サイバーセキュリティにおけるヒューマンファクターを見落としてはならない理由

2021年7月22日発行
でSecure Code Warrior
ケーススタディ

サイバーセキュリティにおけるヒューマンファクターを見落としてはならない理由

2021年7月22日発行
でSecure Code Warrior
リソースを見る
リソースを見る

先日、当社の会長兼CEOであるピーテル・ダンヒューによるForbes Technology Councilの最初の投稿が公開され、非常に感激しました。この投稿では、開発者がより安全なコードを作成できるようにスキルアップすることが、サイバー攻撃やデータ漏洩を防ぐための鍵であることが詳しく説明されています。それだけでなく、セキュリティを意識した開発者が、より優れた、より安全なコードを、多くのIT部門が認識しているよりも早く提供することを支援できることも明らかにしています。このようなアプローチの必要性は確かにあります。最近の調査によると、サイバー攻撃は39秒に1回発生していると言われています。私たちは、Colonial Pipelineへのランサムウェアの攻撃が1回成功しただけで、その混乱を目の当たりにしましたが、大局的に見ればSolarWindsのハッキングほどの破壊力はありませんでした。 


多くの一般的な脆弱性が存在し続けているのは、劣悪なコーディングパターンを、同じ機能をより安全でセキュアな方法で実現する優れた方法に置き換える方法を、誰も開発者に教えようとしなかったからです。また、開発の後半にソフトウェアを修正することの影響は、費やした時間とデプロイメントの遅れの両方において、非常に大きなコストとなります。特に、攻撃者がこれまで発見されていなかった脆弱性を悪用した後に、デプロイされた後にコードを修正することは、時には数百万ドルの費用がかかります。さらに、大規模なセキュリティ侵害が発生した場合の企業の評判への影響も考慮に入れていません。


セキュリティ教育を受けた開発者は、自然と優れたプログラマーになります。確かに、CISOはすぐにセキュリティツールをやめるべきではありません。しかし、包括的で予防的なセキュリティアプローチをトップから主導することで、CISOは企業の最大のリソースである人的要因を活用することができます。特に、ソフトウェア開発ライフサイクルの最初の段階から安全なコーディングを行うことが重要です。


そのために、押さえておきたい上位3つの戦略をご紹介します。


1.積極的に行動しよう

企業が陥りがちなのは、独自のビジョンを描き、それを追求するのではなく、競合他社の動きに対応するといった「リアクティブ(反応的)」な姿勢です。また、コードのセキュリティ脆弱性に関しても、多くの企業がこのようなアプローチをとっており、サイバーセキュリティに真剣に取り組まなければならないのは、侵入が成功した結果としてのみです。残念ながら、その時点では、罰金、復旧費用、顧客離れ、ブランド回復など、すべての面でダメージを受けてしまいます。行動ではなく反応というもう一つの形は、そもそも安全なコードを作ることに集中するのではなく、既存のコードの脆弱性を見つけるために自動または手動のコードスキャンに頼ることです。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに脆弱性があればあるほど、それをすり抜けてしまう可能性が高くなるのです。 


積極的なアプローチをとり、開発者と協力して最初から安全なコードを作成することによってのみ、コードの脆弱性がユーザーに公開される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立することができます。


2.アップスキル、オーバーキルは禁物

安全なコードを作成するために必要な知識を開発者に提供することを決めたら、その方法を賢く選ぶ必要があります。コーディングを中断させるような社内トレーニング・ワークショップは、開発者と管理者の両方を苛立たせる。夜間や週末に参加しなければならないオフサイトのcourses は、さらに人気がありません。最良のアプローチは、コーディングスキルを段階的に向上させることであり、コーディングプロセスの中で段階的に関連情報を提供することです。 


3.仮定ではなく、インセンティブを与える

開発者は、セキュリティ・アップスキリングを罰や全くの徒労と考えてはならない。管理者は、安全なコードが会社の成功に果たす重要な役割を伝えることで、開発者を鼓舞しなければならない。また、安全なコードを書く人は会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要である。


バイデン政権の迎えた 大統領令は、サイバーセキュリティへの注目度を高め、"開発者やサプライヤー自身のセキュリティ対策を評価する基準を盛り込み、安全な対策への適合を証明するための革新的なツールや方法を特定する "必要があるとしています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。どんなツールでも、個人が何らかの方法で、導入されたシステムやツールを無視したり、誤解したり、悪用したり、その他の方法で回避する能力を完全に排除することはできません。企業のセキュリティを最大限に高めるためには、CISOはヒューマンファクターを活用し、開発者が進んでセキュリティを推進し、実践するように働きかける必要があります。

リソースを見る
リソースを見る

著者

Secure Code Warrior

Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

サイバーセキュリティにおけるヒューマンファクターを見落としてはならない理由

2021年7月22日発行
BySecure Code Warrior

先日、当社の会長兼CEOであるピーテル・ダンヒューによるForbes Technology Councilの最初の投稿が公開され、非常に感激しました。この投稿では、開発者がより安全なコードを作成できるようにスキルアップすることが、サイバー攻撃やデータ漏洩を防ぐための鍵であることが詳しく説明されています。それだけでなく、セキュリティを意識した開発者が、より優れた、より安全なコードを、多くのIT部門が認識しているよりも早く提供することを支援できることも明らかにしています。このようなアプローチの必要性は確かにあります。最近の調査によると、サイバー攻撃は39秒に1回発生していると言われています。私たちは、Colonial Pipelineへのランサムウェアの攻撃が1回成功しただけで、その混乱を目の当たりにしましたが、大局的に見ればSolarWindsのハッキングほどの破壊力はありませんでした。 


多くの一般的な脆弱性が存在し続けているのは、劣悪なコーディングパターンを、同じ機能をより安全でセキュアな方法で実現する優れた方法に置き換える方法を、誰も開発者に教えようとしなかったからです。また、開発の後半にソフトウェアを修正することの影響は、費やした時間とデプロイメントの遅れの両方において、非常に大きなコストとなります。特に、攻撃者がこれまで発見されていなかった脆弱性を悪用した後に、デプロイされた後にコードを修正することは、時には数百万ドルの費用がかかります。さらに、大規模なセキュリティ侵害が発生した場合の企業の評判への影響も考慮に入れていません。


セキュリティ教育を受けた開発者は、自然と優れたプログラマーになります。確かに、CISOはすぐにセキュリティツールをやめるべきではありません。しかし、包括的で予防的なセキュリティアプローチをトップから主導することで、CISOは企業の最大のリソースである人的要因を活用することができます。特に、ソフトウェア開発ライフサイクルの最初の段階から安全なコーディングを行うことが重要です。


そのために、押さえておきたい上位3つの戦略をご紹介します。


1.積極的に行動しよう

企業が陥りがちなのは、独自のビジョンを描き、それを追求するのではなく、競合他社の動きに対応するといった「リアクティブ(反応的)」な姿勢です。また、コードのセキュリティ脆弱性に関しても、多くの企業がこのようなアプローチをとっており、サイバーセキュリティに真剣に取り組まなければならないのは、侵入が成功した結果としてのみです。残念ながら、その時点では、罰金、復旧費用、顧客離れ、ブランド回復など、すべての面でダメージを受けてしまいます。行動ではなく反応というもう一つの形は、そもそも安全なコードを作ることに集中するのではなく、既存のコードの脆弱性を見つけるために自動または手動のコードスキャンに頼ることです。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに脆弱性があればあるほど、それをすり抜けてしまう可能性が高くなるのです。 


積極的なアプローチをとり、開発者と協力して最初から安全なコードを作成することによってのみ、コードの脆弱性がユーザーに公開される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立することができます。


2.アップスキル、オーバーキルは禁物

安全なコードを作成するために必要な知識を開発者に提供することを決めたら、その方法を賢く選ぶ必要があります。コーディングを中断させるような社内トレーニング・ワークショップは、開発者と管理者の両方を苛立たせる。夜間や週末に参加しなければならないオフサイトのcourses は、さらに人気がありません。最良のアプローチは、コーディングスキルを段階的に向上させることであり、コーディングプロセスの中で段階的に関連情報を提供することです。 


3.仮定ではなく、インセンティブを与える

開発者は、セキュリティ・アップスキリングを罰や全くの徒労と考えてはならない。管理者は、安全なコードが会社の成功に果たす重要な役割を伝えることで、開発者を鼓舞しなければならない。また、安全なコードを書く人は会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要である。


バイデン政権の迎えた 大統領令は、サイバーセキュリティへの注目度を高め、"開発者やサプライヤー自身のセキュリティ対策を評価する基準を盛り込み、安全な対策への適合を証明するための革新的なツールや方法を特定する "必要があるとしています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。どんなツールでも、個人が何らかの方法で、導入されたシステムやツールを無視したり、誤解したり、悪用したり、その他の方法で回避する能力を完全に排除することはできません。企業のセキュリティを最大限に高めるためには、CISOはヒューマンファクターを活用し、開発者が進んでセキュリティを推進し、実践するように働きかける必要があります。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。