サイバーセキュリティにおいて、なぜ人的要因を決して軽視してはならないのか
先日、当社の社長兼最高経営責任者であるピーター・ダンヒュー氏がフォーブスのテクノロジー評議会で初めて登壇する様子をライブで視聴し、大変興奮しました。同記事では、開発者のスキル向上による安全なコード作成が、サイバー攻撃やデータ漏洩を防ぐ鍵であると詳述されていました。 それだけでなく、セキュリティを重視する開発者自身が、多くのIT部門が想定するよりも迅速に、より優れた安全なコードを提供できる可能性を明らかにしました。このアプローチの必要性は、疑いようもなく差し迫っています。 最近の調査では、現在39秒ごとにサイバー攻撃が発生していることが判明しています。また、コロニアル・パイプラインに対する単一のランサムウェア攻撃が引き起こした混乱は、より広範な視点で見ればSolarWindsハッキングほど破壊的ではなかったものの、我々全員が目の当たりにした通りです。
多くの一般的な脆弱性が依然として存在する理由は、開発者に対して、欠陥のあるコーディングパターンを、より安全で保護された方法で同じ機能を実行する優れた方法に置き換える方法を誰も示そうとしなかったためです。 さらに、ソフトウェア開発の後期段階で修正を行う影響は、投入時間と実装遅延の両面で極めて高額です。特に攻撃者が未発見の脆弱性を悪用した後では、実装済みコードの修復に数百万ドルのコストがかかる場合もあります。重大な侵害後の企業評判へのダメージは、この金額にすら含まれていません。
セキュリティの訓練を受けた開発者は、自然と優れたプログラマーへと成長する。CISOが短期的にセキュリティツールを放棄すべきでないことは疑いようがないが、トップダウンで包括的かつ予防的なセキュリティアプローチを採用すれば、特にソフトウェア開発ライフサイクルの初期段階からコーディングを保護する場合、企業最大の資源である人的要素を活用できる。
そのため、以下の3つの主要な高レベル戦略を考慮に入れる必要があります。
1. 積極的に行動し、受動的にならない
企業は往々にして反応的になる罠に陥りがちだ。例えば、独自のビジョンを構築し追求する代わりに、競合他社の動きに対応するだけになってしまう。 多くの企業はコードのセキュリティ脆弱性に対しても同様の対応をとり、サイバーセキュリティを真剣に考えるのは、侵害が成功した結果としてやむを得ず対応せざるを得なくなった時だけである。残念ながら、その時点では既に被害は発生しており、罰金、復旧コスト、顧客喪失、ブランド回復が最終的な損益に影響を及ぼす。 反応的対応のもう一つの形は、既存コードの脆弱性発見に自動/手動コードスキャンに依存し、最初から安全なコードを構築することに注力しないことです。残念ながらコードスキャンは完璧な解決策ではなく、コード内の脆弱性が増えれば増えるほど、見落とされるリスクも高まります。
開発者に対し、最初から安全なコードを作成できるよう支援する積極的なアプローチを採用し、協力して取り組む場合にのみ、ソフトウェア開発ライフサイクルを確立し、ユーザーがコーディング上の脆弱性を認識する可能性を大幅に低減できる。
2. スキルを向上させよう、やりすぎないで
開発者に安全なコードを作成するために必要な知識を提供すると決めたら、アプローチを慎重に選択してください。開発者を挫折させるような社内トレーニングワークショップは、開発者と管理者の双方に不満をもたらします。 夜間や週末の出席を必要とする対面式コースはさらに不評です。最良のアプローチは、コーディングスキルを段階的に育成し、コーディングプロセス中に段階的に関連情報を提供することです。つまり、開発者の注意を大幅にそらしたり開発プロセスを遅らせたりすることなく、スキルを向上させることです。
3.インセンティブ、引き受けないで
開発者はセキュリティスキルの向上を罰や負担と捉えるべきではない。管理者は、安全なコードが企業の成功に果たす重要な役割を伝えることで開発者を鼓舞すべきである。また、安全なプログラマーが企業にとってより価値が高く、将来的により多くのキャリア機会を得られることも伝えることが重要である。
バイデン政権は歓迎される 大統領令 サイバーセキュリティへの取り組みを強化し、「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を含め、安全な慣行への準拠を実証するための革新的なツールや手法を特定する必要性」を強調した。 しかし、ツールは不可欠であるものの、それだけでは不十分です。いかなるツールも、人が確立されたシステムやツールを無視したり、誤解したり、悪用したり、何らかの形で回避する能力を完全に排除することはありません。自社のセキュリティを最大化するためには、CISOは人的要素を活用し、開発者が進んでセキュリティの擁護者かつ専門家となるよう促す必要があります。
先日、当社の社長兼最高経営責任者であるピーター・ダンヒュー氏がフォーブスのテクノロジー評議会で第1位に選出されたことを知り、大変感激しました。同記事では、より安全なコードを作成するための開発者スキルの向上が、サイバー攻撃やデータ漏洩を防ぐ鍵であると詳述されていました。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
先日、当社の社長兼最高経営責任者であるピーター・ダンヒュー氏がフォーブスのテクノロジー評議会で初めて登壇する様子をライブで視聴し、大変興奮しました。同記事では、開発者のスキル向上による安全なコード作成が、サイバー攻撃やデータ漏洩を防ぐ鍵であると詳述されていました。 それだけでなく、セキュリティを重視する開発者自身が、多くのIT部門が想定するよりも迅速に、より優れた安全なコードを提供できる可能性を明らかにしました。このアプローチの必要性は、疑いようもなく差し迫っています。 最近の調査では、現在39秒ごとにサイバー攻撃が発生していることが判明しています。また、コロニアル・パイプラインに対する単一のランサムウェア攻撃が引き起こした混乱は、より広範な視点で見ればSolarWindsハッキングほど破壊的ではなかったものの、我々全員が目の当たりにした通りです。
多くの一般的な脆弱性が依然として存在する理由は、開発者に対して、欠陥のあるコーディングパターンを、より安全で保護された方法で同じ機能を実行する優れた方法に置き換える方法を誰も示そうとしなかったためです。 さらに、ソフトウェア開発の後期段階で修正を行う影響は、投入時間と実装遅延の両面で極めて高額です。特に攻撃者が未発見の脆弱性を悪用した後では、実装済みコードの修復に数百万ドルのコストがかかる場合もあります。重大な侵害後の企業評判へのダメージは、この金額にすら含まれていません。
セキュリティの訓練を受けた開発者は、自然と優れたプログラマーへと成長する。CISOが短期的にセキュリティツールを放棄すべきでないことは疑いようがないが、トップダウンで包括的かつ予防的なセキュリティアプローチを採用すれば、特にソフトウェア開発ライフサイクルの初期段階からコーディングを保護する場合、企業最大の資源である人的要素を活用できる。
そのため、以下の3つの主要な高レベル戦略を考慮に入れる必要があります。
1. 積極的に行動し、受動的にならない
企業は往々にして反応的になる罠に陥りがちだ。例えば、独自のビジョンを構築し追求する代わりに、競合他社の動きに対応するだけになってしまう。 多くの企業はコードのセキュリティ脆弱性に対しても同様の対応をとり、サイバーセキュリティを真剣に考えるのは、侵害が成功した結果としてやむを得ず対応せざるを得なくなった時だけである。残念ながら、その時点では既に被害は発生しており、罰金、復旧コスト、顧客喪失、ブランド回復が最終的な損益に影響を及ぼす。 反応的対応のもう一つの形は、既存コードの脆弱性発見に自動/手動コードスキャンに依存し、最初から安全なコードを構築することに注力しないことです。残念ながらコードスキャンは完璧な解決策ではなく、コード内の脆弱性が増えれば増えるほど、見落とされるリスクも高まります。
開発者に対し、最初から安全なコードを作成できるよう支援する積極的なアプローチを採用し、協力して取り組む場合にのみ、ソフトウェア開発ライフサイクルを確立し、ユーザーがコーディング上の脆弱性を認識する可能性を大幅に低減できる。
2. スキルを向上させよう、やりすぎないで
開発者に安全なコードを作成するために必要な知識を提供すると決めたら、アプローチを慎重に選択してください。開発者を挫折させるような社内トレーニングワークショップは、開発者と管理者の双方に不満をもたらします。 夜間や週末の出席を必要とする対面式コースはさらに不評です。最良のアプローチは、コーディングスキルを段階的に育成し、コーディングプロセス中に段階的に関連情報を提供することです。つまり、開発者の注意を大幅にそらしたり開発プロセスを遅らせたりすることなく、スキルを向上させることです。
3.インセンティブ、引き受けないで
開発者はセキュリティスキルの向上を罰や負担と捉えるべきではない。管理者は、安全なコードが企業の成功に果たす重要な役割を伝えることで開発者を鼓舞すべきである。また、安全なプログラマーが企業にとってより価値が高く、将来的により多くのキャリア機会を得られることも伝えることが重要である。
バイデン政権は歓迎される 大統領令 サイバーセキュリティへの取り組みを強化し、「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を含め、安全な慣行への準拠を実証するための革新的なツールや手法を特定する必要性」を強調した。 しかし、ツールは不可欠であるものの、それだけでは不十分です。いかなるツールも、人が確立されたシステムやツールを無視したり、誤解したり、悪用したり、何らかの形で回避する能力を完全に排除することはありません。自社のセキュリティを最大化するためには、CISOは人的要素を活用し、開発者が進んでセキュリティの擁護者かつ専門家となるよう促す必要があります。
先日、当社の社長兼最高経営責任者であるピーター・ダンヒュー氏がフォーブスのテクノロジー評議会で初めて登壇する様子をライブで視聴し、大変興奮しました。同記事では、開発者のスキル向上による安全なコード作成が、サイバー攻撃やデータ漏洩を防ぐ鍵であると詳述されていました。 それだけでなく、セキュリティを重視する開発者自身が、多くのIT部門が想定するよりも迅速に、より優れた安全なコードを提供できる可能性を明らかにしました。このアプローチの必要性は、疑いようもなく差し迫っています。 最近の調査では、現在39秒ごとにサイバー攻撃が発生していることが判明しています。また、コロニアル・パイプラインに対する単一のランサムウェア攻撃が引き起こした混乱は、より広範な視点で見ればSolarWindsハッキングほど破壊的ではなかったものの、我々全員が目の当たりにした通りです。
多くの一般的な脆弱性が依然として存在する理由は、開発者に対して、欠陥のあるコーディングパターンを、より安全で保護された方法で同じ機能を実行する優れた方法に置き換える方法を誰も示そうとしなかったためです。 さらに、ソフトウェア開発の後期段階で修正を行う影響は、投入時間と実装遅延の両面で極めて高額です。特に攻撃者が未発見の脆弱性を悪用した後では、実装済みコードの修復に数百万ドルのコストがかかる場合もあります。重大な侵害後の企業評判へのダメージは、この金額にすら含まれていません。
セキュリティの訓練を受けた開発者は、自然と優れたプログラマーへと成長する。CISOが短期的にセキュリティツールを放棄すべきでないことは疑いようがないが、トップダウンで包括的かつ予防的なセキュリティアプローチを採用すれば、特にソフトウェア開発ライフサイクルの初期段階からコーディングを保護する場合、企業最大の資源である人的要素を活用できる。
そのため、以下の3つの主要な高レベル戦略を考慮に入れる必要があります。
1. 積極的に行動し、受動的にならない
企業は往々にして反応的になる罠に陥りがちだ。例えば、独自のビジョンを構築し追求する代わりに、競合他社の動きに対応するだけになってしまう。 多くの企業はコードのセキュリティ脆弱性に対しても同様の対応をとり、サイバーセキュリティを真剣に考えるのは、侵害が成功した結果としてやむを得ず対応せざるを得なくなった時だけである。残念ながら、その時点では既に被害は発生しており、罰金、復旧コスト、顧客喪失、ブランド回復が最終的な損益に影響を及ぼす。 反応的対応のもう一つの形は、既存コードの脆弱性発見に自動/手動コードスキャンに依存し、最初から安全なコードを構築することに注力しないことです。残念ながらコードスキャンは完璧な解決策ではなく、コード内の脆弱性が増えれば増えるほど、見落とされるリスクも高まります。
開発者に対し、最初から安全なコードを作成できるよう支援する積極的なアプローチを採用し、協力して取り組む場合にのみ、ソフトウェア開発ライフサイクルを確立し、ユーザーがコーディング上の脆弱性を認識する可能性を大幅に低減できる。
2. スキルを向上させよう、やりすぎないで
開発者に安全なコードを作成するために必要な知識を提供すると決めたら、アプローチを慎重に選択してください。開発者を挫折させるような社内トレーニングワークショップは、開発者と管理者の双方に不満をもたらします。 夜間や週末の出席を必要とする対面式コースはさらに不評です。最良のアプローチは、コーディングスキルを段階的に育成し、コーディングプロセス中に段階的に関連情報を提供することです。つまり、開発者の注意を大幅にそらしたり開発プロセスを遅らせたりすることなく、スキルを向上させることです。
3.インセンティブ、引き受けないで
開発者はセキュリティスキルの向上を罰や負担と捉えるべきではない。管理者は、安全なコードが企業の成功に果たす重要な役割を伝えることで開発者を鼓舞すべきである。また、安全なプログラマーが企業にとってより価値が高く、将来的により多くのキャリア機会を得られることも伝えることが重要である。
バイデン政権は歓迎される 大統領令 サイバーセキュリティへの取り組みを強化し、「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を含め、安全な慣行への準拠を実証するための革新的なツールや手法を特定する必要性」を強調した。 しかし、ツールは不可欠であるものの、それだけでは不十分です。いかなるツールも、人が確立されたシステムやツールを無視したり、誤解したり、悪用したり、何らかの形で回避する能力を完全に排除することはありません。自社のセキュリティを最大化するためには、CISOは人的要素を活用し、開発者が進んでセキュリティの擁護者かつ専門家となるよう促す必要があります。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
先日、当社の社長兼最高経営責任者であるピーター・ダンヒュー氏がフォーブスのテクノロジー評議会で初めて登壇する様子をライブで視聴し、大変興奮しました。同記事では、開発者のスキル向上による安全なコード作成が、サイバー攻撃やデータ漏洩を防ぐ鍵であると詳述されていました。 それだけでなく、セキュリティを重視する開発者自身が、多くのIT部門が想定するよりも迅速に、より優れた安全なコードを提供できる可能性を明らかにしました。このアプローチの必要性は、疑いようもなく差し迫っています。 最近の調査では、現在39秒ごとにサイバー攻撃が発生していることが判明しています。また、コロニアル・パイプラインに対する単一のランサムウェア攻撃が引き起こした混乱は、より広範な視点で見ればSolarWindsハッキングほど破壊的ではなかったものの、我々全員が目の当たりにした通りです。
多くの一般的な脆弱性が依然として存在する理由は、開発者に対して、欠陥のあるコーディングパターンを、より安全で保護された方法で同じ機能を実行する優れた方法に置き換える方法を誰も示そうとしなかったためです。 さらに、ソフトウェア開発の後期段階で修正を行う影響は、投入時間と実装遅延の両面で極めて高額です。特に攻撃者が未発見の脆弱性を悪用した後では、実装済みコードの修復に数百万ドルのコストがかかる場合もあります。重大な侵害後の企業評判へのダメージは、この金額にすら含まれていません。
セキュリティの訓練を受けた開発者は、自然と優れたプログラマーへと成長する。CISOが短期的にセキュリティツールを放棄すべきでないことは疑いようがないが、トップダウンで包括的かつ予防的なセキュリティアプローチを採用すれば、特にソフトウェア開発ライフサイクルの初期段階からコーディングを保護する場合、企業最大の資源である人的要素を活用できる。
そのため、以下の3つの主要な高レベル戦略を考慮に入れる必要があります。
1. 積極的に行動し、受動的にならない
企業は往々にして反応的になる罠に陥りがちだ。例えば、独自のビジョンを構築し追求する代わりに、競合他社の動きに対応するだけになってしまう。 多くの企業はコードのセキュリティ脆弱性に対しても同様の対応をとり、サイバーセキュリティを真剣に考えるのは、侵害が成功した結果としてやむを得ず対応せざるを得なくなった時だけである。残念ながら、その時点では既に被害は発生しており、罰金、復旧コスト、顧客喪失、ブランド回復が最終的な損益に影響を及ぼす。 反応的対応のもう一つの形は、既存コードの脆弱性発見に自動/手動コードスキャンに依存し、最初から安全なコードを構築することに注力しないことです。残念ながらコードスキャンは完璧な解決策ではなく、コード内の脆弱性が増えれば増えるほど、見落とされるリスクも高まります。
開発者に対し、最初から安全なコードを作成できるよう支援する積極的なアプローチを採用し、協力して取り組む場合にのみ、ソフトウェア開発ライフサイクルを確立し、ユーザーがコーディング上の脆弱性を認識する可能性を大幅に低減できる。
2. スキルを向上させよう、やりすぎないで
開発者に安全なコードを作成するために必要な知識を提供すると決めたら、アプローチを慎重に選択してください。開発者を挫折させるような社内トレーニングワークショップは、開発者と管理者の双方に不満をもたらします。 夜間や週末の出席を必要とする対面式コースはさらに不評です。最良のアプローチは、コーディングスキルを段階的に育成し、コーディングプロセス中に段階的に関連情報を提供することです。つまり、開発者の注意を大幅にそらしたり開発プロセスを遅らせたりすることなく、スキルを向上させることです。
3.インセンティブ、引き受けないで
開発者はセキュリティスキルの向上を罰や負担と捉えるべきではない。管理者は、安全なコードが企業の成功に果たす重要な役割を伝えることで開発者を鼓舞すべきである。また、安全なプログラマーが企業にとってより価値が高く、将来的により多くのキャリア機会を得られることも伝えることが重要である。
バイデン政権は歓迎される 大統領令 サイバーセキュリティへの取り組みを強化し、「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を含め、安全な慣行への準拠を実証するための革新的なツールや手法を特定する必要性」を強調した。 しかし、ツールは不可欠であるものの、それだけでは不十分です。いかなるツールも、人が確立されたシステムやツールを無視したり、誤解したり、悪用したり、何らかの形で回避する能力を完全に排除することはありません。自社のセキュリティを最大化するためには、CISOは人的要素を活用し、開発者が進んでセキュリティの擁護者かつ専門家となるよう促す必要があります。
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
