静的対動的ダイナミックなサイバーセキュリティ・トレーニング。衝動的なコンプライアンス、将来の問題

2019年10月31日発行
ピーテル・ダンヒョウ著
ケーススタディ

静的対動的ダイナミックなサイバーセキュリティ・トレーニング。衝動的なコンプライアンス、将来の問題

2019年10月31日発行
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

サイバーセキュリティ・コンプライアンス」という言葉が何年も前からトレンドになっているように感じます。巨大で複数の脅威を持つサイバー犯罪に世界がどのように取り組むべきかを議論する記事やイニシアチブ、委員会が後を絶ちません。

問題は、それほど 進歩しているようには見えないことです。世界的に見ても、データ漏えいのコストは着実に増加しており、5年間で12%増加し、2019年には1件あたり392万米ドルになると言われています。わずか数十年の間にインターネットが爆発的に普及したため、多くの企業は防具なしで戦うことになりました。急速にオンライン化を進め、店舗を構え、安全でないソフトウェア、限られたAppSecリソース、そして場合によっては顧客の信頼を悪用したことによる影響に対処しなければなりません。

最近では、議論の余地なく成熟しています。企業は、サイバー攻撃が顧客の感情や評判、収益に与える影響を十分に認識しており、多くの場所で、コンプライアンス研修や熟練した人材の採用、そして最近ではDevSecOpsの取り組みを通じて、ソフトウェアセキュリティの向上に積極的に取り組んでいます。このような大きな飛躍にもかかわらず、私たちは戦いに勝利しているわけではありません。2019年だけでも、データブリーチで少なくとも40億件の記録が盗まれています。

これまでは、サイバーセキュリティの基準や期待値、違反した場合の影響などについて、政府レベルでの理解がやや遅れていました。GDPR の登場により、少なくとも欧州では一部の企業が動き出していますが、多くの政府機関は今になってようやく追いついてきたところであり、新たに生まれたコンプライアンスの取り組みに迅速に対応しなければならないという状況は、将来的に望ましくない影響を及ぼす可能性があります。

愚か者は(間違ったトレーニングに)突入する

NISTの強力なガイドライン、ニューヨーク州の新しい規制、英国のサイバーセキュリティカウンシルの設立は、いずれも私たちのデータを安全に保つために善戦している人々にとって記念すべき勝利です。これらのガイドラインは、現在のソフトウェア開発における問題点を認識し、セキュリティのベストプラクティスという観点から、倫理的でコンプライアンスを遵守しているとみなされるために、組織が満たすべき基準を導くための措置を講じています。

残念ながら、現段階では、最も重要な要素のいくつかは、少し解釈の余地があります。例えば、英国のサイバー・セキュリティ・カウンシルの法制化におけるマンデートの一つは

"すでに実施されているキャリアパスウェイの作業を基に、定義された認定資格のリストと、それらがどのように関連し、どのような能力をもたらすのかについて、理解しやすい枠組みを作ること」。

このような取り組みは、時間の経過とともに改善され、成長していくことは間違いありませんが、組織が今すぐパニックボタンを押してトレーニングに飛びついてしまうと、将来に備えて準備ができていないことになりかねません。

組織におけるサイバーセキュリティの要求は急速に変化しており、静的なトレーニングソリューションでは、必要とされる速度で安全でないソフトウェアの流出を食い止めることはできないでしょう。従来のコースでは更新できないほどの速さで状況が変化するため、一部の場所では「箱に書いてあることを実行する」コンプライアンスの罠に陥り、開発者、請負業者、その他のセキュリティ専門家は適切なトレーニングを受けられず、私たちはまたカモにされてしまうのです。

静的トレーニングと静的ツールは同じ問題を抱えている

静的解析ツールは、SDLCに欠かせないものであり、ほとんどの大企業では、希少で過労気味のAppSecの専門家のために、スキャンの主力製品としてその役割を果たしています。静的解析ツールは良い仕事をしていますが、欠点があります。膨大な種類のプログラミングフレームワークに対応し、すべての脆弱性をスキャンできる「1つの」ツールはありません。また、その作業には時間がかかり、たった1つのセキュリティバグが隙間に入り込むだけで、攻撃者にドアを開けてしまうことになるのです。

静的なトレーニングにも同様の問題があります。開発者がセキュリティ・トレーニングを「1回限り」の厳格なコースとして受けた場合、その期間に最も普及しているセキュリティ問題に追いついていない可能性が高い。また、受講者が希望する言語やフレームワークで提供されることはほとんどなく、受講者が日々の仕事で直面する可能性の高い脆弱性との関連性もありません。何ヶ月も前に見たビデオから、関連する情報を1つでも思い出そうとすることを想像してみてください。その一方で、納品期限を守り、コードを出力しようとすることもあるでしょう。

多くの業界で従来の教育方法が見直されていますが、開発者向けのセキュリティトレーニングに関しては、いまだに発生している大量のデータ漏洩(特にSQLインジェクションのように、何十年も前からコーディングで回避する方法がわかっている脆弱性に起因するもの)を見るだけで、別の方法を試さなければならないことがわかります。

私たちは、単一の直線的なコースの枠を超えて、サイバーセキュリティのベストプラクティスの刻々と変化するニーズに柔軟に対応できるトレーニングを必要としています。

ダイナミック・トレーニング:ゴールド・スタンダード

ビジネス、個人のスキルレベル、一般的な業界の動きに合わせて迅速に形を変えることができるダイナミックなトレーニングソリューションを開発者に提供することで、安全にコーディングし、セキュリティを最優先し、セキュリティを意識して行動するための最良の基盤を提供することができます。

残念ながら、コンプライアンスのために効果のないプログラムを衝動買いしてしまうことになりかねません。つまり、コンプライアンスのために効果のないプログラムを衝動買いしてしまう可能性があるということです。導入する前から時代遅れになっていたり、日常業務のニーズにほとんど対応できていない可能性もあります。

ダイナミックトレーニングとは、常に更新され、日々のニーズに即した文脈を持ち、ユーザーに批判的な思考をさせ、実際にスキルを学び、問題を解決する力を与える、生きたツールです。

では、セキュリティの観点から見たダイナミックなトレーニングプログラムとはどのようなものなのでしょうか。

なってしまいます。

  • 一口サイズ。開発者は、長々としたトレーニングデッキやビデオよりもはるかに覚えやすく(そしてさらに重要なことに、適用しやすい)、管理しやすいチャンクでスキルを学ぶことができます。
  • 関連しています。 開発者が主にJavaでコーディングしているときに、例えばC#で例題が出てくるような一般的なセキュリティ・トレーニングに何の意味があるでしょうか。どのようなトレーニングであっても、開発者の役割に直接適用し、コードを書く際に何を発見し、修正すべきか(理想的には最初から避けるべきか)を確認できるようにする必要があります。
  • 現在: これは当然のことのように思えますが、多くの場合そうではありません。サイバーセキュリティの状況は刻々と変化しており、コードが増えれば増えるほど責任も重くなります。開発者が最初の防衛線となるためには、最新のセキュリティのベストプラクティスに沿ったトレーニングが必要です。
  • 魅力的です。 開発者にとって、「セキュリティ」が面倒なものであることは周知の事実であり、特にクリエイティブな作業の妨げになる場合はなおさらです。適切なトレーニングは、巨大なリスクに発展する可能性のある日常的なセキュリティ問題を解決する上で、開発者が持つ力を示し、責任感とセキュリティ意識を持つ文化を構築します。
  • 楽しさ ダイナミックなトレーニングは退屈なものではありません。開発者が好きなものは何かを考えてみましょう。問題を解決すること、仲間と競い合うこと、そして多くの社会人がそうであるように、報酬や評価を得ることです。開発者の強みを活かし、最高の結果を出すことに集中しましょう。

ソフトウェア・エンジニアは、デジタル・イノベーションに欠かせない存在であり、素晴らしい企業の設立に貢献し、さらには自らの創造物で世界を席巻することもある、エキサイティングな時代です。しかし、政府機関や大企業は、ソフトウェアセキュリティの基準を設定する上で果たすべき役割を認識しており、官僚的なチェック作業ではなく、安全なコーディングへの愛情を育む、効果的でダイナミックなトレーニングソリューションで彼らをサポートすることが重要です。

リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

静的対動的ダイナミックなサイバーセキュリティ・トレーニング。衝動的なコンプライアンス、将来の問題

2019年10月31日発行
Pieter Danhieux著

サイバーセキュリティ・コンプライアンス」という言葉が何年も前からトレンドになっているように感じます。巨大で複数の脅威を持つサイバー犯罪に世界がどのように取り組むべきかを議論する記事やイニシアチブ、委員会が後を絶ちません。

問題は、それほど 進歩しているようには見えないことです。世界的に見ても、データ漏えいのコストは着実に増加しており、5年間で12%増加し、2019年には1件あたり392万米ドルになると言われています。わずか数十年の間にインターネットが爆発的に普及したため、多くの企業は防具なしで戦うことになりました。急速にオンライン化を進め、店舗を構え、安全でないソフトウェア、限られたAppSecリソース、そして場合によっては顧客の信頼を悪用したことによる影響に対処しなければなりません。

最近では、議論の余地なく成熟しています。企業は、サイバー攻撃が顧客の感情や評判、収益に与える影響を十分に認識しており、多くの場所で、コンプライアンス研修や熟練した人材の採用、そして最近ではDevSecOpsの取り組みを通じて、ソフトウェアセキュリティの向上に積極的に取り組んでいます。このような大きな飛躍にもかかわらず、私たちは戦いに勝利しているわけではありません。2019年だけでも、データブリーチで少なくとも40億件の記録が盗まれています。

これまでは、サイバーセキュリティの基準や期待値、違反した場合の影響などについて、政府レベルでの理解がやや遅れていました。GDPR の登場により、少なくとも欧州では一部の企業が動き出していますが、多くの政府機関は今になってようやく追いついてきたところであり、新たに生まれたコンプライアンスの取り組みに迅速に対応しなければならないという状況は、将来的に望ましくない影響を及ぼす可能性があります。

愚か者は(間違ったトレーニングに)突入する

NISTの強力なガイドライン、ニューヨーク州の新しい規制、英国のサイバーセキュリティカウンシルの設立は、いずれも私たちのデータを安全に保つために善戦している人々にとって記念すべき勝利です。これらのガイドラインは、現在のソフトウェア開発における問題点を認識し、セキュリティのベストプラクティスという観点から、倫理的でコンプライアンスを遵守しているとみなされるために、組織が満たすべき基準を導くための措置を講じています。

残念ながら、現段階では、最も重要な要素のいくつかは、少し解釈の余地があります。例えば、英国のサイバー・セキュリティ・カウンシルの法制化におけるマンデートの一つは

"すでに実施されているキャリアパスウェイの作業を基に、定義された認定資格のリストと、それらがどのように関連し、どのような能力をもたらすのかについて、理解しやすい枠組みを作ること」。

このような取り組みは、時間の経過とともに改善され、成長していくことは間違いありませんが、組織が今すぐパニックボタンを押してトレーニングに飛びついてしまうと、将来に備えて準備ができていないことになりかねません。

組織におけるサイバーセキュリティの要求は急速に変化しており、静的なトレーニングソリューションでは、必要とされる速度で安全でないソフトウェアの流出を食い止めることはできないでしょう。従来のコースでは更新できないほどの速さで状況が変化するため、一部の場所では「箱に書いてあることを実行する」コンプライアンスの罠に陥り、開発者、請負業者、その他のセキュリティ専門家は適切なトレーニングを受けられず、私たちはまたカモにされてしまうのです。

静的トレーニングと静的ツールは同じ問題を抱えている

静的解析ツールは、SDLCに欠かせないものであり、ほとんどの大企業では、希少で過労気味のAppSecの専門家のために、スキャンの主力製品としてその役割を果たしています。静的解析ツールは良い仕事をしていますが、欠点があります。膨大な種類のプログラミングフレームワークに対応し、すべての脆弱性をスキャンできる「1つの」ツールはありません。また、その作業には時間がかかり、たった1つのセキュリティバグが隙間に入り込むだけで、攻撃者にドアを開けてしまうことになるのです。

静的なトレーニングにも同様の問題があります。開発者がセキュリティ・トレーニングを「1回限り」の厳格なコースとして受けた場合、その期間に最も普及しているセキュリティ問題に追いついていない可能性が高い。また、受講者が希望する言語やフレームワークで提供されることはほとんどなく、受講者が日々の仕事で直面する可能性の高い脆弱性との関連性もありません。何ヶ月も前に見たビデオから、関連する情報を1つでも思い出そうとすることを想像してみてください。その一方で、納品期限を守り、コードを出力しようとすることもあるでしょう。

多くの業界で従来の教育方法が見直されていますが、開発者向けのセキュリティトレーニングに関しては、いまだに発生している大量のデータ漏洩(特にSQLインジェクションのように、何十年も前からコーディングで回避する方法がわかっている脆弱性に起因するもの)を見るだけで、別の方法を試さなければならないことがわかります。

私たちは、単一の直線的なコースの枠を超えて、サイバーセキュリティのベストプラクティスの刻々と変化するニーズに柔軟に対応できるトレーニングを必要としています。

ダイナミック・トレーニング:ゴールド・スタンダード

ビジネス、個人のスキルレベル、一般的な業界の動きに合わせて迅速に形を変えることができるダイナミックなトレーニングソリューションを開発者に提供することで、安全にコーディングし、セキュリティを最優先し、セキュリティを意識して行動するための最良の基盤を提供することができます。

残念ながら、コンプライアンスのために効果のないプログラムを衝動買いしてしまうことになりかねません。つまり、コンプライアンスのために効果のないプログラムを衝動買いしてしまう可能性があるということです。導入する前から時代遅れになっていたり、日常業務のニーズにほとんど対応できていない可能性もあります。

ダイナミックトレーニングとは、常に更新され、日々のニーズに即した文脈を持ち、ユーザーに批判的な思考をさせ、実際にスキルを学び、問題を解決する力を与える、生きたツールです。

では、セキュリティの観点から見たダイナミックなトレーニングプログラムとはどのようなものなのでしょうか。

なってしまいます。

  • 一口サイズ。開発者は、長々としたトレーニングデッキやビデオよりもはるかに覚えやすく(そしてさらに重要なことに、適用しやすい)、管理しやすいチャンクでスキルを学ぶことができます。
  • 関連しています。 開発者が主にJavaでコーディングしているときに、例えばC#で例題が出てくるような一般的なセキュリティ・トレーニングに何の意味があるでしょうか。どのようなトレーニングであっても、開発者の役割に直接適用し、コードを書く際に何を発見し、修正すべきか(理想的には最初から避けるべきか)を確認できるようにする必要があります。
  • 現在: これは当然のことのように思えますが、多くの場合そうではありません。サイバーセキュリティの状況は刻々と変化しており、コードが増えれば増えるほど責任も重くなります。開発者が最初の防衛線となるためには、最新のセキュリティのベストプラクティスに沿ったトレーニングが必要です。
  • 魅力的です。 開発者にとって、「セキュリティ」が面倒なものであることは周知の事実であり、特にクリエイティブな作業の妨げになる場合はなおさらです。適切なトレーニングは、巨大なリスクに発展する可能性のある日常的なセキュリティ問題を解決する上で、開発者が持つ力を示し、責任感とセキュリティ意識を持つ文化を構築します。
  • 楽しさ ダイナミックなトレーニングは退屈なものではありません。開発者が好きなものは何かを考えてみましょう。問題を解決すること、仲間と競い合うこと、そして多くの社会人がそうであるように、報酬や評価を得ることです。開発者の強みを活かし、最高の結果を出すことに集中しましょう。

ソフトウェア・エンジニアは、デジタル・イノベーションに欠かせない存在であり、素晴らしい企業の設立に貢献し、さらには自らの創造物で世界を席巻することもある、エキサイティングな時代です。しかし、政府機関や大企業は、ソフトウェアセキュリティの基準を設定する上で果たすべき役割を認識しており、官僚的なチェック作業ではなく、安全なコーディングへの愛情を育む、効果的でダイナミックなトレーニングソリューションで彼らをサポートすることが重要です。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。