The Change We Need In The AppSec Badlands:私の2019年の予測
2018年は、サイバーセキュリティの専門家にとって、大変な一年でした。セキュリティにもっと真剣に取り組めという警告や、セキュリティ業界の人材育成をめぐる報道、組織のサイバー意識を高めるための一般的な試みにもかかわらず、私たちは何百ものサイバー攻撃によって残された煙のようなクレーターを見つめることになり、大規模なデータ漏洩や、非常によく知られた有名企業に対する消費者の不信感を表しています。2018年上半期だけでも、945件の事件で45億件のデータ記録が漏洩しました。
これまでに何度も言ってきたように、私たちはもっとうまくやれるはずです。しかし、私たちが直面している真の戦いは、スクリプトキディや危険な組織化されたサイバー犯罪シンジケート、あるいはパーカーを着た謎の人物がラップトップでタイプしていることに対するものではありません。
GDPRへの対応は良いスタートとなりますが、短期的には大きな効果は期待できません。
欧州連合(EU)の一般データ保護規則(GDPR)が本格的に施行され、データ保護に真剣に取り組んでいない企業にとっては脅威となっています。GDPRに違反した企業には巨額の罰金が科せられます。これは、企業がセキュリティ対策を強化し、顧客データをより大切に扱い、サイバー攻撃を軽減するための戦略を打ち立てるための後押しとなるものです。
一部の企業では莫大な罰金が科せられると警告されていますが、GDPRを遵守しなかったことによる真の影響はまだ見られません。倒産するような罰則はありませんが、私たちウェブユーザーにとっては、クリックしなければならないポップアップが大量に表示されるだけです。これは、法的手続きには多くの時間がかかり、控訴する機会も多いことが理由のひとつです。例示された可能性のある企業は、数ヶ月から数年にわたる訴訟を行っていることでしょう。この悪夢のような1年を締めくくるかのように、フェイスブックは先日、APIのバグにより680万人のユーザーのプライベート写真が1500の未承認アプリケーションに流出したという新たなデータ流出を報告しました。このバグは2週間以内に発見され、パッチが適用されましたが、データ保護機関や一般市民がこの違反行為を知ったのは数ヶ月後でした。GDPRでは72時間以内の通知が義務づけられていますが、この法律の影響力と効果が現在どの程度あるのか、多くの疑問が残ります。
もちろん、他の場所での侵害も止まりません。11月に発生したマリオットの情報漏えい事件では、5億件ものデータが流出したことが明らかになりましたが、さらに問題なのは、発見されるまでの4年間、攻撃者がシステムにアクセスしていたことです。マリオットは、被害者に信用監視ツールである「WebWatcher」の12ヶ月間の無料利用権を提供するなど、ダメージコントロールに努めているようですが、ハッカーにとって5億件の記録は、ほとんどの人にとって意味のある監視をするのに1年で十分なのかどうかは未知数です。
長期的には、GDPRのような規制は、それが施行されれば前向きな変化をもたらします 。企業が多額の金銭的ペナルティを受けたり(実際、データが漏洩した顧客から集団訴訟を起こされたり)、十分な規模で利益が悪化したりすると、ほとんどの企業がオンラインデータベースの強化に熱心に取り組むようになると思います。
金融機関はこれからも、短期的にポジティブな変化をリードしていくでしょう。
世界で稼いだ現金の門番である金融機関が、最も厳しいサイバーセキュリティのベスト・プラクティス・ポリシーと、リスクを軽減するためのエンド・ツー・エンドのプロセスを持っていることは、さほど驚くことではないかもしれません。
PCISecurity Standards Council は、金融機関が実行可能なセキュリティポリシーを導入し、すべての分野でガイドラインを遵守することを支援することに尽力しており、このコンプライアンスの重要な推進力となっています。PCI Security Standards Council は、金融機関が実行可能なセキュリティポリシーを導入し、すべての分野のガイドラインを守ることを支援しています。
では、金融機関は他の金融機関と何が違うのでしょうか。私の経験では、金融機関は一般的にセキュリティ意識が高く、AppSecの専門家やペンテスターだけでなく、大規模で世界中に散らばる開発チームのための包括的なトレーニングプログラムにリソースを割いています。また、トップレベルの意思決定者に、セキュリティプロセスは「決めたら終わり」ではなく、使用されているテクノロジーと同様に急速に進化し、変化するリスクに対応しなければならないことを理解させています。
より多くの組織が、セキュリティ・パイプラインを変革する。
ITの他の部門に比べて、AppSecは比較的若い部門です。誤解されやすく、必要な人間関係もまだ築けていないかもしれません。しかし、年を追うごとに、変化に抵抗する最も古い組織でさえ、AppSecの居場所を見つけることが容易になってきていると思います。
企業は、セキュリティ・コンプライアンスをソフトウェア・プロセスの最後の最後の段階で行うことはできないことが明らかになってきました。データを集約し、ビジネスのエグゼクティブレベルに可視性を提供することに集中し、ポイントツーポイントでチェックと対策を行う必要があります。これができなければ、セキュリティは目に見えず、心にも残らないものとなってしまいます。このような状況では、リスク対策に必要なリソースを集めることは事実上不可能です。
良いニュースとしては、これまで以上に多くの組織が自社のサイバー攻撃を発見し、その対策に取り組んでいることです。しかし、悪いニュースもあります。このプロセスには、平均85日かかっています。
ペンテストツールや手作業によるコードレビューは、技術分野では迅速な革新と機能の提供が必須であるにもかかわらず、手間と費用がかかり、時間もかかります。セキュリティに対する意識は、開発者が最初にコードを書いた瞬間から持ち合わせていなければなりません。
私たちの業界は、主な問題を認識するでしょう:私たちは人々がもっと気にする必要があります。
私のネットワークの中で、過去4年間にマリオットホテルに宿泊したことのある人は、控えめに見積もっても20人はいます。その間に5億件もの記録が盗まれたのですから、彼らのデータもその一部である可能性が高いのです。現在の連絡先、まだ有効なクレジットカード番号、パスポート情報など、あらゆる情報がダークウェブで販売されている可能性があります。しかし、彼らのケアファクターは基本的にゼロです。
また、このような大規模なデータ窃盗事件では、自分が干し草の中の針のようなものであるため、満足してしまうこともあります。
しかし、本当に問題なのは顧客のデータの安全を確保できなかった企業は、ほとんど影響を受けません。事件の直後に株価が下がるか?それは間違いありません。Target社、Equifax社、そして今回のMarriott社がそれを証明しています。しかし、1年後の状況を見ると、通常の状態に戻るのは非常に早いことがわかります。数年後には、経済的にはすべてが解決しています。
莫大な罰金、規制の強化、ビジネスの大幅な損失といった深刻な影響が出るまでは、AppSecは、企業がさらされているサイバーリスクの増大の深刻さを伝えるために常に戦わなければならない業界である。
だからこそ、組織の技術チームの最前線で、セキュリティを意識した開発者や強固なセキュリティ文化を構築することが何よりも重要なのです。このことを常に念頭に置き、より高い水準のソフトウェアセキュリティを目指していきましょう。
ピーテル・ダンヒユー
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
The Change We Need In The AppSec Badlands:私の2019年の予測
2018年は、サイバーセキュリティの専門家にとって、大変な一年でした。セキュリティにもっと真剣に取り組めという警告や、セキュリティ業界の人材育成をめぐる報道、組織のサイバー意識を高めるための一般的な試みにもかかわらず、私たちは何百ものサイバー攻撃によって残された煙のようなクレーターを見つめることになり、大規模なデータ漏洩や、非常によく知られた有名企業に対する消費者の不信感を表しています。2018年上半期だけでも、945件の事件で45億件のデータ記録が漏洩しました。
これまでに何度も言ってきたように、私たちはもっとうまくやれるはずです。しかし、私たちが直面している真の戦いは、スクリプトキディや危険な組織化されたサイバー犯罪シンジケート、あるいはパーカーを着た謎の人物がラップトップでタイプしていることに対するものではありません。
GDPRへの対応は良いスタートとなりますが、短期的には大きな効果は期待できません。
欧州連合(EU)の一般データ保護規則(GDPR)が本格的に施行され、データ保護に真剣に取り組んでいない企業にとっては脅威となっています。GDPRに違反した企業には巨額の罰金が科せられます。これは、企業がセキュリティ対策を強化し、顧客データをより大切に扱い、サイバー攻撃を軽減するための戦略を打ち立てるための後押しとなるものです。
一部の企業では莫大な罰金が科せられると警告されていますが、GDPRを遵守しなかったことによる真の影響はまだ見られません。倒産するような罰則はありませんが、私たちウェブユーザーにとっては、クリックしなければならないポップアップが大量に表示されるだけです。これは、法的手続きには多くの時間がかかり、控訴する機会も多いことが理由のひとつです。例示された可能性のある企業は、数ヶ月から数年にわたる訴訟を行っていることでしょう。この悪夢のような1年を締めくくるかのように、フェイスブックは先日、APIのバグにより680万人のユーザーのプライベート写真が1500の未承認アプリケーションに流出したという新たなデータ流出を報告しました。このバグは2週間以内に発見され、パッチが適用されましたが、データ保護機関や一般市民がこの違反行為を知ったのは数ヶ月後でした。GDPRでは72時間以内の通知が義務づけられていますが、この法律の影響力と効果が現在どの程度あるのか、多くの疑問が残ります。
もちろん、他の場所での侵害も止まりません。11月に発生したマリオットの情報漏えい事件では、5億件ものデータが流出したことが明らかになりましたが、さらに問題なのは、発見されるまでの4年間、攻撃者がシステムにアクセスしていたことです。マリオットは、被害者に信用監視ツールである「WebWatcher」の12ヶ月間の無料利用権を提供するなど、ダメージコントロールに努めているようですが、ハッカーにとって5億件の記録は、ほとんどの人にとって意味のある監視をするのに1年で十分なのかどうかは未知数です。
長期的には、GDPRのような規制は、それが施行されれば前向きな変化をもたらします 。企業が多額の金銭的ペナルティを受けたり(実際、データが漏洩した顧客から集団訴訟を起こされたり)、十分な規模で利益が悪化したりすると、ほとんどの企業がオンラインデータベースの強化に熱心に取り組むようになると思います。
金融機関はこれからも、短期的にポジティブな変化をリードしていくでしょう。
世界で稼いだ現金の門番である金融機関が、最も厳しいサイバーセキュリティのベスト・プラクティス・ポリシーと、リスクを軽減するためのエンド・ツー・エンドのプロセスを持っていることは、さほど驚くことではないかもしれません。
PCISecurity Standards Council は、金融機関が実行可能なセキュリティポリシーを導入し、すべての分野でガイドラインを遵守することを支援することに尽力しており、このコンプライアンスの重要な推進力となっています。PCI Security Standards Council は、金融機関が実行可能なセキュリティポリシーを導入し、すべての分野のガイドラインを守ることを支援しています。
では、金融機関は他の金融機関と何が違うのでしょうか。私の経験では、金融機関は一般的にセキュリティ意識が高く、AppSecの専門家やペンテスターだけでなく、大規模で世界中に散らばる開発チームのための包括的なトレーニングプログラムにリソースを割いています。また、トップレベルの意思決定者に、セキュリティプロセスは「決めたら終わり」ではなく、使用されているテクノロジーと同様に急速に進化し、変化するリスクに対応しなければならないことを理解させています。
より多くの組織が、セキュリティ・パイプラインを変革する。
ITの他の部門に比べて、AppSecは比較的若い部門です。誤解されやすく、必要な人間関係もまだ築けていないかもしれません。しかし、年を追うごとに、変化に抵抗する最も古い組織でさえ、AppSecの居場所を見つけることが容易になってきていると思います。
企業は、セキュリティ・コンプライアンスをソフトウェア・プロセスの最後の最後の段階で行うことはできないことが明らかになってきました。データを集約し、ビジネスのエグゼクティブレベルに可視性を提供することに集中し、ポイントツーポイントでチェックと対策を行う必要があります。これができなければ、セキュリティは目に見えず、心にも残らないものとなってしまいます。このような状況では、リスク対策に必要なリソースを集めることは事実上不可能です。
良いニュースとしては、これまで以上に多くの組織が自社のサイバー攻撃を発見し、その対策に取り組んでいることです。しかし、悪いニュースもあります。このプロセスには、平均85日かかっています。
ペンテストツールや手作業によるコードレビューは、技術分野では迅速な革新と機能の提供が必須であるにもかかわらず、手間と費用がかかり、時間もかかります。セキュリティに対する意識は、開発者が最初にコードを書いた瞬間から持ち合わせていなければなりません。
私たちの業界は、主な問題を認識するでしょう:私たちは人々がもっと気にする必要があります。
私のネットワークの中で、過去4年間にマリオットホテルに宿泊したことのある人は、控えめに見積もっても20人はいます。その間に5億件もの記録が盗まれたのですから、彼らのデータもその一部である可能性が高いのです。現在の連絡先、まだ有効なクレジットカード番号、パスポート情報など、あらゆる情報がダークウェブで販売されている可能性があります。しかし、彼らのケアファクターは基本的にゼロです。
また、このような大規模なデータ窃盗事件では、自分が干し草の中の針のようなものであるため、満足してしまうこともあります。
しかし、本当に問題なのは顧客のデータの安全を確保できなかった企業は、ほとんど影響を受けません。事件の直後に株価が下がるか?それは間違いありません。Target社、Equifax社、そして今回のMarriott社がそれを証明しています。しかし、1年後の状況を見ると、通常の状態に戻るのは非常に早いことがわかります。数年後には、経済的にはすべてが解決しています。
莫大な罰金、規制の強化、ビジネスの大幅な損失といった深刻な影響が出るまでは、AppSecは、企業がさらされているサイバーリスクの増大の深刻さを伝えるために常に戦わなければならない業界である。
だからこそ、組織の技術チームの最前線で、セキュリティを意識した開発者や強固なセキュリティ文化を構築することが何よりも重要なのです。このことを常に念頭に置き、より高い水準のソフトウェアセキュリティを目指していきましょう。
