サイバーセキュリティにおいて人的要因を決して軽視してはならない理由
このたび、当社代表取締役兼最高経営責任者であるピエテル・ダンヒューによるフォーブス・テクノロジー・カウンシル初の寄稿記事が公開され、大変光栄に存じます。 同記事では、より安全なコードを作成するための開発者スキルの強化が、サイバー攻撃やデータ侵害を防ぐ上でいかに重要かを説明しました。さらに、セキュリティ意識の高い開発者こそが、多くのIT部門が想定するよりも迅速に、より高品質で安全なコードを提供できることを明らかにしています。このアプローチの必要性は確かに差し迫っています。 最近の調査によれば、サイバー攻撃は現在39秒ごとに発生しており、コロニアル・パイプラインに対する単一のランサムウェア攻撃が引き起こした混乱は、全体としてSolarWindsハッキングほど破壊的ではなかったものの、我々全員が目の当たりにした。
多くの一般的な脆弱性が残存するのは、開発者に不良なコーディングモデルを置き換え、同じ機能をより安全かつセキュアに実行する優れた手法を誰も教えたことがないためです。そしてソフトウェア開発の後期段階で修正を行う影響は、費やされる時間とデプロイ遅延の両面で極めて高額になります。 コードをデプロイ後に修正することは、特に攻撃者が未発見の脆弱性を悪用した場合、時には数百万ドルのコストを要する。そしてこれは、重大な侵害に続く企業の評判へのダメージすら考慮に入れていない。
セキュリティ教育を受けた開発者は、自然と優れたコーダーへと成長する。CISOがセキュリティツールをすぐに放棄すべきではないのは確かだが、トップダウンで包括的かつ予防的なセキュリティアプローチを採用することで、CISOは企業最大の資源である人的要素を活用できる。特にソフトウェア開発サイクルの初期段階からコーディングのセキュリティを確保する上で、この手法は有効である。
これを実現するために、以下の3つの主要な高レベル戦略を念頭に置いておく必要があります。
1. 受け身ではなく、主体的に行動しましょう
企業はしばしば反応的な対応の罠に陥る。例えば、独自のビジョンを構築し追求する代わりに、競合他社の動きに追随するといった形だ。 多くの企業はコードのセキュリティ脆弱性に対しても同様の姿勢を取り、侵害が発生して初めてサイバーセキュリティを真剣に考えるようになる。残念ながら、その時点では既に被害は発生しており、罰金、復旧費用、顧客離れ、ブランド回復が財務結果に悪影響を及ぼす。 別の「反応的」アプローチとして、既存コードの脆弱性検出に自動/手動コード分析を依存し、そもそも安全なコード作成に注力しないケースもある。 残念ながら、コードのデジタル化は完璧な解決策ではない。つまり、コードに脆弱性が多いほど、その一部が見過ごされる可能性が高くなる。
開発者との積極的な連携を通じて、初期段階から安全なコード作成を支援するアプローチを採用することで初めて、コーディング上の脆弱性がユーザーに開示される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立できます。
2. スキルを向上させ、やりすぎないようにしましょう
開発者に安全なコードを作成するために必要な知識を提供すると決めたら、アプローチを慎重に選択してください。コーディングを中断させる社内トレーニングワークショップは、開発者と管理者の双方を苛立たせます。夜間や週末の参加を必要とする外部研修は、さらに不評です。 最良のアプローチは、コーディングスキルを段階的に育成し、コーディングプロセス中に段階的に関連情報を提供することです。つまり、開発者の注意を大幅にそらしたり開発プロセスを遅らせたりすることなく、スキルを向上させる方法です。
3.促すことはあっても、決めつけないでください
開発者は、セキュリティスキルの強化を罰や完全な負担と捉えてはならない。管理者は、安全なコードが企業の成功に果たす重要な役割を説明することで、開発者にインスピレーションを与えるべきである。また、安全なコーダーが企業にとってより価値が高く、将来的にキャリアの機会が広がることを理解させることも重要である。
バイデン政権は歓迎されている 大統領令 は、サイバーセキュリティと「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を含め、安全な慣行への準拠を実証するための革新的なツールや手法を特定する」必要性をより強調した。 しかし、ツールは重要ではあるが十分ではない。いかなるツールも、個人が導入されたシステムやツールを無視したり、誤解したり、悪用したり、回避したりする能力を完全に排除することはできない。企業のセキュリティを最適化するためには、CISO(最高情報セキュリティ責任者)は人的要因を活用し、開発者が自発的なセキュリティの支持者かつ実践者となるよう促す必要がある。
このたび、当社代表取締役兼最高経営責任者であるピエテル・ダンヒュー氏が執筆したフォーブス・テクノロジー・カウンシルの初記事が公開されたことを大変喜ばしく思います。同記事では、サイバー攻撃やデータ侵害を防ぐために、開発者のスキル強化によるより安全なコードの作成がいかに重要であるかを解説しています。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
このたび、当社代表取締役兼最高経営責任者であるピエテル・ダンヒューによるフォーブス・テクノロジー・カウンシル初の寄稿記事が公開され、大変光栄に存じます。 同記事では、より安全なコードを作成するための開発者スキルの強化が、サイバー攻撃やデータ侵害を防ぐ上でいかに重要かを説明しました。さらに、セキュリティ意識の高い開発者こそが、多くのIT部門が想定するよりも迅速に、より高品質で安全なコードを提供できることを明らかにしています。このアプローチの必要性は確かに差し迫っています。 最近の調査によれば、サイバー攻撃は現在39秒ごとに発生しており、コロニアル・パイプラインに対する単一のランサムウェア攻撃が引き起こした混乱は、全体としてSolarWindsハッキングほど破壊的ではなかったものの、我々全員が目の当たりにした。
多くの一般的な脆弱性が残存するのは、開発者に不良なコーディングモデルを置き換え、同じ機能をより安全かつセキュアに実行する優れた手法を誰も教えたことがないためです。そしてソフトウェア開発の後期段階で修正を行う影響は、費やされる時間とデプロイ遅延の両面で極めて高額になります。 コードをデプロイ後に修正することは、特に攻撃者が未発見の脆弱性を悪用した場合、時には数百万ドルのコストを要する。そしてこれは、重大な侵害に続く企業の評判へのダメージすら考慮に入れていない。
セキュリティ教育を受けた開発者は、自然と優れたコーダーへと成長する。CISOがセキュリティツールをすぐに放棄すべきではないのは確かだが、トップダウンで包括的かつ予防的なセキュリティアプローチを採用することで、CISOは企業最大の資源である人的要素を活用できる。特にソフトウェア開発サイクルの初期段階からコーディングのセキュリティを確保する上で、この手法は有効である。
これを実現するために、以下の3つの主要な高レベル戦略を念頭に置いておく必要があります。
1. 受け身ではなく、主体的に行動しましょう
企業はしばしば反応的な対応の罠に陥る。例えば、独自のビジョンを構築し追求する代わりに、競合他社の動きに追随するといった形だ。 多くの企業はコードのセキュリティ脆弱性に対しても同様の姿勢を取り、侵害が発生して初めてサイバーセキュリティを真剣に考えるようになる。残念ながら、その時点では既に被害は発生しており、罰金、復旧費用、顧客離れ、ブランド回復が財務結果に悪影響を及ぼす。 別の「反応的」アプローチとして、既存コードの脆弱性検出に自動/手動コード分析を依存し、そもそも安全なコード作成に注力しないケースもある。 残念ながら、コードのデジタル化は完璧な解決策ではない。つまり、コードに脆弱性が多いほど、その一部が見過ごされる可能性が高くなる。
開発者との積極的な連携を通じて、初期段階から安全なコード作成を支援するアプローチを採用することで初めて、コーディング上の脆弱性がユーザーに開示される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立できます。
2. スキルを向上させ、やりすぎないようにしましょう
開発者に安全なコードを作成するために必要な知識を提供すると決めたら、アプローチを慎重に選択してください。コーディングを中断させる社内トレーニングワークショップは、開発者と管理者の双方を苛立たせます。夜間や週末の参加を必要とする外部研修は、さらに不評です。 最良のアプローチは、コーディングスキルを段階的に育成し、コーディングプロセス中に段階的に関連情報を提供することです。つまり、開発者の注意を大幅にそらしたり開発プロセスを遅らせたりすることなく、スキルを向上させる方法です。
3.促すことはあっても、決めつけないでください
開発者は、セキュリティスキルの強化を罰や完全な負担と捉えてはならない。管理者は、安全なコードが企業の成功に果たす重要な役割を説明することで、開発者にインスピレーションを与えるべきである。また、安全なコーダーが企業にとってより価値が高く、将来的にキャリアの機会が広がることを理解させることも重要である。
バイデン政権は歓迎されている 大統領令 は、サイバーセキュリティと「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を含め、安全な慣行への準拠を実証するための革新的なツールや手法を特定する」必要性をより強調した。 しかし、ツールは重要ではあるが十分ではない。いかなるツールも、個人が導入されたシステムやツールを無視したり、誤解したり、悪用したり、回避したりする能力を完全に排除することはできない。企業のセキュリティを最適化するためには、CISO(最高情報セキュリティ責任者)は人的要因を活用し、開発者が自発的なセキュリティの支持者かつ実践者となるよう促す必要がある。
このたび、当社代表取締役兼最高経営責任者であるピエテル・ダンヒューによるフォーブス・テクノロジー・カウンシル初の寄稿記事が公開され、大変光栄に存じます。 同記事では、より安全なコードを作成するための開発者スキルの強化が、サイバー攻撃やデータ侵害を防ぐ上でいかに重要かを説明しました。さらに、セキュリティ意識の高い開発者こそが、多くのIT部門が想定するよりも迅速に、より高品質で安全なコードを提供できることを明らかにしています。このアプローチの必要性は確かに差し迫っています。 最近の調査によれば、サイバー攻撃は現在39秒ごとに発生しており、コロニアル・パイプラインに対する単一のランサムウェア攻撃が引き起こした混乱は、全体としてSolarWindsハッキングほど破壊的ではなかったものの、我々全員が目の当たりにした。
多くの一般的な脆弱性が残存するのは、開発者に不良なコーディングモデルを置き換え、同じ機能をより安全かつセキュアに実行する優れた手法を誰も教えたことがないためです。そしてソフトウェア開発の後期段階で修正を行う影響は、費やされる時間とデプロイ遅延の両面で極めて高額になります。 コードをデプロイ後に修正することは、特に攻撃者が未発見の脆弱性を悪用した場合、時には数百万ドルのコストを要する。そしてこれは、重大な侵害に続く企業の評判へのダメージすら考慮に入れていない。
セキュリティ教育を受けた開発者は、自然と優れたコーダーへと成長する。CISOがセキュリティツールをすぐに放棄すべきではないのは確かだが、トップダウンで包括的かつ予防的なセキュリティアプローチを採用することで、CISOは企業最大の資源である人的要素を活用できる。特にソフトウェア開発サイクルの初期段階からコーディングのセキュリティを確保する上で、この手法は有効である。
これを実現するために、以下の3つの主要な高レベル戦略を念頭に置いておく必要があります。
1. 受け身ではなく、主体的に行動しましょう
企業はしばしば反応的な対応の罠に陥る。例えば、独自のビジョンを構築し追求する代わりに、競合他社の動きに追随するといった形だ。 多くの企業はコードのセキュリティ脆弱性に対しても同様の姿勢を取り、侵害が発生して初めてサイバーセキュリティを真剣に考えるようになる。残念ながら、その時点では既に被害は発生しており、罰金、復旧費用、顧客離れ、ブランド回復が財務結果に悪影響を及ぼす。 別の「反応的」アプローチとして、既存コードの脆弱性検出に自動/手動コード分析を依存し、そもそも安全なコード作成に注力しないケースもある。 残念ながら、コードのデジタル化は完璧な解決策ではない。つまり、コードに脆弱性が多いほど、その一部が見過ごされる可能性が高くなる。
開発者との積極的な連携を通じて、初期段階から安全なコード作成を支援するアプローチを採用することで初めて、コーディング上の脆弱性がユーザーに開示される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立できます。
2. スキルを向上させ、やりすぎないようにしましょう
開発者に安全なコードを作成するために必要な知識を提供すると決めたら、アプローチを慎重に選択してください。コーディングを中断させる社内トレーニングワークショップは、開発者と管理者の双方を苛立たせます。夜間や週末の参加を必要とする外部研修は、さらに不評です。 最良のアプローチは、コーディングスキルを段階的に育成し、コーディングプロセス中に段階的に関連情報を提供することです。つまり、開発者の注意を大幅にそらしたり開発プロセスを遅らせたりすることなく、スキルを向上させる方法です。
3.促すことはあっても、決めつけないでください
開発者は、セキュリティスキルの強化を罰や完全な負担と捉えてはならない。管理者は、安全なコードが企業の成功に果たす重要な役割を説明することで、開発者にインスピレーションを与えるべきである。また、安全なコーダーが企業にとってより価値が高く、将来的にキャリアの機会が広がることを理解させることも重要である。
バイデン政権は歓迎されている 大統領令 は、サイバーセキュリティと「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を含め、安全な慣行への準拠を実証するための革新的なツールや手法を特定する」必要性をより強調した。 しかし、ツールは重要ではあるが十分ではない。いかなるツールも、個人が導入されたシステムやツールを無視したり、誤解したり、悪用したり、回避したりする能力を完全に排除することはできない。企業のセキュリティを最適化するためには、CISO(最高情報セキュリティ責任者)は人的要因を活用し、開発者が自発的なセキュリティの支持者かつ実践者となるよう促す必要がある。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
このたび、当社代表取締役兼最高経営責任者であるピエテル・ダンヒューによるフォーブス・テクノロジー・カウンシル初の寄稿記事が公開され、大変光栄に存じます。 同記事では、より安全なコードを作成するための開発者スキルの強化が、サイバー攻撃やデータ侵害を防ぐ上でいかに重要かを説明しました。さらに、セキュリティ意識の高い開発者こそが、多くのIT部門が想定するよりも迅速に、より高品質で安全なコードを提供できることを明らかにしています。このアプローチの必要性は確かに差し迫っています。 最近の調査によれば、サイバー攻撃は現在39秒ごとに発生しており、コロニアル・パイプラインに対する単一のランサムウェア攻撃が引き起こした混乱は、全体としてSolarWindsハッキングほど破壊的ではなかったものの、我々全員が目の当たりにした。
多くの一般的な脆弱性が残存するのは、開発者に不良なコーディングモデルを置き換え、同じ機能をより安全かつセキュアに実行する優れた手法を誰も教えたことがないためです。そしてソフトウェア開発の後期段階で修正を行う影響は、費やされる時間とデプロイ遅延の両面で極めて高額になります。 コードをデプロイ後に修正することは、特に攻撃者が未発見の脆弱性を悪用した場合、時には数百万ドルのコストを要する。そしてこれは、重大な侵害に続く企業の評判へのダメージすら考慮に入れていない。
セキュリティ教育を受けた開発者は、自然と優れたコーダーへと成長する。CISOがセキュリティツールをすぐに放棄すべきではないのは確かだが、トップダウンで包括的かつ予防的なセキュリティアプローチを採用することで、CISOは企業最大の資源である人的要素を活用できる。特にソフトウェア開発サイクルの初期段階からコーディングのセキュリティを確保する上で、この手法は有効である。
これを実現するために、以下の3つの主要な高レベル戦略を念頭に置いておく必要があります。
1. 受け身ではなく、主体的に行動しましょう
企業はしばしば反応的な対応の罠に陥る。例えば、独自のビジョンを構築し追求する代わりに、競合他社の動きに追随するといった形だ。 多くの企業はコードのセキュリティ脆弱性に対しても同様の姿勢を取り、侵害が発生して初めてサイバーセキュリティを真剣に考えるようになる。残念ながら、その時点では既に被害は発生しており、罰金、復旧費用、顧客離れ、ブランド回復が財務結果に悪影響を及ぼす。 別の「反応的」アプローチとして、既存コードの脆弱性検出に自動/手動コード分析を依存し、そもそも安全なコード作成に注力しないケースもある。 残念ながら、コードのデジタル化は完璧な解決策ではない。つまり、コードに脆弱性が多いほど、その一部が見過ごされる可能性が高くなる。
開発者との積極的な連携を通じて、初期段階から安全なコード作成を支援するアプローチを採用することで初めて、コーディング上の脆弱性がユーザーに開示される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立できます。
2. スキルを向上させ、やりすぎないようにしましょう
開発者に安全なコードを作成するために必要な知識を提供すると決めたら、アプローチを慎重に選択してください。コーディングを中断させる社内トレーニングワークショップは、開発者と管理者の双方を苛立たせます。夜間や週末の参加を必要とする外部研修は、さらに不評です。 最良のアプローチは、コーディングスキルを段階的に育成し、コーディングプロセス中に段階的に関連情報を提供することです。つまり、開発者の注意を大幅にそらしたり開発プロセスを遅らせたりすることなく、スキルを向上させる方法です。
3.促すことはあっても、決めつけないでください
開発者は、セキュリティスキルの強化を罰や完全な負担と捉えてはならない。管理者は、安全なコードが企業の成功に果たす重要な役割を説明することで、開発者にインスピレーションを与えるべきである。また、安全なコーダーが企業にとってより価値が高く、将来的にキャリアの機会が広がることを理解させることも重要である。
バイデン政権は歓迎されている 大統領令 は、サイバーセキュリティと「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を含め、安全な慣行への準拠を実証するための革新的なツールや手法を特定する」必要性をより強調した。 しかし、ツールは重要ではあるが十分ではない。いかなるツールも、個人が導入されたシステムやツールを無視したり、誤解したり、悪用したり、回避したりする能力を完全に排除することはできない。企業のセキュリティを最適化するためには、CISO(最高情報セキュリティ責任者)は人的要因を活用し、開発者が自発的なセキュリティの支持者かつ実践者となるよう促す必要がある。
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
