プロアクティブな保護:国家サイバーセキュリティ戦略を活用した高度な脅威対策

2023年5月19日発行
ピーテル・ダンヒョウ著
ケーススタディ

プロアクティブな保護:国家サイバーセキュリティ戦略を活用した高度な脅威対策

2023年5月19日発行
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

本記事は、Forbes Technology Councilの一部として掲載されたものです。この記事は更新され、ここにシンジケートされています。

2022年に漏洩したデータレコードは何件だと思いますか?5億件前後と推測すれば、正しい判断でしょう。公開されている情報漏えいのデータによると、昨年だけで約480,014,323件のデータが盗まれましたが、この数字はもっと大きいでしょう。いずれにせよ、これは一般市民にとっては悲痛な統計であり、企業のセキュリティ担当者にとっては深く気になるところです。

先進国のほとんどの人が、サイバー攻撃によって自分の個人情報の少なくとも一部が犯罪者の手に渡るのを目の当たりにしているのですから、世界各国の政府がこのようなオンライン犯罪の破壊的な流れを食い止めるための解決策を検討しているのは当然です。その最新のものが、バイデン政権による「国家サイバーセキュリティ戦略」であり、私は強い関心を持って注目している。この戦略には、私が最近気に入っているテーマの一つである「セキュリティの説明責任」に関する指令が含まれています。

この戦略は、CISAのサイバーセキュリティおよびインフラストラクチャ・セキュリティ担当ディレクターであるJen Easterlyによる画期的なプレゼンテーションの後に発表され、当然のことながら、セキュリティ・コミュニティでいくつかの分裂を引き起こしました。しかし、私は、この戦略は、ソフトウェアの標準を全面的に引き上げ、最終的に、セキュリティに精通した開発者の新時代を切り開くための最良のチャンスであると信じています。

ベンダーは常に 安全でないソフトウェアに対して責任を負うべきでした。

ソフトウェア・セキュリティにおいて、アカウンタビリティは、どのチームも両立させようとしないホットポテトであることは、何十年も前から言われていることです。Venafiのあるレポートでは、IT上級役員の97%がソフトウェア構築プロセスの安全性が十分でないことに同意しているにもかかわらず、セキュリティのベストプラクティスを実現するための最終責任者が誰であるかについては意見が分かれていることが明らかにされています。61%の経営幹部は、ITセキュリティチームがソフトウェア・セキュリティの責任を負うべきであるとし、31%は、開発チームが負うべきであると述べています。オープンソースやサードパーティの商用コンポーネントがソフトウェアに含まれることで、攻撃対象が常に拡大することになります。

この同じ調査では、ソフトウェアのセキュリティと完全性に対して誰が責任を負うべきかについて社内で対立しているにもかかわらず、94%の経営幹部が、ビルドパイプラインを脅威から保護できず、顧客やエンドユーザーを危険にさらすソフトウェアベンダーに罰則を設けるべきだと考えていることも明らかにされています。 

2016年に発生した壊滅的なサイバー攻撃の不始末に関連して、UberのCISOが最近起訴されたほか、GDPRなどの規制イニシアチブもあり、セキュリティを軽視して火遊びをしているベンダーに対する非難は徐々に高まっています。しかし、これだけでは十分ではありません。私たちはサイバー犯罪者との戦いに敗れつつあり、飲み込むのは難しいですが、ソフトウェア・ベンダーの甘いやり方が、サイバー犯罪者に無限の機会を与えているのです。 

国家サイバーセキュリティ戦略では、安全でないソフトウェアの全責任をベンダーに負わせることで、一線を画し、循環する責任のなすり合いを止めようとしています。



戦略目標 3.3 - Shift Liability For Insecure Software Products And Services:

"あまりにも多くのベンダーが、安全な開発のためのベストプラクティスを無視し、安全でない初期設定や既知の脆弱性を持つ製品を出荷し、検証されていない、あるいは出所が不明なサードパーティ製ソフトウェアを統合しています。

我々は、最も高度なソフトウェアセキュリティプログラムでさえ、すべての脆弱性を防ぐことができないことを認識しながら、ソフトウェアの安全性を確保するための合理的な予防措置を怠った事業体に責任を転嫁し始める必要が
あります。"

これは、当然ながら、一部の羽目を外すことになりました。しかし、ほとんどの業界における標準や規制の策定における他の決定的な瞬間と同様、長期的により良い結果を得るためには、中期的な苦痛を伴うものなのです。ソフトウェアベンダーである私自身は、セキュリティに関して責任を負うべきは我々であると考えます。私たちのビルドパイプライン、プロセス、そして品質管理は、私たちのものであり、もし失敗したら、それを改善するのは私たちの責任です。

さらに、私たちは、可能な限り最高品質のソフトウェアを作成しようとする場所にいるべきであり、安全なコーディングは、成功した結果を定義する測定基準の一部でなければなりません。これを達成するのは、何としてでもスピードにこだわる世界では難しいことですが、ソフトウェア作成プロセスに関わるすべての人、特に開発者が、それぞれの役割に応じたセキュリティのベストプラクティスを提供できるように十分なトレーニングを受けることができるかどうかは、未来を導くセキュリティリーダーにかかっています。 

長期的なベストプラクティスについては、まだ方向性が定まっていません。

戦略目標 3.3 は、一般的なベストプラクティスの基礎として、確立されたNIST Secure Software Development Frameworkを参照しており、これは包括的ですべてを網羅したガイドラインである。このガイドラインは、「組織の人材、プロセス、技術が、組織レベルで安全なソフトウエア開発を実行するために準備されていることを確認する」必要性を明記していますが、例えば、セキュリティ意識管理者が有効化ソリューションを選択する際に意識すべき要素については、特に規定されていません。

このアプローチが真の変革になるためには、開発者がセキュリティプログラムに不可欠であると考えられ、スキルを高め、脆弱性の検出と撲滅の責任を共有するあらゆる機会が与えられるべきです。また、継続的なスキル開発の道筋ではなく、毎年のコンプライアンス演習と見なされるようでは、これを測定可能な形で達成することはできません。 

開発者は、セキュリティの謎を解くための強力なパズルのピースであり、セキュリティに精通した開発者のチームは、ほとんどの組織で本質的に欠落している要素である。開発者は、セキュリティの高速化を可能にしますが、そのためには、時間とリソースを費やして、開発者の能力を引き出す必要があります。それまでは、一般的なベストプラクティスのガイドラインがあっても、その針は動きません。

ソフトウェアセキュリティの涅槃への長い道のり。

バイデン政権は、重要インフラ全体で迅速な回復力を実現することを目的に、CISAに30億ドルの資金提供を約束しました。政府の最高レベルからの資金提供や支援は非常に重要ですが、私たちが脅威要因の追跡を阻止するチャンスを得るためには、セキュリティ文化に関する物語を書き換えるための世界的な後押しが必要です。

この先には長い道のりが待っています。しかし、それは、すべてのソフトウェアベンダーが、組織レベルでのセキュリティの説明責任に向けて最初の勇気ある一歩を踏み出すことから始まります。

リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

プロアクティブな保護:国家サイバーセキュリティ戦略を活用した高度な脅威対策

2024年1月22日発行
Pieter Danhieux著

本記事は、Forbes Technology Councilの一部として掲載されたものです。この記事は更新され、ここにシンジケートされています。

2022年に漏洩したデータレコードは何件だと思いますか?5億件前後と推測すれば、正しい判断でしょう。公開されている情報漏えいのデータによると、昨年だけで約480,014,323件のデータが盗まれましたが、この数字はもっと大きいでしょう。いずれにせよ、これは一般市民にとっては悲痛な統計であり、企業のセキュリティ担当者にとっては深く気になるところです。

先進国のほとんどの人が、サイバー攻撃によって自分の個人情報の少なくとも一部が犯罪者の手に渡るのを目の当たりにしているのですから、世界各国の政府がこのようなオンライン犯罪の破壊的な流れを食い止めるための解決策を検討しているのは当然です。その最新のものが、バイデン政権による「国家サイバーセキュリティ戦略」であり、私は強い関心を持って注目している。この戦略には、私が最近気に入っているテーマの一つである「セキュリティの説明責任」に関する指令が含まれています。

この戦略は、CISAのサイバーセキュリティおよびインフラストラクチャ・セキュリティ担当ディレクターであるJen Easterlyによる画期的なプレゼンテーションの後に発表され、当然のことながら、セキュリティ・コミュニティでいくつかの分裂を引き起こしました。しかし、私は、この戦略は、ソフトウェアの標準を全面的に引き上げ、最終的に、セキュリティに精通した開発者の新時代を切り開くための最良のチャンスであると信じています。

ベンダーは常に 安全でないソフトウェアに対して責任を負うべきでした。

ソフトウェア・セキュリティにおいて、アカウンタビリティは、どのチームも両立させようとしないホットポテトであることは、何十年も前から言われていることです。Venafiのあるレポートでは、IT上級役員の97%がソフトウェア構築プロセスの安全性が十分でないことに同意しているにもかかわらず、セキュリティのベストプラクティスを実現するための最終責任者が誰であるかについては意見が分かれていることが明らかにされています。61%の経営幹部は、ITセキュリティチームがソフトウェア・セキュリティの責任を負うべきであるとし、31%は、開発チームが負うべきであると述べています。オープンソースやサードパーティの商用コンポーネントがソフトウェアに含まれることで、攻撃対象が常に拡大することになります。

この同じ調査では、ソフトウェアのセキュリティと完全性に対して誰が責任を負うべきかについて社内で対立しているにもかかわらず、94%の経営幹部が、ビルドパイプラインを脅威から保護できず、顧客やエンドユーザーを危険にさらすソフトウェアベンダーに罰則を設けるべきだと考えていることも明らかにされています。 

2016年に発生した壊滅的なサイバー攻撃の不始末に関連して、UberのCISOが最近起訴されたほか、GDPRなどの規制イニシアチブもあり、セキュリティを軽視して火遊びをしているベンダーに対する非難は徐々に高まっています。しかし、これだけでは十分ではありません。私たちはサイバー犯罪者との戦いに敗れつつあり、飲み込むのは難しいですが、ソフトウェア・ベンダーの甘いやり方が、サイバー犯罪者に無限の機会を与えているのです。 

国家サイバーセキュリティ戦略では、安全でないソフトウェアの全責任をベンダーに負わせることで、一線を画し、循環する責任のなすり合いを止めようとしています。



戦略目標 3.3 - Shift Liability For Insecure Software Products And Services:

"あまりにも多くのベンダーが、安全な開発のためのベストプラクティスを無視し、安全でない初期設定や既知の脆弱性を持つ製品を出荷し、検証されていない、あるいは出所が不明なサードパーティ製ソフトウェアを統合しています。

我々は、最も高度なソフトウェアセキュリティプログラムでさえ、すべての脆弱性を防ぐことができないことを認識しながら、ソフトウェアの安全性を確保するための合理的な予防措置を怠った事業体に責任を転嫁し始める必要が
あります。"

これは、当然ながら、一部の羽目を外すことになりました。しかし、ほとんどの業界における標準や規制の策定における他の決定的な瞬間と同様、長期的により良い結果を得るためには、中期的な苦痛を伴うものなのです。ソフトウェアベンダーである私自身は、セキュリティに関して責任を負うべきは我々であると考えます。私たちのビルドパイプライン、プロセス、そして品質管理は、私たちのものであり、もし失敗したら、それを改善するのは私たちの責任です。

さらに、私たちは、可能な限り最高品質のソフトウェアを作成しようとする場所にいるべきであり、安全なコーディングは、成功した結果を定義する測定基準の一部でなければなりません。これを達成するのは、何としてでもスピードにこだわる世界では難しいことですが、ソフトウェア作成プロセスに関わるすべての人、特に開発者が、それぞれの役割に応じたセキュリティのベストプラクティスを提供できるように十分なトレーニングを受けることができるかどうかは、未来を導くセキュリティリーダーにかかっています。 

長期的なベストプラクティスについては、まだ方向性が定まっていません。

戦略目標 3.3 は、一般的なベストプラクティスの基礎として、確立されたNIST Secure Software Development Frameworkを参照しており、これは包括的ですべてを網羅したガイドラインである。このガイドラインは、「組織の人材、プロセス、技術が、組織レベルで安全なソフトウエア開発を実行するために準備されていることを確認する」必要性を明記していますが、例えば、セキュリティ意識管理者が有効化ソリューションを選択する際に意識すべき要素については、特に規定されていません。

このアプローチが真の変革になるためには、開発者がセキュリティプログラムに不可欠であると考えられ、スキルを高め、脆弱性の検出と撲滅の責任を共有するあらゆる機会が与えられるべきです。また、継続的なスキル開発の道筋ではなく、毎年のコンプライアンス演習と見なされるようでは、これを測定可能な形で達成することはできません。 

開発者は、セキュリティの謎を解くための強力なパズルのピースであり、セキュリティに精通した開発者のチームは、ほとんどの組織で本質的に欠落している要素である。開発者は、セキュリティの高速化を可能にしますが、そのためには、時間とリソースを費やして、開発者の能力を引き出す必要があります。それまでは、一般的なベストプラクティスのガイドラインがあっても、その針は動きません。

ソフトウェアセキュリティの涅槃への長い道のり。

バイデン政権は、重要インフラ全体で迅速な回復力を実現することを目的に、CISAに30億ドルの資金提供を約束しました。政府の最高レベルからの資金提供や支援は非常に重要ですが、私たちが脅威要因の追跡を阻止するチャンスを得るためには、セキュリティ文化に関する物語を書き換えるための世界的な後押しが必要です。

この先には長い道のりが待っています。しかし、それは、すべてのソフトウェアベンダーが、組織レベルでのセキュリティの説明責任に向けて最初の勇気ある一歩を踏み出すことから始まります。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。