り入れるべきである。例えば、アジャイル開発では、作業は管理可能な塊に分割され、連続的なサイクルでスプリントを重ねていく。アジャイルプラクティスを取り入れた優れた教育プログラムは、開発者がCISAプランをサポートするために必要なスキルを迅速に習得するのに役立ち、ほとんどすぐにメリットを実感し、より安全なコーディングを開始することができます。
良いニュースは、ほとんどの開発者がセキュアコーディングの実践を支持し、組織が新しい CISA 指令に準拠するのを支援することを熱望していることである。世界中で活躍している1,200人以上のプロの開発者を対象とした調査では、圧倒的多数の開発者が、セキュアなコードを作成し、組織により良いセキュリティ文化を確立するというコンセプトを支持していると回答した。
開発者は、正確な教育経路と適切なサポートを必要としている。組織がそれを提供することができれば、コードの安全性が高まるだけでなく、新しいCISAサイバーセキュリティ戦略計画で定められたガイダンスに準拠する、あるいはそれを上回る取り組みにおいて、時代を先取りすることができる。
このセキュリティ文化の転換は挑戦的なものではあるが、サイバーセキュリティの本質を変え、私たちの生活を向上させるテクノロジーが、それを悪用しようとする攻撃者に悩まされることのない世界を実現する絶好の機会でもある。そしてCISA計画は、その驚くべき、そして最終的には達成可能な目標に向けた有望な道筋を示している。
サイバーセキュリティ戦略計画は、ほとんどの組織がサイバーセキュリティにアプローチする方法に大きな変化を迫るものであり、開発者はこれらの新しい目標の達成を支援するユニークな立場にある。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
この記事はForbes に掲載されたものです。
サイバーセキュリティ戦略計画は、ほとんどの組織がサイバーセキュリティにアプローチする方法に大きな変更を迫っている。
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2018年の発足以来、米国の重要インフラとコンピューティング・ネットワークの保護に役立ってきただけでなく、その影響力と専門知識は世界的にも反響を呼んでいる。同庁の包括的な助言、セキュリティ勧告、脆弱性レポート、サイバーセキュリティプログラムは、実行可能なベストプラクティスの世界的なベンチマークとなっており、世界のサイバーセキュリティの領域において新たに発表されたCISA 2023-2025戦略計画の重要性を強調している。
CISAの影響力と功績は、特に設立から数年しか経っていないことを考えると、ほとんどの政府機関が達成できたことをはるかに超えて広がっている。これは、脅威の状況が急激に拡大していることや、攻撃者が侵害や搾取の試みに習熟してきていることが少なからず影響している。CISAは、サイバー犯罪者やその他のいわゆる脅威行為者との戦いにおいて指導的な役割を担っており、体系的に傾向を追跡し、サイバーセキュリティのベストプラクティスについて助言している。
しかし、サイバーセキュリティ機関は、有益なアドバイスやガイダンスを提供する一方で、今後数年間のサイバーセキュリティへの取り組みの全体的な方向性を定めることを目的とした全体的な戦略計画を発表したことはなかった。これは単なる計画ではなく、多くの組織が検討し、最終的には実行に移したいと考えるマイルストーンである。この計画がサイバーセキュリティへの取り組み方に大きな変化を求めているという事実は、そのガイダンスに従うことを困難にするかもしれないが、開発コミュニティは、適切なサポート、ツール、スキルアップの道が与えられれば、それを支援できるユニークな立場にある。
世界的なサイバーセキュリティのベストプラクティスに変化が訪れている
一見すると、CISA戦略計画にはフラストレーションが溜まっているように感じられがちだが、CISAは、今と同じことを続けていれば、同じ結果が出続けるという事実を認めているに過ぎない。サイバーセキュリティを向上させるには、現在使用されているソフトウェアやアプリケーションを製造している企業を含め、全体的に大きな変化が必要である。
少なくとも部分的には、ソフトウェアに矛先を向けることは、以前にも紹介した概念である。実際、米国の国家安全保障戦略では、「ソフトウェア・セキュリティの不備は、デジタル・エコシステム全体のシステミック・リスクを大幅に増大させる」と明記されている。CISA戦略計画は、この苦境にアプローチし、解決するための新たな戦略を示している。
CISAが提唱するサイバーセキュリティにおける最大の変革は、ソフトウェアを製造する企業に対し、安全な製品を出荷するよう求めることである。セキュアコーディングのベストプラクティスが確立され、実施されるようになれば、攻撃者が悪用できる脆弱性、特に重大な脆弱性がソフトウェア内に潜むことははるかに少なくなる。確かに、あちこちで何かが見落とされる可能性はまだあり、発見して修正するためには勤勉さが必要だが、毎日何百もの脆弱性が検出され、サイバーセキュリティの守備側に過度の負荷がかかっている現状に比べれば、管理可能な命題である。CISAはその計画の中で、ソフトウェアやその他の技術を製造する者は、自社製品のセキュリティに責任を持つ必要があると明確に述べている。
「社会として、あらゆる技術製品が発売された瞬間に脆弱性を持ち、セキュリティに対する圧倒的な負担が個々の組織やユーザーにあるようなモデルをもはや受け入れることはできない」とCISA戦略計画は述べている。「技術は、市場に投入される前に、悪用可能な欠陥の数を最小限に抑えるように設計、開発、テストされるべきである。
CISAは "組織のリーダーのリスク決定に影響を与えるために利用可能なあらゆる手段を用いる "と述べている。また、現在サイバーインシデントの報告を規定しているCIRCIA(Cyber Incident Reporting for Critical Infrastructure Act of 2022)のような法律が、最終的にこれらの新しい規制への自主的な遵守をより義務的なものへとシフトさせるモデルとして機能する可能性も示唆している。いずれにせよ、現在ソフトウェアやその他のテクノロジーを製造している企業の多くは、この新しいガイダンスに賛同することが有益であろう。
CISAの指針は重要な機会となる
組織は、さらなる規制の可能性に不安を感じるのではなく、CISA戦略計画を利用して、より優れた、より質の高いソフトウェアを目指す機会を受け入れるべきである。これは単なるコンプライアンスの要請ではなく、開発者がスキルを磨き、より安全なデジタル環境に貢献するチャンスなのだ。結局のところ、安全なソフトウェアを作ることは、それを作る会社、それに依存するようになったユーザー、そしてそのソフトウェアやアプリケーションによってデータにアクセスされたり保存されたりする人々を含む、すべての人を助けることになる。ソフトウェアやアプリケーションの大部分を構成するコードが、本番環境に移行する前に可能な限りセキュアに作られていれば、攻撃者だけが手ぶらでいられる。
この新しい方向性を考えると、より安全なコーディングを実装し、CISAプランに準拠するための取り組みを開始するには、すべてのコードを記述またはソース提供する組織の開発者が最適な場所であることは理にかなっている。しかし、開発者は、組織の残りの部分、特に上層部の支援なしには、単独でそれを行うことはできない。脆弱性、安全なコードの書き方、本番環境に到達するずっと前に問題を認識する方法を理解している開発者を確保することが、組織が最終的にコードの出荷に責任を持ち、CISAが言うように、"敵がそれを使って危害を加える前に脆弱性が発見され、修正されるようにする "ための鍵となる。
注意すべき重要な点は、開発者が必要とするトレーニングがかなり高度であるということだ。一貫してセキュアなコードを書くことに習熟するのは困難な努力であり、チェック・ザ・ ボックス的なコンプライアンス対策では対応できない。開発者は、新しい CISA 計画で要求されるセキュリティレベルを維持するために必要なスキルを確実に身につけるために、全体的なセキュリティ意識向上プログラムの一環として、実践的で消化可能かつ継続的な学習成果を提供する、高レベルでアジャイルな学習方法を必要とする。
理想的には、CISA計画に備えるためのスキルアップには、アジャイル開発の原則など、開発者が日常的に使用している高度な手法やプログラムの多くも取り入れるべきである。例えば、アジャイル開発では、作業は管理可能な塊に分割され、連続的なサイクルでスプリントを重ねていく。アジャイルプラクティスを取り入れた優れた教育プログラムは、開発者がCISAプランをサポートするために必要なスキルを迅速に習得するのに役立ち、ほとんどすぐにメリットを実感し、より安全なコーディングを開始することができます。
良いニュースは、ほとんどの開発者がセキュアコーディングの実践を支持し、組織が新しい CISA 指令に準拠するのを支援することを熱望していることである。世界中で活躍している1,200人以上のプロの開発者を対象とした調査では、圧倒的多数の開発者が、セキュアなコードを作成し、組織により良いセキュリティ文化を確立するというコンセプトを支持していると回答した。
開発者は、正確な教育経路と適切なサポートを必要としている。組織がそれを提供することができれば、コードの安全性が高まるだけでなく、新しいCISAサイバーセキュリティ戦略計画で定められたガイダンスに準拠する、あるいはそれを上回る取り組みにおいて、時代を先取りすることができる。
このセキュリティ文化の転換は挑戦的なものではあるが、サイバーセキュリティの本質を変え、私たちの生活を向上させるテクノロジーが、それを悪用しようとする攻撃者に悩まされることのない世界を実現する絶好の機会でもある。そしてCISA計画は、その驚くべき、そして最終的には達成可能な目標に向けた有望な道筋を示している。
この記事はForbes に掲載されたものです。
サイバーセキュリティ戦略計画は、ほとんどの組織がサイバーセキュリティにアプローチする方法に大きな変更を迫っている。
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2018年の発足以来、米国の重要インフラとコンピューティング・ネットワークの保護に役立ってきただけでなく、その影響力と専門知識は世界的にも反響を呼んでいる。同庁の包括的な助言、セキュリティ勧告、脆弱性レポート、サイバーセキュリティプログラムは、実行可能なベストプラクティスの世界的なベンチマークとなっており、世界のサイバーセキュリティの領域において新たに発表されたCISA 2023-2025戦略計画の重要性を強調している。
CISAの影響力と功績は、特に設立から数年しか経っていないことを考えると、ほとんどの政府機関が達成できたことをはるかに超えて広がっている。これは、脅威の状況が急激に拡大していることや、攻撃者が侵害や搾取の試みに習熟してきていることが少なからず影響している。CISAは、サイバー犯罪者やその他のいわゆる脅威行為者との戦いにおいて指導的な役割を担っており、体系的に傾向を追跡し、サイバーセキュリティのベストプラクティスについて助言している。
しかし、サイバーセキュリティ機関は、有益なアドバイスやガイダンスを提供する一方で、今後数年間のサイバーセキュリティへの取り組みの全体的な方向性を定めることを目的とした全体的な戦略計画を発表したことはなかった。これは単なる計画ではなく、多くの組織が検討し、最終的には実行に移したいと考えるマイルストーンである。この計画がサイバーセキュリティへの取り組み方に大きな変化を求めているという事実は、そのガイダンスに従うことを困難にするかもしれないが、開発コミュニティは、適切なサポート、ツール、スキルアップの道が与えられれば、それを支援できるユニークな立場にある。
世界的なサイバーセキュリティのベストプラクティスに変化が訪れている
一見すると、CISA戦略計画にはフラストレーションが溜まっているように感じられがちだが、CISAは、今と同じことを続けていれば、同じ結果が出続けるという事実を認めているに過ぎない。サイバーセキュリティを向上させるには、現在使用されているソフトウェアやアプリケーションを製造している企業を含め、全体的に大きな変化が必要である。
少なくとも部分的には、ソフトウェアに矛先を向けることは、以前にも紹介した概念である。実際、米国の国家安全保障戦略では、「ソフトウェア・セキュリティの不備は、デジタル・エコシステム全体のシステミック・リスクを大幅に増大させる」と明記されている。CISA戦略計画は、この苦境にアプローチし、解決するための新たな戦略を示している。
CISAが提唱するサイバーセキュリティにおける最大の変革は、ソフトウェアを製造する企業に対し、安全な製品を出荷するよう求めることである。セキュアコーディングのベストプラクティスが確立され、実施されるようになれば、攻撃者が悪用できる脆弱性、特に重大な脆弱性がソフトウェア内に潜むことははるかに少なくなる。確かに、あちこちで何かが見落とされる可能性はまだあり、発見して修正するためには勤勉さが必要だが、毎日何百もの脆弱性が検出され、サイバーセキュリティの守備側に過度の負荷がかかっている現状に比べれば、管理可能な命題である。CISAはその計画の中で、ソフトウェアやその他の技術を製造する者は、自社製品のセキュリティに責任を持つ必要があると明確に述べている。
「社会として、あらゆる技術製品が発売された瞬間に脆弱性を持ち、セキュリティに対する圧倒的な負担が個々の組織やユーザーにあるようなモデルをもはや受け入れることはできない」とCISA戦略計画は述べている。「技術は、市場に投入される前に、悪用可能な欠陥の数を最小限に抑えるように設計、開発、テストされるべきである。
CISAは "組織のリーダーのリスク決定に影響を与えるために利用可能なあらゆる手段を用いる "と述べている。また、現在サイバーインシデントの報告を規定しているCIRCIA(Cyber Incident Reporting for Critical Infrastructure Act of 2022)のような法律が、最終的にこれらの新しい規制への自主的な遵守をより義務的なものへとシフトさせるモデルとして機能する可能性も示唆している。いずれにせよ、現在ソフトウェアやその他のテクノロジーを製造している企業の多くは、この新しいガイダンスに賛同することが有益であろう。
CISAの指針は重要な機会となる
組織は、さらなる規制の可能性に不安を感じるのではなく、CISA戦略計画を利用して、より優れた、より質の高いソフトウェアを目指す機会を受け入れるべきである。これは単なるコンプライアンスの要請ではなく、開発者がスキルを磨き、より安全なデジタル環境に貢献するチャンスなのだ。結局のところ、安全なソフトウェアを作ることは、それを作る会社、それに依存するようになったユーザー、そしてそのソフトウェアやアプリケーションによってデータにアクセスされたり保存されたりする人々を含む、すべての人を助けることになる。ソフトウェアやアプリケーションの大部分を構成するコードが、本番環境に移行する前に可能な限りセキュアに作られていれば、攻撃者だけが手ぶらでいられる。
この新しい方向性を考えると、より安全なコーディングを実装し、CISAプランに準拠するための取り組みを開始するには、すべてのコードを記述またはソース提供する組織の開発者が最適な場所であることは理にかなっている。しかし、開発者は、組織の残りの部分、特に上層部の支援なしには、単独でそれを行うことはできない。脆弱性、安全なコードの書き方、本番環境に到達するずっと前に問題を認識する方法を理解している開発者を確保することが、組織が最終的にコードの出荷に責任を持ち、CISAが言うように、"敵がそれを使って危害を加える前に脆弱性が発見され、修正されるようにする "ための鍵となる。
注意すべき重要な点は、開発者が必要とするトレーニングがかなり高度であるということだ。一貫してセキュアなコードを書くことに習熟するのは困難な努力であり、チェック・ザ・ ボックス的なコンプライアンス対策では対応できない。開発者は、新しい CISA 計画で要求されるセキュリティレベルを維持するために必要なスキルを確実に身につけるために、全体的なセキュリティ意識向上プログラムの一環として、実践的で消化可能かつ継続的な学習成果を提供する、高レベルでアジャイルな学習方法を必要とする。
理想的には、CISA計画に備えるためのスキルアップには、アジャイル開発の原則など、開発者が日常的に使用している高度な手法やプログラムの多くも取り入れるべきである。例えば、アジャイル開発では、作業は管理可能な塊に分割され、連続的なサイクルでスプリントを重ねていく。アジャイルプラクティスを取り入れた優れた教育プログラムは、開発者がCISAプランをサポートするために必要なスキルを迅速に習得するのに役立ち、ほとんどすぐにメリットを実感し、より安全なコーディングを開始することができます。
良いニュースは、ほとんどの開発者がセキュアコーディングの実践を支持し、組織が新しい CISA 指令に準拠するのを支援することを熱望していることである。世界中で活躍している1,200人以上のプロの開発者を対象とした調査では、圧倒的多数の開発者が、セキュアなコードを作成し、組織により良いセキュリティ文化を確立するというコンセプトを支持していると回答した。
開発者は、正確な教育経路と適切なサポートを必要としている。組織がそれを提供することができれば、コードの安全性が高まるだけでなく、新しいCISAサイバーセキュリティ戦略計画で定められたガイダンスに準拠する、あるいはそれを上回る取り組みにおいて、時代を先取りすることができる。
このセキュリティ文化の転換は挑戦的なものではあるが、サイバーセキュリティの本質を変え、私たちの生活を向上させるテクノロジーが、それを悪用しようとする攻撃者に悩まされることのない世界を実現する絶好の機会でもある。そしてCISA計画は、その驚くべき、そして最終的には達成可能な目標に向けた有望な道筋を示している。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
この記事はForbes に掲載されたものです。
サイバーセキュリティ戦略計画は、ほとんどの組織がサイバーセキュリティにアプローチする方法に大きな変更を迫っている。
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2018年の発足以来、米国の重要インフラとコンピューティング・ネットワークの保護に役立ってきただけでなく、その影響力と専門知識は世界的にも反響を呼んでいる。同庁の包括的な助言、セキュリティ勧告、脆弱性レポート、サイバーセキュリティプログラムは、実行可能なベストプラクティスの世界的なベンチマークとなっており、世界のサイバーセキュリティの領域において新たに発表されたCISA 2023-2025戦略計画の重要性を強調している。
CISAの影響力と功績は、特に設立から数年しか経っていないことを考えると、ほとんどの政府機関が達成できたことをはるかに超えて広がっている。これは、脅威の状況が急激に拡大していることや、攻撃者が侵害や搾取の試みに習熟してきていることが少なからず影響している。CISAは、サイバー犯罪者やその他のいわゆる脅威行為者との戦いにおいて指導的な役割を担っており、体系的に傾向を追跡し、サイバーセキュリティのベストプラクティスについて助言している。
しかし、サイバーセキュリティ機関は、有益なアドバイスやガイダンスを提供する一方で、今後数年間のサイバーセキュリティへの取り組みの全体的な方向性を定めることを目的とした全体的な戦略計画を発表したことはなかった。これは単なる計画ではなく、多くの組織が検討し、最終的には実行に移したいと考えるマイルストーンである。この計画がサイバーセキュリティへの取り組み方に大きな変化を求めているという事実は、そのガイダンスに従うことを困難にするかもしれないが、開発コミュニティは、適切なサポート、ツール、スキルアップの道が与えられれば、それを支援できるユニークな立場にある。
世界的なサイバーセキュリティのベストプラクティスに変化が訪れている
一見すると、CISA戦略計画にはフラストレーションが溜まっているように感じられがちだが、CISAは、今と同じことを続けていれば、同じ結果が出続けるという事実を認めているに過ぎない。サイバーセキュリティを向上させるには、現在使用されているソフトウェアやアプリケーションを製造している企業を含め、全体的に大きな変化が必要である。
少なくとも部分的には、ソフトウェアに矛先を向けることは、以前にも紹介した概念である。実際、米国の国家安全保障戦略では、「ソフトウェア・セキュリティの不備は、デジタル・エコシステム全体のシステミック・リスクを大幅に増大させる」と明記されている。CISA戦略計画は、この苦境にアプローチし、解決するための新たな戦略を示している。
CISAが提唱するサイバーセキュリティにおける最大の変革は、ソフトウェアを製造する企業に対し、安全な製品を出荷するよう求めることである。セキュアコーディングのベストプラクティスが確立され、実施されるようになれば、攻撃者が悪用できる脆弱性、特に重大な脆弱性がソフトウェア内に潜むことははるかに少なくなる。確かに、あちこちで何かが見落とされる可能性はまだあり、発見して修正するためには勤勉さが必要だが、毎日何百もの脆弱性が検出され、サイバーセキュリティの守備側に過度の負荷がかかっている現状に比べれば、管理可能な命題である。CISAはその計画の中で、ソフトウェアやその他の技術を製造する者は、自社製品のセキュリティに責任を持つ必要があると明確に述べている。
「社会として、あらゆる技術製品が発売された瞬間に脆弱性を持ち、セキュリティに対する圧倒的な負担が個々の組織やユーザーにあるようなモデルをもはや受け入れることはできない」とCISA戦略計画は述べている。「技術は、市場に投入される前に、悪用可能な欠陥の数を最小限に抑えるように設計、開発、テストされるべきである。
CISAは "組織のリーダーのリスク決定に影響を与えるために利用可能なあらゆる手段を用いる "と述べている。また、現在サイバーインシデントの報告を規定しているCIRCIA(Cyber Incident Reporting for Critical Infrastructure Act of 2022)のような法律が、最終的にこれらの新しい規制への自主的な遵守をより義務的なものへとシフトさせるモデルとして機能する可能性も示唆している。いずれにせよ、現在ソフトウェアやその他のテクノロジーを製造している企業の多くは、この新しいガイダンスに賛同することが有益であろう。
CISAの指針は重要な機会となる
組織は、さらなる規制の可能性に不安を感じるのではなく、CISA戦略計画を利用して、より優れた、より質の高いソフトウェアを目指す機会を受け入れるべきである。これは単なるコンプライアンスの要請ではなく、開発者がスキルを磨き、より安全なデジタル環境に貢献するチャンスなのだ。結局のところ、安全なソフトウェアを作ることは、それを作る会社、それに依存するようになったユーザー、そしてそのソフトウェアやアプリケーションによってデータにアクセスされたり保存されたりする人々を含む、すべての人を助けることになる。ソフトウェアやアプリケーションの大部分を構成するコードが、本番環境に移行する前に可能な限りセキュアに作られていれば、攻撃者だけが手ぶらでいられる。
この新しい方向性を考えると、より安全なコーディングを実装し、CISAプランに準拠するための取り組みを開始するには、すべてのコードを記述またはソース提供する組織の開発者が最適な場所であることは理にかなっている。しかし、開発者は、組織の残りの部分、特に上層部の支援なしには、単独でそれを行うことはできない。脆弱性、安全なコードの書き方、本番環境に到達するずっと前に問題を認識する方法を理解している開発者を確保することが、組織が最終的にコードの出荷に責任を持ち、CISAが言うように、"敵がそれを使って危害を加える前に脆弱性が発見され、修正されるようにする "ための鍵となる。
注意すべき重要な点は、開発者が必要とするトレーニングがかなり高度であるということだ。一貫してセキュアなコードを書くことに習熟するのは困難な努力であり、チェック・ザ・ ボックス的なコンプライアンス対策では対応できない。開発者は、新しい CISA 計画で要求されるセキュリティレベルを維持するために必要なスキルを確実に身につけるために、全体的なセキュリティ意識向上プログラムの一環として、実践的で消化可能かつ継続的な学習成果を提供する、高レベルでアジャイルな学習方法を必要とする。
理想的には、CISA計画に備えるためのスキルアップには、アジャイル開発の原則など、開発者が日常的に使用している高度な手法やプログラムの多くも取り入れるべきである。例えば、アジャイル開発では、作業は管理可能な塊に分割され、連続的なサイクルでスプリントを重ねていく。アジャイルプラクティスを取り入れた優れた教育プログラムは、開発者がCISAプランをサポートするために必要なスキルを迅速に習得するのに役立ち、ほとんどすぐにメリットを実感し、より安全なコーディングを開始することができます。
良いニュースは、ほとんどの開発者がセキュアコーディングの実践を支持し、組織が新しい CISA 指令に準拠するのを支援することを熱望していることである。世界中で活躍している1,200人以上のプロの開発者を対象とした調査では、圧倒的多数の開発者が、セキュアなコードを作成し、組織により良いセキュリティ文化を確立するというコンセプトを支持していると回答した。
開発者は、正確な教育経路と適切なサポートを必要としている。組織がそれを提供することができれば、コードの安全性が高まるだけでなく、新しいCISAサイバーセキュリティ戦略計画で定められたガイダンスに準拠する、あるいはそれを上回る取り組みにおいて、時代を先取りすることができる。
このセキュリティ文化の転換は挑戦的なものではあるが、サイバーセキュリティの本質を変え、私たちの生活を向上させるテクノロジーが、それを悪用しようとする攻撃者に悩まされることのない世界を実現する絶好の機会でもある。そしてCISA計画は、その驚くべき、そして最終的には達成可能な目標に向けた有望な道筋を示している。
始めるためのリソース
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
