セキュリティツール過多の悩み
この記事はもともと セキュリティ・ブールバード.この記事は更新され、ここにシンジケートされている。
私たちの心理には、良いものをより多く持つことは、さらに良いことであるという考えが根付いています。もし、あなたが本当に好きなものを1つ持っているなら、2つ、3つ、あるいはそれ以上持っていても何も問題はありません。結局のところ、良いものは多すぎるということはないのです。
残念なことに、その論理はいくつかのことには有効だが、音量が大きくなるとすぐに破綻する場合がある。場合によっては、収穫の減少を経験し始める。その13個目のチョコレートケーキは、果たしてどれだけの付加価値や喜びをもたらしてくれるのだろうか?また、良いものを増やしすぎると、あなたやあなたの組織にとって重大なリスク・プロファイルになる場合もある。
多すぎるサイバーセキュリティツール
近年、ほとんどの組織で制御不能になったサイバーセキュリティ・ツールが、「良いこと」が「悪いこと」になりつつある。Dark Reading誌の調査によると、ほとんどの最高情報セキュリティ責任者は、自社のネットワークを保護するために、平均55から75の異なるセキュリティ製品やアプリケーションに依存しているという。それでもなお、攻撃はまだ突破されている。Verizon 2023 Data Breach Investigations Report(ベライゾン2023年データ侵害調査報告書)によると、成功した攻撃は増加傾向にあり、その中でも最も複雑なものは検知にこれまで以上に時間がかかっている。
攻撃者は、表面的には75以上のサイバーセキュリティ・ツールからなる不可能と思われる難関をどのように突破するのでしょうか。実際、攻撃者がアラームを作動させることはよくありますが、人間の防御者は防御ツールの保守や毎日何千ものアラートへの対応に追われ、それに気づくことはできません。多くのセキュリティ・ツールを導入することは、攻撃者が発見されないようにするために必要な隠れ蓑を提供することになるのです。
TechRadarの最近のレポートでは、サイバーセキュリティ・ツールが多すぎることがもたらす悪影響が強調されています。調査対象となった企業のうち71%が、サイバーセキュリティ・チームが管理しきれないほど多くのツールを保有していると感じています。このため、ツールの追加に伴い、セキュリティ・ポスチャーが悪化しているのが実情です。実際、ツールが多ければ多いほどセキュリティが向上するという考えとは裏腹に、調査対象の圧倒的多数の企業が、環境全体にインストールされたすべてのサイバーセキュリティ・ツールのために、セキュリティが大幅に低下していると感じていると回答しています。
この状況は、ほとんどの組織でクラウドへの大規模な移行が進んでいるため、悪化の一途をたどっています。ネットワークに多数のサイバーセキュリティ・ツールを導入し、あらゆる攻撃経路をカバーすることが普及した理由の1つは、ほぼ完全にオンプレミス型の資産の時代には、この戦略がある種の成功を収めたからです。つまり、少なくとも組織は、それほど早く収穫の減少や悪影響に直面することはなかったのです。しかし、クラウド環境では、ツールを追加すればするほど、より複雑で脆弱な問題が発生します。
重複するツールのメンテナンスにかかる作業に加えて、ツール中心のアプローチにおけるもう1つの大きな問題は、より多くのツールがオンラインになるにつれて確実に発生する誤検出の海である。誤検知を追跡していると、人間のセキュリティ担当者の時間が奪われ、組織には何の利益ももたらされないことになります。その一方で、本物の攻撃は誤報の中に簡単に隠れてしまうのです。サイバーセキュリティの専門家は、手遅れになるまで本当の脅威を見つけることができないかもしれません。
より良い方法
環境からすべてのセキュリティ・ツールを取り除いてしまうのは、非常に危険なことです。しかし、あまりに多くのツールを導入しすぎて、本当に役立つ重要なツールに十分な注意が払われなくなるのも困りものです。重要なのは、適切なツールの選択をすること、そして、ツールの数が多すぎて時間やリソースを浪費することがないようにすることです。
ツールの統合を成功させる鍵は、同時にセキュリティに対する人間主導のアプローチに投資することです。これには、従来はそのような役割に配備されていなかった資産、すなわち攻撃者に狙われているアプリやソフトウェアのコーディングに従事する開発者チームの活用も含まれるはずです。
従来、開発者はセキュリティの担当ではありませんでしたが、この状況は変わりつつあります。実際、開発者にセキュリティに集中するよう促すことは、全員が安全なアプリケーションの配備に何らかの責任を負うという、DevSecOps 運動の重要な側面である。開発者が突然セキュリティの専門家になったり、組織のセキュリティの主要な責任を負うようになるとは誰も思っていませんが、安全なコードの書き方を教え、よくできた仕事には報酬を与えることは、重複するすべてのセキュリティツールを排除するための舞台を整えるのに長い道のりを歩むことができるのです。
優れた安全なコードから始めれば、一般的な悪用や脆弱性をスキャンするために設計された何百ものサイバーセキュリティ・ツールのいくつかを簡単に排除し始めることができるのです。最終的には、開発者が安全なコードを作成する環境を育成し、厳選されたいくつかのサイバーセキュリティ・ツールは、セキュリティ・チームが監視と保守を行いやすい追加チェックとして機能し、良いはずのものに過度の負担をかけることはありません。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
この記事はもともと セキュリティ・ブールバード.この記事は更新され、ここにシンジケートされている。
私たちの心理には、良いものをより多く持つことは、さらに良いことであるという考えが根付いています。もし、あなたが本当に好きなものを1つ持っているなら、2つ、3つ、あるいはそれ以上持っていても何も問題はありません。結局のところ、良いものは多すぎるということはないのです。
残念なことに、その論理はいくつかのことには有効だが、音量が大きくなるとすぐに破綻する場合がある。場合によっては、収穫の減少を経験し始める。その13個目のチョコレートケーキは、果たしてどれだけの付加価値や喜びをもたらしてくれるのだろうか?また、良いものを増やしすぎると、あなたやあなたの組織にとって重大なリスク・プロファイルになる場合もある。
多すぎるサイバーセキュリティツール
近年、ほとんどの組織で制御不能になったサイバーセキュリティ・ツールが、「良いこと」が「悪いこと」になりつつある。Dark Reading誌の調査によると、ほとんどの最高情報セキュリティ責任者は、自社のネットワークを保護するために、平均55から75の異なるセキュリティ製品やアプリケーションに依存しているという。それでもなお、攻撃はまだ突破されている。Verizon 2023 Data Breach Investigations Report(ベライゾン2023年データ侵害調査報告書)によると、成功した攻撃は増加傾向にあり、その中でも最も複雑なものは検知にこれまで以上に時間がかかっている。
攻撃者は、表面的には75以上のサイバーセキュリティ・ツールからなる不可能と思われる難関をどのように突破するのでしょうか。実際、攻撃者がアラームを作動させることはよくありますが、人間の防御者は防御ツールの保守や毎日何千ものアラートへの対応に追われ、それに気づくことはできません。多くのセキュリティ・ツールを導入することは、攻撃者が発見されないようにするために必要な隠れ蓑を提供することになるのです。
TechRadarの最近のレポートでは、サイバーセキュリティ・ツールが多すぎることがもたらす悪影響が強調されています。調査対象となった企業のうち71%が、サイバーセキュリティ・チームが管理しきれないほど多くのツールを保有していると感じています。このため、ツールの追加に伴い、セキュリティ・ポスチャーが悪化しているのが実情です。実際、ツールが多ければ多いほどセキュリティが向上するという考えとは裏腹に、調査対象の圧倒的多数の企業が、環境全体にインストールされたすべてのサイバーセキュリティ・ツールのために、セキュリティが大幅に低下していると感じていると回答しています。
この状況は、ほとんどの組織でクラウドへの大規模な移行が進んでいるため、悪化の一途をたどっています。ネットワークに多数のサイバーセキュリティ・ツールを導入し、あらゆる攻撃経路をカバーすることが普及した理由の1つは、ほぼ完全にオンプレミス型の資産の時代には、この戦略がある種の成功を収めたからです。つまり、少なくとも組織は、それほど早く収穫の減少や悪影響に直面することはなかったのです。しかし、クラウド環境では、ツールを追加すればするほど、より複雑で脆弱な問題が発生します。
重複するツールのメンテナンスにかかる作業に加えて、ツール中心のアプローチにおけるもう1つの大きな問題は、より多くのツールがオンラインになるにつれて確実に発生する誤検出の海である。誤検知を追跡していると、人間のセキュリティ担当者の時間が奪われ、組織には何の利益ももたらされないことになります。その一方で、本物の攻撃は誤報の中に簡単に隠れてしまうのです。サイバーセキュリティの専門家は、手遅れになるまで本当の脅威を見つけることができないかもしれません。
より良い方法
環境からすべてのセキュリティ・ツールを取り除いてしまうのは、非常に危険なことです。しかし、あまりに多くのツールを導入しすぎて、本当に役立つ重要なツールに十分な注意が払われなくなるのも困りものです。重要なのは、適切なツールの選択をすること、そして、ツールの数が多すぎて時間やリソースを浪費することがないようにすることです。
ツールの統合を成功させる鍵は、同時にセキュリティに対する人間主導のアプローチに投資することです。これには、従来はそのような役割に配備されていなかった資産、すなわち攻撃者に狙われているアプリやソフトウェアのコーディングに従事する開発者チームの活用も含まれるはずです。
従来、開発者はセキュリティの担当ではありませんでしたが、この状況は変わりつつあります。実際、開発者にセキュリティに集中するよう促すことは、全員が安全なアプリケーションの配備に何らかの責任を負うという、DevSecOps 運動の重要な側面である。開発者が突然セキュリティの専門家になったり、組織のセキュリティの主要な責任を負うようになるとは誰も思っていませんが、安全なコードの書き方を教え、よくできた仕事には報酬を与えることは、重複するすべてのセキュリティツールを排除するための舞台を整えるのに長い道のりを歩むことができるのです。
優れた安全なコードから始めれば、一般的な悪用や脆弱性をスキャンするために設計された何百ものサイバーセキュリティ・ツールのいくつかを簡単に排除し始めることができるのです。最終的には、開発者が安全なコードを作成する環境を育成し、厳選されたいくつかのサイバーセキュリティ・ツールは、セキュリティ・チームが監視と保守を行いやすい追加チェックとして機能し、良いはずのものに過度の負担をかけることはありません。
この記事はもともと セキュリティ・ブールバード.この記事は更新され、ここにシンジケートされている。
私たちの心理には、良いものをより多く持つことは、さらに良いことであるという考えが根付いています。もし、あなたが本当に好きなものを1つ持っているなら、2つ、3つ、あるいはそれ以上持っていても何も問題はありません。結局のところ、良いものは多すぎるということはないのです。
残念なことに、その論理はいくつかのことには有効だが、音量が大きくなるとすぐに破綻する場合がある。場合によっては、収穫の減少を経験し始める。その13個目のチョコレートケーキは、果たしてどれだけの付加価値や喜びをもたらしてくれるのだろうか?また、良いものを増やしすぎると、あなたやあなたの組織にとって重大なリスク・プロファイルになる場合もある。
多すぎるサイバーセキュリティツール
近年、ほとんどの組織で制御不能になったサイバーセキュリティ・ツールが、「良いこと」が「悪いこと」になりつつある。Dark Reading誌の調査によると、ほとんどの最高情報セキュリティ責任者は、自社のネットワークを保護するために、平均55から75の異なるセキュリティ製品やアプリケーションに依存しているという。それでもなお、攻撃はまだ突破されている。Verizon 2023 Data Breach Investigations Report(ベライゾン2023年データ侵害調査報告書)によると、成功した攻撃は増加傾向にあり、その中でも最も複雑なものは検知にこれまで以上に時間がかかっている。
攻撃者は、表面的には75以上のサイバーセキュリティ・ツールからなる不可能と思われる難関をどのように突破するのでしょうか。実際、攻撃者がアラームを作動させることはよくありますが、人間の防御者は防御ツールの保守や毎日何千ものアラートへの対応に追われ、それに気づくことはできません。多くのセキュリティ・ツールを導入することは、攻撃者が発見されないようにするために必要な隠れ蓑を提供することになるのです。
TechRadarの最近のレポートでは、サイバーセキュリティ・ツールが多すぎることがもたらす悪影響が強調されています。調査対象となった企業のうち71%が、サイバーセキュリティ・チームが管理しきれないほど多くのツールを保有していると感じています。このため、ツールの追加に伴い、セキュリティ・ポスチャーが悪化しているのが実情です。実際、ツールが多ければ多いほどセキュリティが向上するという考えとは裏腹に、調査対象の圧倒的多数の企業が、環境全体にインストールされたすべてのサイバーセキュリティ・ツールのために、セキュリティが大幅に低下していると感じていると回答しています。
この状況は、ほとんどの組織でクラウドへの大規模な移行が進んでいるため、悪化の一途をたどっています。ネットワークに多数のサイバーセキュリティ・ツールを導入し、あらゆる攻撃経路をカバーすることが普及した理由の1つは、ほぼ完全にオンプレミス型の資産の時代には、この戦略がある種の成功を収めたからです。つまり、少なくとも組織は、それほど早く収穫の減少や悪影響に直面することはなかったのです。しかし、クラウド環境では、ツールを追加すればするほど、より複雑で脆弱な問題が発生します。
重複するツールのメンテナンスにかかる作業に加えて、ツール中心のアプローチにおけるもう1つの大きな問題は、より多くのツールがオンラインになるにつれて確実に発生する誤検出の海である。誤検知を追跡していると、人間のセキュリティ担当者の時間が奪われ、組織には何の利益ももたらされないことになります。その一方で、本物の攻撃は誤報の中に簡単に隠れてしまうのです。サイバーセキュリティの専門家は、手遅れになるまで本当の脅威を見つけることができないかもしれません。
より良い方法
環境からすべてのセキュリティ・ツールを取り除いてしまうのは、非常に危険なことです。しかし、あまりに多くのツールを導入しすぎて、本当に役立つ重要なツールに十分な注意が払われなくなるのも困りものです。重要なのは、適切なツールの選択をすること、そして、ツールの数が多すぎて時間やリソースを浪費することがないようにすることです。
ツールの統合を成功させる鍵は、同時にセキュリティに対する人間主導のアプローチに投資することです。これには、従来はそのような役割に配備されていなかった資産、すなわち攻撃者に狙われているアプリやソフトウェアのコーディングに従事する開発者チームの活用も含まれるはずです。
従来、開発者はセキュリティの担当ではありませんでしたが、この状況は変わりつつあります。実際、開発者にセキュリティに集中するよう促すことは、全員が安全なアプリケーションの配備に何らかの責任を負うという、DevSecOps 運動の重要な側面である。開発者が突然セキュリティの専門家になったり、組織のセキュリティの主要な責任を負うようになるとは誰も思っていませんが、安全なコードの書き方を教え、よくできた仕事には報酬を与えることは、重複するすべてのセキュリティツールを排除するための舞台を整えるのに長い道のりを歩むことができるのです。
優れた安全なコードから始めれば、一般的な悪用や脆弱性をスキャンするために設計された何百ものサイバーセキュリティ・ツールのいくつかを簡単に排除し始めることができるのです。最終的には、開発者が安全なコードを作成する環境を育成し、厳選されたいくつかのサイバーセキュリティ・ツールは、セキュリティ・チームが監視と保守を行いやすい追加チェックとして機能し、良いはずのものに過度の負担をかけることはありません。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するMatias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
この記事はもともと セキュリティ・ブールバード.この記事は更新され、ここにシンジケートされている。
私たちの心理には、良いものをより多く持つことは、さらに良いことであるという考えが根付いています。もし、あなたが本当に好きなものを1つ持っているなら、2つ、3つ、あるいはそれ以上持っていても何も問題はありません。結局のところ、良いものは多すぎるということはないのです。
残念なことに、その論理はいくつかのことには有効だが、音量が大きくなるとすぐに破綻する場合がある。場合によっては、収穫の減少を経験し始める。その13個目のチョコレートケーキは、果たしてどれだけの付加価値や喜びをもたらしてくれるのだろうか?また、良いものを増やしすぎると、あなたやあなたの組織にとって重大なリスク・プロファイルになる場合もある。
多すぎるサイバーセキュリティツール
近年、ほとんどの組織で制御不能になったサイバーセキュリティ・ツールが、「良いこと」が「悪いこと」になりつつある。Dark Reading誌の調査によると、ほとんどの最高情報セキュリティ責任者は、自社のネットワークを保護するために、平均55から75の異なるセキュリティ製品やアプリケーションに依存しているという。それでもなお、攻撃はまだ突破されている。Verizon 2023 Data Breach Investigations Report(ベライゾン2023年データ侵害調査報告書)によると、成功した攻撃は増加傾向にあり、その中でも最も複雑なものは検知にこれまで以上に時間がかかっている。
攻撃者は、表面的には75以上のサイバーセキュリティ・ツールからなる不可能と思われる難関をどのように突破するのでしょうか。実際、攻撃者がアラームを作動させることはよくありますが、人間の防御者は防御ツールの保守や毎日何千ものアラートへの対応に追われ、それに気づくことはできません。多くのセキュリティ・ツールを導入することは、攻撃者が発見されないようにするために必要な隠れ蓑を提供することになるのです。
TechRadarの最近のレポートでは、サイバーセキュリティ・ツールが多すぎることがもたらす悪影響が強調されています。調査対象となった企業のうち71%が、サイバーセキュリティ・チームが管理しきれないほど多くのツールを保有していると感じています。このため、ツールの追加に伴い、セキュリティ・ポスチャーが悪化しているのが実情です。実際、ツールが多ければ多いほどセキュリティが向上するという考えとは裏腹に、調査対象の圧倒的多数の企業が、環境全体にインストールされたすべてのサイバーセキュリティ・ツールのために、セキュリティが大幅に低下していると感じていると回答しています。
この状況は、ほとんどの組織でクラウドへの大規模な移行が進んでいるため、悪化の一途をたどっています。ネットワークに多数のサイバーセキュリティ・ツールを導入し、あらゆる攻撃経路をカバーすることが普及した理由の1つは、ほぼ完全にオンプレミス型の資産の時代には、この戦略がある種の成功を収めたからです。つまり、少なくとも組織は、それほど早く収穫の減少や悪影響に直面することはなかったのです。しかし、クラウド環境では、ツールを追加すればするほど、より複雑で脆弱な問題が発生します。
重複するツールのメンテナンスにかかる作業に加えて、ツール中心のアプローチにおけるもう1つの大きな問題は、より多くのツールがオンラインになるにつれて確実に発生する誤検出の海である。誤検知を追跡していると、人間のセキュリティ担当者の時間が奪われ、組織には何の利益ももたらされないことになります。その一方で、本物の攻撃は誤報の中に簡単に隠れてしまうのです。サイバーセキュリティの専門家は、手遅れになるまで本当の脅威を見つけることができないかもしれません。
より良い方法
環境からすべてのセキュリティ・ツールを取り除いてしまうのは、非常に危険なことです。しかし、あまりに多くのツールを導入しすぎて、本当に役立つ重要なツールに十分な注意が払われなくなるのも困りものです。重要なのは、適切なツールの選択をすること、そして、ツールの数が多すぎて時間やリソースを浪費することがないようにすることです。
ツールの統合を成功させる鍵は、同時にセキュリティに対する人間主導のアプローチに投資することです。これには、従来はそのような役割に配備されていなかった資産、すなわち攻撃者に狙われているアプリやソフトウェアのコーディングに従事する開発者チームの活用も含まれるはずです。
従来、開発者はセキュリティの担当ではありませんでしたが、この状況は変わりつつあります。実際、開発者にセキュリティに集中するよう促すことは、全員が安全なアプリケーションの配備に何らかの責任を負うという、DevSecOps 運動の重要な側面である。開発者が突然セキュリティの専門家になったり、組織のセキュリティの主要な責任を負うようになるとは誰も思っていませんが、安全なコードの書き方を教え、よくできた仕事には報酬を与えることは、重複するすべてのセキュリティツールを排除するための舞台を整えるのに長い道のりを歩むことができるのです。
優れた安全なコードから始めれば、一般的な悪用や脆弱性をスキャンするために設計された何百ものサイバーセキュリティ・ツールのいくつかを簡単に排除し始めることができるのです。最終的には、開発者が安全なコードを作成する環境を育成し、厳選されたいくつかのサイバーセキュリティ・ツールは、セキュリティ・チームが監視と保守を行いやすい追加チェックとして機能し、良いはずのものに過度の負担をかけることはありません。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード始めるためのリソース
セキュア・バイ・デザインベストプラクティスの定義、開発者の能力向上、予防的セキュリティ成果のベンチマーク
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士、そして専門家であるクリス・イングリス(Chris Inglis)氏(元米国サイバーディレクター、現パラディン・キャピタル・グループ戦略顧問)、デヴィン・リンチ(Devin Lynch)氏(パラディン・グローバル・インスティテュート・シニアディレクター)が、CISO、アプリケーション・セキュリティ担当副社長、ソフトウェア・セキュリティの専門家など、企業のセキュリティ・リーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします。
セキュリティ スキルのベンチマーク: 企業におけるセキュアな設計の合理化
セキュアバイデザイン(SBD)構想の成功に関する有意義なデータを見つけることは、非常に困難である。CISO は、セキュリティプログラム活動の投資収益率(ROI)とビジネス価値を、従業員レベルと企業レベルの両方で証明しようとすると、しばしば困難に直面します。言うまでもなく、企業にとって、現在の業界標準に対して自社の組織がどのようにベンチマークされているかを把握することは特に困難です。大統領の国家サイバーセキュリティ戦略は、関係者に「デザインによるセキュリティとレジリエンスを受け入れる」ことを求めている。セキュアバイデザインの取り組みを成功させる鍵は、開発者にセキュアなコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが整っていることを保証することである。本プレゼンテーションでは、25万人以上の開発者から収集した社内データ、データに基づく顧客の洞察、公的研究など、複数の一次ソースから得られた無数の定性的・定量的データを紹介します。こうしたデータ・ポイントの集積を活用することで、複数の業種におけるセキュア・バイ・デザイン・イニシアチブの現状をお伝えすることを目的としています。本レポートでは、この領域が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティのリスク軽減に与える大きな影響、コードベースから脆弱性のカテゴリーを排除できる可能性について詳述しています。
始めるためのリソース
明らかになった:サイバー業界はセキュア・バイ・デザインをどのように定義しているか
最新のホワイトペーパーでは、当社の共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士が、CISO、AppSecリーダー、セキュリティ専門家を含む20人以上の企業セキュリティリーダーと対談し、このパズルの重要なピースを見つけ出し、Secure by Design運動の背後にある現実を明らかにしました。セキュア・バイ・デザインは、セキュリティ・チーム全体で共有された野心ですが、共有されたプレイブックはありません。
