教育現場で疑問視されている「徹底したセキュリティトレーニング

2019年9月30日発行
ピーテル・ダンヒョウ著
ケーススタディ

教育現場で疑問視されている「徹底したセキュリティトレーニング

2019年9月30日発行
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

2015年にミッションを開始して以来、私たちの焦点は、開発者向けに楽しく、適切で、魅力的なセキュアコーディングトレーニングを促進することでした。私たちは、開発者にセキュリティのベストプラクティスを理解するための知識とツールを提供することの重要性を長年認識してきました。そして、なぜそれが重要なのか、コードを書く際にどのようにして悪意のある攻撃からソフトウェアを守ることができるのかを説明してきました。

しかし、セキュリティ教育は決して新しい概念ではありません。私たちが最初に取り組んだわけではありませんし、適切なセキュリティ対策は長い間、ソフトウェア開発において考慮されてきました。確かに、ある種のトレーニングは他よりも効果的ですが、特に今日では、ある種のセキュリティ教育へのアクセスは比較的容易になっています。

...では、一体なぜこれほど多くのデータ漏洩が発生しているのでしょうか?9月の時点で、2019年だけでも40億件以上の記録が複数のサイバー攻撃で暴露されています。

現在、多くの企業が、ますます貴重になるデータを安全に保つために、負け戦を強いられています。世界中のCISOやCIOにとって、「左遷」では遅すぎることが明らかになっています。SDLCにおいてセキュリティを左から始めなければならず、それは開発者が適切なセキュリティ知識を持ち、コードがコミットされる前、ましてや公に出る前に欠陥を修正しなければならないことを意味します。

AppSecのスペシャリストだけがセキュリティ知識のゲートキーパーではありません。

かつて、ソフトウェアセキュリティは、非常に特殊で賢いギークたちの領域であり、コードを書いているエンジニアとの交流はほとんどありませんでした。彼らの仕事は、安全でないコードをテストし、破壊し、日の目を見ないようにすることでした。もし彼らが出会うとすれば、それはセキュリティの専門家がコードの欠陥を指摘した結果であり、コードの作成に多大な労力を費やした開発者からは冷たくあしらわれることは確実だった。

現代に戻っても状況はほとんど変わりませんが、今ではより多くの問題が発生しています。ソーシャルメディア上のフォトアルバム、医療記録、銀行取引、そして最も貴重な身分証明書など、私たちの生活のほぼすべての側面がデジタル化されています。これまでは、ほとんどがオフラインのスタンドアローンソフトウェアやオペレーティング・システムで保護されていました。しかし、何十億行ものコードが脅かされ、何億人ものユーザーが危険にさらされる可能性があることを考えると、まったく別の問題です。一人の専門家グループがすべての責任を負うには、あまりにも多くの問題があるため、AppSecと開発チームの間のギャップを埋める必要があります。だからこそ、AppSecと開発チームの間のギャップを埋めなければなりません。両者が協力し、知識を共有し、セキュリティを意識した1つのまとまったユニットとして活動する必要があります。

それには1つだけ問題があります。開発者が意味のある方法で安全なコーディングスキルを学ぶ機会はほとんどありません。ほとんどの高等教育では、セキュリティのベストプラクティスについてはほとんど触れられておらず、現場でのトレーニングの質も千差万別です。

毎日のように大規模な不正アクセスが発生しているのも不思議ではありません。AppSecチェックリストをダウンロードしてください。

コードのライセンス」です。

現在の暗い状況にもかかわらず、私はセキュリティの将来について楽観的に考えています。今、多くの企業が安全なコーディングに真剣に取り組んでいることに、私はとても勇気づけられています。

セキュリティリスクを軽減するためには、開発者が適切なツールと知識を利用する必要があり、また、データ漏洩対策にはセキュリティ意識の高い文化が不可欠であることが、ますます明らかになってきています。開発者がコードを書く際にセキュリティに責任を持てば、攻撃者が単純な欠陥を突いて城の鍵を手に入れることは容易ではなくなるでしょう。

開発者の中には、他の開発者よりもセキュリティ意識が高い人がいるというのが常であり、これは企業にとって大きな課題となっています。社内の開発チームは、ある程度のトレーニングやスキルの監視を受けていることが多いのですが、契約社員やフリーランサー、新卒者が混ざってくると、水が非常に濁ってきます。彼らはセキュリティを意識して行動しているでしょうか?彼らは、クロスサイトスクリプティングのような、何十年も前から存在する欠陥をうまく回避できるでしょうか?判断は難しいですが、彼らはソフトウェア構築の重要な部分を任されることが多いのです。困ったものです。

ありがたいことに、開発者にとって譲れない基準が増えてきています。例えば、一部の組織では Secure Code Warriorを使って開発スキルを評価し、「コードライセンス」を発行している組織もあります。基本的なセキュアコーディングの評価に合格しなければ、どんなプロジェクトにも参加できません。これは、新卒者やインターンがセキュリティスキルを身につける上で非常に有効であると同時に、安全なコーディングを行うことの重要性を浸透させることにもつながっています。結局のところ、ソフトウェアに関しては、セキュリティは品質と同義でなければなりません。

課外授業で大学が注目されています。

セキュアコーディングに関する話題を変えるには、記事や基調講演だけでは不十分です。多くの一流企業が注目し、羨望の的となるハイレベルなセキュリティプログラムを構築しているのを見るのは素晴らしいことだと思います。HSBCもその一つで、新卒者や新入社員ができるだけ早く「Start Left」の道を歩むことができるよう、強力なプログラムを用意しています。HSBCインドのテクノロジー・アカデミーの責任者であるSekhar Babu Tatavartiは、詳細なセキュリティ・トレーニングが必要であると考えています。

HSBCテクノロジーでは、開発者コミュニティに、銀行を脆弱性から守るためのセキュアコーディングの重要性を理解してもらいたいと考えています。今年の新卒者トレーニングプログラムでは、彼らが現場に出てそれぞれのプロジェクトでコーディングを始める前に、若いうちに最高のセキュアコーディングを自己学習して身につけることができる絶好の機会だと考えました。  

卒業生の学習にゲーミフィケーションの手法が素晴らしいということで、Secure Code Warrior のプラットフォームを選びましたが、期待を裏切らない結果となりました。さまざまな技術のホワイトベルト認証を完了しただけでなく、一人ひとりがtournament に熱心に参加してくれたことを嬉しく思います」と述べています。

HSBCのように、開発者レベルでの安全なコーディング能力が不可欠であると考える企業が増えています。このことは、事実上、高等教育全体に光を当てることになっています。CISOやCIOは、新卒のエンジニアがしっかりとしたセキュリティトレーニングを受けずに教育を終えていることに疑問を持ち始めています。

第三次教育のイノベーション。

セキュアコーディングは、高等教育機関におけるソフトウェアエンジニアリングの必須項目になる必要がありますが、一部の大学は、一流のトレーニングを提供し、セキュリティを現場の希少なAppSec専門家の領域ではなく、最初から開発プロセスの一部として優先させるという点で主導的な役割を果たしています。

オーストラリアのクイーンズランド大学では、ライアン・コー教授が、避けられないサイバー攻撃から私たちを守るために、次の世代の開発者の育成に大きく貢献しています。

「ソフトウェアの脆弱性の多くはコーディングの段階で導入されるため、これをソース(すなわちプログラマ)で対処できれば、今日のCVEリストに見られる繰り返し発生する問題のほとんどを根絶することができるだろう。ソフトウェアは現代社会のほとんどの人々の生活や生命に影響を与えるため、大学やトレーニング機関は、駆け出しのプログラマー全員に安全なコーディング方法を教えるという道徳的・社会的責任があります」と述べています。

これは、標準的なcourses からの刺激的な進化であり、重要なセキュリティ意識やスキルを提供するものではありません。そして、これは私がさらに広めたいと思っている「ウイルス」のひとつです。

「2016年に開設されたOptus Macquarie University Cyber Security Hubは、情報セキュリティ、ビジネス、犯罪学、諜報活動、法律、心理学などの学者と、産業界や政府のサイバーセキュリティの専門家を結びつける、オーストラリア初のこの種のイニシアチブです。

私たちの使命は、教育、研究、パートナーシップを通じて、オーストラリアをサイバーセキュリティの世界的リーダーにすることです。そのためには、サイバーセキュリティ分野におけるスキルギャップを解消することが重要であり、2022年には全世界で180万人の雇用が確保されない可能性が高いと予測されています。

このスキルギャップに対処するには、既存の従業員のスキルアップと再教育に加えて、新世代のサイバーセキュリティ専門家の育成を含む多面的なアプローチが必要です」と述べています。

彼らのアプローチは驚くべきもので、部門間のギャップを埋め、活発なセキュリティ意識の鼓動を生み出すのに役立つ、高いエンゲージメントと精度の高い学習を提供しています。彼らはマイクロラーニングを活用し、ゲーム化された一口サイズの学習モジュールを提供することで、高い定着率、エンゲージメント、リピートプレイを実現しています。

「このエンゲージメントの優れた例は、Secure Code warrior とのパートナーシップです。2019年8月にSecure Code Warrior と Cyber Security Hub が主催したtournament を経て、現在はSecure Code Warrior プラットフォームをカリキュラムに組み込むことを検討しており、特に「Secure Applications Development」の新しいユニットに組み込むことを検討しています」とクリストフは述べています。

マッコーリー大学やクイーンズランド大学のような取り組みは、教育現場における安全なコーディングの先駆けとなっています。AppSecの専門家、開発者、そしてより広いセキュリティコミュニティとしての私たちの目標は、私たちが行うすべてのことにセキュリティを組み込むことであり、左から始めるというコミットメントを継続することです。

リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

教育現場で疑問視されている「徹底したセキュリティトレーニング

2019年9月30日発行
Pieter Danhieux著

2015年にミッションを開始して以来、私たちの焦点は、開発者向けに楽しく、適切で、魅力的なセキュアコーディングトレーニングを促進することでした。私たちは、開発者にセキュリティのベストプラクティスを理解するための知識とツールを提供することの重要性を長年認識してきました。そして、なぜそれが重要なのか、コードを書く際にどのようにして悪意のある攻撃からソフトウェアを守ることができるのかを説明してきました。

しかし、セキュリティ教育は決して新しい概念ではありません。私たちが最初に取り組んだわけではありませんし、適切なセキュリティ対策は長い間、ソフトウェア開発において考慮されてきました。確かに、ある種のトレーニングは他よりも効果的ですが、特に今日では、ある種のセキュリティ教育へのアクセスは比較的容易になっています。

...では、一体なぜこれほど多くのデータ漏洩が発生しているのでしょうか?9月の時点で、2019年だけでも40億件以上の記録が複数のサイバー攻撃で暴露されています。

現在、多くの企業が、ますます貴重になるデータを安全に保つために、負け戦を強いられています。世界中のCISOやCIOにとって、「左遷」では遅すぎることが明らかになっています。SDLCにおいてセキュリティを左から始めなければならず、それは開発者が適切なセキュリティ知識を持ち、コードがコミットされる前、ましてや公に出る前に欠陥を修正しなければならないことを意味します。

AppSecのスペシャリストだけがセキュリティ知識のゲートキーパーではありません。

かつて、ソフトウェアセキュリティは、非常に特殊で賢いギークたちの領域であり、コードを書いているエンジニアとの交流はほとんどありませんでした。彼らの仕事は、安全でないコードをテストし、破壊し、日の目を見ないようにすることでした。もし彼らが出会うとすれば、それはセキュリティの専門家がコードの欠陥を指摘した結果であり、コードの作成に多大な労力を費やした開発者からは冷たくあしらわれることは確実だった。

現代に戻っても状況はほとんど変わりませんが、今ではより多くの問題が発生しています。ソーシャルメディア上のフォトアルバム、医療記録、銀行取引、そして最も貴重な身分証明書など、私たちの生活のほぼすべての側面がデジタル化されています。これまでは、ほとんどがオフラインのスタンドアローンソフトウェアやオペレーティング・システムで保護されていました。しかし、何十億行ものコードが脅かされ、何億人ものユーザーが危険にさらされる可能性があることを考えると、まったく別の問題です。一人の専門家グループがすべての責任を負うには、あまりにも多くの問題があるため、AppSecと開発チームの間のギャップを埋める必要があります。だからこそ、AppSecと開発チームの間のギャップを埋めなければなりません。両者が協力し、知識を共有し、セキュリティを意識した1つのまとまったユニットとして活動する必要があります。

それには1つだけ問題があります。開発者が意味のある方法で安全なコーディングスキルを学ぶ機会はほとんどありません。ほとんどの高等教育では、セキュリティのベストプラクティスについてはほとんど触れられておらず、現場でのトレーニングの質も千差万別です。

毎日のように大規模な不正アクセスが発生しているのも不思議ではありません。AppSecチェックリストをダウンロードしてください。

コードのライセンス」です。

現在の暗い状況にもかかわらず、私はセキュリティの将来について楽観的に考えています。今、多くの企業が安全なコーディングに真剣に取り組んでいることに、私はとても勇気づけられています。

セキュリティリスクを軽減するためには、開発者が適切なツールと知識を利用する必要があり、また、データ漏洩対策にはセキュリティ意識の高い文化が不可欠であることが、ますます明らかになってきています。開発者がコードを書く際にセキュリティに責任を持てば、攻撃者が単純な欠陥を突いて城の鍵を手に入れることは容易ではなくなるでしょう。

開発者の中には、他の開発者よりもセキュリティ意識が高い人がいるというのが常であり、これは企業にとって大きな課題となっています。社内の開発チームは、ある程度のトレーニングやスキルの監視を受けていることが多いのですが、契約社員やフリーランサー、新卒者が混ざってくると、水が非常に濁ってきます。彼らはセキュリティを意識して行動しているでしょうか?彼らは、クロスサイトスクリプティングのような、何十年も前から存在する欠陥をうまく回避できるでしょうか?判断は難しいですが、彼らはソフトウェア構築の重要な部分を任されることが多いのです。困ったものです。

ありがたいことに、開発者にとって譲れない基準が増えてきています。例えば、一部の組織では Secure Code Warriorを使って開発スキルを評価し、「コードライセンス」を発行している組織もあります。基本的なセキュアコーディングの評価に合格しなければ、どんなプロジェクトにも参加できません。これは、新卒者やインターンがセキュリティスキルを身につける上で非常に有効であると同時に、安全なコーディングを行うことの重要性を浸透させることにもつながっています。結局のところ、ソフトウェアに関しては、セキュリティは品質と同義でなければなりません。

課外授業で大学が注目されています。

セキュアコーディングに関する話題を変えるには、記事や基調講演だけでは不十分です。多くの一流企業が注目し、羨望の的となるハイレベルなセキュリティプログラムを構築しているのを見るのは素晴らしいことだと思います。HSBCもその一つで、新卒者や新入社員ができるだけ早く「Start Left」の道を歩むことができるよう、強力なプログラムを用意しています。HSBCインドのテクノロジー・アカデミーの責任者であるSekhar Babu Tatavartiは、詳細なセキュリティ・トレーニングが必要であると考えています。

HSBCテクノロジーでは、開発者コミュニティに、銀行を脆弱性から守るためのセキュアコーディングの重要性を理解してもらいたいと考えています。今年の新卒者トレーニングプログラムでは、彼らが現場に出てそれぞれのプロジェクトでコーディングを始める前に、若いうちに最高のセキュアコーディングを自己学習して身につけることができる絶好の機会だと考えました。  

卒業生の学習にゲーミフィケーションの手法が素晴らしいということで、Secure Code Warrior のプラットフォームを選びましたが、期待を裏切らない結果となりました。さまざまな技術のホワイトベルト認証を完了しただけでなく、一人ひとりがtournament に熱心に参加してくれたことを嬉しく思います」と述べています。

HSBCのように、開発者レベルでの安全なコーディング能力が不可欠であると考える企業が増えています。このことは、事実上、高等教育全体に光を当てることになっています。CISOやCIOは、新卒のエンジニアがしっかりとしたセキュリティトレーニングを受けずに教育を終えていることに疑問を持ち始めています。

第三次教育のイノベーション。

セキュアコーディングは、高等教育機関におけるソフトウェアエンジニアリングの必須項目になる必要がありますが、一部の大学は、一流のトレーニングを提供し、セキュリティを現場の希少なAppSec専門家の領域ではなく、最初から開発プロセスの一部として優先させるという点で主導的な役割を果たしています。

オーストラリアのクイーンズランド大学では、ライアン・コー教授が、避けられないサイバー攻撃から私たちを守るために、次の世代の開発者の育成に大きく貢献しています。

「ソフトウェアの脆弱性の多くはコーディングの段階で導入されるため、これをソース(すなわちプログラマ)で対処できれば、今日のCVEリストに見られる繰り返し発生する問題のほとんどを根絶することができるだろう。ソフトウェアは現代社会のほとんどの人々の生活や生命に影響を与えるため、大学やトレーニング機関は、駆け出しのプログラマー全員に安全なコーディング方法を教えるという道徳的・社会的責任があります」と述べています。

これは、標準的なcourses からの刺激的な進化であり、重要なセキュリティ意識やスキルを提供するものではありません。そして、これは私がさらに広めたいと思っている「ウイルス」のひとつです。

「2016年に開設されたOptus Macquarie University Cyber Security Hubは、情報セキュリティ、ビジネス、犯罪学、諜報活動、法律、心理学などの学者と、産業界や政府のサイバーセキュリティの専門家を結びつける、オーストラリア初のこの種のイニシアチブです。

私たちの使命は、教育、研究、パートナーシップを通じて、オーストラリアをサイバーセキュリティの世界的リーダーにすることです。そのためには、サイバーセキュリティ分野におけるスキルギャップを解消することが重要であり、2022年には全世界で180万人の雇用が確保されない可能性が高いと予測されています。

このスキルギャップに対処するには、既存の従業員のスキルアップと再教育に加えて、新世代のサイバーセキュリティ専門家の育成を含む多面的なアプローチが必要です」と述べています。

彼らのアプローチは驚くべきもので、部門間のギャップを埋め、活発なセキュリティ意識の鼓動を生み出すのに役立つ、高いエンゲージメントと精度の高い学習を提供しています。彼らはマイクロラーニングを活用し、ゲーム化された一口サイズの学習モジュールを提供することで、高い定着率、エンゲージメント、リピートプレイを実現しています。

「このエンゲージメントの優れた例は、Secure Code warrior とのパートナーシップです。2019年8月にSecure Code Warrior と Cyber Security Hub が主催したtournament を経て、現在はSecure Code Warrior プラットフォームをカリキュラムに組み込むことを検討しており、特に「Secure Applications Development」の新しいユニットに組み込むことを検討しています」とクリストフは述べています。

マッコーリー大学やクイーンズランド大学のような取り組みは、教育現場における安全なコーディングの先駆けとなっています。AppSecの専門家、開発者、そしてより広いセキュリティコミュニティとしての私たちの目標は、私たちが行うすべてのことにセキュリティを組み込むことであり、左から始めるというコミットメントを継続することです。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。