認証されたセキュリティ意識。開発者の地位向上のための大統領令
もし神のタイミングというものがあるとすれば、バイデン政権が発表した大統領令(EO)は、連邦政府のネットワークを強化し、国全体のサイバーセキュリティ基準とベストプラクティスを向上させるという米国政府の計画を見事に表現していると言わざるを得ません。この戦略は、SolarWinds社によるサプライチェーンへの侵入、Colonial Pipeline社によるガスインフラへの攻撃という、最近起きた2つの壊滅的なサイバー攻撃を受けてのものです。
これらの出来事が政府のあらゆるレベルに波紋を投げかけたことは間違いありませんが、この指令は、サイバーセキュリティの将来にとってエキサイティングな時期であることを示しています。私たちのデジタルな存在を守るために、私たちはようやく上から目線で真剣に取り組んでいるようです。そして、より良い基準と高品質なソフトウェアを求めるのに、今ほど適した時期はありません。
このEOは、機能的なサイバーセキュリティの多くの側面に触れていますが、今回初めて、開発者の影響と、開発者が検証されたセキュリティスキルと意識を持つことの必要性を具体的に示しています。私たちは何年にもわたって、この方法こそが、私たちを躓かせる一般的な脆弱性に立ち向かうための方法であると屋上から叫んできました。そして、政府の義務づけがこのアプローチに沿ったものになることこそが、サイバーディフェンスにおける広範な成功への道なのです。
この命令を受けて、組織や連邦政府はどのように対応すべきでしょうか。いくつかの主なカテゴリーを紐解いてみましょう。
ティック・ザ・ボックス」は論外。
私たちは以前から、開発者向けのサイバーセキュリティトレーニングの多くが効果的ではないことを指摘してきました。あまりにも一般的で、期待する結果(より安全なコード)に結びつくような方法で提供されていないことが多く、触れられる頻度もあまりにも少ないのです。さらに悪いことに、多くの企業は「Tick-the-Box」トレーニングに満足しています。これは、業務上の要件を満たし、開発者の名前に「Tick」を付けるための、必要最低限の「一回で終わる」基本的な知識を提供するアプローチです。このような教育戦略は、すべてのCISOを緊張させ、指をくわえて、自社が次のゼロデイ攻撃の犠牲にならないように願っている。このような教育方法では、脆弱性を減らし、より質の高いコードを作成することはできません。
バイデン氏の指令のセクション4では、組織が、開発者が文書化され検証されたセキュリティコンプライアンスを示していることを証明する必要性が明確にされています。
"ガイドラインには、ソフトウェアのセキュリティを評価するための基準が含まれており、開発者やサプライヤー自身のセキュリティ対策を評価するための基準も含まれており、また、セキュリティ対策への適合を実証するための革新的なツールや方法を特定しています。”
これにはちょっとした問題があります。現在、開発者に特化した業界標準の認証が存在しないのです。開発者のセキュアコーディングのスキルレベルをベンチマークし、courses や評価と連携してそのスキルを向上させることは、企業が目標を設定し、コンプライアンスを達成するための基本となります。開発者が実践的なハンズオン環境でコアコンピテンシーを示すことができれば、意味のある、信頼できる方法で評価・認定することができます。これは、Secure Code Warrior で提供しているサービスの中核をなすもので、企業の技術スタックや組織の要件に合わせてカスタマイズできる、信頼性の高い認証に活用できるシステムの構築に努めてきました。
これらのスキルは貴重であり、自動化することはできません。認定を受けることで、開発者はセキュリティを意識した部隊に生まれ変わり、陰湿な脅威からコードベースを守ることができるようになります。
開発者用ツール(およびツール全般)に焦点を当てています。
EOでは、安全なコーディング手法の検証に関するガイドラインに加えて、セキュリティの自動化やツールの側面についてもかなり深く掘り下げています。
セキュリティの観点から見ると、人間が単独で処理するにはあまりにも多くのコードが生成されており、広範な技術スタックの一部としての自動化は、当然のことながらすべてのセキュリティプログラムの主要な部分を占めています。しかし、すべてのツールが同じように作られているわけではありませんし、すべてのプログラミング言語のすべての脆弱性を拾うことができる「すべてを支配する1つのツール」は存在しません。優れたセキュリティプログラムは、特に開発者を対象としたツールやサービスに関しては、微妙なアプローチを取ります。
EOのセクション3では、連邦政府の使用に適したソフトウェアを作成するベンダーに期待されることや、開発プロセスにおけるツールの使用に関する指示的なガイドラインが示されています。
"
(iv) 既知および潜在的な脆弱性をチェックし、それらを修正するための自動化されたツールまたは同等のプロセスを採用していること。”
開発者の技術スタックに含まれるセキュリティツールは、セキュリティのベストプラクティスを迅速に向上させる方法の1つであり、セキュリティバグやその他の障害によってリリースが滞ることなく、納期に間に合わせることができる可能性を最大限に高めます。しかし、開発者が最も強力なツールを最大限に活用するには、コンテキストに基づいた学習が必要です。フラグが立てられた内容を理解し、それがなぜ危険なのか、そしてどのように修正すればよいのかを理解することは非常に重要であり、ツールが最初に発見するべきミスを減らすことにもつながります。
最良のツールは、開発者の環境と統合し、より高品質な(そしてより安全な)コードの作成を支援し、セキュリティを最優先に保つことができます。
サプライチェーンを確保する。
EOの中で私が気に入っているのは、ソフトウェアのサプライチェーンを確保するための包括的な計画です。これは、ソーラーウインズのイベントを考えると驚くことではありませんが、重要なハイライトとなっています。
"連邦政府が使用するソフトウェアのセキュリティは、連邦政府がその重要な機能を果たすために不可欠です。商用ソフトウェアの開発には、透明性や、ソフトウェアの攻撃耐性への十分な配慮、悪意のある行為者による改ざんを防ぐための適切な管理が欠けていることが多い。製品が意図されたとおりに安全に機能することを保証するために、より厳密で予測可能なメカニズムを導入することが急務である。連邦政府は、重要なソフトウェアへの対応を優先し、ソフトウェアのサプライチェーンのセキュリティと整合性を迅速に改善するための行動を起こさなければならない。”
この判決は、米国政府との取引を検討しているソフトウェア企業に影響を与えるものですが、あらゆる場所で標準として適用されるべきものです。サードパーティのベンダー(サードパーティのコンポーネントを利用している開発者は言うに及ばず)のセキュリティ対策に関する透明性が欠如しているため、サイバーセキュリティのベストプラクティスが満たされているかどうかを評価、検証、宣言することが非常に困難です。私たちは、使用しているサプライヤーや彼らが作成したソフトウェアを分析しなければなりません。これらの行動は「余計なお世話」と思われるかもしれませんが、サイバーセキュリティのベスト・プラクティスのゴールド・スタンダードに内在するものであるべきです。
セキュアなコードを自信を持って出荷することは、長い間、私たちの業界の悩みの種でした。しかし、これは現在のプロセスを評価し、硬化したソフトウェアとクラウド・インフラをリードする絶好の機会であり、他に取り残された人々の羨望の的となります。今すぐ相談して、次のような活用方法を見つけてください。 Courses アセスメントや開発ツールを活用して、セキュリティ意識の高い開発者チームを認定する方法をご紹介します。
.png)
ピーテル・ダンヒユー
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
認証されたセキュリティ意識。開発者の地位向上のための大統領令
もし神のタイミングというものがあるとすれば、バイデン政権が発表した大統領令(EO)は、連邦政府のネットワークを強化し、国全体のサイバーセキュリティ基準とベストプラクティスを向上させるという米国政府の計画を見事に表現していると言わざるを得ません。この戦略は、SolarWinds社によるサプライチェーンへの侵入、Colonial Pipeline社によるガスインフラへの攻撃という、最近起きた2つの壊滅的なサイバー攻撃を受けてのものです。
これらの出来事が政府のあらゆるレベルに波紋を投げかけたことは間違いありませんが、この指令は、サイバーセキュリティの将来にとってエキサイティングな時期であることを示しています。私たちのデジタルな存在を守るために、私たちはようやく上から目線で真剣に取り組んでいるようです。そして、より良い基準と高品質なソフトウェアを求めるのに、今ほど適した時期はありません。
このEOは、機能的なサイバーセキュリティの多くの側面に触れていますが、今回初めて、開発者の影響と、開発者が検証されたセキュリティスキルと意識を持つことの必要性を具体的に示しています。私たちは何年にもわたって、この方法こそが、私たちを躓かせる一般的な脆弱性に立ち向かうための方法であると屋上から叫んできました。そして、政府の義務づけがこのアプローチに沿ったものになることこそが、サイバーディフェンスにおける広範な成功への道なのです。
この命令を受けて、組織や連邦政府はどのように対応すべきでしょうか。いくつかの主なカテゴリーを紐解いてみましょう。
ティック・ザ・ボックス」は論外。
私たちは以前から、開発者向けのサイバーセキュリティトレーニングの多くが効果的ではないことを指摘してきました。あまりにも一般的で、期待する結果(より安全なコード)に結びつくような方法で提供されていないことが多く、触れられる頻度もあまりにも少ないのです。さらに悪いことに、多くの企業は「Tick-the-Box」トレーニングに満足しています。これは、業務上の要件を満たし、開発者の名前に「Tick」を付けるための、必要最低限の「一回で終わる」基本的な知識を提供するアプローチです。このような教育戦略は、すべてのCISOを緊張させ、指をくわえて、自社が次のゼロデイ攻撃の犠牲にならないように願っている。このような教育方法では、脆弱性を減らし、より質の高いコードを作成することはできません。
バイデン氏の指令のセクション4では、組織が、開発者が文書化され検証されたセキュリティコンプライアンスを示していることを証明する必要性が明確にされています。
"ガイドラインには、ソフトウェアのセキュリティを評価するための基準が含まれており、開発者やサプライヤー自身のセキュリティ対策を評価するための基準も含まれており、また、セキュリティ対策への適合を実証するための革新的なツールや方法を特定しています。”
これにはちょっとした問題があります。現在、開発者に特化した業界標準の認証が存在しないのです。開発者のセキュアコーディングのスキルレベルをベンチマークし、courses や評価と連携してそのスキルを向上させることは、企業が目標を設定し、コンプライアンスを達成するための基本となります。開発者が実践的なハンズオン環境でコアコンピテンシーを示すことができれば、意味のある、信頼できる方法で評価・認定することができます。これは、Secure Code Warrior で提供しているサービスの中核をなすもので、企業の技術スタックや組織の要件に合わせてカスタマイズできる、信頼性の高い認証に活用できるシステムの構築に努めてきました。
これらのスキルは貴重であり、自動化することはできません。認定を受けることで、開発者はセキュリティを意識した部隊に生まれ変わり、陰湿な脅威からコードベースを守ることができるようになります。
開発者用ツール(およびツール全般)に焦点を当てています。
EOでは、安全なコーディング手法の検証に関するガイドラインに加えて、セキュリティの自動化やツールの側面についてもかなり深く掘り下げています。
セキュリティの観点から見ると、人間が単独で処理するにはあまりにも多くのコードが生成されており、広範な技術スタックの一部としての自動化は、当然のことながらすべてのセキュリティプログラムの主要な部分を占めています。しかし、すべてのツールが同じように作られているわけではありませんし、すべてのプログラミング言語のすべての脆弱性を拾うことができる「すべてを支配する1つのツール」は存在しません。優れたセキュリティプログラムは、特に開発者を対象としたツールやサービスに関しては、微妙なアプローチを取ります。
EOのセクション3では、連邦政府の使用に適したソフトウェアを作成するベンダーに期待されることや、開発プロセスにおけるツールの使用に関する指示的なガイドラインが示されています。
"
(iv) 既知および潜在的な脆弱性をチェックし、それらを修正するための自動化されたツールまたは同等のプロセスを採用していること。”
開発者の技術スタックに含まれるセキュリティツールは、セキュリティのベストプラクティスを迅速に向上させる方法の1つであり、セキュリティバグやその他の障害によってリリースが滞ることなく、納期に間に合わせることができる可能性を最大限に高めます。しかし、開発者が最も強力なツールを最大限に活用するには、コンテキストに基づいた学習が必要です。フラグが立てられた内容を理解し、それがなぜ危険なのか、そしてどのように修正すればよいのかを理解することは非常に重要であり、ツールが最初に発見するべきミスを減らすことにもつながります。
最良のツールは、開発者の環境と統合し、より高品質な(そしてより安全な)コードの作成を支援し、セキュリティを最優先に保つことができます。
サプライチェーンを確保する。
EOの中で私が気に入っているのは、ソフトウェアのサプライチェーンを確保するための包括的な計画です。これは、ソーラーウインズのイベントを考えると驚くことではありませんが、重要なハイライトとなっています。
"連邦政府が使用するソフトウェアのセキュリティは、連邦政府がその重要な機能を果たすために不可欠です。商用ソフトウェアの開発には、透明性や、ソフトウェアの攻撃耐性への十分な配慮、悪意のある行為者による改ざんを防ぐための適切な管理が欠けていることが多い。製品が意図されたとおりに安全に機能することを保証するために、より厳密で予測可能なメカニズムを導入することが急務である。連邦政府は、重要なソフトウェアへの対応を優先し、ソフトウェアのサプライチェーンのセキュリティと整合性を迅速に改善するための行動を起こさなければならない。”
この判決は、米国政府との取引を検討しているソフトウェア企業に影響を与えるものですが、あらゆる場所で標準として適用されるべきものです。サードパーティのベンダー(サードパーティのコンポーネントを利用している開発者は言うに及ばず)のセキュリティ対策に関する透明性が欠如しているため、サイバーセキュリティのベストプラクティスが満たされているかどうかを評価、検証、宣言することが非常に困難です。私たちは、使用しているサプライヤーや彼らが作成したソフトウェアを分析しなければなりません。これらの行動は「余計なお世話」と思われるかもしれませんが、サイバーセキュリティのベスト・プラクティスのゴールド・スタンダードに内在するものであるべきです。
セキュアなコードを自信を持って出荷することは、長い間、私たちの業界の悩みの種でした。しかし、これは現在のプロセスを評価し、硬化したソフトウェアとクラウド・インフラをリードする絶好の機会であり、他に取り残された人々の羨望の的となります。今すぐ相談して、次のような活用方法を見つけてください。 Courses アセスメントや開発ツールを活用して、セキュリティ意識の高い開発者チームを認定する方法をご紹介します。
