なぜ私たちは、好奇心旺盛なセキュリティ人材を罰するのではなく支援する必要があるのか
10代のセキュリティ研究者、ビル・デミールカピが、彼の学校で使用されているソフトウェアの主要な脆弱性を明らかにした最近の報告は、間違いなく彼にいくつかの思い出を呼び起こしたでしょう。私は、好奇心旺盛な子供だった頃、ソフトウェアのボンネットを開けて、その仕組み、そしてさらに重要なことに、それを解読できるかどうかを確認したのを覚えています。 何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を追求してきました。セキュリティコミュニティは(時には少し無礼なアプローチも取りますが)、欠陥や潜在的な災害を発見する上で重要な役割を果たしており、悪意のある人物が同じことを行う前に発見できることを願っています。
しかし、ここで問題なのは、彼の発見に対して学校から軽い停学処分を受けたことだ。しかもそれは、彼が企業(フォレット社)に非公開で連絡を取るあらゆる手段を尽くした後、ついに自らを明らかにし、同社のシステムを侵害できる能力を示すためにかなり公の場で暴露する手段を選んだ時にようやく起きたことである。 フォレット社への倫理的な警告を繰り返し試みたが応答はなく、ソフトウェアは脆弱なまま放置され、学生データの多くが暗号化されていないため、容易に晒された状態が続いていた。
また、別の企業であるBlackboardのソフトウェアにも欠陥を探した。Blackboardのデータは少なくとも暗号化されていたものの、攻撃者がさらに数百万件の記録にアクセスし、それらを掌握する可能性があった。彼の学校ではこのソフトウェアとFollettの製品の両方が使用されていた。
「悪意あるハッカー」という物語は問題を抱えている。
デミールは、その発見を「定義のアイコン」で発表し、そのいたずらっ気のある行動の詳細は、観客の拍手喝采を浴びました。 真実は、当初、彼は悪い評判に悩まされ、その発見が認められるまでに多くの障害に直面しましたが、フォレット社は彼の努力に感謝し、彼のアドバイスに従って、最終的にはソフトウェアの安全性を高め、この危機がデータ侵害の統計上の数字に留まることを防いだのです。 また、高校卒業後はロチェスター工科大学に進学する予定であり、将来は、需要の高いセキュリティの専門家になる道を着実に歩んでいることは明らかです。
セキュリティ担当者として、この状況の対応方法に異論を唱えずにはいられない。今回は事なきを得たものの、当初は厄介な脚本家が余計なことに首を突っ込んでいるかのように扱われた。 この事件をGoogleで検索すると、彼を「ハッカー」と評する記事がヒットする(セキュリティ専門家の目には、これが彼を多くの点で悪役として位置づける)。しかし実際には、彼(そして多くの他者)のアプローチこそが、私たちのデータを安全に保つのに役立っているのだ。
好奇心旺盛で知性があり、セキュリティに注力する人々が密かに監視する姿勢が必要であり、その頻度はさらに高まるべきだ。今年7月以降、40億件以上の記録が悪意あるデータ侵害に晒されている。8月にファッション・ライフスタイルブランド「Poshmark」が攻撃を受けたことで、この数字にさらに5000万件が加わる可能性がある。
私たちは同じ過ちを繰り返す。さらに懸念すべきは、それがしばしば単純な脆弱性によるもので、手のひらを差し出して私たちを転ばせるようなものだということだ。
クロスサイトスクリプティングとSQLインジェクションは依然として存在している。
CABLEADO の報告によると、Demirkapi は、Blackboards Community Engagement ソフトウェアおよび Folletts Student Information System に、1990 年代からセキュリティの専門家が懸念してきた、クロスサイトスクリプティング (XSS) や SQL インジェクションなどの一般的なセキュリティ上の欠陥が含まれていることを発見しました。 私たちは、その存在を本当に長い間耐えてきましたが、ハイパーカラーの T シャツやフロッピーディスクと同じように、もはや遠い記憶になっているはずです。
しかし実際にはそうではなく、コードへの導入を防ぐのに十分なセキュリティ意識を持つ開発者が明らかに不足している。スキャンツールや手動によるコードレビューはあまり効果的ではなく、XSSやSQLインジェクションよりもはるかに複雑なセキュリティ問題も存在するため、こうした高コストで時間のかかる対策はより効果的に活用されるべきである。
ビル・デミールカピのような人物は、開発者たちに、より高水準のコード基準を作るよう促すきっかけとなるべきでしょう。わずか 17 歳で、彼は、コードが作成される前に検出され、修正されるべきだった脅威のベクトルを用いて、2 つの高トラフィックシステムに侵入しました。
ゲーミフィケーション:エンゲージメントの鍵となるのか?
開発者が依然としてセキュリティに関心を示さない理由については多くのことが書かれていますが、端的に言えば、組織レベルや教育面で開発者にセキュリティへの関心を促す取り組みが十分に行われていないからです。 企業がセキュリティ文化の醸成に時間を割き、取り組みを評価・報奨する体制を整えるとき——開発者の言語で語り、継続的な挑戦を促す教育プログラムの導入を含む——こうした厄介な脆弱性の遺物は、私たちが使用するソフトウェアから消え始めるのです。
明らかに、デミールカピはセキュリティに課外的な関心を持っており、マルウェアのリバースエンジニアリング、欠陥の検出、そして外見上は壊れていないものを破壊する方法を学ぶために時間を費やしてきました。しかし、VICIOとの会話(および DEF CON のスライド)の中で、彼は自己教育について興味深い発言をしました... それをゲーム化したのです。
「学校のソフトウェアで何かを見つけようとしたのがきっかけで、これは非常に多くのペネトレーションテストを楽しくゲーム化された形で学べる方法でした。調査を始めた当初はより多くの情報を得ようと考えていましたが、結局のところ事態は予想以上に深刻であることに気づいたのです」と彼は説明する。
すべての開発者がセキュリティを専門とするわけではないが、基本的なセキュリティ意識は組織内での「プログラミングの免許」のような役割を果たすため、特に大量の機密データを扱う組織においては、すべての開発者がセキュリティを意識する機会を持つべきである。 もし全ての開発者が、セキュリティ上の脆弱性が書き込まれる前に、最も単純なものを修正できるなら、私たちは破壊を企てる者たちに対してはるかに安全な立場に立てるでしょう。
ゲーミフィケーションを活用したトレーニングに興味がありますか?当社のシリーズ「Coders Conquer Security」をご覧ください XSS と SQLインジェクションをご覧ください。
10代のセキュリティ研究者、ビル・デミールカピが、自分の学校で使用されているソフトウェアの主要な脆弱性を明らかにしたとき、それは間違いなく彼にいくつかの思い出を呼び起こした。私は、好奇心旺盛な子供だった頃、ソフトウェアのボンネットを開けて、その仕組みを覗き見たり、それを解読できるかどうか試したりしたことを覚えています。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
10代のセキュリティ研究者、ビル・デミールカピが、彼の学校で使用されているソフトウェアの主要な脆弱性を明らかにした最近の報告は、間違いなく彼にいくつかの思い出を呼び起こしたでしょう。私は、好奇心旺盛な子供だった頃、ソフトウェアのボンネットを開けて、その仕組み、そしてさらに重要なことに、それを解読できるかどうかを確認したのを覚えています。 何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を追求してきました。セキュリティコミュニティは(時には少し無礼なアプローチも取りますが)、欠陥や潜在的な災害を発見する上で重要な役割を果たしており、悪意のある人物が同じことを行う前に発見できることを願っています。
しかし、ここで問題なのは、彼の発見に対して学校から軽い停学処分を受けたことだ。しかもそれは、彼が企業(フォレット社)に非公開で連絡を取るあらゆる手段を尽くした後、ついに自らを明らかにし、同社のシステムを侵害できる能力を示すためにかなり公の場で暴露する手段を選んだ時にようやく起きたことである。 フォレット社への倫理的な警告を繰り返し試みたが応答はなく、ソフトウェアは脆弱なまま放置され、学生データの多くが暗号化されていないため、容易に晒された状態が続いていた。
また、別の企業であるBlackboardのソフトウェアにも欠陥を探した。Blackboardのデータは少なくとも暗号化されていたものの、攻撃者がさらに数百万件の記録にアクセスし、それらを掌握する可能性があった。彼の学校ではこのソフトウェアとFollettの製品の両方が使用されていた。
「悪意あるハッカー」という物語は問題を抱えている。
デミールは、その発見を「定義のアイコン」で発表し、そのいたずらっ気のある行動の詳細は、観客の拍手喝采を浴びました。 真実は、当初、彼は悪い評判に悩まされ、その発見が認められるまでに多くの障害に直面しましたが、フォレット社は彼の努力に感謝し、彼のアドバイスに従って、最終的にはソフトウェアの安全性を高め、この危機がデータ侵害の統計上の数字に留まることを防いだのです。 また、高校卒業後はロチェスター工科大学に進学する予定であり、将来は、需要の高いセキュリティの専門家になる道を着実に歩んでいることは明らかです。
セキュリティ担当者として、この状況の対応方法に異論を唱えずにはいられない。今回は事なきを得たものの、当初は厄介な脚本家が余計なことに首を突っ込んでいるかのように扱われた。 この事件をGoogleで検索すると、彼を「ハッカー」と評する記事がヒットする(セキュリティ専門家の目には、これが彼を多くの点で悪役として位置づける)。しかし実際には、彼(そして多くの他者)のアプローチこそが、私たちのデータを安全に保つのに役立っているのだ。
好奇心旺盛で知性があり、セキュリティに注力する人々が密かに監視する姿勢が必要であり、その頻度はさらに高まるべきだ。今年7月以降、40億件以上の記録が悪意あるデータ侵害に晒されている。8月にファッション・ライフスタイルブランド「Poshmark」が攻撃を受けたことで、この数字にさらに5000万件が加わる可能性がある。
私たちは同じ過ちを繰り返す。さらに懸念すべきは、それがしばしば単純な脆弱性によるもので、手のひらを差し出して私たちを転ばせるようなものだということだ。
クロスサイトスクリプティングとSQLインジェクションは依然として存在している。
CABLEADO の報告によると、Demirkapi は、Blackboards Community Engagement ソフトウェアおよび Folletts Student Information System に、1990 年代からセキュリティの専門家が懸念してきた、クロスサイトスクリプティング (XSS) や SQL インジェクションなどの一般的なセキュリティ上の欠陥が含まれていることを発見しました。 私たちは、その存在を本当に長い間耐えてきましたが、ハイパーカラーの T シャツやフロッピーディスクと同じように、もはや遠い記憶になっているはずです。
しかし実際にはそうではなく、コードへの導入を防ぐのに十分なセキュリティ意識を持つ開発者が明らかに不足している。スキャンツールや手動によるコードレビューはあまり効果的ではなく、XSSやSQLインジェクションよりもはるかに複雑なセキュリティ問題も存在するため、こうした高コストで時間のかかる対策はより効果的に活用されるべきである。
ビル・デミールカピのような人物は、開発者たちに、より高水準のコード基準を作るよう促すきっかけとなるべきでしょう。わずか 17 歳で、彼は、コードが作成される前に検出され、修正されるべきだった脅威のベクトルを用いて、2 つの高トラフィックシステムに侵入しました。
ゲーミフィケーション:エンゲージメントの鍵となるのか?
開発者が依然としてセキュリティに関心を示さない理由については多くのことが書かれていますが、端的に言えば、組織レベルや教育面で開発者にセキュリティへの関心を促す取り組みが十分に行われていないからです。 企業がセキュリティ文化の醸成に時間を割き、取り組みを評価・報奨する体制を整えるとき——開発者の言語で語り、継続的な挑戦を促す教育プログラムの導入を含む——こうした厄介な脆弱性の遺物は、私たちが使用するソフトウェアから消え始めるのです。
明らかに、デミールカピはセキュリティに課外的な関心を持っており、マルウェアのリバースエンジニアリング、欠陥の検出、そして外見上は壊れていないものを破壊する方法を学ぶために時間を費やしてきました。しかし、VICIOとの会話(および DEF CON のスライド)の中で、彼は自己教育について興味深い発言をしました... それをゲーム化したのです。
「学校のソフトウェアで何かを見つけようとしたのがきっかけで、これは非常に多くのペネトレーションテストを楽しくゲーム化された形で学べる方法でした。調査を始めた当初はより多くの情報を得ようと考えていましたが、結局のところ事態は予想以上に深刻であることに気づいたのです」と彼は説明する。
すべての開発者がセキュリティを専門とするわけではないが、基本的なセキュリティ意識は組織内での「プログラミングの免許」のような役割を果たすため、特に大量の機密データを扱う組織においては、すべての開発者がセキュリティを意識する機会を持つべきである。 もし全ての開発者が、セキュリティ上の脆弱性が書き込まれる前に、最も単純なものを修正できるなら、私たちは破壊を企てる者たちに対してはるかに安全な立場に立てるでしょう。
ゲーミフィケーションを活用したトレーニングに興味がありますか?当社のシリーズ「Coders Conquer Security」をご覧ください XSS と SQLインジェクションをご覧ください。
10代のセキュリティ研究者、ビル・デミールカピが、彼の学校で使用されているソフトウェアの主要な脆弱性を明らかにした最近の報告は、間違いなく彼にいくつかの思い出を呼び起こしたでしょう。私は、好奇心旺盛な子供だった頃、ソフトウェアのボンネットを開けて、その仕組み、そしてさらに重要なことに、それを解読できるかどうかを確認したのを覚えています。 何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を追求してきました。セキュリティコミュニティは(時には少し無礼なアプローチも取りますが)、欠陥や潜在的な災害を発見する上で重要な役割を果たしており、悪意のある人物が同じことを行う前に発見できることを願っています。
しかし、ここで問題なのは、彼の発見に対して学校から軽い停学処分を受けたことだ。しかもそれは、彼が企業(フォレット社)に非公開で連絡を取るあらゆる手段を尽くした後、ついに自らを明らかにし、同社のシステムを侵害できる能力を示すためにかなり公の場で暴露する手段を選んだ時にようやく起きたことである。 フォレット社への倫理的な警告を繰り返し試みたが応答はなく、ソフトウェアは脆弱なまま放置され、学生データの多くが暗号化されていないため、容易に晒された状態が続いていた。
また、別の企業であるBlackboardのソフトウェアにも欠陥を探した。Blackboardのデータは少なくとも暗号化されていたものの、攻撃者がさらに数百万件の記録にアクセスし、それらを掌握する可能性があった。彼の学校ではこのソフトウェアとFollettの製品の両方が使用されていた。
「悪意あるハッカー」という物語は問題を抱えている。
デミールは、その発見を「定義のアイコン」で発表し、そのいたずらっ気のある行動の詳細は、観客の拍手喝采を浴びました。 真実は、当初、彼は悪い評判に悩まされ、その発見が認められるまでに多くの障害に直面しましたが、フォレット社は彼の努力に感謝し、彼のアドバイスに従って、最終的にはソフトウェアの安全性を高め、この危機がデータ侵害の統計上の数字に留まることを防いだのです。 また、高校卒業後はロチェスター工科大学に進学する予定であり、将来は、需要の高いセキュリティの専門家になる道を着実に歩んでいることは明らかです。
セキュリティ担当者として、この状況の対応方法に異論を唱えずにはいられない。今回は事なきを得たものの、当初は厄介な脚本家が余計なことに首を突っ込んでいるかのように扱われた。 この事件をGoogleで検索すると、彼を「ハッカー」と評する記事がヒットする(セキュリティ専門家の目には、これが彼を多くの点で悪役として位置づける)。しかし実際には、彼(そして多くの他者)のアプローチこそが、私たちのデータを安全に保つのに役立っているのだ。
好奇心旺盛で知性があり、セキュリティに注力する人々が密かに監視する姿勢が必要であり、その頻度はさらに高まるべきだ。今年7月以降、40億件以上の記録が悪意あるデータ侵害に晒されている。8月にファッション・ライフスタイルブランド「Poshmark」が攻撃を受けたことで、この数字にさらに5000万件が加わる可能性がある。
私たちは同じ過ちを繰り返す。さらに懸念すべきは、それがしばしば単純な脆弱性によるもので、手のひらを差し出して私たちを転ばせるようなものだということだ。
クロスサイトスクリプティングとSQLインジェクションは依然として存在している。
CABLEADO の報告によると、Demirkapi は、Blackboards Community Engagement ソフトウェアおよび Folletts Student Information System に、1990 年代からセキュリティの専門家が懸念してきた、クロスサイトスクリプティング (XSS) や SQL インジェクションなどの一般的なセキュリティ上の欠陥が含まれていることを発見しました。 私たちは、その存在を本当に長い間耐えてきましたが、ハイパーカラーの T シャツやフロッピーディスクと同じように、もはや遠い記憶になっているはずです。
しかし実際にはそうではなく、コードへの導入を防ぐのに十分なセキュリティ意識を持つ開発者が明らかに不足している。スキャンツールや手動によるコードレビューはあまり効果的ではなく、XSSやSQLインジェクションよりもはるかに複雑なセキュリティ問題も存在するため、こうした高コストで時間のかかる対策はより効果的に活用されるべきである。
ビル・デミールカピのような人物は、開発者たちに、より高水準のコード基準を作るよう促すきっかけとなるべきでしょう。わずか 17 歳で、彼は、コードが作成される前に検出され、修正されるべきだった脅威のベクトルを用いて、2 つの高トラフィックシステムに侵入しました。
ゲーミフィケーション:エンゲージメントの鍵となるのか?
開発者が依然としてセキュリティに関心を示さない理由については多くのことが書かれていますが、端的に言えば、組織レベルや教育面で開発者にセキュリティへの関心を促す取り組みが十分に行われていないからです。 企業がセキュリティ文化の醸成に時間を割き、取り組みを評価・報奨する体制を整えるとき——開発者の言語で語り、継続的な挑戦を促す教育プログラムの導入を含む——こうした厄介な脆弱性の遺物は、私たちが使用するソフトウェアから消え始めるのです。
明らかに、デミールカピはセキュリティに課外的な関心を持っており、マルウェアのリバースエンジニアリング、欠陥の検出、そして外見上は壊れていないものを破壊する方法を学ぶために時間を費やしてきました。しかし、VICIOとの会話(および DEF CON のスライド)の中で、彼は自己教育について興味深い発言をしました... それをゲーム化したのです。
「学校のソフトウェアで何かを見つけようとしたのがきっかけで、これは非常に多くのペネトレーションテストを楽しくゲーム化された形で学べる方法でした。調査を始めた当初はより多くの情報を得ようと考えていましたが、結局のところ事態は予想以上に深刻であることに気づいたのです」と彼は説明する。
すべての開発者がセキュリティを専門とするわけではないが、基本的なセキュリティ意識は組織内での「プログラミングの免許」のような役割を果たすため、特に大量の機密データを扱う組織においては、すべての開発者がセキュリティを意識する機会を持つべきである。 もし全ての開発者が、セキュリティ上の脆弱性が書き込まれる前に、最も単純なものを修正できるなら、私たちは破壊を企てる者たちに対してはるかに安全な立場に立てるでしょう。
ゲーミフィケーションを活用したトレーニングに興味がありますか?当社のシリーズ「Coders Conquer Security」をご覧ください XSS と SQLインジェクションをご覧ください。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
10代のセキュリティ研究者、ビル・デミールカピが、彼の学校で使用されているソフトウェアの主要な脆弱性を明らかにした最近の報告は、間違いなく彼にいくつかの思い出を呼び起こしたでしょう。私は、好奇心旺盛な子供だった頃、ソフトウェアのボンネットを開けて、その仕組み、そしてさらに重要なことに、それを解読できるかどうかを確認したのを覚えています。 何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を追求してきました。セキュリティコミュニティは(時には少し無礼なアプローチも取りますが)、欠陥や潜在的な災害を発見する上で重要な役割を果たしており、悪意のある人物が同じことを行う前に発見できることを願っています。
しかし、ここで問題なのは、彼の発見に対して学校から軽い停学処分を受けたことだ。しかもそれは、彼が企業(フォレット社)に非公開で連絡を取るあらゆる手段を尽くした後、ついに自らを明らかにし、同社のシステムを侵害できる能力を示すためにかなり公の場で暴露する手段を選んだ時にようやく起きたことである。 フォレット社への倫理的な警告を繰り返し試みたが応答はなく、ソフトウェアは脆弱なまま放置され、学生データの多くが暗号化されていないため、容易に晒された状態が続いていた。
また、別の企業であるBlackboardのソフトウェアにも欠陥を探した。Blackboardのデータは少なくとも暗号化されていたものの、攻撃者がさらに数百万件の記録にアクセスし、それらを掌握する可能性があった。彼の学校ではこのソフトウェアとFollettの製品の両方が使用されていた。
「悪意あるハッカー」という物語は問題を抱えている。
デミールは、その発見を「定義のアイコン」で発表し、そのいたずらっ気のある行動の詳細は、観客の拍手喝采を浴びました。 真実は、当初、彼は悪い評判に悩まされ、その発見が認められるまでに多くの障害に直面しましたが、フォレット社は彼の努力に感謝し、彼のアドバイスに従って、最終的にはソフトウェアの安全性を高め、この危機がデータ侵害の統計上の数字に留まることを防いだのです。 また、高校卒業後はロチェスター工科大学に進学する予定であり、将来は、需要の高いセキュリティの専門家になる道を着実に歩んでいることは明らかです。
セキュリティ担当者として、この状況の対応方法に異論を唱えずにはいられない。今回は事なきを得たものの、当初は厄介な脚本家が余計なことに首を突っ込んでいるかのように扱われた。 この事件をGoogleで検索すると、彼を「ハッカー」と評する記事がヒットする(セキュリティ専門家の目には、これが彼を多くの点で悪役として位置づける)。しかし実際には、彼(そして多くの他者)のアプローチこそが、私たちのデータを安全に保つのに役立っているのだ。
好奇心旺盛で知性があり、セキュリティに注力する人々が密かに監視する姿勢が必要であり、その頻度はさらに高まるべきだ。今年7月以降、40億件以上の記録が悪意あるデータ侵害に晒されている。8月にファッション・ライフスタイルブランド「Poshmark」が攻撃を受けたことで、この数字にさらに5000万件が加わる可能性がある。
私たちは同じ過ちを繰り返す。さらに懸念すべきは、それがしばしば単純な脆弱性によるもので、手のひらを差し出して私たちを転ばせるようなものだということだ。
クロスサイトスクリプティングとSQLインジェクションは依然として存在している。
CABLEADO の報告によると、Demirkapi は、Blackboards Community Engagement ソフトウェアおよび Folletts Student Information System に、1990 年代からセキュリティの専門家が懸念してきた、クロスサイトスクリプティング (XSS) や SQL インジェクションなどの一般的なセキュリティ上の欠陥が含まれていることを発見しました。 私たちは、その存在を本当に長い間耐えてきましたが、ハイパーカラーの T シャツやフロッピーディスクと同じように、もはや遠い記憶になっているはずです。
しかし実際にはそうではなく、コードへの導入を防ぐのに十分なセキュリティ意識を持つ開発者が明らかに不足している。スキャンツールや手動によるコードレビューはあまり効果的ではなく、XSSやSQLインジェクションよりもはるかに複雑なセキュリティ問題も存在するため、こうした高コストで時間のかかる対策はより効果的に活用されるべきである。
ビル・デミールカピのような人物は、開発者たちに、より高水準のコード基準を作るよう促すきっかけとなるべきでしょう。わずか 17 歳で、彼は、コードが作成される前に検出され、修正されるべきだった脅威のベクトルを用いて、2 つの高トラフィックシステムに侵入しました。
ゲーミフィケーション:エンゲージメントの鍵となるのか?
開発者が依然としてセキュリティに関心を示さない理由については多くのことが書かれていますが、端的に言えば、組織レベルや教育面で開発者にセキュリティへの関心を促す取り組みが十分に行われていないからです。 企業がセキュリティ文化の醸成に時間を割き、取り組みを評価・報奨する体制を整えるとき——開発者の言語で語り、継続的な挑戦を促す教育プログラムの導入を含む——こうした厄介な脆弱性の遺物は、私たちが使用するソフトウェアから消え始めるのです。
明らかに、デミールカピはセキュリティに課外的な関心を持っており、マルウェアのリバースエンジニアリング、欠陥の検出、そして外見上は壊れていないものを破壊する方法を学ぶために時間を費やしてきました。しかし、VICIOとの会話(および DEF CON のスライド)の中で、彼は自己教育について興味深い発言をしました... それをゲーム化したのです。
「学校のソフトウェアで何かを見つけようとしたのがきっかけで、これは非常に多くのペネトレーションテストを楽しくゲーム化された形で学べる方法でした。調査を始めた当初はより多くの情報を得ようと考えていましたが、結局のところ事態は予想以上に深刻であることに気づいたのです」と彼は説明する。
すべての開発者がセキュリティを専門とするわけではないが、基本的なセキュリティ意識は組織内での「プログラミングの免許」のような役割を果たすため、特に大量の機密データを扱う組織においては、すべての開発者がセキュリティを意識する機会を持つべきである。 もし全ての開発者が、セキュリティ上の脆弱性が書き込まれる前に、最も単純なものを修正できるなら、私たちは破壊を企てる者たちに対してはるかに安全な立場に立てるでしょう。
ゲーミフィケーションを活用したトレーニングに興味がありますか?当社のシリーズ「Coders Conquer Security」をご覧ください XSS と SQLインジェクションをご覧ください。
%20(1).avif)
.avif)
