開発者がサイバー犯罪を撲滅するためには、2つのパートに分けてトレーニングを行う必要があります。
この記事の一版は DevOps.com.この記事は更新され、ここでシンジケートされています。
サイバーセキュリティの分野では、ヒーローと悪役の間の競争が不公平であることはよく知られています。機密データは新たな金塊であり、攻撃者は防御策を回避するために素早く適応し、大小のセキュリティバグを利用して潜在的な利益を得ようとします。
生産されるコードの量は、希少性を増しているセキュリティ専門家が対処するにはあまりにも膨大であり、データ侵害のコストが増加していることは、何かを与えなければならないことを証明しています。幸いなことに、私たちのデジタルな安全性と世界中のCISOの健全性のために、DevSecOpsの動きは、ソフトウェア開発プロセスの最初から開発者をセキュリティの旅に連れて行くのに役立っています。開発者は、一般的な脆弱性を排除する力を持ち、サイバー攻撃者に対する最初の防衛線として認識されています。
しかし、開発者の防御能力は、開発者が受けるトレーニングに依存しており、セキュリティチームにとっては、もう一つの試練となっています。セキュア・コーディングのトレーニングを受けている多くの開発者にとって、重要な課題は、効果的でもなく、セキュリティを最優先に考えるきっかけにもならない、退屈で手のかからない活動の間、眠らずにいることです。魂のこもっていないビデオcourses は、私たちをそこに連れて行ってはくれませんし、毎年行われる形だけの「チェックボックス」イベントは時間の無駄であり、誰も小さな機会に飛び込もうとしている潜在的な悪意のある脅威アクターに勝つことはできません。
この業界の現段階では、関連するプログラミング言語やフレームワークを用いて、開発者が実社会で遭遇する可能性のある課題を取り上げ、文脈に沿った実践的な教育を行うことが、はるかに魅力的なアプローチであることがわかっています。
これは、AppSecの専門家が一般的な脆弱性を退治するための開発者の探求の第1段階ですが、第2段階では、セキュリティを意識した超強力な防御力のために、シナリオを現実のものにしなければなりません。
大人の教育には足場のある学習が欠かせない
課外活動(courses )やOJTに関しては、大人は一定の経験や既存の知識を持っていることが見落とされがちです。優れたトレーニングは、この土台に加えて、より深い理解とより早い自律的な学習プロセスを可能にする方法で構成されています。
足場を使った教育とは、過去の経験を生かし、それを強化しながら、新しいスキルを身につけていくという、積極的な学習方法です。一般的には、デモンストレーション、視覚資料、生徒主導の調査などを十分に活用することが望ましい方法です。
このアプローチを開発者のセキュリティトレーニングに結びつけると、理論に基づいた静的な学習ではなく、動的な「やってみる」学習法が長い間好まれてきたのも不思議ではありません。開発者は自分の領域の支配者として自由であり、自分の時間が有効に使われていることを確認する必要があります。
その意味で、関連性の高い、文脈に沿った環境で安全なコーディングを学ぶことは重要ですが、このステップから「レベルアップ」するには、脆弱なコードの悪用を実際に見ることです。フロントエンドとバックエンドを並べて見ることで、コーディングの過程で行われた行動と、手抜き工事や設定ミス、事故を発見して改善しなかった場合に攻撃者ができる可能性との間に、具体的な関連性を見出すことができます。
リコールからアプリケーションへ、真の予防的セキュリティアプローチへ
セキュリティの脆弱性の影響を直接体験することは、教育のパズルの重要なピースですが、開発者向けの最新のセキュリティトレーニングのオプションでさえも、かなり稀なケースです。脆弱性を発見して修正するスキルを磨き、その経験を思い出してコードを書く際に同じバグを排除するという基礎的な作業は非常に重要ですが、それが全体像ではありません。脆弱なコードが悪意のあるアクターに悪用される様子を目の当たりにすることで、コードの安全性を確保することの重要性、そしてあらゆる機会の窓を塞ぐために苦労して習得したセキュリティ知識を適用することの重要性を強く実感することができます。
一般的に、開発者はセキュリティを愛していないと言われていますが、セキュリティ・トレーニングに対しても同様の傾向があります。彼らとAppSecのスペシャリストとの関係は非常に冷え切っており、セキュリティチームが脆弱なコードを修正のために開発者に送り返すことで生じる再作業は、彼らの悩みの種となっています。ただでさえ手薄なエンジニアリングチームにとって、セキュリティは他人の問題であり、自分たちの優先事項ではなく、彼らの自然な創造性や機能を構築するという主要な目的を阻害するものです。しかし、このような考え方を続けるには、あまりにも多くのコード、あまりにも多くの違反、そして世界のデータに対するあまりにも多くのリスクがあります。
機能的なDevSecOpsプロセスでは、開発者はSDLCの初期段階からセキュリティチームと協調して作業を行います。また、シミュレーションされたエクスプロイトを使用して、不十分なセキュリティのコードの影響を確認する応用学習の機会は、開発者を厄介なAppSecの人々(結局のところ、それほど悪い人たちではありません)と同じページに導くのに大いに役立ちます。
インタラクティブな学習により、開発者はボス戦に備える
この記事を書いている時点で、7日間で2つの大きな情報漏洩が報告されています。Razer社は10万件以上の機密データが流出したことを発表し、オフィス用品チェーンのStaples社も同様のデータ流出を報告しています。2020年には、これまでに10億件以上の機密情報が流出しており、この懸念すべき傾向は一向に収まる気配がありません。簡単に言えば、悪意のあるアクターが優位に立っており、セキュリティを意識した開発者が防御の最前線として切実に求められているのです。
このような侵害のシミュレーションに焦点を当てたインタラクティブなチャレンジは、開発者を受動的な記憶から、攻撃者を足止めするという真のボス戦に影響を与えるスキルの適用へと導きます。
マティアス・マドゥ博士
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
開発者がサイバー犯罪を撲滅するためには、2つのパートに分けてトレーニングを行う必要があります。
この記事の一版は DevOps.com.この記事は更新され、ここでシンジケートされています。
サイバーセキュリティの分野では、ヒーローと悪役の間の競争が不公平であることはよく知られています。機密データは新たな金塊であり、攻撃者は防御策を回避するために素早く適応し、大小のセキュリティバグを利用して潜在的な利益を得ようとします。
生産されるコードの量は、希少性を増しているセキュリティ専門家が対処するにはあまりにも膨大であり、データ侵害のコストが増加していることは、何かを与えなければならないことを証明しています。幸いなことに、私たちのデジタルな安全性と世界中のCISOの健全性のために、DevSecOpsの動きは、ソフトウェア開発プロセスの最初から開発者をセキュリティの旅に連れて行くのに役立っています。開発者は、一般的な脆弱性を排除する力を持ち、サイバー攻撃者に対する最初の防衛線として認識されています。
しかし、開発者の防御能力は、開発者が受けるトレーニングに依存しており、セキュリティチームにとっては、もう一つの試練となっています。セキュア・コーディングのトレーニングを受けている多くの開発者にとって、重要な課題は、効果的でもなく、セキュリティを最優先に考えるきっかけにもならない、退屈で手のかからない活動の間、眠らずにいることです。魂のこもっていないビデオcourses は、私たちをそこに連れて行ってはくれませんし、毎年行われる形だけの「チェックボックス」イベントは時間の無駄であり、誰も小さな機会に飛び込もうとしている潜在的な悪意のある脅威アクターに勝つことはできません。
この業界の現段階では、関連するプログラミング言語やフレームワークを用いて、開発者が実社会で遭遇する可能性のある課題を取り上げ、文脈に沿った実践的な教育を行うことが、はるかに魅力的なアプローチであることがわかっています。
これは、AppSecの専門家が一般的な脆弱性を退治するための開発者の探求の第1段階ですが、第2段階では、セキュリティを意識した超強力な防御力のために、シナリオを現実のものにしなければなりません。
大人の教育には足場のある学習が欠かせない
課外活動(courses )やOJTに関しては、大人は一定の経験や既存の知識を持っていることが見落とされがちです。優れたトレーニングは、この土台に加えて、より深い理解とより早い自律的な学習プロセスを可能にする方法で構成されています。
足場を使った教育とは、過去の経験を生かし、それを強化しながら、新しいスキルを身につけていくという、積極的な学習方法です。一般的には、デモンストレーション、視覚資料、生徒主導の調査などを十分に活用することが望ましい方法です。
このアプローチを開発者のセキュリティトレーニングに結びつけると、理論に基づいた静的な学習ではなく、動的な「やってみる」学習法が長い間好まれてきたのも不思議ではありません。開発者は自分の領域の支配者として自由であり、自分の時間が有効に使われていることを確認する必要があります。
その意味で、関連性の高い、文脈に沿った環境で安全なコーディングを学ぶことは重要ですが、このステップから「レベルアップ」するには、脆弱なコードの悪用を実際に見ることです。フロントエンドとバックエンドを並べて見ることで、コーディングの過程で行われた行動と、手抜き工事や設定ミス、事故を発見して改善しなかった場合に攻撃者ができる可能性との間に、具体的な関連性を見出すことができます。
リコールからアプリケーションへ、真の予防的セキュリティアプローチへ
セキュリティの脆弱性の影響を直接体験することは、教育のパズルの重要なピースですが、開発者向けの最新のセキュリティトレーニングのオプションでさえも、かなり稀なケースです。脆弱性を発見して修正するスキルを磨き、その経験を思い出してコードを書く際に同じバグを排除するという基礎的な作業は非常に重要ですが、それが全体像ではありません。脆弱なコードが悪意のあるアクターに悪用される様子を目の当たりにすることで、コードの安全性を確保することの重要性、そしてあらゆる機会の窓を塞ぐために苦労して習得したセキュリティ知識を適用することの重要性を強く実感することができます。
一般的に、開発者はセキュリティを愛していないと言われていますが、セキュリティ・トレーニングに対しても同様の傾向があります。彼らとAppSecのスペシャリストとの関係は非常に冷え切っており、セキュリティチームが脆弱なコードを修正のために開発者に送り返すことで生じる再作業は、彼らの悩みの種となっています。ただでさえ手薄なエンジニアリングチームにとって、セキュリティは他人の問題であり、自分たちの優先事項ではなく、彼らの自然な創造性や機能を構築するという主要な目的を阻害するものです。しかし、このような考え方を続けるには、あまりにも多くのコード、あまりにも多くの違反、そして世界のデータに対するあまりにも多くのリスクがあります。
機能的なDevSecOpsプロセスでは、開発者はSDLCの初期段階からセキュリティチームと協調して作業を行います。また、シミュレーションされたエクスプロイトを使用して、不十分なセキュリティのコードの影響を確認する応用学習の機会は、開発者を厄介なAppSecの人々(結局のところ、それほど悪い人たちではありません)と同じページに導くのに大いに役立ちます。
インタラクティブな学習により、開発者はボス戦に備える
この記事を書いている時点で、7日間で2つの大きな情報漏洩が報告されています。Razer社は10万件以上の機密データが流出したことを発表し、オフィス用品チェーンのStaples社も同様のデータ流出を報告しています。2020年には、これまでに10億件以上の機密情報が流出しており、この懸念すべき傾向は一向に収まる気配がありません。簡単に言えば、悪意のあるアクターが優位に立っており、セキュリティを意識した開発者が防御の最前線として切実に求められているのです。
このような侵害のシミュレーションに焦点を当てたインタラクティブなチャレンジは、開発者を受動的な記憶から、攻撃者を足止めするという真のボス戦に影響を与えるスキルの適用へと導きます。
