ブログ

未来の仕事は柔軟であり、それはサイバーセキュリティにとって素晴らしいことである

マティアス・マドゥ博士
2020年12月09日掲載

この記事の一部分は TFIR.

「変化は人生で唯一不変である」と言われていますが、2020年は世界中の多くの人々にとって本当に試練の年となりました。COVID-19の世界的な流行により、私たちは人とのつながり方について深いレベルで考えなければならなくなりました。自己隔離、社会的距離を置く、これらは私たちが物理的な世界で行ってきた適応の一部であり、私たちの多くがオンラインで多くの時間を過ごしているという事実にもかかわらず、コミュニケーションや、可能であれば仕事をする際に他の選択肢がないというのは、全く異なるシナリオです。それは悲劇であると同時に、目覚めでもあります。

多くのハイテク企業と同様、フレキシブルな働き方は目新しいものではなく、自宅で働くことは仕事の特典のひとつです。2009年という "早い "時期にも、私はベルギーからシリコンバレーの企業のためにリモートで仕事をしていました。当時のテクノロジーはそれほど進んでいませんでしたが、それでも十分に可能でした。しかし、現在の私たちにとっても、チームメンバー全員が当面の間、自宅で仕事をするというのは調整が必要でした。私は、多くの企業がこのような決断をしているのを見てきました。その中には、リモートワークを管理するための準備が不十分な企業も含まれていました。

新しい働き方への違和感は、未知数であることからくるものなのか、少しの不信感からくるものなのか、はたまたリモートワークを「信じていない」ことからくるものなのかはさておき、私は、リモートワークに抵抗感のある企業は、優秀な人材の確保、グローバルな展開の維持、そして率直に言って、時代の変化に対応するという点で遅れをとる傾向があると感じています。現在の危機的状況では、多くの企業がリモートワークに火をつける以外に選択肢がありません。

この悲劇から得られるポジティブなことがあるとすれば、それは人々がデジタルワークフォースの利点を理解し、物理的に一緒にいなくてもチームがつながることができる無数の方法を知ることができたということです。そして、サイバーセキュリティ業界は、どこにいても、いつでも仕事ができるというアプローチによって、真に繁栄することができる業界なのです。

このような状況下では、サイバー攻撃、特にランサムウェアが急増しても不思議ではありません。このような状況下では、サイバー攻撃、特にランサムウェアが急増するのも無理はありません。不安定な経済状況の中で生き延びるためには、やはり盗みが必要です。だからといってそれでいいというわけではなく、インターネットに接続できる場所であれば、どこでもサイバー攻撃に対抗して仕事をしたり、訓練をしたり、戦ったりすることができるという事実は変わりません。

未来は柔軟であり、私たち、そしてサイバーセキュリティ業界全体が、現在も未来もそれを実現するためには、このような方法が必要なのです。

どこでもアクセスできる製品は普遍的で価値がある

強制的に隔離されるような状況になる前に、グローバルチームは必要に応じて共同作業を行う方法を見つけなければならなかった。手頃な価格の電話会議が登場したのは、ローリング・ストーンズと同じ年(1964年)のことである。"ビデオでお互いを見ることができるようになった今でも、「そこにいますか」「いいえ、先に行ってください」という問題に直面している。)

2020年、デジタルコミュニケーション技術は、数兆ドル規模のICT産業の中で、クラウドネイティブ、モバイル、ソーシャルプラットフォームが主流となり、レガシー技術に取って代わる巨大な存在となっています。Slack、Zoom、Discordなどの革新的な技術により、私たちはこれまで以上に、特に職場でのつながりを維持しています。そして、コミュニケーションはその一面に過ぎません。

インターネットに接続できる環境であれば、どこからでもオンデマンドでアクセスでき、接続、エンターテインメント、生産性などの基本的なニーズを満たすデジタルサービスは、私たちの柔軟な未来の一部です。私たちは、お客様自身がハイパーパーソナライゼーションを求めており、企業としては、どこからアクセスしても同じ品質のパーソナルなデジタル体験を提供することを目指しています。

あらゆる業界で、毎日のように、プロセスを合理化し、私たちの生活や仕事のやり方に革命を起こし、私たちが気づかなかったような問題を解決するために、ウェブベースのアプリケーションが作られています。オンデマンドでアクセスでき、ユーザーにとって魅力的で有用な方法で、ビジネスに具体的な利益をもたらすサイバーセキュリティのツールやトレーニングは、まだピークに達していません。

私たちは、実用的で楽しい安全なコーディングトレーニングとワークフローの統合に重点を置き、エンドユーザーを念頭に置いています。ツールは、すぐに使えるものでなければならず、貴重なトレーニングを面倒なものと思わずに、簡単にできるものでなければなりません。サイバーセキュリティ業界は非常に広大な分野であるため、攻撃と防御の複数の分野でイノベーションを起こすには絶好のタイミングであり、DevSecOpsのようなセキュリティファーストの方法論は、たとえ全員が自宅にいても成功することができます。そのためには、コラボレーションと、チームの各メンバーが物理的な場所に関係なく効率的に仕事ができるように配慮された一連のツールが必要です。

最も必要な時(または一日を切り替えたい時)のトレーニング

フレキシブル・ワークの利点の1つは、自宅で仕事をしている日には、会社からの通勤時間がなくなることです。人によっては、2時間程度の質の高い集中した時間を取り戻すことができます。理想的な世界では、すべてのスタッフが通常の勤務時間内に自分のスキルを学び、成長させるための時間を持つことができますが、適切なリモート環境であれば、これをはるかに容易に行うことができます。これは、遠隔地のスーパースターにとっても有益なことで、彼らはさらなる学習に挑戦し、サポートを受けることができる。

サイバーセキュリティの状況は刻々と変化しており、組織に影響を及ぼす可能性のある潜在的な脅威に対応するためには、頻繁なトレーニングが必要です。また、企業のニーズに合わせてカスタマイズされた、包括的で測定可能なトレーニングは、正しい方向への大きな一歩となります。これらは、Secure Code Warrior プラットフォームを設計する上での核心的な要因のひとつです。私たちは、ユーザーが選択した開発言語とフレームワークで、必要なときにどこからでもアクセスできるトレーニングを求めていました。

多くの場合、開発者はセキュリティとの関係が希薄であり、セキュリティのベストプラクティスに適切に取り組むための具体的な方法を知らされていません。オンデマンドのゲーム化されたトレーニングは、開発者がどこにいようとも、彼らの心をつかむことができます。また、オフショアチームやベンダーが、組織のソフトウェアに何らかの手を加えている場合は特に、適切なセキュリティ意識を持つことが必要です。

組織に貢献するトレーニングに参加し、スキルアップを図ることは、優秀で忠実な人材を確保する上で非常に効果的です。

遠隔地の従業員に権限を与え、生産性と安全性を向上させることができます。

生産性を高めるためには、9時から5時までオフィスにいなければならないというのは、かなり古い考え方です。しかし、いまだに多くの企業(新しくて刺激的な企業も含めて)は、このような考え方に基づいて運営されています。自宅で仕事をするという提案をしただけで、チームが仕事をせずに下着姿でゲームをしている姿を想像してしまうような、自社の従業員に対する深い不信感があるのです。

あるいは、リモートワークに踏み切れていないだけかもしれません。

もちろん、チームメンバーが自宅でも生産性を維持できることを証明するためには、アウトプットを示す必要があります。しかし、会社を離れても成功するための最良のチャンスを与える必要があります。自分自身に問いかけてみてください。

  • 適切なハードウェアを持っているか?
  • 前にお話しした素晴らしいコミュニケーションツールを実際に導入していますか?
  • すべてのマネージャーが、定期的な面談を行い、チームの状況を確認していることを確認していますか?
  • プロジェクトを管理し、チームの各メンバーに方向性を与え、目標を設定し、タスクを完了して達成感を得るための生産性向上ツールについて考えたことはありますか?

現在の状況下では、多くの企業が業務をリモート化するか、完全にシャットダウンするかの決断を迫られています。リモート・ワークフォースへの移行を選択した企業の中には、十分な準備ができていなかったところもあるでしょうし、解決しなければならない問題があるかもしれません...しかし、部屋の中の象は、これらの企業がいくつかのセキュリティ・リスクにさらされている可能性が高いということです。

リモートワーク環境でのセキュリティの失敗を避けるために

スタッフは自分のネットワーク上にいる可能性が高く、会社のアカウントにアクセスするために様々なデバイスを使用している可能性があり、それぞれに独自のセキュリティニーズが存在するため、考慮すべき脅威のベクトルがいくつかあります。

リモートワークでは、誰もがメールの受信量を増やし、さらに様々なログインやシステム、設定をしなければならない傾向にあります。ソーシャルエンジニアリングによる攻撃やマルウェアが、社内のセキュリティ対象外のデバイスに紛れ込むことも容易になります。これはリモートワークを放棄する理由ではなく、実際にやってみて学び、将来に向けて可能な限り強固なものにするための絶好の機会なのです。また、セキュリティに力を入れている組織では、プロセスを監査し、全員のセキュリティ・ベスト・プラクティスに関しては、「自分のドッグフードを食べる」良い機会となります。

失態といえば、遠隔地のワークスペースに潜在的な脅威がないかどうかを見極めることも重要です...主に、このかわいそうなカップルのように、プライドが傷つけられることがあります。物語の教訓:ビデオ通話をするときは、全員がズボンを履いているかどうか確認してください。

危機に瀕してもサイバー攻撃は止まない

世界中でCOVID-19の影響を目の当たりにして、深く動揺しています。今こそ、この世界的な健康危機の中で、これまで以上に力を合わせて、他の人々のことを考えなければなりません。問題は、攻撃者たちがこの広範囲にわたる恐怖と混乱を積極的に利用していることです。おそらく、食卓に食べ物を並べるために必死になっているのでしょう。今、私たちは社会的に非常に弱い立場にあります。

ワクチンテストセンターを含む医療機関は、ランサムウェアやDDoS攻撃に見舞われており、また、気が緩んで過労状態にある金融機関や政府機関を狙ったフィッシングやマルウェアのキャンペーンも行われています。また、トランプ政権がドイツの企業に多額の資金を提供し、米国専用のCOVID-19ワクチンの開発を依頼していたことが報じられています。ワクチンのデータは、現在、地球上で最も貴重な情報である可能性があり、攻撃者にとっては非常に魅力的な懸賞金となるでしょう。

これは、私たちが物理的なウイルスの非常に現実的な脅威から自己隔離している間に、私たちのデジタルの鼓動も攻撃されていることを、あまりにもタイムリーに思い出させるものです。あらゆる組織においてセキュリティ意識を高めることが何よりも重要であり、あらゆるレベルで適切なトレーニングを行う必要があります。パスワード管理ツールの使用を徹底したり、フィッシングメールの見分け方を学んだりすることも有効です。

また、開発者に関して言えば、彼らはビジネス内で積極的に生産されるコードを保護するための最初の防衛線であり、一般的な脆弱性によって作られたバックドアを閉じることでサイバー攻撃による更なる苦痛を避けるために、AppSecチームと共に貴重な資産となります。

デジタルで革新的な企業はより大きな嵐を乗り越えることができる

大規模なロックダウンの非常に不幸な副産物は、経済の低迷であり、最も被害を受けた分野で多くの人々が職を失うことになりました。これは突然のことであり、多くの人が人生で経験したことのないような体験をしています。

すべてのデジタル・ネイティブ・ビジネスが自動的に不況を克服するわけではありませんが(それどころではありません)、その性質上、デジタルを扱う企業は、最も突拍子もない状況に陥った場合でも、はるかに機敏で適応性が高く、持続可能です。

私たちの会社は遠隔地の従業員によって効率的かつ効果的に運営されており、これは私たちの大切なチームと彼らがサポートしている顧客のための保護を強化するものです。当社は、実行可能で安全なコードトレーニングが現代のビジネスに不可欠な要素であると考えており、もし当社が選ばれた場合は、必要に応じて提供し、ピボットすることができます。製品やサービスの性質上、多くの企業は同じような贅沢をすることはできませんが、最も伝統的な空間であっても、プロセスをデジタル化し、将来性を持たせ、可能な限りオンデマンドにすることができる場所を調査することは、彼らにとってポジティブな驚きとなるかもしれません。

新しい接続方法を見つけることは、障害ではなく前向きな挑戦です。

ちょっと大げさですが、『ジュラシック・パーク』のイアン・マルコム博士の「人生には道がある」という有名な言葉を思い出しました。このことは、全社的にリモートワークに移行したことで明らかになりました。以前はあまり交流のなかったチームが、出入りの激しいウォータークーラーでのおしゃべりや、オンラインのオフィスゲーム、グローバルオフィスのSpotifyプレイリストで共通の趣味を発見しています。有意義な関係を築くには、必ず方法があります。私のアドバイスは、チームがそれを模索し、有機的に成長していくようにすることです。

お客様にとっては、開発者の安全なコーディングスキルを向上させるための取り組みが、遠隔地での作業の障害を超えて、素晴らしいものとなっています。彼らは当社のtournaments 機能を利用しています。通常、これらの機能は少し派手に対面で行われますが、バーチャルバージョンでは、健全なエンゲージメント、切磋琢磨、そして通常は一人で行う日々の活動からの素晴らしい(生産的な)気晴らしになっています。ビデオゲームがかつてよりもはるかに社会的なイベントになっているように、この種のオン・ザ・ジョブ・トレーニングでは、教材だけでなく、お互いのつながりを大切にしています。しかも、誰でも、どこでも受講できます。セキュリティオタクの私が言うのもなんですが、この機会に開発者の間で安全なコーディングへの関心が高まることは間違いありません。彼らは皆、セキュリティのスーパーヒーローであり、可能な限り楽しい方法でフロントラインを強化する時が来たのです。

リソースを見る
リソースを見る

新しい働き方への違和感は、未知数であることからくるものなのか、少しの不信感からくるものなのか、はたまたリモートワークを信じていないのか、いずれにしても、リモートワークに抵抗感のある企業は、優秀な人材の確保、グローバルな展開の維持、そして率直に言って、時代の変化に遅れをとる傾向があると私は感じています。

ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約する
シェアする
著者
マティアス・マドゥ博士
2020年12月09日掲載

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする

この記事の一部分は TFIR.

「変化は人生で唯一不変である」と言われていますが、2020年は世界中の多くの人々にとって本当に試練の年となりました。COVID-19の世界的な流行により、私たちは人とのつながり方について深いレベルで考えなければならなくなりました。自己隔離、社会的距離を置く、これらは私たちが物理的な世界で行ってきた適応の一部であり、私たちの多くがオンラインで多くの時間を過ごしているという事実にもかかわらず、コミュニケーションや、可能であれば仕事をする際に他の選択肢がないというのは、全く異なるシナリオです。それは悲劇であると同時に、目覚めでもあります。

多くのハイテク企業と同様、フレキシブルな働き方は目新しいものではなく、自宅で働くことは仕事の特典のひとつです。2009年という "早い "時期にも、私はベルギーからシリコンバレーの企業のためにリモートで仕事をしていました。当時のテクノロジーはそれほど進んでいませんでしたが、それでも十分に可能でした。しかし、現在の私たちにとっても、チームメンバー全員が当面の間、自宅で仕事をするというのは調整が必要でした。私は、多くの企業がこのような決断をしているのを見てきました。その中には、リモートワークを管理するための準備が不十分な企業も含まれていました。

新しい働き方への違和感は、未知数であることからくるものなのか、少しの不信感からくるものなのか、はたまたリモートワークを「信じていない」ことからくるものなのかはさておき、私は、リモートワークに抵抗感のある企業は、優秀な人材の確保、グローバルな展開の維持、そして率直に言って、時代の変化に対応するという点で遅れをとる傾向があると感じています。現在の危機的状況では、多くの企業がリモートワークに火をつける以外に選択肢がありません。

この悲劇から得られるポジティブなことがあるとすれば、それは人々がデジタルワークフォースの利点を理解し、物理的に一緒にいなくてもチームがつながることができる無数の方法を知ることができたということです。そして、サイバーセキュリティ業界は、どこにいても、いつでも仕事ができるというアプローチによって、真に繁栄することができる業界なのです。

このような状況下では、サイバー攻撃、特にランサムウェアが急増しても不思議ではありません。このような状況下では、サイバー攻撃、特にランサムウェアが急増するのも無理はありません。不安定な経済状況の中で生き延びるためには、やはり盗みが必要です。だからといってそれでいいというわけではなく、インターネットに接続できる場所であれば、どこでもサイバー攻撃に対抗して仕事をしたり、訓練をしたり、戦ったりすることができるという事実は変わりません。

未来は柔軟であり、私たち、そしてサイバーセキュリティ業界全体が、現在も未来もそれを実現するためには、このような方法が必要なのです。

どこでもアクセスできる製品は普遍的で価値がある

強制的に隔離されるような状況になる前に、グローバルチームは必要に応じて共同作業を行う方法を見つけなければならなかった。手頃な価格の電話会議が登場したのは、ローリング・ストーンズと同じ年(1964年)のことである。"ビデオでお互いを見ることができるようになった今でも、「そこにいますか」「いいえ、先に行ってください」という問題に直面している。)

2020年、デジタルコミュニケーション技術は、数兆ドル規模のICT産業の中で、クラウドネイティブ、モバイル、ソーシャルプラットフォームが主流となり、レガシー技術に取って代わる巨大な存在となっています。Slack、Zoom、Discordなどの革新的な技術により、私たちはこれまで以上に、特に職場でのつながりを維持しています。そして、コミュニケーションはその一面に過ぎません。

インターネットに接続できる環境であれば、どこからでもオンデマンドでアクセスでき、接続、エンターテインメント、生産性などの基本的なニーズを満たすデジタルサービスは、私たちの柔軟な未来の一部です。私たちは、お客様自身がハイパーパーソナライゼーションを求めており、企業としては、どこからアクセスしても同じ品質のパーソナルなデジタル体験を提供することを目指しています。

あらゆる業界で、毎日のように、プロセスを合理化し、私たちの生活や仕事のやり方に革命を起こし、私たちが気づかなかったような問題を解決するために、ウェブベースのアプリケーションが作られています。オンデマンドでアクセスでき、ユーザーにとって魅力的で有用な方法で、ビジネスに具体的な利益をもたらすサイバーセキュリティのツールやトレーニングは、まだピークに達していません。

私たちは、実用的で楽しい安全なコーディングトレーニングとワークフローの統合に重点を置き、エンドユーザーを念頭に置いています。ツールは、すぐに使えるものでなければならず、貴重なトレーニングを面倒なものと思わずに、簡単にできるものでなければなりません。サイバーセキュリティ業界は非常に広大な分野であるため、攻撃と防御の複数の分野でイノベーションを起こすには絶好のタイミングであり、DevSecOpsのようなセキュリティファーストの方法論は、たとえ全員が自宅にいても成功することができます。そのためには、コラボレーションと、チームの各メンバーが物理的な場所に関係なく効率的に仕事ができるように配慮された一連のツールが必要です。

最も必要な時(または一日を切り替えたい時)のトレーニング

フレキシブル・ワークの利点の1つは、自宅で仕事をしている日には、会社からの通勤時間がなくなることです。人によっては、2時間程度の質の高い集中した時間を取り戻すことができます。理想的な世界では、すべてのスタッフが通常の勤務時間内に自分のスキルを学び、成長させるための時間を持つことができますが、適切なリモート環境であれば、これをはるかに容易に行うことができます。これは、遠隔地のスーパースターにとっても有益なことで、彼らはさらなる学習に挑戦し、サポートを受けることができる。

サイバーセキュリティの状況は刻々と変化しており、組織に影響を及ぼす可能性のある潜在的な脅威に対応するためには、頻繁なトレーニングが必要です。また、企業のニーズに合わせてカスタマイズされた、包括的で測定可能なトレーニングは、正しい方向への大きな一歩となります。これらは、Secure Code Warrior プラットフォームを設計する上での核心的な要因のひとつです。私たちは、ユーザーが選択した開発言語とフレームワークで、必要なときにどこからでもアクセスできるトレーニングを求めていました。

多くの場合、開発者はセキュリティとの関係が希薄であり、セキュリティのベストプラクティスに適切に取り組むための具体的な方法を知らされていません。オンデマンドのゲーム化されたトレーニングは、開発者がどこにいようとも、彼らの心をつかむことができます。また、オフショアチームやベンダーが、組織のソフトウェアに何らかの手を加えている場合は特に、適切なセキュリティ意識を持つことが必要です。

組織に貢献するトレーニングに参加し、スキルアップを図ることは、優秀で忠実な人材を確保する上で非常に効果的です。

遠隔地の従業員に権限を与え、生産性と安全性を向上させることができます。

生産性を高めるためには、9時から5時までオフィスにいなければならないというのは、かなり古い考え方です。しかし、いまだに多くの企業(新しくて刺激的な企業も含めて)は、このような考え方に基づいて運営されています。自宅で仕事をするという提案をしただけで、チームが仕事をせずに下着姿でゲームをしている姿を想像してしまうような、自社の従業員に対する深い不信感があるのです。

あるいは、リモートワークに踏み切れていないだけかもしれません。

もちろん、チームメンバーが自宅でも生産性を維持できることを証明するためには、アウトプットを示す必要があります。しかし、会社を離れても成功するための最良のチャンスを与える必要があります。自分自身に問いかけてみてください。

  • 適切なハードウェアを持っているか?
  • 前にお話しした素晴らしいコミュニケーションツールを実際に導入していますか?
  • すべてのマネージャーが、定期的な面談を行い、チームの状況を確認していることを確認していますか?
  • プロジェクトを管理し、チームの各メンバーに方向性を与え、目標を設定し、タスクを完了して達成感を得るための生産性向上ツールについて考えたことはありますか?

現在の状況下では、多くの企業が業務をリモート化するか、完全にシャットダウンするかの決断を迫られています。リモート・ワークフォースへの移行を選択した企業の中には、十分な準備ができていなかったところもあるでしょうし、解決しなければならない問題があるかもしれません...しかし、部屋の中の象は、これらの企業がいくつかのセキュリティ・リスクにさらされている可能性が高いということです。

リモートワーク環境でのセキュリティの失敗を避けるために

スタッフは自分のネットワーク上にいる可能性が高く、会社のアカウントにアクセスするために様々なデバイスを使用している可能性があり、それぞれに独自のセキュリティニーズが存在するため、考慮すべき脅威のベクトルがいくつかあります。

リモートワークでは、誰もがメールの受信量を増やし、さらに様々なログインやシステム、設定をしなければならない傾向にあります。ソーシャルエンジニアリングによる攻撃やマルウェアが、社内のセキュリティ対象外のデバイスに紛れ込むことも容易になります。これはリモートワークを放棄する理由ではなく、実際にやってみて学び、将来に向けて可能な限り強固なものにするための絶好の機会なのです。また、セキュリティに力を入れている組織では、プロセスを監査し、全員のセキュリティ・ベスト・プラクティスに関しては、「自分のドッグフードを食べる」良い機会となります。

失態といえば、遠隔地のワークスペースに潜在的な脅威がないかどうかを見極めることも重要です...主に、このかわいそうなカップルのように、プライドが傷つけられることがあります。物語の教訓:ビデオ通話をするときは、全員がズボンを履いているかどうか確認してください。

危機に瀕してもサイバー攻撃は止まない

世界中でCOVID-19の影響を目の当たりにして、深く動揺しています。今こそ、この世界的な健康危機の中で、これまで以上に力を合わせて、他の人々のことを考えなければなりません。問題は、攻撃者たちがこの広範囲にわたる恐怖と混乱を積極的に利用していることです。おそらく、食卓に食べ物を並べるために必死になっているのでしょう。今、私たちは社会的に非常に弱い立場にあります。

ワクチンテストセンターを含む医療機関は、ランサムウェアやDDoS攻撃に見舞われており、また、気が緩んで過労状態にある金融機関や政府機関を狙ったフィッシングやマルウェアのキャンペーンも行われています。また、トランプ政権がドイツの企業に多額の資金を提供し、米国専用のCOVID-19ワクチンの開発を依頼していたことが報じられています。ワクチンのデータは、現在、地球上で最も貴重な情報である可能性があり、攻撃者にとっては非常に魅力的な懸賞金となるでしょう。

これは、私たちが物理的なウイルスの非常に現実的な脅威から自己隔離している間に、私たちのデジタルの鼓動も攻撃されていることを、あまりにもタイムリーに思い出させるものです。あらゆる組織においてセキュリティ意識を高めることが何よりも重要であり、あらゆるレベルで適切なトレーニングを行う必要があります。パスワード管理ツールの使用を徹底したり、フィッシングメールの見分け方を学んだりすることも有効です。

また、開発者に関して言えば、彼らはビジネス内で積極的に生産されるコードを保護するための最初の防衛線であり、一般的な脆弱性によって作られたバックドアを閉じることでサイバー攻撃による更なる苦痛を避けるために、AppSecチームと共に貴重な資産となります。

デジタルで革新的な企業はより大きな嵐を乗り越えることができる

大規模なロックダウンの非常に不幸な副産物は、経済の低迷であり、最も被害を受けた分野で多くの人々が職を失うことになりました。これは突然のことであり、多くの人が人生で経験したことのないような体験をしています。

すべてのデジタル・ネイティブ・ビジネスが自動的に不況を克服するわけではありませんが(それどころではありません)、その性質上、デジタルを扱う企業は、最も突拍子もない状況に陥った場合でも、はるかに機敏で適応性が高く、持続可能です。

私たちの会社は遠隔地の従業員によって効率的かつ効果的に運営されており、これは私たちの大切なチームと彼らがサポートしている顧客のための保護を強化するものです。当社は、実行可能で安全なコードトレーニングが現代のビジネスに不可欠な要素であると考えており、もし当社が選ばれた場合は、必要に応じて提供し、ピボットすることができます。製品やサービスの性質上、多くの企業は同じような贅沢をすることはできませんが、最も伝統的な空間であっても、プロセスをデジタル化し、将来性を持たせ、可能な限りオンデマンドにすることができる場所を調査することは、彼らにとってポジティブな驚きとなるかもしれません。

新しい接続方法を見つけることは、障害ではなく前向きな挑戦です。

ちょっと大げさですが、『ジュラシック・パーク』のイアン・マルコム博士の「人生には道がある」という有名な言葉を思い出しました。このことは、全社的にリモートワークに移行したことで明らかになりました。以前はあまり交流のなかったチームが、出入りの激しいウォータークーラーでのおしゃべりや、オンラインのオフィスゲーム、グローバルオフィスのSpotifyプレイリストで共通の趣味を発見しています。有意義な関係を築くには、必ず方法があります。私のアドバイスは、チームがそれを模索し、有機的に成長していくようにすることです。

お客様にとっては、開発者の安全なコーディングスキルを向上させるための取り組みが、遠隔地での作業の障害を超えて、素晴らしいものとなっています。彼らは当社のtournaments 機能を利用しています。通常、これらの機能は少し派手に対面で行われますが、バーチャルバージョンでは、健全なエンゲージメント、切磋琢磨、そして通常は一人で行う日々の活動からの素晴らしい(生産的な)気晴らしになっています。ビデオゲームがかつてよりもはるかに社会的なイベントになっているように、この種のオン・ザ・ジョブ・トレーニングでは、教材だけでなく、お互いのつながりを大切にしています。しかも、誰でも、どこでも受講できます。セキュリティオタクの私が言うのもなんですが、この機会に開発者の間で安全なコーディングへの関心が高まることは間違いありません。彼らは皆、セキュリティのスーパーヒーローであり、可能な限り楽しい方法でフロントラインを強化する時が来たのです。

リソースを見る
リソースを見る

以下のフォームに記入し、レポートをダウンロードしてください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

送信
フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。

この記事の一部分は TFIR.

「変化は人生で唯一不変である」と言われていますが、2020年は世界中の多くの人々にとって本当に試練の年となりました。COVID-19の世界的な流行により、私たちは人とのつながり方について深いレベルで考えなければならなくなりました。自己隔離、社会的距離を置く、これらは私たちが物理的な世界で行ってきた適応の一部であり、私たちの多くがオンラインで多くの時間を過ごしているという事実にもかかわらず、コミュニケーションや、可能であれば仕事をする際に他の選択肢がないというのは、全く異なるシナリオです。それは悲劇であると同時に、目覚めでもあります。

多くのハイテク企業と同様、フレキシブルな働き方は目新しいものではなく、自宅で働くことは仕事の特典のひとつです。2009年という "早い "時期にも、私はベルギーからシリコンバレーの企業のためにリモートで仕事をしていました。当時のテクノロジーはそれほど進んでいませんでしたが、それでも十分に可能でした。しかし、現在の私たちにとっても、チームメンバー全員が当面の間、自宅で仕事をするというのは調整が必要でした。私は、多くの企業がこのような決断をしているのを見てきました。その中には、リモートワークを管理するための準備が不十分な企業も含まれていました。

新しい働き方への違和感は、未知数であることからくるものなのか、少しの不信感からくるものなのか、はたまたリモートワークを「信じていない」ことからくるものなのかはさておき、私は、リモートワークに抵抗感のある企業は、優秀な人材の確保、グローバルな展開の維持、そして率直に言って、時代の変化に対応するという点で遅れをとる傾向があると感じています。現在の危機的状況では、多くの企業がリモートワークに火をつける以外に選択肢がありません。

この悲劇から得られるポジティブなことがあるとすれば、それは人々がデジタルワークフォースの利点を理解し、物理的に一緒にいなくてもチームがつながることができる無数の方法を知ることができたということです。そして、サイバーセキュリティ業界は、どこにいても、いつでも仕事ができるというアプローチによって、真に繁栄することができる業界なのです。

このような状況下では、サイバー攻撃、特にランサムウェアが急増しても不思議ではありません。このような状況下では、サイバー攻撃、特にランサムウェアが急増するのも無理はありません。不安定な経済状況の中で生き延びるためには、やはり盗みが必要です。だからといってそれでいいというわけではなく、インターネットに接続できる場所であれば、どこでもサイバー攻撃に対抗して仕事をしたり、訓練をしたり、戦ったりすることができるという事実は変わりません。

未来は柔軟であり、私たち、そしてサイバーセキュリティ業界全体が、現在も未来もそれを実現するためには、このような方法が必要なのです。

どこでもアクセスできる製品は普遍的で価値がある

強制的に隔離されるような状況になる前に、グローバルチームは必要に応じて共同作業を行う方法を見つけなければならなかった。手頃な価格の電話会議が登場したのは、ローリング・ストーンズと同じ年(1964年)のことである。"ビデオでお互いを見ることができるようになった今でも、「そこにいますか」「いいえ、先に行ってください」という問題に直面している。)

2020年、デジタルコミュニケーション技術は、数兆ドル規模のICT産業の中で、クラウドネイティブ、モバイル、ソーシャルプラットフォームが主流となり、レガシー技術に取って代わる巨大な存在となっています。Slack、Zoom、Discordなどの革新的な技術により、私たちはこれまで以上に、特に職場でのつながりを維持しています。そして、コミュニケーションはその一面に過ぎません。

インターネットに接続できる環境であれば、どこからでもオンデマンドでアクセスでき、接続、エンターテインメント、生産性などの基本的なニーズを満たすデジタルサービスは、私たちの柔軟な未来の一部です。私たちは、お客様自身がハイパーパーソナライゼーションを求めており、企業としては、どこからアクセスしても同じ品質のパーソナルなデジタル体験を提供することを目指しています。

あらゆる業界で、毎日のように、プロセスを合理化し、私たちの生活や仕事のやり方に革命を起こし、私たちが気づかなかったような問題を解決するために、ウェブベースのアプリケーションが作られています。オンデマンドでアクセスでき、ユーザーにとって魅力的で有用な方法で、ビジネスに具体的な利益をもたらすサイバーセキュリティのツールやトレーニングは、まだピークに達していません。

私たちは、実用的で楽しい安全なコーディングトレーニングとワークフローの統合に重点を置き、エンドユーザーを念頭に置いています。ツールは、すぐに使えるものでなければならず、貴重なトレーニングを面倒なものと思わずに、簡単にできるものでなければなりません。サイバーセキュリティ業界は非常に広大な分野であるため、攻撃と防御の複数の分野でイノベーションを起こすには絶好のタイミングであり、DevSecOpsのようなセキュリティファーストの方法論は、たとえ全員が自宅にいても成功することができます。そのためには、コラボレーションと、チームの各メンバーが物理的な場所に関係なく効率的に仕事ができるように配慮された一連のツールが必要です。

最も必要な時(または一日を切り替えたい時)のトレーニング

フレキシブル・ワークの利点の1つは、自宅で仕事をしている日には、会社からの通勤時間がなくなることです。人によっては、2時間程度の質の高い集中した時間を取り戻すことができます。理想的な世界では、すべてのスタッフが通常の勤務時間内に自分のスキルを学び、成長させるための時間を持つことができますが、適切なリモート環境であれば、これをはるかに容易に行うことができます。これは、遠隔地のスーパースターにとっても有益なことで、彼らはさらなる学習に挑戦し、サポートを受けることができる。

サイバーセキュリティの状況は刻々と変化しており、組織に影響を及ぼす可能性のある潜在的な脅威に対応するためには、頻繁なトレーニングが必要です。また、企業のニーズに合わせてカスタマイズされた、包括的で測定可能なトレーニングは、正しい方向への大きな一歩となります。これらは、Secure Code Warrior プラットフォームを設計する上での核心的な要因のひとつです。私たちは、ユーザーが選択した開発言語とフレームワークで、必要なときにどこからでもアクセスできるトレーニングを求めていました。

多くの場合、開発者はセキュリティとの関係が希薄であり、セキュリティのベストプラクティスに適切に取り組むための具体的な方法を知らされていません。オンデマンドのゲーム化されたトレーニングは、開発者がどこにいようとも、彼らの心をつかむことができます。また、オフショアチームやベンダーが、組織のソフトウェアに何らかの手を加えている場合は特に、適切なセキュリティ意識を持つことが必要です。

組織に貢献するトレーニングに参加し、スキルアップを図ることは、優秀で忠実な人材を確保する上で非常に効果的です。

遠隔地の従業員に権限を与え、生産性と安全性を向上させることができます。

生産性を高めるためには、9時から5時までオフィスにいなければならないというのは、かなり古い考え方です。しかし、いまだに多くの企業(新しくて刺激的な企業も含めて)は、このような考え方に基づいて運営されています。自宅で仕事をするという提案をしただけで、チームが仕事をせずに下着姿でゲームをしている姿を想像してしまうような、自社の従業員に対する深い不信感があるのです。

あるいは、リモートワークに踏み切れていないだけかもしれません。

もちろん、チームメンバーが自宅でも生産性を維持できることを証明するためには、アウトプットを示す必要があります。しかし、会社を離れても成功するための最良のチャンスを与える必要があります。自分自身に問いかけてみてください。

  • 適切なハードウェアを持っているか?
  • 前にお話しした素晴らしいコミュニケーションツールを実際に導入していますか?
  • すべてのマネージャーが、定期的な面談を行い、チームの状況を確認していることを確認していますか?
  • プロジェクトを管理し、チームの各メンバーに方向性を与え、目標を設定し、タスクを完了して達成感を得るための生産性向上ツールについて考えたことはありますか?

現在の状況下では、多くの企業が業務をリモート化するか、完全にシャットダウンするかの決断を迫られています。リモート・ワークフォースへの移行を選択した企業の中には、十分な準備ができていなかったところもあるでしょうし、解決しなければならない問題があるかもしれません...しかし、部屋の中の象は、これらの企業がいくつかのセキュリティ・リスクにさらされている可能性が高いということです。

リモートワーク環境でのセキュリティの失敗を避けるために

スタッフは自分のネットワーク上にいる可能性が高く、会社のアカウントにアクセスするために様々なデバイスを使用している可能性があり、それぞれに独自のセキュリティニーズが存在するため、考慮すべき脅威のベクトルがいくつかあります。

リモートワークでは、誰もがメールの受信量を増やし、さらに様々なログインやシステム、設定をしなければならない傾向にあります。ソーシャルエンジニアリングによる攻撃やマルウェアが、社内のセキュリティ対象外のデバイスに紛れ込むことも容易になります。これはリモートワークを放棄する理由ではなく、実際にやってみて学び、将来に向けて可能な限り強固なものにするための絶好の機会なのです。また、セキュリティに力を入れている組織では、プロセスを監査し、全員のセキュリティ・ベスト・プラクティスに関しては、「自分のドッグフードを食べる」良い機会となります。

失態といえば、遠隔地のワークスペースに潜在的な脅威がないかどうかを見極めることも重要です...主に、このかわいそうなカップルのように、プライドが傷つけられることがあります。物語の教訓:ビデオ通話をするときは、全員がズボンを履いているかどうか確認してください。

危機に瀕してもサイバー攻撃は止まない

世界中でCOVID-19の影響を目の当たりにして、深く動揺しています。今こそ、この世界的な健康危機の中で、これまで以上に力を合わせて、他の人々のことを考えなければなりません。問題は、攻撃者たちがこの広範囲にわたる恐怖と混乱を積極的に利用していることです。おそらく、食卓に食べ物を並べるために必死になっているのでしょう。今、私たちは社会的に非常に弱い立場にあります。

ワクチンテストセンターを含む医療機関は、ランサムウェアやDDoS攻撃に見舞われており、また、気が緩んで過労状態にある金融機関や政府機関を狙ったフィッシングやマルウェアのキャンペーンも行われています。また、トランプ政権がドイツの企業に多額の資金を提供し、米国専用のCOVID-19ワクチンの開発を依頼していたことが報じられています。ワクチンのデータは、現在、地球上で最も貴重な情報である可能性があり、攻撃者にとっては非常に魅力的な懸賞金となるでしょう。

これは、私たちが物理的なウイルスの非常に現実的な脅威から自己隔離している間に、私たちのデジタルの鼓動も攻撃されていることを、あまりにもタイムリーに思い出させるものです。あらゆる組織においてセキュリティ意識を高めることが何よりも重要であり、あらゆるレベルで適切なトレーニングを行う必要があります。パスワード管理ツールの使用を徹底したり、フィッシングメールの見分け方を学んだりすることも有効です。

また、開発者に関して言えば、彼らはビジネス内で積極的に生産されるコードを保護するための最初の防衛線であり、一般的な脆弱性によって作られたバックドアを閉じることでサイバー攻撃による更なる苦痛を避けるために、AppSecチームと共に貴重な資産となります。

デジタルで革新的な企業はより大きな嵐を乗り越えることができる

大規模なロックダウンの非常に不幸な副産物は、経済の低迷であり、最も被害を受けた分野で多くの人々が職を失うことになりました。これは突然のことであり、多くの人が人生で経験したことのないような体験をしています。

すべてのデジタル・ネイティブ・ビジネスが自動的に不況を克服するわけではありませんが(それどころではありません)、その性質上、デジタルを扱う企業は、最も突拍子もない状況に陥った場合でも、はるかに機敏で適応性が高く、持続可能です。

私たちの会社は遠隔地の従業員によって効率的かつ効果的に運営されており、これは私たちの大切なチームと彼らがサポートしている顧客のための保護を強化するものです。当社は、実行可能で安全なコードトレーニングが現代のビジネスに不可欠な要素であると考えており、もし当社が選ばれた場合は、必要に応じて提供し、ピボットすることができます。製品やサービスの性質上、多くの企業は同じような贅沢をすることはできませんが、最も伝統的な空間であっても、プロセスをデジタル化し、将来性を持たせ、可能な限りオンデマンドにすることができる場所を調査することは、彼らにとってポジティブな驚きとなるかもしれません。

新しい接続方法を見つけることは、障害ではなく前向きな挑戦です。

ちょっと大げさですが、『ジュラシック・パーク』のイアン・マルコム博士の「人生には道がある」という有名な言葉を思い出しました。このことは、全社的にリモートワークに移行したことで明らかになりました。以前はあまり交流のなかったチームが、出入りの激しいウォータークーラーでのおしゃべりや、オンラインのオフィスゲーム、グローバルオフィスのSpotifyプレイリストで共通の趣味を発見しています。有意義な関係を築くには、必ず方法があります。私のアドバイスは、チームがそれを模索し、有機的に成長していくようにすることです。

お客様にとっては、開発者の安全なコーディングスキルを向上させるための取り組みが、遠隔地での作業の障害を超えて、素晴らしいものとなっています。彼らは当社のtournaments 機能を利用しています。通常、これらの機能は少し派手に対面で行われますが、バーチャルバージョンでは、健全なエンゲージメント、切磋琢磨、そして通常は一人で行う日々の活動からの素晴らしい(生産的な)気晴らしになっています。ビデオゲームがかつてよりもはるかに社会的なイベントになっているように、この種のオン・ザ・ジョブ・トレーニングでは、教材だけでなく、お互いのつながりを大切にしています。しかも、誰でも、どこでも受講できます。セキュリティオタクの私が言うのもなんですが、この機会に開発者の間で安全なコーディングへの関心が高まることは間違いありません。彼らは皆、セキュリティのスーパーヒーローであり、可能な限り楽しい方法でフロントラインを強化する時が来たのです。

リソースにアクセス

以下のリンクをクリックし、この資料のPDFをダウンロードしてください。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

レポートを見るデモを予約する
PDFをダウンロード
リソースを見る
シェアする
ご興味がおありですか?

シェアする
著者
マティアス・マドゥ博士
2020年12月09日掲載

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする

この記事の一部分は TFIR.

「変化は人生で唯一不変である」と言われていますが、2020年は世界中の多くの人々にとって本当に試練の年となりました。COVID-19の世界的な流行により、私たちは人とのつながり方について深いレベルで考えなければならなくなりました。自己隔離、社会的距離を置く、これらは私たちが物理的な世界で行ってきた適応の一部であり、私たちの多くがオンラインで多くの時間を過ごしているという事実にもかかわらず、コミュニケーションや、可能であれば仕事をする際に他の選択肢がないというのは、全く異なるシナリオです。それは悲劇であると同時に、目覚めでもあります。

多くのハイテク企業と同様、フレキシブルな働き方は目新しいものではなく、自宅で働くことは仕事の特典のひとつです。2009年という "早い "時期にも、私はベルギーからシリコンバレーの企業のためにリモートで仕事をしていました。当時のテクノロジーはそれほど進んでいませんでしたが、それでも十分に可能でした。しかし、現在の私たちにとっても、チームメンバー全員が当面の間、自宅で仕事をするというのは調整が必要でした。私は、多くの企業がこのような決断をしているのを見てきました。その中には、リモートワークを管理するための準備が不十分な企業も含まれていました。

新しい働き方への違和感は、未知数であることからくるものなのか、少しの不信感からくるものなのか、はたまたリモートワークを「信じていない」ことからくるものなのかはさておき、私は、リモートワークに抵抗感のある企業は、優秀な人材の確保、グローバルな展開の維持、そして率直に言って、時代の変化に対応するという点で遅れをとる傾向があると感じています。現在の危機的状況では、多くの企業がリモートワークに火をつける以外に選択肢がありません。

この悲劇から得られるポジティブなことがあるとすれば、それは人々がデジタルワークフォースの利点を理解し、物理的に一緒にいなくてもチームがつながることができる無数の方法を知ることができたということです。そして、サイバーセキュリティ業界は、どこにいても、いつでも仕事ができるというアプローチによって、真に繁栄することができる業界なのです。

このような状況下では、サイバー攻撃、特にランサムウェアが急増しても不思議ではありません。このような状況下では、サイバー攻撃、特にランサムウェアが急増するのも無理はありません。不安定な経済状況の中で生き延びるためには、やはり盗みが必要です。だからといってそれでいいというわけではなく、インターネットに接続できる場所であれば、どこでもサイバー攻撃に対抗して仕事をしたり、訓練をしたり、戦ったりすることができるという事実は変わりません。

未来は柔軟であり、私たち、そしてサイバーセキュリティ業界全体が、現在も未来もそれを実現するためには、このような方法が必要なのです。

どこでもアクセスできる製品は普遍的で価値がある

強制的に隔離されるような状況になる前に、グローバルチームは必要に応じて共同作業を行う方法を見つけなければならなかった。手頃な価格の電話会議が登場したのは、ローリング・ストーンズと同じ年(1964年)のことである。"ビデオでお互いを見ることができるようになった今でも、「そこにいますか」「いいえ、先に行ってください」という問題に直面している。)

2020年、デジタルコミュニケーション技術は、数兆ドル規模のICT産業の中で、クラウドネイティブ、モバイル、ソーシャルプラットフォームが主流となり、レガシー技術に取って代わる巨大な存在となっています。Slack、Zoom、Discordなどの革新的な技術により、私たちはこれまで以上に、特に職場でのつながりを維持しています。そして、コミュニケーションはその一面に過ぎません。

インターネットに接続できる環境であれば、どこからでもオンデマンドでアクセスでき、接続、エンターテインメント、生産性などの基本的なニーズを満たすデジタルサービスは、私たちの柔軟な未来の一部です。私たちは、お客様自身がハイパーパーソナライゼーションを求めており、企業としては、どこからアクセスしても同じ品質のパーソナルなデジタル体験を提供することを目指しています。

あらゆる業界で、毎日のように、プロセスを合理化し、私たちの生活や仕事のやり方に革命を起こし、私たちが気づかなかったような問題を解決するために、ウェブベースのアプリケーションが作られています。オンデマンドでアクセスでき、ユーザーにとって魅力的で有用な方法で、ビジネスに具体的な利益をもたらすサイバーセキュリティのツールやトレーニングは、まだピークに達していません。

私たちは、実用的で楽しい安全なコーディングトレーニングとワークフローの統合に重点を置き、エンドユーザーを念頭に置いています。ツールは、すぐに使えるものでなければならず、貴重なトレーニングを面倒なものと思わずに、簡単にできるものでなければなりません。サイバーセキュリティ業界は非常に広大な分野であるため、攻撃と防御の複数の分野でイノベーションを起こすには絶好のタイミングであり、DevSecOpsのようなセキュリティファーストの方法論は、たとえ全員が自宅にいても成功することができます。そのためには、コラボレーションと、チームの各メンバーが物理的な場所に関係なく効率的に仕事ができるように配慮された一連のツールが必要です。

最も必要な時(または一日を切り替えたい時)のトレーニング

フレキシブル・ワークの利点の1つは、自宅で仕事をしている日には、会社からの通勤時間がなくなることです。人によっては、2時間程度の質の高い集中した時間を取り戻すことができます。理想的な世界では、すべてのスタッフが通常の勤務時間内に自分のスキルを学び、成長させるための時間を持つことができますが、適切なリモート環境であれば、これをはるかに容易に行うことができます。これは、遠隔地のスーパースターにとっても有益なことで、彼らはさらなる学習に挑戦し、サポートを受けることができる。

サイバーセキュリティの状況は刻々と変化しており、組織に影響を及ぼす可能性のある潜在的な脅威に対応するためには、頻繁なトレーニングが必要です。また、企業のニーズに合わせてカスタマイズされた、包括的で測定可能なトレーニングは、正しい方向への大きな一歩となります。これらは、Secure Code Warrior プラットフォームを設計する上での核心的な要因のひとつです。私たちは、ユーザーが選択した開発言語とフレームワークで、必要なときにどこからでもアクセスできるトレーニングを求めていました。

多くの場合、開発者はセキュリティとの関係が希薄であり、セキュリティのベストプラクティスに適切に取り組むための具体的な方法を知らされていません。オンデマンドのゲーム化されたトレーニングは、開発者がどこにいようとも、彼らの心をつかむことができます。また、オフショアチームやベンダーが、組織のソフトウェアに何らかの手を加えている場合は特に、適切なセキュリティ意識を持つことが必要です。

組織に貢献するトレーニングに参加し、スキルアップを図ることは、優秀で忠実な人材を確保する上で非常に効果的です。

遠隔地の従業員に権限を与え、生産性と安全性を向上させることができます。

生産性を高めるためには、9時から5時までオフィスにいなければならないというのは、かなり古い考え方です。しかし、いまだに多くの企業(新しくて刺激的な企業も含めて)は、このような考え方に基づいて運営されています。自宅で仕事をするという提案をしただけで、チームが仕事をせずに下着姿でゲームをしている姿を想像してしまうような、自社の従業員に対する深い不信感があるのです。

あるいは、リモートワークに踏み切れていないだけかもしれません。

もちろん、チームメンバーが自宅でも生産性を維持できることを証明するためには、アウトプットを示す必要があります。しかし、会社を離れても成功するための最良のチャンスを与える必要があります。自分自身に問いかけてみてください。

  • 適切なハードウェアを持っているか?
  • 前にお話しした素晴らしいコミュニケーションツールを実際に導入していますか?
  • すべてのマネージャーが、定期的な面談を行い、チームの状況を確認していることを確認していますか?
  • プロジェクトを管理し、チームの各メンバーに方向性を与え、目標を設定し、タスクを完了して達成感を得るための生産性向上ツールについて考えたことはありますか?

現在の状況下では、多くの企業が業務をリモート化するか、完全にシャットダウンするかの決断を迫られています。リモート・ワークフォースへの移行を選択した企業の中には、十分な準備ができていなかったところもあるでしょうし、解決しなければならない問題があるかもしれません...しかし、部屋の中の象は、これらの企業がいくつかのセキュリティ・リスクにさらされている可能性が高いということです。

リモートワーク環境でのセキュリティの失敗を避けるために

スタッフは自分のネットワーク上にいる可能性が高く、会社のアカウントにアクセスするために様々なデバイスを使用している可能性があり、それぞれに独自のセキュリティニーズが存在するため、考慮すべき脅威のベクトルがいくつかあります。

リモートワークでは、誰もがメールの受信量を増やし、さらに様々なログインやシステム、設定をしなければならない傾向にあります。ソーシャルエンジニアリングによる攻撃やマルウェアが、社内のセキュリティ対象外のデバイスに紛れ込むことも容易になります。これはリモートワークを放棄する理由ではなく、実際にやってみて学び、将来に向けて可能な限り強固なものにするための絶好の機会なのです。また、セキュリティに力を入れている組織では、プロセスを監査し、全員のセキュリティ・ベスト・プラクティスに関しては、「自分のドッグフードを食べる」良い機会となります。

失態といえば、遠隔地のワークスペースに潜在的な脅威がないかどうかを見極めることも重要です...主に、このかわいそうなカップルのように、プライドが傷つけられることがあります。物語の教訓:ビデオ通話をするときは、全員がズボンを履いているかどうか確認してください。

危機に瀕してもサイバー攻撃は止まない

世界中でCOVID-19の影響を目の当たりにして、深く動揺しています。今こそ、この世界的な健康危機の中で、これまで以上に力を合わせて、他の人々のことを考えなければなりません。問題は、攻撃者たちがこの広範囲にわたる恐怖と混乱を積極的に利用していることです。おそらく、食卓に食べ物を並べるために必死になっているのでしょう。今、私たちは社会的に非常に弱い立場にあります。

ワクチンテストセンターを含む医療機関は、ランサムウェアやDDoS攻撃に見舞われており、また、気が緩んで過労状態にある金融機関や政府機関を狙ったフィッシングやマルウェアのキャンペーンも行われています。また、トランプ政権がドイツの企業に多額の資金を提供し、米国専用のCOVID-19ワクチンの開発を依頼していたことが報じられています。ワクチンのデータは、現在、地球上で最も貴重な情報である可能性があり、攻撃者にとっては非常に魅力的な懸賞金となるでしょう。

これは、私たちが物理的なウイルスの非常に現実的な脅威から自己隔離している間に、私たちのデジタルの鼓動も攻撃されていることを、あまりにもタイムリーに思い出させるものです。あらゆる組織においてセキュリティ意識を高めることが何よりも重要であり、あらゆるレベルで適切なトレーニングを行う必要があります。パスワード管理ツールの使用を徹底したり、フィッシングメールの見分け方を学んだりすることも有効です。

また、開発者に関して言えば、彼らはビジネス内で積極的に生産されるコードを保護するための最初の防衛線であり、一般的な脆弱性によって作られたバックドアを閉じることでサイバー攻撃による更なる苦痛を避けるために、AppSecチームと共に貴重な資産となります。

デジタルで革新的な企業はより大きな嵐を乗り越えることができる

大規模なロックダウンの非常に不幸な副産物は、経済の低迷であり、最も被害を受けた分野で多くの人々が職を失うことになりました。これは突然のことであり、多くの人が人生で経験したことのないような体験をしています。

すべてのデジタル・ネイティブ・ビジネスが自動的に不況を克服するわけではありませんが(それどころではありません)、その性質上、デジタルを扱う企業は、最も突拍子もない状況に陥った場合でも、はるかに機敏で適応性が高く、持続可能です。

私たちの会社は遠隔地の従業員によって効率的かつ効果的に運営されており、これは私たちの大切なチームと彼らがサポートしている顧客のための保護を強化するものです。当社は、実行可能で安全なコードトレーニングが現代のビジネスに不可欠な要素であると考えており、もし当社が選ばれた場合は、必要に応じて提供し、ピボットすることができます。製品やサービスの性質上、多くの企業は同じような贅沢をすることはできませんが、最も伝統的な空間であっても、プロセスをデジタル化し、将来性を持たせ、可能な限りオンデマンドにすることができる場所を調査することは、彼らにとってポジティブな驚きとなるかもしれません。

新しい接続方法を見つけることは、障害ではなく前向きな挑戦です。

ちょっと大げさですが、『ジュラシック・パーク』のイアン・マルコム博士の「人生には道がある」という有名な言葉を思い出しました。このことは、全社的にリモートワークに移行したことで明らかになりました。以前はあまり交流のなかったチームが、出入りの激しいウォータークーラーでのおしゃべりや、オンラインのオフィスゲーム、グローバルオフィスのSpotifyプレイリストで共通の趣味を発見しています。有意義な関係を築くには、必ず方法があります。私のアドバイスは、チームがそれを模索し、有機的に成長していくようにすることです。

お客様にとっては、開発者の安全なコーディングスキルを向上させるための取り組みが、遠隔地での作業の障害を超えて、素晴らしいものとなっています。彼らは当社のtournaments 機能を利用しています。通常、これらの機能は少し派手に対面で行われますが、バーチャルバージョンでは、健全なエンゲージメント、切磋琢磨、そして通常は一人で行う日々の活動からの素晴らしい(生産的な)気晴らしになっています。ビデオゲームがかつてよりもはるかに社会的なイベントになっているように、この種のオン・ザ・ジョブ・トレーニングでは、教材だけでなく、お互いのつながりを大切にしています。しかも、誰でも、どこでも受講できます。セキュリティオタクの私が言うのもなんですが、この機会に開発者の間で安全なコーディングへの関心が高まることは間違いありません。彼らは皆、セキュリティのスーパーヒーローであり、可能な限り楽しい方法でフロントラインを強化する時が来たのです。

目次

PDFをダウンロード
リソースを見る
ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約するダウンロード
シェアする
リソース・ハブ

始めるためのリソース

その他の記事
リソース・ハブ

始めるためのリソース

その他の記事