セキュリティスキルの不足をチャンスに変えるCISOもいる

2018年04月07日掲載
ピーテル・ダンヒョウ著
ケーススタディ

セキュリティスキルの不足をチャンスに変えるCISOもいる

2018年04月07日掲載
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

今週、RSAに参加するためにサンフランシスコに向かうにあたり、私はCISOと多くの議論をするための準備をしています。驚かれるかもしれませんが、最近の多くのCISOとの会話は幸せなものではありません。

彼らは、セキュリティリスクが増加していることを知っていますが、多くの人はセキュリティ改善の機会を見出すことができず、むしろ組織がデータ漏洩やサイバーセキュリティ攻撃の犠牲になる可能性が以前よりも高くなっていると考えています。

CISOとの会話でよく聞かれるのは、サイバーセキュリティのスキルが不足しているという問題への懸念です。

"当社のセキュリティチームは、当社のエンジニアリングチームや会社の規模に対して十分ではありません。"
"当社のセキュリティチームは、高額な給与や他の大陸で働く機会を提供する海外の企業に引き抜かれ続けています"
"当社のセキュリティ専門家は消火活動に忙しく、スキルアップを怠っている」。

このテーマは、2017年のPonemon Instituteの調査で、2018年のCISOのサイバーセキュリティに関する懸念の他の形態として「有能な社内スタッフの不足」がトップになったことをはじめ、いくつかの調査報告で裏付けられています。

特にオーストラリアのように、優秀な人材が海外に流出したり、移民法によって外国人のセキュリティ専門家を国内に招き入れることが難しくなっている市場では、この重大なセキュリティスキルのギャップがすぐに解消されることはないでしょう。

オーストラリアの技能不足で興味深いのは、熟練した専門家を採用できないことで、国家安全保障のための技能開発に前向きに取り組んでいることです。ベンジャミン・フランクリンが言ったとされる「逆境にはチャンスがある」という言葉があります。オーストラリア政府、教育機関、企業、新興企業は、地元でさまざまなセキュリティスキルを身につけるためのプログラムに取り組んでいます。

セキュリティ・スキルの逆境が確実にチャンスにつながっている分野の1つが、社内外の開発チームにおける安全なコーディング・スキルの開発です。世界の大規模なセキュリティ侵害のほとんどがコーディング・エラーに起因しており、平均的な侵害の被害額が360万米ドルであることを考えると、ソフトウェア・セキュリティがセキュリティの課題の重要な部分であることは間違いありません。アプリケーション・セキュリティの予算の中で最も大きな(そして増加している)支出の1つは、反応的なアプリケーション・セキュリティの確認と修正であり、多くの場合、毎年のように同じ古いバグが発生しています。

開発者に最初から安全なコードを書くように権限を与えることは、CISOがセキュリティ上の苦境から積極的にコントロールする機会であり、セキュリティチームと開発チームの両方にとって、迅速かつ容易で測定可能な改善のチャンスとなります。  

セキュリティの専門家を開発者に置き換えるということではありませんが、開発者をセキュリティ問題に巻き込み、セキュリティを日々の考え方の一部にして、楽しく、効果的で、効率的な方法で安全なコードを書くことを教えるということなのです。その結果、希少なセキュリティの専門知識を、同じような古い脆弱性に対処するのではなく、本当に困難で複雑なバグの発見と修正に費やすことができるようになります。

CISOの中には、このようなことを「良すぎて実現できない」「導入が難しすぎる」と感じる人もいるかもしれませんが、実際にはそのどちらでもないのです。Secure Code Warrior では、ますます多くのCISOがこの機会を受け入れ、その過程でセキュリティチームと開発チームの両方の仕事ぶりを変えているのを目の当たりにしています。

ソフトウェア開発者に強力なセキュリティマインドとスキルを身につけさせるために、世界的に主導的な役割を果たしているCISOのグループに、オーストラリアの銀行があります。オーストラリアの銀行は、2016年と2017年にこのアプローチをいち早く採用しました。現在、オーストラリアのトップ6の銀行は、当社のオンライン、自習型、ゲーム化された学習環境を通じて、開発チームに安全なコーディングスキルを身につけることを積極的に奨励し、取り組んでいます。また、銀行はリアルタイムのメトリクスとレポートを定期的に確認し、開発者とチームの強みと弱みを検証しています。

このアプローチにより、一般的な脆弱性の発生が減少し、開発者のセキュリティ意識が高まり、セキュリティチームと開発チームの関係が改善されるなど、具体的でポジティブな結果が得られています。開発者に安全なコードを教えることに投資した企業は、既存のセキュリティ人材への負担を軽減するとともに、ソフトウェアの不安要素によるリスクを軽減することができます。

もしあなたがCISOで、組織内のセキュリティ状況について憂鬱な気分になっているなら、前向きで具体的なセキュリティ改善ポイントを獲得するための簡単な方法を考えてみることをお勧めします。開発者に、関連性があり、前向きで楽しい方法で、安全なコーディングを学ぶ力を与えてください。セキュリティチームと開発チームはこの方法に感謝するでしょうし、製品のイノベーションと開発におけるコストと遅延を取り除くことができるでしょう。賭けてもいいですが、セキュリティに関する多くの前向きな会話への道を開くことになるでしょう。....

開発者に最初から安全なコードを書くように権限を与えることは、CISOがセキュリティ上の苦境から積極的にコントロールする機会であり、セキュリティチームと開発チームの両方にとって、迅速かつ容易で測定可能な改善のチャンスとなります。
リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

セキュリティスキルの不足をチャンスに変えるCISOもいる

2024年1月22日発行
Pieter Danhieux著

今週、RSAに参加するためにサンフランシスコに向かうにあたり、私はCISOと多くの議論をするための準備をしています。驚かれるかもしれませんが、最近の多くのCISOとの会話は幸せなものではありません。

彼らは、セキュリティリスクが増加していることを知っていますが、多くの人はセキュリティ改善の機会を見出すことができず、むしろ組織がデータ漏洩やサイバーセキュリティ攻撃の犠牲になる可能性が以前よりも高くなっていると考えています。

CISOとの会話でよく聞かれるのは、サイバーセキュリティのスキルが不足しているという問題への懸念です。

"当社のセキュリティチームは、当社のエンジニアリングチームや会社の規模に対して十分ではありません。"
"当社のセキュリティチームは、高額な給与や他の大陸で働く機会を提供する海外の企業に引き抜かれ続けています"
"当社のセキュリティ専門家は消火活動に忙しく、スキルアップを怠っている」。

このテーマは、2017年のPonemon Instituteの調査で、2018年のCISOのサイバーセキュリティに関する懸念の他の形態として「有能な社内スタッフの不足」がトップになったことをはじめ、いくつかの調査報告で裏付けられています。

特にオーストラリアのように、優秀な人材が海外に流出したり、移民法によって外国人のセキュリティ専門家を国内に招き入れることが難しくなっている市場では、この重大なセキュリティスキルのギャップがすぐに解消されることはないでしょう。

オーストラリアの技能不足で興味深いのは、熟練した専門家を採用できないことで、国家安全保障のための技能開発に前向きに取り組んでいることです。ベンジャミン・フランクリンが言ったとされる「逆境にはチャンスがある」という言葉があります。オーストラリア政府、教育機関、企業、新興企業は、地元でさまざまなセキュリティスキルを身につけるためのプログラムに取り組んでいます。

セキュリティ・スキルの逆境が確実にチャンスにつながっている分野の1つが、社内外の開発チームにおける安全なコーディング・スキルの開発です。世界の大規模なセキュリティ侵害のほとんどがコーディング・エラーに起因しており、平均的な侵害の被害額が360万米ドルであることを考えると、ソフトウェア・セキュリティがセキュリティの課題の重要な部分であることは間違いありません。アプリケーション・セキュリティの予算の中で最も大きな(そして増加している)支出の1つは、反応的なアプリケーション・セキュリティの確認と修正であり、多くの場合、毎年のように同じ古いバグが発生しています。

開発者に最初から安全なコードを書くように権限を与えることは、CISOがセキュリティ上の苦境から積極的にコントロールする機会であり、セキュリティチームと開発チームの両方にとって、迅速かつ容易で測定可能な改善のチャンスとなります。  

セキュリティの専門家を開発者に置き換えるということではありませんが、開発者をセキュリティ問題に巻き込み、セキュリティを日々の考え方の一部にして、楽しく、効果的で、効率的な方法で安全なコードを書くことを教えるということなのです。その結果、希少なセキュリティの専門知識を、同じような古い脆弱性に対処するのではなく、本当に困難で複雑なバグの発見と修正に費やすことができるようになります。

CISOの中には、このようなことを「良すぎて実現できない」「導入が難しすぎる」と感じる人もいるかもしれませんが、実際にはそのどちらでもないのです。Secure Code Warrior では、ますます多くのCISOがこの機会を受け入れ、その過程でセキュリティチームと開発チームの両方の仕事ぶりを変えているのを目の当たりにしています。

ソフトウェア開発者に強力なセキュリティマインドとスキルを身につけさせるために、世界的に主導的な役割を果たしているCISOのグループに、オーストラリアの銀行があります。オーストラリアの銀行は、2016年と2017年にこのアプローチをいち早く採用しました。現在、オーストラリアのトップ6の銀行は、当社のオンライン、自習型、ゲーム化された学習環境を通じて、開発チームに安全なコーディングスキルを身につけることを積極的に奨励し、取り組んでいます。また、銀行はリアルタイムのメトリクスとレポートを定期的に確認し、開発者とチームの強みと弱みを検証しています。

このアプローチにより、一般的な脆弱性の発生が減少し、開発者のセキュリティ意識が高まり、セキュリティチームと開発チームの関係が改善されるなど、具体的でポジティブな結果が得られています。開発者に安全なコードを教えることに投資した企業は、既存のセキュリティ人材への負担を軽減するとともに、ソフトウェアの不安要素によるリスクを軽減することができます。

もしあなたがCISOで、組織内のセキュリティ状況について憂鬱な気分になっているなら、前向きで具体的なセキュリティ改善ポイントを獲得するための簡単な方法を考えてみることをお勧めします。開発者に、関連性があり、前向きで楽しい方法で、安全なコーディングを学ぶ力を与えてください。セキュリティチームと開発チームはこの方法に感謝するでしょうし、製品のイノベーションと開発におけるコストと遅延を取り除くことができるでしょう。賭けてもいいですが、セキュリティに関する多くの前向きな会話への道を開くことになるでしょう。....

開発者に最初から安全なコードを書くように権限を与えることは、CISOがセキュリティ上の苦境から積極的にコントロールする機会であり、セキュリティチームと開発チームの両方にとって、迅速かつ容易で測定可能な改善のチャンスとなります。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。