NISTで動き出す。未来のサイバー防衛に関する人間主導の立場

2021年6月21日発行
マティアス・マドゥ博士著
ケーススタディ

NISTで動き出す。未来のサイバー防衛に関する人間主導の立場

2021年6月21日発行
マティアス・マドゥ博士著
リソースを見る
リソースを見る

バイデン政権が最近発表したサイバーセキュリティに関する大統領令は、セキュリティ業界でも話題になっています。特に、開発者に対して、日々の業務の中で安全なコーディングのベストプラクティスを適用することの重要性を訴えようとしている開発者は多いようです。今回初めて、連邦政府で使用されているソフトウェアに携わる開発者は、進化した新しいガイドラインを遵守するだけでなく、セキュリティスキルを確認する必要があります。

これは、サイバー防御の現状に前向きな変化をもたらし、開発者の適切なスキルアップがようやく話題に上るようになったことを意味します。これらの政策は米国政府を中心としたものですが、開発者からソフトウェアのサプライチェーンのセキュリティ分析に至るまで、現在のセキュリティ基準に取り組み、改善するためのグローバルな機会を提供しています。 

NISTは最近、HIPAA法などの次の更新に向けてパブリックコメントを募集していますが、これは当社にとって、当社の専門知識を結集して、より安全で、より効果的な、人間主導のサイバーセキュリティへのアプローチを伝えるためのポジショニング・ペーパーを作成する絶好の機会となりました。 

専門家を中心とした組織である当社には、幸いなことに、博士号候補のピーテル・デ・クレマー氏や、技術諮問委員会の一員であるブライアン・チェス博士など、最も熱心で実績のあるサイバーセキュリティの専門家が働いています。私たち3人は、開発者のスキルアップとソフトウェア作成段階での予防的なセキュリティに対する私たちのアプローチが、今後のサイバーセキュリティ基準にプラスの影響を与える可能性があることを訴え、NISTにポジショニング・ペーパーを正式に提出するために頭を悩ませました。 

開発者のために用意された安全な開発パスウェイ

脆弱性スキャンツールやモニタリングなどのセキュリティ自動化はますます普及しており、新しい大統領令やNISTのガイドラインにも取り上げられています。しかし、歴史的に見ても現在においても、特にスキャニングツールは、ソフトウェアの脆弱性を確実に発見し、その効率を高めていますが、それだけでは脆弱性を減らすことはできず、むしろ最初からセキュリティを向上させることはできません。 

煩雑な技術スタックが開発者のワークフローを妨げていることは、開発者がセキュリティに関心を持たず、ネガティブなイメージを抱く根本的な理由の1つです。しかし、もし開発者が、技術だけでなく、言語、フレームワーク、プロジェクト固有の開発目的に合わせてカスタマイズされた、安全な開発のための道筋を持つことができれば、開発者の生産性をできるだけ妨げずに、最初から開発プロセスにセキュリティを組み込むことができ、時間の経過とともに一般的な脆弱性が大幅に減少するという理想的な結果を得ることができるでしょう。 


NISTのポジショニング・ペーパーの全文をご覧になりたい方は、今すぐダウンロードしてください。

紙と書かれたバナー:舗装された道セキュアな開発手法の推進
NISTに提案されたポジションペーパーの全文をダウンロードできます。

安全な開発手法の認証フレームワーク。現在の)ミッシングリンク

現在までのところ、セキュアコーディングのスキルやベストプラクティスを検証するための正式な認証はありません。これは長い間、業界の見落としとなっていましたが、今後のサイバー防御の向上と安全な開発のためには必要不可欠であるというのが私たちの立場です。 

開発者を対象としたさまざまなセキュリティトレーニングが行われていることは承知していますが、大規模なデータ漏洩やサイバー攻撃、質の低いコードが大量に出回っていることを考えると、セキュリティを意識した開発者は生まれておらず、悪化の一途をたどる問題に対処するための知識も与えられていないのではないでしょうか。 

開発者のアップスキリングには、日々の業務に関連した、文脈に沿った、一口サイズの(しかも頻繁に)ツールや教育が必要であり、実際に使用する言語やフレームワークの既存の知識を基にしたものでなければなりません。一般的なトレーニングでは十分ではなく、このことを法律やNISTなどの業界団体で明確にする必要があります。 

NICEフレームワークは、機能する方法論を積極的に使用し、開発者とその作業に最も関心と関連性のある包括的な認証ガイドラインを構築するのに適しています。認知された制度的なフレームワークに合わせることで、本当に効果のある手法を標準化し、組織が従うべきより具体的な道筋を示すことができます。


NISTの第2回目のポジショニング・ペーパーの全文を読むには、今すぐダウンロードしてください。

紙と書かれたバナー:安全な開発プラクティスのための認証フレームワークの作成
NISTに提案されたポジションペーパーの全文をダウンロードできます。


サイバーセキュリティにおける人間の要素は忘れられがちです。私たちは、再発しやすい共通の脆弱性のような人間的な問題に対する人間的な解決策に取り組むべき時です。

開発者を認証する準備はできていますか?このサイトをご覧になれば、すぐに分かります。当社の Learning Platform 今日は

リソースを見る
リソースを見る

著者

マティアス・マドゥ博士

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

NISTで動き出す。未来のサイバー防衛に関する人間主導の立場

2024年1月22日発行
マティアス・マドゥ博士著

バイデン政権が最近発表したサイバーセキュリティに関する大統領令は、セキュリティ業界でも話題になっています。特に、開発者に対して、日々の業務の中で安全なコーディングのベストプラクティスを適用することの重要性を訴えようとしている開発者は多いようです。今回初めて、連邦政府で使用されているソフトウェアに携わる開発者は、進化した新しいガイドラインを遵守するだけでなく、セキュリティスキルを確認する必要があります。

これは、サイバー防御の現状に前向きな変化をもたらし、開発者の適切なスキルアップがようやく話題に上るようになったことを意味します。これらの政策は米国政府を中心としたものですが、開発者からソフトウェアのサプライチェーンのセキュリティ分析に至るまで、現在のセキュリティ基準に取り組み、改善するためのグローバルな機会を提供しています。 

NISTは最近、HIPAA法などの次の更新に向けてパブリックコメントを募集していますが、これは当社にとって、当社の専門知識を結集して、より安全で、より効果的な、人間主導のサイバーセキュリティへのアプローチを伝えるためのポジショニング・ペーパーを作成する絶好の機会となりました。 

専門家を中心とした組織である当社には、幸いなことに、博士号候補のピーテル・デ・クレマー氏や、技術諮問委員会の一員であるブライアン・チェス博士など、最も熱心で実績のあるサイバーセキュリティの専門家が働いています。私たち3人は、開発者のスキルアップとソフトウェア作成段階での予防的なセキュリティに対する私たちのアプローチが、今後のサイバーセキュリティ基準にプラスの影響を与える可能性があることを訴え、NISTにポジショニング・ペーパーを正式に提出するために頭を悩ませました。 

開発者のために用意された安全な開発パスウェイ

脆弱性スキャンツールやモニタリングなどのセキュリティ自動化はますます普及しており、新しい大統領令やNISTのガイドラインにも取り上げられています。しかし、歴史的に見ても現在においても、特にスキャニングツールは、ソフトウェアの脆弱性を確実に発見し、その効率を高めていますが、それだけでは脆弱性を減らすことはできず、むしろ最初からセキュリティを向上させることはできません。 

煩雑な技術スタックが開発者のワークフローを妨げていることは、開発者がセキュリティに関心を持たず、ネガティブなイメージを抱く根本的な理由の1つです。しかし、もし開発者が、技術だけでなく、言語、フレームワーク、プロジェクト固有の開発目的に合わせてカスタマイズされた、安全な開発のための道筋を持つことができれば、開発者の生産性をできるだけ妨げずに、最初から開発プロセスにセキュリティを組み込むことができ、時間の経過とともに一般的な脆弱性が大幅に減少するという理想的な結果を得ることができるでしょう。 


NISTのポジショニング・ペーパーの全文をご覧になりたい方は、今すぐダウンロードしてください。

紙と書かれたバナー:舗装された道セキュアな開発手法の推進
NISTに提案されたポジションペーパーの全文をダウンロードできます。

安全な開発手法の認証フレームワーク。現在の)ミッシングリンク

現在までのところ、セキュアコーディングのスキルやベストプラクティスを検証するための正式な認証はありません。これは長い間、業界の見落としとなっていましたが、今後のサイバー防御の向上と安全な開発のためには必要不可欠であるというのが私たちの立場です。 

開発者を対象としたさまざまなセキュリティトレーニングが行われていることは承知していますが、大規模なデータ漏洩やサイバー攻撃、質の低いコードが大量に出回っていることを考えると、セキュリティを意識した開発者は生まれておらず、悪化の一途をたどる問題に対処するための知識も与えられていないのではないでしょうか。 

開発者のアップスキリングには、日々の業務に関連した、文脈に沿った、一口サイズの(しかも頻繁に)ツールや教育が必要であり、実際に使用する言語やフレームワークの既存の知識を基にしたものでなければなりません。一般的なトレーニングでは十分ではなく、このことを法律やNISTなどの業界団体で明確にする必要があります。 

NICEフレームワークは、機能する方法論を積極的に使用し、開発者とその作業に最も関心と関連性のある包括的な認証ガイドラインを構築するのに適しています。認知された制度的なフレームワークに合わせることで、本当に効果のある手法を標準化し、組織が従うべきより具体的な道筋を示すことができます。


NISTの第2回目のポジショニング・ペーパーの全文を読むには、今すぐダウンロードしてください。

紙と書かれたバナー:安全な開発プラクティスのための認証フレームワークの作成
NISTに提案されたポジションペーパーの全文をダウンロードできます。


サイバーセキュリティにおける人間の要素は忘れられがちです。私たちは、再発しやすい共通の脆弱性のような人間的な問題に対する人間的な解決策に取り組むべき時です。

開発者を認証する準備はできていますか?このサイトをご覧になれば、すぐに分かります。当社の Learning Platform 今日は

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。