サイバーセキュリティにおけるヒューマンファクターを見落としてはならない理由
先日、当社の会長兼CEOであるピーテル・ダンヒューによるForbes Technology Councilの最初の投稿が公開され、非常に感激しました。この投稿では、開発者がより安全なコードを作成できるようにスキルアップすることが、サイバー攻撃やデータ漏洩を防ぐための鍵であることが詳しく説明されています。それだけでなく、セキュリティを意識した開発者が、より優れた、より安全なコードを、多くのIT部門が認識しているよりも早く提供することを支援できることも明らかにしています。このようなアプローチの必要性は確かにあります。最近の調査によると、サイバー攻撃は39秒に1回発生していると言われています。私たちは、Colonial Pipelineへのランサムウェアの攻撃が1回成功しただけで、その混乱を目の当たりにしましたが、大局的に見ればSolarWindsのハッキングほどの破壊力はありませんでした。
多くの一般的な脆弱性が存在し続けているのは、劣悪なコーディングパターンを、同じ機能をより安全でセキュアな方法で実現する優れた方法に置き換える方法を、誰も開発者に教えようとしなかったからです。また、開発の後半にソフトウェアを修正することの影響は、費やした時間とデプロイメントの遅れの両方において、非常に大きなコストとなります。特に、攻撃者がこれまで発見されていなかった脆弱性を悪用した後に、デプロイされた後にコードを修正することは、時には数百万ドルの費用がかかります。さらに、大規模なセキュリティ侵害が発生した場合の企業の評判への影響も考慮に入れていません。
セキュリティ教育を受けた開発者は、自然と優れたプログラマーになります。確かに、CISOはすぐにセキュリティツールをやめるべきではありません。しかし、包括的で予防的なセキュリティアプローチをトップから主導することで、CISOは企業の最大のリソースである人的要因を活用することができます。特に、ソフトウェア開発ライフサイクルの最初の段階から安全なコーディングを行うことが重要です。
そのために、押さえておきたい上位3つの戦略をご紹介します。
1.積極的に行動しよう
企業が陥りがちなのは、独自のビジョンを描き、それを追求するのではなく、競合他社の動きに対応するといった「リアクティブ(反応的)」な姿勢です。また、コードのセキュリティ脆弱性に関しても、多くの企業がこのようなアプローチをとっており、サイバーセキュリティに真剣に取り組まなければならないのは、侵入が成功した結果としてのみです。残念ながら、その時点では、罰金、復旧費用、顧客離れ、ブランド回復など、すべての面でダメージを受けてしまいます。行動ではなく反応というもう一つの形は、そもそも安全なコードを作ることに集中するのではなく、既存のコードの脆弱性を見つけるために自動または手動のコードスキャンに頼ることです。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに脆弱性があればあるほど、それをすり抜けてしまう可能性が高くなるのです。
積極的なアプローチをとり、開発者と協力して最初から安全なコードを作成することによってのみ、コードの脆弱性がユーザーに公開される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立することができます。
2.アップスキル、オーバーキルは禁物
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、その方法を賢く選ぶ必要があります。コーディングを中断させるような社内トレーニング・ワークショップは、開発者と管理者の両方を苛立たせる。夜間や週末に参加しなければならないオフサイトのcourses は、さらに人気がありません。最良のアプローチは、コーディングスキルを段階的に向上させることであり、コーディングプロセスの中で段階的に関連情報を提供することです。
3.仮定ではなく、インセンティブを与える
開発者は、セキュリティ・アップスキリングを罰や全くの徒労と考えてはならない。管理者は、安全なコードが会社の成功に果たす重要な役割を伝えることで、開発者を鼓舞しなければならない。また、安全なコードを書く人は会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要である。
バイデン政権の迎えた 大統領令は、サイバーセキュリティへの注目度を高め、"開発者やサプライヤー自身のセキュリティ対策を評価する基準を盛り込み、安全な対策への適合を証明するための革新的なツールや方法を特定する "必要があるとしています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。どんなツールでも、個人が何らかの方法で、導入されたシステムやツールを無視したり、誤解したり、悪用したり、その他の方法で回避する能力を完全に排除することはできません。企業のセキュリティを最大限に高めるためには、CISOはヒューマンファクターを活用し、開発者が進んでセキュリティを推進し、実践するように働きかける必要があります。
先日、当社の会長兼CEOであるピーテル・ダンヒューによるForbes Technology Councilの最初の投稿が公開され、非常に興奮しました。この投稿では、開発者がより安全なコードを作成できるようにスキルアップすることが、サイバー攻撃やデータ漏洩を防ぐための鍵となることが詳しく述べられています。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するSecure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。
先日、当社の会長兼CEOであるピーテル・ダンヒューによるForbes Technology Councilの最初の投稿が公開され、非常に感激しました。この投稿では、開発者がより安全なコードを作成できるようにスキルアップすることが、サイバー攻撃やデータ漏洩を防ぐための鍵であることが詳しく説明されています。それだけでなく、セキュリティを意識した開発者が、より優れた、より安全なコードを、多くのIT部門が認識しているよりも早く提供することを支援できることも明らかにしています。このようなアプローチの必要性は確かにあります。最近の調査によると、サイバー攻撃は39秒に1回発生していると言われています。私たちは、Colonial Pipelineへのランサムウェアの攻撃が1回成功しただけで、その混乱を目の当たりにしましたが、大局的に見ればSolarWindsのハッキングほどの破壊力はありませんでした。
多くの一般的な脆弱性が存在し続けているのは、劣悪なコーディングパターンを、同じ機能をより安全でセキュアな方法で実現する優れた方法に置き換える方法を、誰も開発者に教えようとしなかったからです。また、開発の後半にソフトウェアを修正することの影響は、費やした時間とデプロイメントの遅れの両方において、非常に大きなコストとなります。特に、攻撃者がこれまで発見されていなかった脆弱性を悪用した後に、デプロイされた後にコードを修正することは、時には数百万ドルの費用がかかります。さらに、大規模なセキュリティ侵害が発生した場合の企業の評判への影響も考慮に入れていません。
セキュリティ教育を受けた開発者は、自然と優れたプログラマーになります。確かに、CISOはすぐにセキュリティツールをやめるべきではありません。しかし、包括的で予防的なセキュリティアプローチをトップから主導することで、CISOは企業の最大のリソースである人的要因を活用することができます。特に、ソフトウェア開発ライフサイクルの最初の段階から安全なコーディングを行うことが重要です。
そのために、押さえておきたい上位3つの戦略をご紹介します。
1.積極的に行動しよう
企業が陥りがちなのは、独自のビジョンを描き、それを追求するのではなく、競合他社の動きに対応するといった「リアクティブ(反応的)」な姿勢です。また、コードのセキュリティ脆弱性に関しても、多くの企業がこのようなアプローチをとっており、サイバーセキュリティに真剣に取り組まなければならないのは、侵入が成功した結果としてのみです。残念ながら、その時点では、罰金、復旧費用、顧客離れ、ブランド回復など、すべての面でダメージを受けてしまいます。行動ではなく反応というもう一つの形は、そもそも安全なコードを作ることに集中するのではなく、既存のコードの脆弱性を見つけるために自動または手動のコードスキャンに頼ることです。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに脆弱性があればあるほど、それをすり抜けてしまう可能性が高くなるのです。
積極的なアプローチをとり、開発者と協力して最初から安全なコードを作成することによってのみ、コードの脆弱性がユーザーに公開される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立することができます。
2.アップスキル、オーバーキルは禁物
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、その方法を賢く選ぶ必要があります。コーディングを中断させるような社内トレーニング・ワークショップは、開発者と管理者の両方を苛立たせる。夜間や週末に参加しなければならないオフサイトのcourses は、さらに人気がありません。最良のアプローチは、コーディングスキルを段階的に向上させることであり、コーディングプロセスの中で段階的に関連情報を提供することです。
3.仮定ではなく、インセンティブを与える
開発者は、セキュリティ・アップスキリングを罰や全くの徒労と考えてはならない。管理者は、安全なコードが会社の成功に果たす重要な役割を伝えることで、開発者を鼓舞しなければならない。また、安全なコードを書く人は会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要である。
バイデン政権の迎えた 大統領令は、サイバーセキュリティへの注目度を高め、"開発者やサプライヤー自身のセキュリティ対策を評価する基準を盛り込み、安全な対策への適合を証明するための革新的なツールや方法を特定する "必要があるとしています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。どんなツールでも、個人が何らかの方法で、導入されたシステムやツールを無視したり、誤解したり、悪用したり、その他の方法で回避する能力を完全に排除することはできません。企業のセキュリティを最大限に高めるためには、CISOはヒューマンファクターを活用し、開発者が進んでセキュリティを推進し、実践するように働きかける必要があります。
先日、当社の会長兼CEOであるピーテル・ダンヒューによるForbes Technology Councilの最初の投稿が公開され、非常に感激しました。この投稿では、開発者がより安全なコードを作成できるようにスキルアップすることが、サイバー攻撃やデータ漏洩を防ぐための鍵であることが詳しく説明されています。それだけでなく、セキュリティを意識した開発者が、より優れた、より安全なコードを、多くのIT部門が認識しているよりも早く提供することを支援できることも明らかにしています。このようなアプローチの必要性は確かにあります。最近の調査によると、サイバー攻撃は39秒に1回発生していると言われています。私たちは、Colonial Pipelineへのランサムウェアの攻撃が1回成功しただけで、その混乱を目の当たりにしましたが、大局的に見ればSolarWindsのハッキングほどの破壊力はありませんでした。
多くの一般的な脆弱性が存在し続けているのは、劣悪なコーディングパターンを、同じ機能をより安全でセキュアな方法で実現する優れた方法に置き換える方法を、誰も開発者に教えようとしなかったからです。また、開発の後半にソフトウェアを修正することの影響は、費やした時間とデプロイメントの遅れの両方において、非常に大きなコストとなります。特に、攻撃者がこれまで発見されていなかった脆弱性を悪用した後に、デプロイされた後にコードを修正することは、時には数百万ドルの費用がかかります。さらに、大規模なセキュリティ侵害が発生した場合の企業の評判への影響も考慮に入れていません。
セキュリティ教育を受けた開発者は、自然と優れたプログラマーになります。確かに、CISOはすぐにセキュリティツールをやめるべきではありません。しかし、包括的で予防的なセキュリティアプローチをトップから主導することで、CISOは企業の最大のリソースである人的要因を活用することができます。特に、ソフトウェア開発ライフサイクルの最初の段階から安全なコーディングを行うことが重要です。
そのために、押さえておきたい上位3つの戦略をご紹介します。
1.積極的に行動しよう
企業が陥りがちなのは、独自のビジョンを描き、それを追求するのではなく、競合他社の動きに対応するといった「リアクティブ(反応的)」な姿勢です。また、コードのセキュリティ脆弱性に関しても、多くの企業がこのようなアプローチをとっており、サイバーセキュリティに真剣に取り組まなければならないのは、侵入が成功した結果としてのみです。残念ながら、その時点では、罰金、復旧費用、顧客離れ、ブランド回復など、すべての面でダメージを受けてしまいます。行動ではなく反応というもう一つの形は、そもそも安全なコードを作ることに集中するのではなく、既存のコードの脆弱性を見つけるために自動または手動のコードスキャンに頼ることです。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに脆弱性があればあるほど、それをすり抜けてしまう可能性が高くなるのです。
積極的なアプローチをとり、開発者と協力して最初から安全なコードを作成することによってのみ、コードの脆弱性がユーザーに公開される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立することができます。
2.アップスキル、オーバーキルは禁物
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、その方法を賢く選ぶ必要があります。コーディングを中断させるような社内トレーニング・ワークショップは、開発者と管理者の両方を苛立たせる。夜間や週末に参加しなければならないオフサイトのcourses は、さらに人気がありません。最良のアプローチは、コーディングスキルを段階的に向上させることであり、コーディングプロセスの中で段階的に関連情報を提供することです。
3.仮定ではなく、インセンティブを与える
開発者は、セキュリティ・アップスキリングを罰や全くの徒労と考えてはならない。管理者は、安全なコードが会社の成功に果たす重要な役割を伝えることで、開発者を鼓舞しなければならない。また、安全なコードを書く人は会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要である。
バイデン政権の迎えた 大統領令は、サイバーセキュリティへの注目度を高め、"開発者やサプライヤー自身のセキュリティ対策を評価する基準を盛り込み、安全な対策への適合を証明するための革新的なツールや方法を特定する "必要があるとしています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。どんなツールでも、個人が何らかの方法で、導入されたシステムやツールを無視したり、誤解したり、悪用したり、その他の方法で回避する能力を完全に排除することはできません。企業のセキュリティを最大限に高めるためには、CISOはヒューマンファクターを活用し、開発者が進んでセキュリティを推進し、実践するように働きかける必要があります。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約するSecure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。
先日、当社の会長兼CEOであるピーテル・ダンヒューによるForbes Technology Councilの最初の投稿が公開され、非常に感激しました。この投稿では、開発者がより安全なコードを作成できるようにスキルアップすることが、サイバー攻撃やデータ漏洩を防ぐための鍵であることが詳しく説明されています。それだけでなく、セキュリティを意識した開発者が、より優れた、より安全なコードを、多くのIT部門が認識しているよりも早く提供することを支援できることも明らかにしています。このようなアプローチの必要性は確かにあります。最近の調査によると、サイバー攻撃は39秒に1回発生していると言われています。私たちは、Colonial Pipelineへのランサムウェアの攻撃が1回成功しただけで、その混乱を目の当たりにしましたが、大局的に見ればSolarWindsのハッキングほどの破壊力はありませんでした。
多くの一般的な脆弱性が存在し続けているのは、劣悪なコーディングパターンを、同じ機能をより安全でセキュアな方法で実現する優れた方法に置き換える方法を、誰も開発者に教えようとしなかったからです。また、開発の後半にソフトウェアを修正することの影響は、費やした時間とデプロイメントの遅れの両方において、非常に大きなコストとなります。特に、攻撃者がこれまで発見されていなかった脆弱性を悪用した後に、デプロイされた後にコードを修正することは、時には数百万ドルの費用がかかります。さらに、大規模なセキュリティ侵害が発生した場合の企業の評判への影響も考慮に入れていません。
セキュリティ教育を受けた開発者は、自然と優れたプログラマーになります。確かに、CISOはすぐにセキュリティツールをやめるべきではありません。しかし、包括的で予防的なセキュリティアプローチをトップから主導することで、CISOは企業の最大のリソースである人的要因を活用することができます。特に、ソフトウェア開発ライフサイクルの最初の段階から安全なコーディングを行うことが重要です。
そのために、押さえておきたい上位3つの戦略をご紹介します。
1.積極的に行動しよう
企業が陥りがちなのは、独自のビジョンを描き、それを追求するのではなく、競合他社の動きに対応するといった「リアクティブ(反応的)」な姿勢です。また、コードのセキュリティ脆弱性に関しても、多くの企業がこのようなアプローチをとっており、サイバーセキュリティに真剣に取り組まなければならないのは、侵入が成功した結果としてのみです。残念ながら、その時点では、罰金、復旧費用、顧客離れ、ブランド回復など、すべての面でダメージを受けてしまいます。行動ではなく反応というもう一つの形は、そもそも安全なコードを作ることに集中するのではなく、既存のコードの脆弱性を見つけるために自動または手動のコードスキャンに頼ることです。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに脆弱性があればあるほど、それをすり抜けてしまう可能性が高くなるのです。
積極的なアプローチをとり、開発者と協力して最初から安全なコードを作成することによってのみ、コードの脆弱性がユーザーに公開される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立することができます。
2.アップスキル、オーバーキルは禁物
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、その方法を賢く選ぶ必要があります。コーディングを中断させるような社内トレーニング・ワークショップは、開発者と管理者の両方を苛立たせる。夜間や週末に参加しなければならないオフサイトのcourses は、さらに人気がありません。最良のアプローチは、コーディングスキルを段階的に向上させることであり、コーディングプロセスの中で段階的に関連情報を提供することです。
3.仮定ではなく、インセンティブを与える
開発者は、セキュリティ・アップスキリングを罰や全くの徒労と考えてはならない。管理者は、安全なコードが会社の成功に果たす重要な役割を伝えることで、開発者を鼓舞しなければならない。また、安全なコードを書く人は会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要である。
バイデン政権の迎えた 大統領令は、サイバーセキュリティへの注目度を高め、"開発者やサプライヤー自身のセキュリティ対策を評価する基準を盛り込み、安全な対策への適合を証明するための革新的なツールや方法を特定する "必要があるとしています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。どんなツールでも、個人が何らかの方法で、導入されたシステムやツールを無視したり、誤解したり、悪用したり、その他の方法で回避する能力を完全に排除することはできません。企業のセキュリティを最大限に高めるためには、CISOはヒューマンファクターを活用し、開発者が進んでセキュリティを推進し、実践するように働きかける必要があります。
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード