このインタビューは、もともと CyberNews.
セキュリティツールやサービスの普及にもかかわらず、企業は日々進化する脅威の状況に対応するのに苦労しています。
これは、開発者のセキュリティ意識とトレーニングの不足が原因であり、危険なコードが公開され、悪意のある人物に悪用される可能性があります。ウイルス対策ソフトや強力な脆弱性スキャンソリューションなどのセキュリティ対策は、セキュリティのレイヤーを増やすことができますが、今日のゲストは、すべてはセキュリティに焦点を当てた開発チームから始まると説明します。
サイバーニュースでは、開発者がセキュリティの脅威を認識し、軽減するためにどのようなトレーニングを行えばよいかを検討するため、以下の会社のCEO兼共同創設者であるPieter Danhieux氏と対談しました。 Secure Code Warriorセキュリティの脆弱性を克服するために開発チームを支援する、learning platform 、開発者向けのツール群を提供する会社です。
あなたの旅はどのようなものだったのでしょうか?Secure Code Warrior のアイデアはどのようにして生まれたのでしょうか?
若いオタクだった私は、技術を分解して、中に何が入っているか、どのように動くかを発見することに夢中でした。家族と一緒に使っていた家電製品に安心感を覚えた私は、やがてハードウェアやソフトウェアにも同じアプローチを取り、侵入して壊す方法を模索するようになりました。セキュリティに対する生涯の情熱が生まれ、長年にわたり、学生や同僚、セキュリティコミュニティと「壊す」技術を共有し、ソフトウェアのエラーを見つけ、利用し、悪用する方法を紹介することに専念してきました。その後、開発者に安全で優れたコーディングパターンを教室で教え、一般的な脆弱性とその回避方法を理解させるなど、守る側のスキルアップに力を入れました。また、コンサルティングの仕事では、大企業がセキュリティプログラムを改善する方法、特に開発者の関与についてアドバイスしました。その頃、現在のSecure Code Warrior の創業チームと知り合いました。私たちは、コードレベルの脆弱性に関して、セキュリティチームと開発チームの双方が直面している問題点を理解し、開発者のセキュリティスキルの向上を目的としたトレーニングソリューションのほとんどに存在する問題点も理解しました。そこで私たちは、開発者にとって楽しくて魅力的でありながら、企業レベルで拡張可能なlearning platform の構想に取りかかりました。最終的には、開発者の作業環境に合わせ、邪魔にならず、セキュリティファーストの考え方を身につけられるようなツール群を作りたいと考えました。そして、これをできるだけ柔軟な言語と豊富なコンテンツで実現することを目指したのです。
どのようなことをされているのか、ご紹介いただけますか?また、どのような課題を解決するためにお手伝いされているのでしょうか?
私たちは、learning platform 、開発者に特化したツール群を作成し、開発チームが一般的なセキュリティ脆弱性を克服できるよう支援しています。これらの脆弱性の多くは数十年前から存在し、今日も企業をサイバーリスクにさらし続けています。開発者は、コードレベルの問題を修正するためのトレーニングやスキルが不足しており、また、不適切なコーディングパターンやテクニックを使い続けることで、最初に問題を引き起こすことが多いからです。3次教育レベルではセキュアコーディングを教わらず、ほとんどの職場トレーニングプログラムでは、日常業務に関連した内容を提供するには効果がない上、コード品質とセキュリティに長期的に影響を及ぼすには頻度が少なすぎます。私たちのソリューションは、コーディングの行動を変え、実社会でセキュリティを最優先するための、魅力的で適切なスキル開発を提供することを目的としています。開発者が最も慣れ親しんでいる環境との統合を進め、文脈に沿った学習を重視することで、ユーザーが主要な教育成果を維持できる可能性を高めます。また、開発者がセキュリティをポジティブで楽しいものとして捉え、成功に報い、コミュニティを形成できるような方法でこれを行うよう努めます。
セキュアコーディングを学ぶのは面倒だと思う人もいるかもしれませんが、効果的かつ楽しいトレーニングにするために、どのような工夫をされていますか?
当社のフラッグシップモデルであるlearning platform は、開発者のエンゲージメントを第一に考えて設計されています。最も人気のある機能の1つは、Tournament モードです。参加者は、トレーニング中に得た知識を仲間たちとテストすることができます。正解するごとにポイントが加算され、tournament セッション中はライブリーダーボードが更新されます。コミュニティイベントやカンファレンスで実施したこともありますが、中には全員がコスプレをしてくるという、非常に手の込んだテーマで実施したお客様もいます。チームビルディングに最適で、ピザや賞品でスキルアップへのコミットメントを祝い、通常のルーチンから離れるのに最適です。さらに、当社のコンテンツ全般は60種類以上のプログラミングフレームワークで利用でき、日々の仕事で実際に目にするコードスニペットを使用しています。ビデオや毎年のコンプライアンス試験とは異なり、関連性が高く、現実の問題を解決するのに役立つコンテンツであれば、継続的に取り組むことができます。
現在、開発者が直面する主な課題は何だと思われますか?
開発者は良い仕事をしたいと思っていますが、教育やキャリアにおいて、セキュリティに関する十分な知識を得ていないことが重要だと思います。また、開発者はセキュリティを自分の責任範囲外のものと考える傾向があり、大多数の組織では、KPIにセキュアコーディングの成果に関連するものは含まれていません。コードレベルの脆弱性の量に変化をもたらすには、この現状を打破する必要があります。しかし、私たちが望む変化を実現するためには、開発者に適切なサポートとツールが必要です。課題は、効果的なイネーブルメント、トレーニングのための時間の確保、セキュリティの高速化を実現するためのアップスキルに今投資することにあります。
最近の世界的な出来事は、あなたの仕事の分野にどのような影響を与えたのでしょうか?
どの企業も現在の世界情勢が目標や予測、予算に何らかの影響を与えたことは間違いありませんが、私たちは幸いにも今日まで嵐を乗り越えてきました。サイバーセキュリティはほとんどの企業にとって譲れない要素であり、私たちは顧客や見込み客との会話の一部であり続けるために努力しています。
ソフトウェアやアプリケーションを開発する際に、組織が守るべきベストプラクティスにはどのようなものがあるのでしょうか。
しかし、一般的に、最高のセキュリティ対策を実施している企業は、既成概念にとらわれず、さまざまなアプローチを試すことを厭わない。ほとんどの場合、開発者はセキュリティ・プログラムにおいて重要視されることはありません。しかし、世界的なセキュリティスキルの格差がすぐに埋まるとは思えない中、セキュリティを実現する開発者は、ソフトウェア作成の観点からリスクを低減し、コンプライアンスを達成するのに役立ちます。彼らは、プロセスの最も早い段階、最も安い段階で影響を与えることができるのです。
セキュアコーディングツールの他に、業務を強化するだけでなく、安全を確保するための対策や実践があれば教えてください。
すべての企業は、役割に応じた何らかのセキュリティ・トレーニングを実施する必要があります。その意味で、オフィスマネージャーから経理チームまで、すべての人がサイバーセキュリティ対策と意識向上において果たすべき役割を理解し、受け入れる必要があります。
現在の経済情勢を考えると、CISOは最も低いコストで企業のセキュリティを維持しなければならないという大きなプレッシャーにさらされていると思いますが、どのようなアドバイスをされますか?
特に、サイバーセキュリティに関する法律がますます厳しくなり、侵害が発生した場合にCISOが個人的な責任を問われるケースもあるため、CISOはこのような状況下で何らかの創造性を発揮する必要があります。レイオフも加わり、より少ないエンジニアが、同じ量のソフトウェアを書きながら、より多くの責任を負うことが求められる状況になっています。CISOは、ビジネスを停滞させる大きな障害であるセキュリティに対処することで、ビジネスの成功を支援することができます。
コードレベルのセキュリティ脆弱性や設定ミスに対処するための最も安価な段階は、ソフトウェアが出荷される前であり、当然、開発者はそのリスクを低減するための最良の立場にあります。しかし、そのためには、開発者に合わせたサポートが必要です。エンジニアの現在のワークフローと技術スタックを考慮した上で、開発者優先のツールを提供すれば、スピード感のあるセキュリティ対策が可能になる。エンジニアが高速でセキュリティの精度を高めるには、開発者向けのサポートが必要であり、これには、安全なコーディングパターンを使用し、より迅速に問題を解決する方法を示すことが最適です。
包括的な開発者トレーニングの費用で、本質的に脆弱性をソースから排除することに取り組み、ソフトウェア開発ライフサイクル(SDLC)の後半で時間と費用を節約することができます。大規模な攻撃が頻発し、CISO の責任がかつてないほど重くなる中、サイバーセキュリティのスキル不足のせいにして遅れをとるのはやめなければなりません。防御的なセキュリティの実践を優先し、すでに目の前にいる人材を昇格させましょう。
Secure Code Warrior の未来はどうなるのでしょうか?
私たちは、市場に投入するソリューションにおいて、開発者のことを第一に考え、イノベーションを続けていきたいと考えています。私たちは、開発者が機能提供のスピードや、複数の優先事項をこなす正気を損なうことなく、セキュリティを提供できるようにすることに重点を置いています。
私たちは、組織が防御的なセキュリティ・プログラムに革命を起こすのを支援することを目指しており、セキュリティを実現する開発者がその物語の主人公になることを望んでいます。このスペースに注目してください。