ブログ

Strike First, Strike Hard: なぜキュレートされたセキュアコーディングcourses はサイバー脅威に容赦ない。

マティアス・マドゥ博士
2020年7月20日発行

世の中には、政府や大企業、さらには一部の業界リーダーからも見過ごされがちな不都合な真実があります。それは、社会全体がサイバー脅威との絶え間ない戦いの中にあり、私たちは現在、負けているということです。なぜこのようなことが言えるのでしょうか。これらの統計が語るのは、悲惨な話です。

サイバーセキュリティの専門家に関しては、人員が決定的に不足しており、スキルギャップは埋められそうになく、AppSecの秘密の軍隊が我々を救済してくれることもありません。このことは何年も前から分かっていましたが、私たちはアプローチを変えなければなりません。私たちの場合、最高の攻撃は最高の防御であり、優れた計画で先制攻撃を行うことができます。

憂鬱な気分にさせられるかもしれませんが、世間で言われているほど悪い状況ではありません。私たちにはエースがいて、サイバーセキュリティの状況は私たちに絶好のチャンスを与えてくれます。組織を救う人材は、社内の開発チームをおいて他にはありません。しかし、セキュリティプログラムは、彼らがセキュリティを意識したエンジニアとなり、安全なコーディングの責任を共有できるようになるまでの道のりをサポートする必要があります。

しかし、たとえ適切なトレーニングであっても、ビジネスのニーズや直面する脅威、そして企業がすべてのデータを安全に保つためのコンプライアンス要件に合わせてカスタマイズされていれば、開発者の興味を引き、文脈に沿った知識を構築し、セキュリティを好きになってもらうことは、はるかに効果的です。

そこで、最新の機能である Coursesの出番です。ところで、このタイトルの意味がわかった方は、もうお年を召した方(あるいは、クラシックの良さがわかった方)ですね。

組織に特化した学習:防御力を高め、開発者のスキルを強化する

ある種の開発者トレーニングが他のトレーニングよりも優れている理由については、様々な意見があります(例えば、乾燥した一般的なビデオによる説教を何時間も続けて死ぬほど退屈させて、安全なコーディングへの情熱を開花させようとするのはやめてほしい、など)。しかし、開発者のマインドに訴えかけるように設計された競争力のある学習であっても、その内容は組織内の特定の要件に必要なものよりも少し幅広いものになるかもしれません。

厳選されたコースには、開発者が習熟しなければならないモジュールが正確に含まれているため、強力なインパクトを与え、日々の業務でセキュリティのベストプラクティスを実践することができます。フロントエンドチームやクラウドエンジニアなどに合わせてプログラムをカスタマイズし、最も重要な脆弱性を、彼らに関連する言語やフレームワークで掘り下げて学ぶことができます。開発者は、継続的なコンテキスト、タッチポイント、経験によってスキルを向上させることができ、ビジネスは、最もリスクの高い問題を正確に認識することができます。

コンプライアンスのためにコースをカスタマイズ

世界中でサイバーセキュリティ関連の規制が強化されていますが、ソフトウェア・セキュリティ・コンプライアンスは、積極的で効果的なセキュリティ文化を構築するための素晴らしい基盤となります。良いセキュリティプログラムは、開発者の誇りと責任感に火をつけるものであり、決して退屈なものではありません。

まずは、OWASP トップ 10 を全員が理解できるようにするのがよいでしょう。しかし、業界に関連するコンプライア ンスで新たな高みに到達するためには、特定の規制の要件に基づいてカスタムコースを設計すること ができます。たとえば、金融機関であれば、決済やカード処理アプリケーションを規定するPCI-DSS ガイドラインに沿って、自社のソフトウェアのコンプライアンス要件に合わせてコースをカスタマイズすることができます。クレジットカード番号のような機密情報の処理と保存を担当している場合は、重大な問題が発生します。開発者向けの学習では、雑音を排除し、適切な教育を適切なタイミングで提供し、チームの適性をはるかに容易に監視することができます。  

これは、ゼネラル・エレクトリック(GE)社が、チーム内でCourses を使用している方法です。

"Courses は、当社のエンジニアにとって素晴らしいソリューションです。ラーニングパスウェイ、ビデオ、チェックポイントをカスタマイズ可能なモジュールにまとめた新機能により、その時々に必要なものに基づいてコンテンツを形成することができるようになりました。コンプライアンス機能と柔軟性は、より合理的で柔軟なプロセスを確保するためのさらなる好機となります。 この機能のおかげで、ゼネラル・エレクトリック社は、関連性のあるトレーニングを各エンジニアに合わせて、これまで以上に迅速かつ簡単に提供できるようになりました。"

厳選されたコンプライアンス研修かもしれませんが、開発者にとってははるかに魅力的な、一口サイズの、文脈に沿った、魅力的な学習体験として提供されていることを忘れないでください。

尊敬と関連性に基づいたポジティブなセキュリティ文化

教育は一生続くものですが、DevSecOpsの世界では、たくさんのプレートを回転させる必要があります。トレーニングのために用意された時間は、継続的に参加して価値を高めることができる実行可能な学習経路を用いて、賢明に使用する必要があります。

関連性の高いカスタムコースを用意することで、開発者の時間とワークフローを尊重すると同時に、ビジネスにおける脆弱性とサイバーセキュリティのリスクを測定可能な形で削減することができます。

AppSec のスペシャリストとエンジニアの関係は、従来、誤解と緊張に満ちていましたが、Courses を用いた体系的な学習により、両者がセキュリティのベスト・プラクティスについて同じ見解を持つことができます。開発者は、AppSecチームからのソリューションに焦点を当てた支援を受けることで、開発者の負荷を最小限に抑え、より高い水準のコードを作成することができるようになります。

弱点をなくし、企業レベルのセキュリティ衛生を向上させる

私たちは皆、人間であり、残念ながらミスを犯してしまいます。そのようなミスは、デジタルの世界では非常に大きなコストになる可能性がありますが、驚くほどよくあることです。シマンテック社の「2019年インターネットセキュリティ脅威レポート」では、S3バケットの設定ミスにより、7,000万件以上の記録が盗まれたことが確認されています。セキュリティの設定ミスはデータ漏洩の主要な原因であり、ヒューマンエラーはその約4分の1を占めています。

これらの問題は様々な理由で発生しますが、セキュリティ意識とトレーニングの欠如は、攻撃者が悪用できるような小さな機会を残してしまう大きな要因となります。効果的なセキュリティ対策を行うためには、お客様のビジネスに合わせてカスタマイズされたコースを利用して、その効果を高める必要があります。敵を容赦なく攻撃し、最大の頭痛の種となる機会をすべて潰してください。

クラウドベースの会計SaaSのリーディングカンパニーであるこの企業を含め、お客様にはすでに素晴らしいインパクトを与えています。

"Courses 「オーダーメイドの学習経路は、画期的なものでした。プログラミング言語と脆弱性に特化しているため、個人や企業のニーズに応じて、開発者一人ひとりに適した学習環境を構築するためのコントロールと柔軟性が向上しました。Courses とSecure Code Warrior の幅広いセキュアコーディングプラットフォームを併用することで、開発者のエンゲージメントが変化し、より優れたセキュアなコードを書くためのセキュアコーディングスキルの向上に興味を持つようになりました」。

DevSecへの対応。セキュア・コード・ウォリアーズの新機能Courses については、こちらをご覧ください。 こちら.

リソースを見る
リソースを見る

厳選されたコースには、開発者が習熟しなければならないモジュールが正確に含まれているため、強力なインパクトがあり、日々の仕事でセキュリティのベストプラクティスを実践することができます。

ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約する
シェアする
著者
マティアス・マドゥ博士
2020年7月20日発行

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする

世の中には、政府や大企業、さらには一部の業界リーダーからも見過ごされがちな不都合な真実があります。それは、社会全体がサイバー脅威との絶え間ない戦いの中にあり、私たちは現在、負けているということです。なぜこのようなことが言えるのでしょうか。これらの統計が語るのは、悲惨な話です。

サイバーセキュリティの専門家に関しては、人員が決定的に不足しており、スキルギャップは埋められそうになく、AppSecの秘密の軍隊が我々を救済してくれることもありません。このことは何年も前から分かっていましたが、私たちはアプローチを変えなければなりません。私たちの場合、最高の攻撃は最高の防御であり、優れた計画で先制攻撃を行うことができます。

憂鬱な気分にさせられるかもしれませんが、世間で言われているほど悪い状況ではありません。私たちにはエースがいて、サイバーセキュリティの状況は私たちに絶好のチャンスを与えてくれます。組織を救う人材は、社内の開発チームをおいて他にはありません。しかし、セキュリティプログラムは、彼らがセキュリティを意識したエンジニアとなり、安全なコーディングの責任を共有できるようになるまでの道のりをサポートする必要があります。

しかし、たとえ適切なトレーニングであっても、ビジネスのニーズや直面する脅威、そして企業がすべてのデータを安全に保つためのコンプライアンス要件に合わせてカスタマイズされていれば、開発者の興味を引き、文脈に沿った知識を構築し、セキュリティを好きになってもらうことは、はるかに効果的です。

そこで、最新の機能である Coursesの出番です。ところで、このタイトルの意味がわかった方は、もうお年を召した方(あるいは、クラシックの良さがわかった方)ですね。

組織に特化した学習:防御力を高め、開発者のスキルを強化する

ある種の開発者トレーニングが他のトレーニングよりも優れている理由については、様々な意見があります(例えば、乾燥した一般的なビデオによる説教を何時間も続けて死ぬほど退屈させて、安全なコーディングへの情熱を開花させようとするのはやめてほしい、など)。しかし、開発者のマインドに訴えかけるように設計された競争力のある学習であっても、その内容は組織内の特定の要件に必要なものよりも少し幅広いものになるかもしれません。

厳選されたコースには、開発者が習熟しなければならないモジュールが正確に含まれているため、強力なインパクトを与え、日々の業務でセキュリティのベストプラクティスを実践することができます。フロントエンドチームやクラウドエンジニアなどに合わせてプログラムをカスタマイズし、最も重要な脆弱性を、彼らに関連する言語やフレームワークで掘り下げて学ぶことができます。開発者は、継続的なコンテキスト、タッチポイント、経験によってスキルを向上させることができ、ビジネスは、最もリスクの高い問題を正確に認識することができます。

コンプライアンスのためにコースをカスタマイズ

世界中でサイバーセキュリティ関連の規制が強化されていますが、ソフトウェア・セキュリティ・コンプライアンスは、積極的で効果的なセキュリティ文化を構築するための素晴らしい基盤となります。良いセキュリティプログラムは、開発者の誇りと責任感に火をつけるものであり、決して退屈なものではありません。

まずは、OWASP トップ 10 を全員が理解できるようにするのがよいでしょう。しかし、業界に関連するコンプライア ンスで新たな高みに到達するためには、特定の規制の要件に基づいてカスタムコースを設計すること ができます。たとえば、金融機関であれば、決済やカード処理アプリケーションを規定するPCI-DSS ガイドラインに沿って、自社のソフトウェアのコンプライアンス要件に合わせてコースをカスタマイズすることができます。クレジットカード番号のような機密情報の処理と保存を担当している場合は、重大な問題が発生します。開発者向けの学習では、雑音を排除し、適切な教育を適切なタイミングで提供し、チームの適性をはるかに容易に監視することができます。  

これは、ゼネラル・エレクトリック(GE)社が、チーム内でCourses を使用している方法です。

"Courses は、当社のエンジニアにとって素晴らしいソリューションです。ラーニングパスウェイ、ビデオ、チェックポイントをカスタマイズ可能なモジュールにまとめた新機能により、その時々に必要なものに基づいてコンテンツを形成することができるようになりました。コンプライアンス機能と柔軟性は、より合理的で柔軟なプロセスを確保するためのさらなる好機となります。 この機能のおかげで、ゼネラル・エレクトリック社は、関連性のあるトレーニングを各エンジニアに合わせて、これまで以上に迅速かつ簡単に提供できるようになりました。"

厳選されたコンプライアンス研修かもしれませんが、開発者にとってははるかに魅力的な、一口サイズの、文脈に沿った、魅力的な学習体験として提供されていることを忘れないでください。

尊敬と関連性に基づいたポジティブなセキュリティ文化

教育は一生続くものですが、DevSecOpsの世界では、たくさんのプレートを回転させる必要があります。トレーニングのために用意された時間は、継続的に参加して価値を高めることができる実行可能な学習経路を用いて、賢明に使用する必要があります。

関連性の高いカスタムコースを用意することで、開発者の時間とワークフローを尊重すると同時に、ビジネスにおける脆弱性とサイバーセキュリティのリスクを測定可能な形で削減することができます。

AppSec のスペシャリストとエンジニアの関係は、従来、誤解と緊張に満ちていましたが、Courses を用いた体系的な学習により、両者がセキュリティのベスト・プラクティスについて同じ見解を持つことができます。開発者は、AppSecチームからのソリューションに焦点を当てた支援を受けることで、開発者の負荷を最小限に抑え、より高い水準のコードを作成することができるようになります。

弱点をなくし、企業レベルのセキュリティ衛生を向上させる

私たちは皆、人間であり、残念ながらミスを犯してしまいます。そのようなミスは、デジタルの世界では非常に大きなコストになる可能性がありますが、驚くほどよくあることです。シマンテック社の「2019年インターネットセキュリティ脅威レポート」では、S3バケットの設定ミスにより、7,000万件以上の記録が盗まれたことが確認されています。セキュリティの設定ミスはデータ漏洩の主要な原因であり、ヒューマンエラーはその約4分の1を占めています。

これらの問題は様々な理由で発生しますが、セキュリティ意識とトレーニングの欠如は、攻撃者が悪用できるような小さな機会を残してしまう大きな要因となります。効果的なセキュリティ対策を行うためには、お客様のビジネスに合わせてカスタマイズされたコースを利用して、その効果を高める必要があります。敵を容赦なく攻撃し、最大の頭痛の種となる機会をすべて潰してください。

クラウドベースの会計SaaSのリーディングカンパニーであるこの企業を含め、お客様にはすでに素晴らしいインパクトを与えています。

"Courses 「オーダーメイドの学習経路は、画期的なものでした。プログラミング言語と脆弱性に特化しているため、個人や企業のニーズに応じて、開発者一人ひとりに適した学習環境を構築するためのコントロールと柔軟性が向上しました。Courses とSecure Code Warrior の幅広いセキュアコーディングプラットフォームを併用することで、開発者のエンゲージメントが変化し、より優れたセキュアなコードを書くためのセキュアコーディングスキルの向上に興味を持つようになりました」。

DevSecへの対応。セキュア・コード・ウォリアーズの新機能Courses については、こちらをご覧ください。 こちら.

リソースを見る
リソースを見る

以下のフォームに記入し、レポートをダウンロードしてください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

送信
フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。

世の中には、政府や大企業、さらには一部の業界リーダーからも見過ごされがちな不都合な真実があります。それは、社会全体がサイバー脅威との絶え間ない戦いの中にあり、私たちは現在、負けているということです。なぜこのようなことが言えるのでしょうか。これらの統計が語るのは、悲惨な話です。

サイバーセキュリティの専門家に関しては、人員が決定的に不足しており、スキルギャップは埋められそうになく、AppSecの秘密の軍隊が我々を救済してくれることもありません。このことは何年も前から分かっていましたが、私たちはアプローチを変えなければなりません。私たちの場合、最高の攻撃は最高の防御であり、優れた計画で先制攻撃を行うことができます。

憂鬱な気分にさせられるかもしれませんが、世間で言われているほど悪い状況ではありません。私たちにはエースがいて、サイバーセキュリティの状況は私たちに絶好のチャンスを与えてくれます。組織を救う人材は、社内の開発チームをおいて他にはありません。しかし、セキュリティプログラムは、彼らがセキュリティを意識したエンジニアとなり、安全なコーディングの責任を共有できるようになるまでの道のりをサポートする必要があります。

しかし、たとえ適切なトレーニングであっても、ビジネスのニーズや直面する脅威、そして企業がすべてのデータを安全に保つためのコンプライアンス要件に合わせてカスタマイズされていれば、開発者の興味を引き、文脈に沿った知識を構築し、セキュリティを好きになってもらうことは、はるかに効果的です。

そこで、最新の機能である Coursesの出番です。ところで、このタイトルの意味がわかった方は、もうお年を召した方(あるいは、クラシックの良さがわかった方)ですね。

組織に特化した学習:防御力を高め、開発者のスキルを強化する

ある種の開発者トレーニングが他のトレーニングよりも優れている理由については、様々な意見があります(例えば、乾燥した一般的なビデオによる説教を何時間も続けて死ぬほど退屈させて、安全なコーディングへの情熱を開花させようとするのはやめてほしい、など)。しかし、開発者のマインドに訴えかけるように設計された競争力のある学習であっても、その内容は組織内の特定の要件に必要なものよりも少し幅広いものになるかもしれません。

厳選されたコースには、開発者が習熟しなければならないモジュールが正確に含まれているため、強力なインパクトを与え、日々の業務でセキュリティのベストプラクティスを実践することができます。フロントエンドチームやクラウドエンジニアなどに合わせてプログラムをカスタマイズし、最も重要な脆弱性を、彼らに関連する言語やフレームワークで掘り下げて学ぶことができます。開発者は、継続的なコンテキスト、タッチポイント、経験によってスキルを向上させることができ、ビジネスは、最もリスクの高い問題を正確に認識することができます。

コンプライアンスのためにコースをカスタマイズ

世界中でサイバーセキュリティ関連の規制が強化されていますが、ソフトウェア・セキュリティ・コンプライアンスは、積極的で効果的なセキュリティ文化を構築するための素晴らしい基盤となります。良いセキュリティプログラムは、開発者の誇りと責任感に火をつけるものであり、決して退屈なものではありません。

まずは、OWASP トップ 10 を全員が理解できるようにするのがよいでしょう。しかし、業界に関連するコンプライア ンスで新たな高みに到達するためには、特定の規制の要件に基づいてカスタムコースを設計すること ができます。たとえば、金融機関であれば、決済やカード処理アプリケーションを規定するPCI-DSS ガイドラインに沿って、自社のソフトウェアのコンプライアンス要件に合わせてコースをカスタマイズすることができます。クレジットカード番号のような機密情報の処理と保存を担当している場合は、重大な問題が発生します。開発者向けの学習では、雑音を排除し、適切な教育を適切なタイミングで提供し、チームの適性をはるかに容易に監視することができます。  

これは、ゼネラル・エレクトリック(GE)社が、チーム内でCourses を使用している方法です。

"Courses は、当社のエンジニアにとって素晴らしいソリューションです。ラーニングパスウェイ、ビデオ、チェックポイントをカスタマイズ可能なモジュールにまとめた新機能により、その時々に必要なものに基づいてコンテンツを形成することができるようになりました。コンプライアンス機能と柔軟性は、より合理的で柔軟なプロセスを確保するためのさらなる好機となります。 この機能のおかげで、ゼネラル・エレクトリック社は、関連性のあるトレーニングを各エンジニアに合わせて、これまで以上に迅速かつ簡単に提供できるようになりました。"

厳選されたコンプライアンス研修かもしれませんが、開発者にとってははるかに魅力的な、一口サイズの、文脈に沿った、魅力的な学習体験として提供されていることを忘れないでください。

尊敬と関連性に基づいたポジティブなセキュリティ文化

教育は一生続くものですが、DevSecOpsの世界では、たくさんのプレートを回転させる必要があります。トレーニングのために用意された時間は、継続的に参加して価値を高めることができる実行可能な学習経路を用いて、賢明に使用する必要があります。

関連性の高いカスタムコースを用意することで、開発者の時間とワークフローを尊重すると同時に、ビジネスにおける脆弱性とサイバーセキュリティのリスクを測定可能な形で削減することができます。

AppSec のスペシャリストとエンジニアの関係は、従来、誤解と緊張に満ちていましたが、Courses を用いた体系的な学習により、両者がセキュリティのベスト・プラクティスについて同じ見解を持つことができます。開発者は、AppSecチームからのソリューションに焦点を当てた支援を受けることで、開発者の負荷を最小限に抑え、より高い水準のコードを作成することができるようになります。

弱点をなくし、企業レベルのセキュリティ衛生を向上させる

私たちは皆、人間であり、残念ながらミスを犯してしまいます。そのようなミスは、デジタルの世界では非常に大きなコストになる可能性がありますが、驚くほどよくあることです。シマンテック社の「2019年インターネットセキュリティ脅威レポート」では、S3バケットの設定ミスにより、7,000万件以上の記録が盗まれたことが確認されています。セキュリティの設定ミスはデータ漏洩の主要な原因であり、ヒューマンエラーはその約4分の1を占めています。

これらの問題は様々な理由で発生しますが、セキュリティ意識とトレーニングの欠如は、攻撃者が悪用できるような小さな機会を残してしまう大きな要因となります。効果的なセキュリティ対策を行うためには、お客様のビジネスに合わせてカスタマイズされたコースを利用して、その効果を高める必要があります。敵を容赦なく攻撃し、最大の頭痛の種となる機会をすべて潰してください。

クラウドベースの会計SaaSのリーディングカンパニーであるこの企業を含め、お客様にはすでに素晴らしいインパクトを与えています。

"Courses 「オーダーメイドの学習経路は、画期的なものでした。プログラミング言語と脆弱性に特化しているため、個人や企業のニーズに応じて、開発者一人ひとりに適した学習環境を構築するためのコントロールと柔軟性が向上しました。Courses とSecure Code Warrior の幅広いセキュアコーディングプラットフォームを併用することで、開発者のエンゲージメントが変化し、より優れたセキュアなコードを書くためのセキュアコーディングスキルの向上に興味を持つようになりました」。

DevSecへの対応。セキュア・コード・ウォリアーズの新機能Courses については、こちらをご覧ください。 こちら.

リソースにアクセス

以下のリンクをクリックし、この資料のPDFをダウンロードしてください。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

レポートを見るデモを予約する
PDFをダウンロード
リソースを見る
シェアする
ご興味がおありですか?

シェアする
著者
マティアス・マドゥ博士
2020年7月20日発行

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする

世の中には、政府や大企業、さらには一部の業界リーダーからも見過ごされがちな不都合な真実があります。それは、社会全体がサイバー脅威との絶え間ない戦いの中にあり、私たちは現在、負けているということです。なぜこのようなことが言えるのでしょうか。これらの統計が語るのは、悲惨な話です。

サイバーセキュリティの専門家に関しては、人員が決定的に不足しており、スキルギャップは埋められそうになく、AppSecの秘密の軍隊が我々を救済してくれることもありません。このことは何年も前から分かっていましたが、私たちはアプローチを変えなければなりません。私たちの場合、最高の攻撃は最高の防御であり、優れた計画で先制攻撃を行うことができます。

憂鬱な気分にさせられるかもしれませんが、世間で言われているほど悪い状況ではありません。私たちにはエースがいて、サイバーセキュリティの状況は私たちに絶好のチャンスを与えてくれます。組織を救う人材は、社内の開発チームをおいて他にはありません。しかし、セキュリティプログラムは、彼らがセキュリティを意識したエンジニアとなり、安全なコーディングの責任を共有できるようになるまでの道のりをサポートする必要があります。

しかし、たとえ適切なトレーニングであっても、ビジネスのニーズや直面する脅威、そして企業がすべてのデータを安全に保つためのコンプライアンス要件に合わせてカスタマイズされていれば、開発者の興味を引き、文脈に沿った知識を構築し、セキュリティを好きになってもらうことは、はるかに効果的です。

そこで、最新の機能である Coursesの出番です。ところで、このタイトルの意味がわかった方は、もうお年を召した方(あるいは、クラシックの良さがわかった方)ですね。

組織に特化した学習:防御力を高め、開発者のスキルを強化する

ある種の開発者トレーニングが他のトレーニングよりも優れている理由については、様々な意見があります(例えば、乾燥した一般的なビデオによる説教を何時間も続けて死ぬほど退屈させて、安全なコーディングへの情熱を開花させようとするのはやめてほしい、など)。しかし、開発者のマインドに訴えかけるように設計された競争力のある学習であっても、その内容は組織内の特定の要件に必要なものよりも少し幅広いものになるかもしれません。

厳選されたコースには、開発者が習熟しなければならないモジュールが正確に含まれているため、強力なインパクトを与え、日々の業務でセキュリティのベストプラクティスを実践することができます。フロントエンドチームやクラウドエンジニアなどに合わせてプログラムをカスタマイズし、最も重要な脆弱性を、彼らに関連する言語やフレームワークで掘り下げて学ぶことができます。開発者は、継続的なコンテキスト、タッチポイント、経験によってスキルを向上させることができ、ビジネスは、最もリスクの高い問題を正確に認識することができます。

コンプライアンスのためにコースをカスタマイズ

世界中でサイバーセキュリティ関連の規制が強化されていますが、ソフトウェア・セキュリティ・コンプライアンスは、積極的で効果的なセキュリティ文化を構築するための素晴らしい基盤となります。良いセキュリティプログラムは、開発者の誇りと責任感に火をつけるものであり、決して退屈なものではありません。

まずは、OWASP トップ 10 を全員が理解できるようにするのがよいでしょう。しかし、業界に関連するコンプライア ンスで新たな高みに到達するためには、特定の規制の要件に基づいてカスタムコースを設計すること ができます。たとえば、金融機関であれば、決済やカード処理アプリケーションを規定するPCI-DSS ガイドラインに沿って、自社のソフトウェアのコンプライアンス要件に合わせてコースをカスタマイズすることができます。クレジットカード番号のような機密情報の処理と保存を担当している場合は、重大な問題が発生します。開発者向けの学習では、雑音を排除し、適切な教育を適切なタイミングで提供し、チームの適性をはるかに容易に監視することができます。  

これは、ゼネラル・エレクトリック(GE)社が、チーム内でCourses を使用している方法です。

"Courses は、当社のエンジニアにとって素晴らしいソリューションです。ラーニングパスウェイ、ビデオ、チェックポイントをカスタマイズ可能なモジュールにまとめた新機能により、その時々に必要なものに基づいてコンテンツを形成することができるようになりました。コンプライアンス機能と柔軟性は、より合理的で柔軟なプロセスを確保するためのさらなる好機となります。 この機能のおかげで、ゼネラル・エレクトリック社は、関連性のあるトレーニングを各エンジニアに合わせて、これまで以上に迅速かつ簡単に提供できるようになりました。"

厳選されたコンプライアンス研修かもしれませんが、開発者にとってははるかに魅力的な、一口サイズの、文脈に沿った、魅力的な学習体験として提供されていることを忘れないでください。

尊敬と関連性に基づいたポジティブなセキュリティ文化

教育は一生続くものですが、DevSecOpsの世界では、たくさんのプレートを回転させる必要があります。トレーニングのために用意された時間は、継続的に参加して価値を高めることができる実行可能な学習経路を用いて、賢明に使用する必要があります。

関連性の高いカスタムコースを用意することで、開発者の時間とワークフローを尊重すると同時に、ビジネスにおける脆弱性とサイバーセキュリティのリスクを測定可能な形で削減することができます。

AppSec のスペシャリストとエンジニアの関係は、従来、誤解と緊張に満ちていましたが、Courses を用いた体系的な学習により、両者がセキュリティのベスト・プラクティスについて同じ見解を持つことができます。開発者は、AppSecチームからのソリューションに焦点を当てた支援を受けることで、開発者の負荷を最小限に抑え、より高い水準のコードを作成することができるようになります。

弱点をなくし、企業レベルのセキュリティ衛生を向上させる

私たちは皆、人間であり、残念ながらミスを犯してしまいます。そのようなミスは、デジタルの世界では非常に大きなコストになる可能性がありますが、驚くほどよくあることです。シマンテック社の「2019年インターネットセキュリティ脅威レポート」では、S3バケットの設定ミスにより、7,000万件以上の記録が盗まれたことが確認されています。セキュリティの設定ミスはデータ漏洩の主要な原因であり、ヒューマンエラーはその約4分の1を占めています。

これらの問題は様々な理由で発生しますが、セキュリティ意識とトレーニングの欠如は、攻撃者が悪用できるような小さな機会を残してしまう大きな要因となります。効果的なセキュリティ対策を行うためには、お客様のビジネスに合わせてカスタマイズされたコースを利用して、その効果を高める必要があります。敵を容赦なく攻撃し、最大の頭痛の種となる機会をすべて潰してください。

クラウドベースの会計SaaSのリーディングカンパニーであるこの企業を含め、お客様にはすでに素晴らしいインパクトを与えています。

"Courses 「オーダーメイドの学習経路は、画期的なものでした。プログラミング言語と脆弱性に特化しているため、個人や企業のニーズに応じて、開発者一人ひとりに適した学習環境を構築するためのコントロールと柔軟性が向上しました。Courses とSecure Code Warrior の幅広いセキュアコーディングプラットフォームを併用することで、開発者のエンゲージメントが変化し、より優れたセキュアなコードを書くためのセキュアコーディングスキルの向上に興味を持つようになりました」。

DevSecへの対応。セキュア・コード・ウォリアーズの新機能Courses については、こちらをご覧ください。 こちら.

目次

PDFをダウンロード
リソースを見る
ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約するダウンロード
シェアする
リソース・ハブ

始めるためのリソース

その他の記事
リソース・ハブ

始めるためのリソース

その他の記事