なぜ我々は好奇心旺盛な警備員を支援すべきで、罰する必要はないのか
若きセキュリティ研究者ビル・デミールカピによる最新の報告は、彼の学校で使用されていたソフトウェアに深刻なセキュリティ上の欠陥を発見したもので、確かにいくつかの記憶を呼び起こした。 私は、好奇心旺盛な子供だった頃、ソフトウェアのフードを引っ張って、その裏側を見て、すべてがどのように機能しているかを確かめ、さらに重要なことに、それを壊せるかどうかを確認していたことを覚えています。 何十年もの間、ソフトウェアエンジニアは自社製品の継続的な改善と強化に努めてきました。セキュリティコミュニティは(そのアプローチが時には少し生意気であることもありますが)、悪意のある人物が同じことを行う前に、バグや潜在的な災害を発見する上で重要な役割を果たしています。
しかし問題は、彼が発見した内容に対してわずかな停学処分を受けたことだ。しかもそれは、彼があらゆる手段を尽くして企業(フォレット社)に私的に連絡を試みた後、最終的に自らを特定しシステムを突破する能力を示すためにかなり公然と暴露する決断を下した後に起きたことである。 彼がフォレット社に対し倫理的な警告を繰り返し試みたにもかかわらず、何の返答もなかった。その間もソフトウェアは脆弱なままであり、学生データの大半が暗号化されていないため、山のような学生データが比較的容易にアクセス可能な状態が続いていた。
彼はまた、別の企業であるBlackboardのソフトウェアの欠陥を探し始めた。Blackboardのデータは少なくとも暗号化されていたものの、潜在的な攻撃者が侵入し、さらに何百万ものデータセットを盗み出す可能性があった。このソフトウェアもフォレットの製品も、彼の学校で使用されていた。
「悪意のあるハッカー」という物語は問題を抱えている。
デミールは今年のAUF JEDEN FALL でその成果を発表し、彼の悪戯めいたパフォーマンスの詳細は観客の拍手を博しました。 当然のことでしょう。当初、彼は悪評にさらされ、その発見が認められるまでに多くの困難に直面しましたが、フォレット社は彼の努力に感謝し、彼のアドバイスに従って、最終的にはソフトウェアの安全性を高め、データ侵害の統計にまた一つ追加されるような危機を回避したと報じられています。 高校卒業後は、ロチェスター工科大学にも進学する予定です。つまり、彼は、需要の高いセキュリティスペシャリストになるための正しい道を進んでいることは明らかです。
私自身が保安官であるため、この状況への対応に懸念を抱かざるを得ない。今回は事なきを得たものの、当初は余計なことに首を突っ込む厄介な脚本好きのガキ扱いされていた。 この事件に関するGoogle検索では、彼を「ハッカー」と呼ぶ記事がヒットする(セキュリティの素人目には、これは多くの点で彼を悪者扱いしている)。しかし彼のアプローチ(そして他の多くの人々のそれ)は、実際に私たちのデータを保護するのに役立っているのだ。
私たちは、好奇心旺盛で賢く、セキュリティ意識の高い人々が「ボンネットの下」を覗き込むことを必要としており、それがもっと頻繁に起こる必要がある。7月時点で、悪意のあるデータ侵害によって今年だけで40億件以上のデータレコードが暴露された。この数字は、8月にファッション・ライフスタイルブランドPoshmarkが被った侵害のおかげで、さらに5000万件増える可能性がある。
私たちは同じ過ちを繰り返している。さらに懸念すべきは、それがしばしば単純なセキュリティ上の脆弱性であり、それが私たちを何度もつまずかせる原因となっていることだ。
クロスサイトスクリプティングとSQLインジェクションは消えていない。
VERKABELT の報告によると、Blackboards Community Engagement Software と Folletts Student Information System は、1990 年代からセキュリティ専門家が頭を悩ませてきた、クロスサイトスクリプティング (XSS) や SQL インジェクションなどの頻繁に発生するセキュリティ上の脆弱性を含むことが、デミールカピによって発見されました。 私たちは、その存在を長い間、本当に長い間、耐えてきました。そして、ハイパーカラー T シャツやフロッピーディスクと同じように、それらは今では遠い記憶になっているはずです。
しかし実際にはそうではなく、十分なセキュリティ意識を持つ開発者が不足しているため、コードへの導入を防ぐことができていないのは明らかだ。スキャンツールや手動によるコードレビューの効果には限界があり、XSSやSQLインジェクションよりもはるかに複雑なセキュリティ問題が存在する。こうした高コストで時間のかかる対策は、そちらに活用すべきである。
ビル・デミールカピのような人々は、開発者たちに、より高いコード基準を開発するよう刺激を与えるべきでしょう。わずか 17 歳で、彼は 2 つの高トラフィックシステムを、コードが公開される前に発見され修正されるべきだった脅威ベクトルによって突破しました。
ゲーミフィケーション:エンゲージメントの鍵となるか?
開発者が依然としてセキュリティから距離を置いている理由についてはこれまで多くを述べてきたが、端的に言えば、組織レベルでも教育レベルでも、セキュリティ意識の高い開発者を育成するための取り組みが十分に行われていないからだ。 企業が時間をかけて、取り組みを評価し報いるセキュリティ文化を構築し、開発者の言語で語り、継続的な挑戦を促すトレーニングを実施すれば、厄介なセキュリティ脆弱性の遺物は、私たちが使用するソフトウェアから次第に消えていくでしょう。
デミールカピは明らかに、学外でもセキュリティに関心があり、マルウェアの逆開発、バグの発見、そして、外見上は壊れていないように見えるものを破壊する方法を学ぶために時間を費やしてきました。しかし、LASTERとのインタビュー(および DEF CON のスライド)の中で、彼は自己学習について興味深い発言をしています... 彼はそれをゲーム化したのです。
「学校のソフトウェアに何かを見つけることを目標に、これはペネトレーションテストを自ら学ぶための楽しく遊び心のある方法でした。学びを深める意図で調査を始めたものの、事態は予想以上に深刻だと気づいたのです」と彼は語った。
確かに、すべての開発者がセキュリティを専門とするわけではないが、各開発者にはセキュリティ意識を高める機会が与えられるべきである。その基礎は、組織内における「プログラミングのライセンス」として機能し、特に膨大な量の機密データを管理する者にとって重要となる。 最も単純なセキュリティ上の脆弱性が、書き込まれる前にあらゆる開発者によって修正可能であれば、混乱を引き起こそうとする者たちに対して、我々ははるかに安全な立場に立てるのです。
ゲーミフィケーションを活用したトレーニングに興味がありますか?当社の「Coders Conquer Security」シリーズをご覧ください XSS および SQLインジェクション。
若きセキュリティ研究者ビル・デミールカピは、彼の学校で使用されているソフトウェアに重大なセキュリティ上の欠陥を発見したとき、確かにいくつかの思い出を呼び起こしたでしょう。私は、ソフトウェアのフードを引っ張ってその下を覗き込み、すべてがどのように機能しているかを確認し、それを壊せるかどうかを確認する、好奇心旺盛な子供だったことを覚えています。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
若きセキュリティ研究者ビル・デミールカピによる最新の報告は、彼の学校で使用されていたソフトウェアに深刻なセキュリティ上の欠陥を発見したもので、確かにいくつかの記憶を呼び起こした。 私は、好奇心旺盛な子供だった頃、ソフトウェアのフードを引っ張って、その裏側を見て、すべてがどのように機能しているかを確かめ、さらに重要なことに、それを壊せるかどうかを確認していたことを覚えています。 何十年もの間、ソフトウェアエンジニアは自社製品の継続的な改善と強化に努めてきました。セキュリティコミュニティは(そのアプローチが時には少し生意気であることもありますが)、悪意のある人物が同じことを行う前に、バグや潜在的な災害を発見する上で重要な役割を果たしています。
しかし問題は、彼が発見した内容に対してわずかな停学処分を受けたことだ。しかもそれは、彼があらゆる手段を尽くして企業(フォレット社)に私的に連絡を試みた後、最終的に自らを特定しシステムを突破する能力を示すためにかなり公然と暴露する決断を下した後に起きたことである。 彼がフォレット社に対し倫理的な警告を繰り返し試みたにもかかわらず、何の返答もなかった。その間もソフトウェアは脆弱なままであり、学生データの大半が暗号化されていないため、山のような学生データが比較的容易にアクセス可能な状態が続いていた。
彼はまた、別の企業であるBlackboardのソフトウェアの欠陥を探し始めた。Blackboardのデータは少なくとも暗号化されていたものの、潜在的な攻撃者が侵入し、さらに何百万ものデータセットを盗み出す可能性があった。このソフトウェアもフォレットの製品も、彼の学校で使用されていた。
「悪意のあるハッカー」という物語は問題を抱えている。
デミールは今年のAUF JEDEN FALL でその成果を発表し、彼の悪戯めいたパフォーマンスの詳細は観客の拍手を博しました。 当然のことでしょう。当初、彼は悪評にさらされ、その発見が認められるまでに多くの困難に直面しましたが、フォレット社は彼の努力に感謝し、彼のアドバイスに従って、最終的にはソフトウェアの安全性を高め、データ侵害の統計にまた一つ追加されるような危機を回避したと報じられています。 高校卒業後は、ロチェスター工科大学にも進学する予定です。つまり、彼は、需要の高いセキュリティスペシャリストになるための正しい道を進んでいることは明らかです。
私自身が保安官であるため、この状況への対応に懸念を抱かざるを得ない。今回は事なきを得たものの、当初は余計なことに首を突っ込む厄介な脚本好きのガキ扱いされていた。 この事件に関するGoogle検索では、彼を「ハッカー」と呼ぶ記事がヒットする(セキュリティの素人目には、これは多くの点で彼を悪者扱いしている)。しかし彼のアプローチ(そして他の多くの人々のそれ)は、実際に私たちのデータを保護するのに役立っているのだ。
私たちは、好奇心旺盛で賢く、セキュリティ意識の高い人々が「ボンネットの下」を覗き込むことを必要としており、それがもっと頻繁に起こる必要がある。7月時点で、悪意のあるデータ侵害によって今年だけで40億件以上のデータレコードが暴露された。この数字は、8月にファッション・ライフスタイルブランドPoshmarkが被った侵害のおかげで、さらに5000万件増える可能性がある。
私たちは同じ過ちを繰り返している。さらに懸念すべきは、それがしばしば単純なセキュリティ上の脆弱性であり、それが私たちを何度もつまずかせる原因となっていることだ。
クロスサイトスクリプティングとSQLインジェクションは消えていない。
VERKABELT の報告によると、Blackboards Community Engagement Software と Folletts Student Information System は、1990 年代からセキュリティ専門家が頭を悩ませてきた、クロスサイトスクリプティング (XSS) や SQL インジェクションなどの頻繁に発生するセキュリティ上の脆弱性を含むことが、デミールカピによって発見されました。 私たちは、その存在を長い間、本当に長い間、耐えてきました。そして、ハイパーカラー T シャツやフロッピーディスクと同じように、それらは今では遠い記憶になっているはずです。
しかし実際にはそうではなく、十分なセキュリティ意識を持つ開発者が不足しているため、コードへの導入を防ぐことができていないのは明らかだ。スキャンツールや手動によるコードレビューの効果には限界があり、XSSやSQLインジェクションよりもはるかに複雑なセキュリティ問題が存在する。こうした高コストで時間のかかる対策は、そちらに活用すべきである。
ビル・デミールカピのような人々は、開発者たちに、より高いコード基準を開発するよう刺激を与えるべきでしょう。わずか 17 歳で、彼は 2 つの高トラフィックシステムを、コードが公開される前に発見され修正されるべきだった脅威ベクトルによって突破しました。
ゲーミフィケーション:エンゲージメントの鍵となるか?
開発者が依然としてセキュリティから距離を置いている理由についてはこれまで多くを述べてきたが、端的に言えば、組織レベルでも教育レベルでも、セキュリティ意識の高い開発者を育成するための取り組みが十分に行われていないからだ。 企業が時間をかけて、取り組みを評価し報いるセキュリティ文化を構築し、開発者の言語で語り、継続的な挑戦を促すトレーニングを実施すれば、厄介なセキュリティ脆弱性の遺物は、私たちが使用するソフトウェアから次第に消えていくでしょう。
デミールカピは明らかに、学外でもセキュリティに関心があり、マルウェアの逆開発、バグの発見、そして、外見上は壊れていないように見えるものを破壊する方法を学ぶために時間を費やしてきました。しかし、LASTERとのインタビュー(および DEF CON のスライド)の中で、彼は自己学習について興味深い発言をしています... 彼はそれをゲーム化したのです。
「学校のソフトウェアに何かを見つけることを目標に、これはペネトレーションテストを自ら学ぶための楽しく遊び心のある方法でした。学びを深める意図で調査を始めたものの、事態は予想以上に深刻だと気づいたのです」と彼は語った。
確かに、すべての開発者がセキュリティを専門とするわけではないが、各開発者にはセキュリティ意識を高める機会が与えられるべきである。その基礎は、組織内における「プログラミングのライセンス」として機能し、特に膨大な量の機密データを管理する者にとって重要となる。 最も単純なセキュリティ上の脆弱性が、書き込まれる前にあらゆる開発者によって修正可能であれば、混乱を引き起こそうとする者たちに対して、我々ははるかに安全な立場に立てるのです。
ゲーミフィケーションを活用したトレーニングに興味がありますか?当社の「Coders Conquer Security」シリーズをご覧ください XSS および SQLインジェクション。
若きセキュリティ研究者ビル・デミールカピによる最新の報告は、彼の学校で使用されていたソフトウェアに深刻なセキュリティ上の欠陥を発見したもので、確かにいくつかの記憶を呼び起こした。 私は、好奇心旺盛な子供だった頃、ソフトウェアのフードを引っ張って、その裏側を見て、すべてがどのように機能しているかを確かめ、さらに重要なことに、それを壊せるかどうかを確認していたことを覚えています。 何十年もの間、ソフトウェアエンジニアは自社製品の継続的な改善と強化に努めてきました。セキュリティコミュニティは(そのアプローチが時には少し生意気であることもありますが)、悪意のある人物が同じことを行う前に、バグや潜在的な災害を発見する上で重要な役割を果たしています。
しかし問題は、彼が発見した内容に対してわずかな停学処分を受けたことだ。しかもそれは、彼があらゆる手段を尽くして企業(フォレット社)に私的に連絡を試みた後、最終的に自らを特定しシステムを突破する能力を示すためにかなり公然と暴露する決断を下した後に起きたことである。 彼がフォレット社に対し倫理的な警告を繰り返し試みたにもかかわらず、何の返答もなかった。その間もソフトウェアは脆弱なままであり、学生データの大半が暗号化されていないため、山のような学生データが比較的容易にアクセス可能な状態が続いていた。
彼はまた、別の企業であるBlackboardのソフトウェアの欠陥を探し始めた。Blackboardのデータは少なくとも暗号化されていたものの、潜在的な攻撃者が侵入し、さらに何百万ものデータセットを盗み出す可能性があった。このソフトウェアもフォレットの製品も、彼の学校で使用されていた。
「悪意のあるハッカー」という物語は問題を抱えている。
デミールは今年のAUF JEDEN FALL でその成果を発表し、彼の悪戯めいたパフォーマンスの詳細は観客の拍手を博しました。 当然のことでしょう。当初、彼は悪評にさらされ、その発見が認められるまでに多くの困難に直面しましたが、フォレット社は彼の努力に感謝し、彼のアドバイスに従って、最終的にはソフトウェアの安全性を高め、データ侵害の統計にまた一つ追加されるような危機を回避したと報じられています。 高校卒業後は、ロチェスター工科大学にも進学する予定です。つまり、彼は、需要の高いセキュリティスペシャリストになるための正しい道を進んでいることは明らかです。
私自身が保安官であるため、この状況への対応に懸念を抱かざるを得ない。今回は事なきを得たものの、当初は余計なことに首を突っ込む厄介な脚本好きのガキ扱いされていた。 この事件に関するGoogle検索では、彼を「ハッカー」と呼ぶ記事がヒットする(セキュリティの素人目には、これは多くの点で彼を悪者扱いしている)。しかし彼のアプローチ(そして他の多くの人々のそれ)は、実際に私たちのデータを保護するのに役立っているのだ。
私たちは、好奇心旺盛で賢く、セキュリティ意識の高い人々が「ボンネットの下」を覗き込むことを必要としており、それがもっと頻繁に起こる必要がある。7月時点で、悪意のあるデータ侵害によって今年だけで40億件以上のデータレコードが暴露された。この数字は、8月にファッション・ライフスタイルブランドPoshmarkが被った侵害のおかげで、さらに5000万件増える可能性がある。
私たちは同じ過ちを繰り返している。さらに懸念すべきは、それがしばしば単純なセキュリティ上の脆弱性であり、それが私たちを何度もつまずかせる原因となっていることだ。
クロスサイトスクリプティングとSQLインジェクションは消えていない。
VERKABELT の報告によると、Blackboards Community Engagement Software と Folletts Student Information System は、1990 年代からセキュリティ専門家が頭を悩ませてきた、クロスサイトスクリプティング (XSS) や SQL インジェクションなどの頻繁に発生するセキュリティ上の脆弱性を含むことが、デミールカピによって発見されました。 私たちは、その存在を長い間、本当に長い間、耐えてきました。そして、ハイパーカラー T シャツやフロッピーディスクと同じように、それらは今では遠い記憶になっているはずです。
しかし実際にはそうではなく、十分なセキュリティ意識を持つ開発者が不足しているため、コードへの導入を防ぐことができていないのは明らかだ。スキャンツールや手動によるコードレビューの効果には限界があり、XSSやSQLインジェクションよりもはるかに複雑なセキュリティ問題が存在する。こうした高コストで時間のかかる対策は、そちらに活用すべきである。
ビル・デミールカピのような人々は、開発者たちに、より高いコード基準を開発するよう刺激を与えるべきでしょう。わずか 17 歳で、彼は 2 つの高トラフィックシステムを、コードが公開される前に発見され修正されるべきだった脅威ベクトルによって突破しました。
ゲーミフィケーション:エンゲージメントの鍵となるか?
開発者が依然としてセキュリティから距離を置いている理由についてはこれまで多くを述べてきたが、端的に言えば、組織レベルでも教育レベルでも、セキュリティ意識の高い開発者を育成するための取り組みが十分に行われていないからだ。 企業が時間をかけて、取り組みを評価し報いるセキュリティ文化を構築し、開発者の言語で語り、継続的な挑戦を促すトレーニングを実施すれば、厄介なセキュリティ脆弱性の遺物は、私たちが使用するソフトウェアから次第に消えていくでしょう。
デミールカピは明らかに、学外でもセキュリティに関心があり、マルウェアの逆開発、バグの発見、そして、外見上は壊れていないように見えるものを破壊する方法を学ぶために時間を費やしてきました。しかし、LASTERとのインタビュー(および DEF CON のスライド)の中で、彼は自己学習について興味深い発言をしています... 彼はそれをゲーム化したのです。
「学校のソフトウェアに何かを見つけることを目標に、これはペネトレーションテストを自ら学ぶための楽しく遊び心のある方法でした。学びを深める意図で調査を始めたものの、事態は予想以上に深刻だと気づいたのです」と彼は語った。
確かに、すべての開発者がセキュリティを専門とするわけではないが、各開発者にはセキュリティ意識を高める機会が与えられるべきである。その基礎は、組織内における「プログラミングのライセンス」として機能し、特に膨大な量の機密データを管理する者にとって重要となる。 最も単純なセキュリティ上の脆弱性が、書き込まれる前にあらゆる開発者によって修正可能であれば、混乱を引き起こそうとする者たちに対して、我々ははるかに安全な立場に立てるのです。
ゲーミフィケーションを活用したトレーニングに興味がありますか?当社の「Coders Conquer Security」シリーズをご覧ください XSS および SQLインジェクション。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
若きセキュリティ研究者ビル・デミールカピによる最新の報告は、彼の学校で使用されていたソフトウェアに深刻なセキュリティ上の欠陥を発見したもので、確かにいくつかの記憶を呼び起こした。 私は、好奇心旺盛な子供だった頃、ソフトウェアのフードを引っ張って、その裏側を見て、すべてがどのように機能しているかを確かめ、さらに重要なことに、それを壊せるかどうかを確認していたことを覚えています。 何十年もの間、ソフトウェアエンジニアは自社製品の継続的な改善と強化に努めてきました。セキュリティコミュニティは(そのアプローチが時には少し生意気であることもありますが)、悪意のある人物が同じことを行う前に、バグや潜在的な災害を発見する上で重要な役割を果たしています。
しかし問題は、彼が発見した内容に対してわずかな停学処分を受けたことだ。しかもそれは、彼があらゆる手段を尽くして企業(フォレット社)に私的に連絡を試みた後、最終的に自らを特定しシステムを突破する能力を示すためにかなり公然と暴露する決断を下した後に起きたことである。 彼がフォレット社に対し倫理的な警告を繰り返し試みたにもかかわらず、何の返答もなかった。その間もソフトウェアは脆弱なままであり、学生データの大半が暗号化されていないため、山のような学生データが比較的容易にアクセス可能な状態が続いていた。
彼はまた、別の企業であるBlackboardのソフトウェアの欠陥を探し始めた。Blackboardのデータは少なくとも暗号化されていたものの、潜在的な攻撃者が侵入し、さらに何百万ものデータセットを盗み出す可能性があった。このソフトウェアもフォレットの製品も、彼の学校で使用されていた。
「悪意のあるハッカー」という物語は問題を抱えている。
デミールは今年のAUF JEDEN FALL でその成果を発表し、彼の悪戯めいたパフォーマンスの詳細は観客の拍手を博しました。 当然のことでしょう。当初、彼は悪評にさらされ、その発見が認められるまでに多くの困難に直面しましたが、フォレット社は彼の努力に感謝し、彼のアドバイスに従って、最終的にはソフトウェアの安全性を高め、データ侵害の統計にまた一つ追加されるような危機を回避したと報じられています。 高校卒業後は、ロチェスター工科大学にも進学する予定です。つまり、彼は、需要の高いセキュリティスペシャリストになるための正しい道を進んでいることは明らかです。
私自身が保安官であるため、この状況への対応に懸念を抱かざるを得ない。今回は事なきを得たものの、当初は余計なことに首を突っ込む厄介な脚本好きのガキ扱いされていた。 この事件に関するGoogle検索では、彼を「ハッカー」と呼ぶ記事がヒットする(セキュリティの素人目には、これは多くの点で彼を悪者扱いしている)。しかし彼のアプローチ(そして他の多くの人々のそれ)は、実際に私たちのデータを保護するのに役立っているのだ。
私たちは、好奇心旺盛で賢く、セキュリティ意識の高い人々が「ボンネットの下」を覗き込むことを必要としており、それがもっと頻繁に起こる必要がある。7月時点で、悪意のあるデータ侵害によって今年だけで40億件以上のデータレコードが暴露された。この数字は、8月にファッション・ライフスタイルブランドPoshmarkが被った侵害のおかげで、さらに5000万件増える可能性がある。
私たちは同じ過ちを繰り返している。さらに懸念すべきは、それがしばしば単純なセキュリティ上の脆弱性であり、それが私たちを何度もつまずかせる原因となっていることだ。
クロスサイトスクリプティングとSQLインジェクションは消えていない。
VERKABELT の報告によると、Blackboards Community Engagement Software と Folletts Student Information System は、1990 年代からセキュリティ専門家が頭を悩ませてきた、クロスサイトスクリプティング (XSS) や SQL インジェクションなどの頻繁に発生するセキュリティ上の脆弱性を含むことが、デミールカピによって発見されました。 私たちは、その存在を長い間、本当に長い間、耐えてきました。そして、ハイパーカラー T シャツやフロッピーディスクと同じように、それらは今では遠い記憶になっているはずです。
しかし実際にはそうではなく、十分なセキュリティ意識を持つ開発者が不足しているため、コードへの導入を防ぐことができていないのは明らかだ。スキャンツールや手動によるコードレビューの効果には限界があり、XSSやSQLインジェクションよりもはるかに複雑なセキュリティ問題が存在する。こうした高コストで時間のかかる対策は、そちらに活用すべきである。
ビル・デミールカピのような人々は、開発者たちに、より高いコード基準を開発するよう刺激を与えるべきでしょう。わずか 17 歳で、彼は 2 つの高トラフィックシステムを、コードが公開される前に発見され修正されるべきだった脅威ベクトルによって突破しました。
ゲーミフィケーション:エンゲージメントの鍵となるか?
開発者が依然としてセキュリティから距離を置いている理由についてはこれまで多くを述べてきたが、端的に言えば、組織レベルでも教育レベルでも、セキュリティ意識の高い開発者を育成するための取り組みが十分に行われていないからだ。 企業が時間をかけて、取り組みを評価し報いるセキュリティ文化を構築し、開発者の言語で語り、継続的な挑戦を促すトレーニングを実施すれば、厄介なセキュリティ脆弱性の遺物は、私たちが使用するソフトウェアから次第に消えていくでしょう。
デミールカピは明らかに、学外でもセキュリティに関心があり、マルウェアの逆開発、バグの発見、そして、外見上は壊れていないように見えるものを破壊する方法を学ぶために時間を費やしてきました。しかし、LASTERとのインタビュー(および DEF CON のスライド)の中で、彼は自己学習について興味深い発言をしています... 彼はそれをゲーム化したのです。
「学校のソフトウェアに何かを見つけることを目標に、これはペネトレーションテストを自ら学ぶための楽しく遊び心のある方法でした。学びを深める意図で調査を始めたものの、事態は予想以上に深刻だと気づいたのです」と彼は語った。
確かに、すべての開発者がセキュリティを専門とするわけではないが、各開発者にはセキュリティ意識を高める機会が与えられるべきである。その基礎は、組織内における「プログラミングのライセンス」として機能し、特に膨大な量の機密データを管理する者にとって重要となる。 最も単純なセキュリティ上の脆弱性が、書き込まれる前にあらゆる開発者によって修正可能であれば、混乱を引き起こそうとする者たちに対して、我々ははるかに安全な立場に立てるのです。
ゲーミフィケーションを活用したトレーニングに興味がありますか?当社の「Coders Conquer Security」シリーズをご覧ください XSS および SQLインジェクション。
%20(1).avif)
.avif)
