Secure Code WarriorのCEO兼共同創設者であるPieter Danhieux氏は、「誰もがサイバーセキュリティにおける自分の役割を理解し、受け入れるべきだ」と述べています。
このインタビューはもともと掲載されました サイバーニュース。
セキュリティツールやサービスが普及しているにもかかわらず、企業は依然として進化し続ける脅威の状況に遅れずについていくのに苦労しています。
これは、開発者のセキュリティ意識とトレーニングの欠如が原因と考えられます。これにより、危険なコードが公開され、悪意のある攻撃者によって悪用される可能性があります。一方、セキュリティ対策は次のようなものです。 ウイルス対策ソフトウェア また、強力な脆弱性スキャンソリューションによってセキュリティを強化することもできますが、今日のゲストは、すべてはセキュリティに重点を置いた開発チームから始まると説明しました。
サイバーニュースのチームは、セキュリティ脅威を特定して軽減するために開発者を訓練する方法について話し合うために、サイバーニュースのCEO兼共同創設者であるPieter Danhieuxに話を聞きました。 セキュア・コード・ウォリアーは、開発チームがセキュリティの脆弱性をナビゲートするのを支援する学習プラットフォームと開発者に焦点を当てた一連のツールを提供する会社です。
あなたの旅はどのようなものでしたか?セキュア・コード・ウォリアーのアイデアはどのようにして生まれたのですか?
若いオタクだった私は、テクノロジーを分解して、内部に何が入っているのか、どのように機能するのかを発見することに魅了されました。私の家族と共有アプライアンスを大いに安心させるために、私はやがてハードウェアとソフトウェアで同じアプローチを取り、それを侵害したり壊したりする方法を探しました。セキュリティに対する生涯にわたる情熱が生まれ、私は長年、自分の「破壊的な」スキルを学生、同僚、セキュリティコミュニティと共有することに重点を置き、ソフトウェアのエラーを見つけ、使用し、悪用する方法を示してきました。その後、防御者のスキルアップ、開発者に教室環境で適切で安全なコーディングパターンを教え、一般的な脆弱性とその回避方法を理解できるように支援することに再び焦点を当てました。また、コンサルティングの仕事にも携わり、特に開発者の関与に関しては、セキュリティプログラムをどのように改善できるかについて、大企業に助言しました。私が現在のセキュア・コード・ウォリアー(Secure Code Warrior)の創設チームとつながったのは、この時期でした。私たちは共に、コードレベルの脆弱性に関してセキュリティチームと開発チームの両方が直面する問題点と、開発者のセキュリティスキルの向上を目的としたほとんどのトレーニングソリューションに存在する問題を理解していました。私たちは、開発者にとって楽しく魅力的なものでありながら、エンタープライズレベルで拡張できる学習プラットフォームというビジョンの実現に取り掛かりました。最終的には、開発者の作業環境に合わせて調整され、混乱が少なく、セキュリティ第一の考え方を身につけるのに役立つ一連のツールを作成したいと考えました。そして、これを可能な限り言語に柔軟に対応し、コンテンツが豊富なものにすることを目指しました。
あなたの仕事を紹介してもらえますか?あなたが乗り越える手助けをしている主な課題は何ですか?
最終的には、コード内の不適切なセキュリティパターンの使用によってしばしば生じるセキュリティ上の摩擦や遅延を取り除くことで、企業がソフトウェア開発をスピードアップできるよう支援します。私たちは、開発チームが一般的なセキュリティの脆弱性をナビゲートするのを支援する、学習プラットフォームと開発者に焦点を当てた一連のツールを開発しました。これらの脆弱性の多くは、数十年前から存在し、今日でも企業をサイバーリスクにさらし続けています。その理由は、開発者がコードレベルの問題を解決するためのトレーニングやスキルを欠いており、そもそも貧弱なコーディングパターンやテクニックを使い続けて導入することが多いからです。高等教育レベルでは安全なコーディングを教えられておらず、ほとんどの職場でのトレーニングプログラムは、頻度が低すぎて時間の経過とともにコードの品質とセキュリティに真に影響を与えることはできないことに加えて、日常業務に関連するコンテンツの提供において効果がありません。私たちのソリューションは、コーディング行動を変え、現実の世界でセキュリティを最優先するのに役立つ、魅力的で関連性の高いスキル開発を提供することを目指しています。私たちは、開発者が最も慣れ親しんでいる環境との統合をますます進めており、状況に応じた学習に重点を置いているため、ユーザーは主要な教育成果を把握できる可能性を最大限に高めることができます。また、開発者が成功に報い、コミュニティを構築する、前向きで楽しい見方でセキュリティを理解できるように努めています。
セキュアコーディングについて学ぶのは退屈に思えるかもしれませんが、トレーニングを効果的でありながら楽しいものにするにはどうすればよいでしょうか。
当社の主力学習プラットフォームは、開発者のエンゲージメントを念頭に置いて設計されています。最も人気のある機能の1つはトーナメントモードで、参加者はトレーニング中に習得した知識を仲間と競ってテストできます。正解ごとにポイントが加算され、トーナメントセッション中はリーダーボードがライブで更新されます。これらはコミュニティのイベントやカンファレンスで実施しており、一部のお客様の中には、全員がコスチュームを着て参加するという非常に複雑なテーマを設定しているお客様もいます。これは素晴らしいチームビルディング体験であり、ピザや賞品によるスキルアップへの取り組みを祝い、通常のルーチンからの脱却を祝う絶好の機会です。さらに、私たちのコンテンツは一般に、日常業務で実際に見られる実際のコードスニペットを使用して、60を超えるプログラミングフレームワークで利用できます。動画や年に一度のコンプライアンス試験を視聴するよりも、関連性が高く、実際の問題の解決に役立つコンテンツがあれば、エンゲージメントを維持するのがはるかに簡単になります。
開発者が現在直面している主な課題は何だと思いますか?
開発者はうまくやりたいと思っているが、教育やキャリアにおいてセキュリティが十分に備えられていないことを立証することが重要だと思います。これは、セキュリティの観点から見ると、彼らが直面している問題の多くにとって重要です。また、彼らはセキュリティを自分の責任範囲外と見なす傾向があり、大多数の組織では、KPIには安全なコーディングの結果に関連するものは含まれていません。コードレベルの脆弱性の量が増加した場合は、この現状を打破する必要があります。しかし、開発者は私たちが望む変化をもたらすために適切なサポートとツールを必要としています。課題は、効果的な支援の提供、トレーニングのための時間の提供、そして後で迅速にセキュリティを実現するためにそのスキルアップに今すぐ投資することにあります。
最近の世界的な出来事は、あなたの仕事の分野にどのような影響を与えましたか?
すべての企業が、現在の地球規模の気候が自社の目標、予測、予算に何らかの影響を感じていることは間違いありませんが、私たちはこれまでこの嵐を乗り切ることができて幸運でした。サイバーセキュリティはほとんどの企業にとって譲ることのできない要素であり、私たちはクライアントや見込み客との会話の一部であり続けるよう努めています。
ソフトウェアやアプリケーションを開発する際に組織が従うべきベストプラクティスにはどのようなものがありますか?
組織にはそれぞれ微妙な違いがありますが、一般的に、最高のセキュリティプラクティスを実践している企業は、既成概念にとらわれずにさまざまなアプローチを試そうとしています。セキュリティの結果にポジティブな変化をもたらす人々の力を忘れません。ほとんどの場合、開発者はセキュリティプログラムにおいて大きな考慮事項ではありません。しかし、セキュリティスキルが世界的に不足しており、すぐに埋められる可能性は低いですが、セキュリティに精通した開発者は、ソフトウェア作成の観点からリスクを軽減し、コンプライアンスを達成する手助けをすることができます。プロセスの最も早い段階で、かつ最もコストがかからない段階で成果を上げることができます。
安全なコーディングツール以外に、事業運営を強化するだけでなくセキュリティを確保できる手段や方法は他にありますか?
すべての企業が、何らかの役割ベースのセキュリティトレーニングを受ける必要があります。攻撃者が利用しようとしているコードレベルのエクスプロイト以外にも、脅威アクターが狙う脅威は数多く存在するため、組織内の各人が自分の仕事に適用するセキュリティ原則をある程度定期的に理解しておく必要があります。その意味で、オフィスマネージャーから経理チームまで、全員がサイバーセキュリティ対策と意識向上において果たす役割を理解し、受け入れる必要があります。
現在の経済情勢において、CISOは最低限のコストで企業の安全を確保しなければならないという大きなプレッシャーにさらされています。CISOに何かアドバイスはありますか?
特にサイバーセキュリティに関する法律がますます厳しくなり、場合によっては違反が発生した場合にCISOが個人的な責任を問われるようになったため、CISOはこのような状況においてある程度の創造性を発揮する必要があります。そこにレイオフを加えると、同じ量のソフトウェアを書いているのに、より少ないエンジニアがより多くの責任を引き受けることが予想される状況になります。CISOは、CISOを遅らせる主な障害の1つであるセキュリティに対処することで、ビジネスの成功を支援できます。
コードレベルのセキュリティの脆弱性や設定ミスに対処する最も安価な段階は、ソフトウェアが出荷される前です。これにより、開発者は当然そのリスクを軽減する絶好の立場に立つことができます。ただし、これを実現するには、カスタマイズされたサポートが必要です。現在のワークフローと技術スタックを考慮して、開発者を第一に考えたツールをエンジニアリングチームに提供すれば、迅速なセキュリティを実現できます。彼らにはセキュリティの正確さを高速に達成するための手段が必要です。そのためには、安全なコーディングパターンを使用して問題をより迅速に修正する方法を示すのが一番です。
包括的な開発者トレーニングの費用については、基本的に脆弱性を発生源から排除し、ソフトウェア開発ライフサイクル(SDLC)の後半で時間と費用を節約できます。大規模な攻撃が頻発し、歴史上他のどの時期よりもCISOの負担が大きくなっていることを考えると、遅れをとっているのはサイバーセキュリティのスキル不足のせいにするのはやめなければなりません。防御的なセキュリティ対策を優先し、すでに目の前にいる人員を増やしましょう。
セキュア・コード・ウォリアーの将来はどうなるのでしょうか?
私たちは、開発者を第一に考えて市場に提供するソリューションを革新し続けたいと考えています。私たちは、開発者が機能提供のスピードを損なうことなく、また複数の優先事項に取り組む際の健全性を損なうことなく、セキュリティを提供できるようにすることに重点を置いています。
私たちは、組織が防御セキュリティプログラムに革命を起こすのを支援することを目指しており、セキュリティ対応の開発者にはそのストーリーの主人公になってもらいたいと考えています。このスペースをご覧ください。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
このインタビューはもともと掲載されました サイバーニュース。
セキュリティツールやサービスが普及しているにもかかわらず、企業は依然として進化し続ける脅威の状況に遅れずについていくのに苦労しています。
これは、開発者のセキュリティ意識とトレーニングの欠如が原因と考えられます。これにより、危険なコードが公開され、悪意のある攻撃者によって悪用される可能性があります。一方、セキュリティ対策は次のようなものです。 ウイルス対策ソフトウェア また、強力な脆弱性スキャンソリューションによってセキュリティを強化することもできますが、今日のゲストは、すべてはセキュリティに重点を置いた開発チームから始まると説明しました。
サイバーニュースのチームは、セキュリティ脅威を特定して軽減するために開発者を訓練する方法について話し合うために、サイバーニュースのCEO兼共同創設者であるPieter Danhieuxに話を聞きました。 セキュア・コード・ウォリアーは、開発チームがセキュリティの脆弱性をナビゲートするのを支援する学習プラットフォームと開発者に焦点を当てた一連のツールを提供する会社です。
あなたの旅はどのようなものでしたか?セキュア・コード・ウォリアーのアイデアはどのようにして生まれたのですか?
若いオタクだった私は、テクノロジーを分解して、内部に何が入っているのか、どのように機能するのかを発見することに魅了されました。私の家族と共有アプライアンスを大いに安心させるために、私はやがてハードウェアとソフトウェアで同じアプローチを取り、それを侵害したり壊したりする方法を探しました。セキュリティに対する生涯にわたる情熱が生まれ、私は長年、自分の「破壊的な」スキルを学生、同僚、セキュリティコミュニティと共有することに重点を置き、ソフトウェアのエラーを見つけ、使用し、悪用する方法を示してきました。その後、防御者のスキルアップ、開発者に教室環境で適切で安全なコーディングパターンを教え、一般的な脆弱性とその回避方法を理解できるように支援することに再び焦点を当てました。また、コンサルティングの仕事にも携わり、特に開発者の関与に関しては、セキュリティプログラムをどのように改善できるかについて、大企業に助言しました。私が現在のセキュア・コード・ウォリアー(Secure Code Warrior)の創設チームとつながったのは、この時期でした。私たちは共に、コードレベルの脆弱性に関してセキュリティチームと開発チームの両方が直面する問題点と、開発者のセキュリティスキルの向上を目的としたほとんどのトレーニングソリューションに存在する問題を理解していました。私たちは、開発者にとって楽しく魅力的なものでありながら、エンタープライズレベルで拡張できる学習プラットフォームというビジョンの実現に取り掛かりました。最終的には、開発者の作業環境に合わせて調整され、混乱が少なく、セキュリティ第一の考え方を身につけるのに役立つ一連のツールを作成したいと考えました。そして、これを可能な限り言語に柔軟に対応し、コンテンツが豊富なものにすることを目指しました。
あなたの仕事を紹介してもらえますか?あなたが乗り越える手助けをしている主な課題は何ですか?
最終的には、コード内の不適切なセキュリティパターンの使用によってしばしば生じるセキュリティ上の摩擦や遅延を取り除くことで、企業がソフトウェア開発をスピードアップできるよう支援します。私たちは、開発チームが一般的なセキュリティの脆弱性をナビゲートするのを支援する、学習プラットフォームと開発者に焦点を当てた一連のツールを開発しました。これらの脆弱性の多くは、数十年前から存在し、今日でも企業をサイバーリスクにさらし続けています。その理由は、開発者がコードレベルの問題を解決するためのトレーニングやスキルを欠いており、そもそも貧弱なコーディングパターンやテクニックを使い続けて導入することが多いからです。高等教育レベルでは安全なコーディングを教えられておらず、ほとんどの職場でのトレーニングプログラムは、頻度が低すぎて時間の経過とともにコードの品質とセキュリティに真に影響を与えることはできないことに加えて、日常業務に関連するコンテンツの提供において効果がありません。私たちのソリューションは、コーディング行動を変え、現実の世界でセキュリティを最優先するのに役立つ、魅力的で関連性の高いスキル開発を提供することを目指しています。私たちは、開発者が最も慣れ親しんでいる環境との統合をますます進めており、状況に応じた学習に重点を置いているため、ユーザーは主要な教育成果を把握できる可能性を最大限に高めることができます。また、開発者が成功に報い、コミュニティを構築する、前向きで楽しい見方でセキュリティを理解できるように努めています。
セキュアコーディングについて学ぶのは退屈に思えるかもしれませんが、トレーニングを効果的でありながら楽しいものにするにはどうすればよいでしょうか。
当社の主力学習プラットフォームは、開発者のエンゲージメントを念頭に置いて設計されています。最も人気のある機能の1つはトーナメントモードで、参加者はトレーニング中に習得した知識を仲間と競ってテストできます。正解ごとにポイントが加算され、トーナメントセッション中はリーダーボードがライブで更新されます。これらはコミュニティのイベントやカンファレンスで実施しており、一部のお客様の中には、全員がコスチュームを着て参加するという非常に複雑なテーマを設定しているお客様もいます。これは素晴らしいチームビルディング体験であり、ピザや賞品によるスキルアップへの取り組みを祝い、通常のルーチンからの脱却を祝う絶好の機会です。さらに、私たちのコンテンツは一般に、日常業務で実際に見られる実際のコードスニペットを使用して、60を超えるプログラミングフレームワークで利用できます。動画や年に一度のコンプライアンス試験を視聴するよりも、関連性が高く、実際の問題の解決に役立つコンテンツがあれば、エンゲージメントを維持するのがはるかに簡単になります。
開発者が現在直面している主な課題は何だと思いますか?
開発者はうまくやりたいと思っているが、教育やキャリアにおいてセキュリティが十分に備えられていないことを立証することが重要だと思います。これは、セキュリティの観点から見ると、彼らが直面している問題の多くにとって重要です。また、彼らはセキュリティを自分の責任範囲外と見なす傾向があり、大多数の組織では、KPIには安全なコーディングの結果に関連するものは含まれていません。コードレベルの脆弱性の量が増加した場合は、この現状を打破する必要があります。しかし、開発者は私たちが望む変化をもたらすために適切なサポートとツールを必要としています。課題は、効果的な支援の提供、トレーニングのための時間の提供、そして後で迅速にセキュリティを実現するためにそのスキルアップに今すぐ投資することにあります。
最近の世界的な出来事は、あなたの仕事の分野にどのような影響を与えましたか?
すべての企業が、現在の地球規模の気候が自社の目標、予測、予算に何らかの影響を感じていることは間違いありませんが、私たちはこれまでこの嵐を乗り切ることができて幸運でした。サイバーセキュリティはほとんどの企業にとって譲ることのできない要素であり、私たちはクライアントや見込み客との会話の一部であり続けるよう努めています。
ソフトウェアやアプリケーションを開発する際に組織が従うべきベストプラクティスにはどのようなものがありますか?
組織にはそれぞれ微妙な違いがありますが、一般的に、最高のセキュリティプラクティスを実践している企業は、既成概念にとらわれずにさまざまなアプローチを試そうとしています。セキュリティの結果にポジティブな変化をもたらす人々の力を忘れません。ほとんどの場合、開発者はセキュリティプログラムにおいて大きな考慮事項ではありません。しかし、セキュリティスキルが世界的に不足しており、すぐに埋められる可能性は低いですが、セキュリティに精通した開発者は、ソフトウェア作成の観点からリスクを軽減し、コンプライアンスを達成する手助けをすることができます。プロセスの最も早い段階で、かつ最もコストがかからない段階で成果を上げることができます。
安全なコーディングツール以外に、事業運営を強化するだけでなくセキュリティを確保できる手段や方法は他にありますか?
すべての企業が、何らかの役割ベースのセキュリティトレーニングを受ける必要があります。攻撃者が利用しようとしているコードレベルのエクスプロイト以外にも、脅威アクターが狙う脅威は数多く存在するため、組織内の各人が自分の仕事に適用するセキュリティ原則をある程度定期的に理解しておく必要があります。その意味で、オフィスマネージャーから経理チームまで、全員がサイバーセキュリティ対策と意識向上において果たす役割を理解し、受け入れる必要があります。
現在の経済情勢において、CISOは最低限のコストで企業の安全を確保しなければならないという大きなプレッシャーにさらされています。CISOに何かアドバイスはありますか?
特にサイバーセキュリティに関する法律がますます厳しくなり、場合によっては違反が発生した場合にCISOが個人的な責任を問われるようになったため、CISOはこのような状況においてある程度の創造性を発揮する必要があります。そこにレイオフを加えると、同じ量のソフトウェアを書いているのに、より少ないエンジニアがより多くの責任を引き受けることが予想される状況になります。CISOは、CISOを遅らせる主な障害の1つであるセキュリティに対処することで、ビジネスの成功を支援できます。
コードレベルのセキュリティの脆弱性や設定ミスに対処する最も安価な段階は、ソフトウェアが出荷される前です。これにより、開発者は当然そのリスクを軽減する絶好の立場に立つことができます。ただし、これを実現するには、カスタマイズされたサポートが必要です。現在のワークフローと技術スタックを考慮して、開発者を第一に考えたツールをエンジニアリングチームに提供すれば、迅速なセキュリティを実現できます。彼らにはセキュリティの正確さを高速に達成するための手段が必要です。そのためには、安全なコーディングパターンを使用して問題をより迅速に修正する方法を示すのが一番です。
包括的な開発者トレーニングの費用については、基本的に脆弱性を発生源から排除し、ソフトウェア開発ライフサイクル(SDLC)の後半で時間と費用を節約できます。大規模な攻撃が頻発し、歴史上他のどの時期よりもCISOの負担が大きくなっていることを考えると、遅れをとっているのはサイバーセキュリティのスキル不足のせいにするのはやめなければなりません。防御的なセキュリティ対策を優先し、すでに目の前にいる人員を増やしましょう。
セキュア・コード・ウォリアーの将来はどうなるのでしょうか?
私たちは、開発者を第一に考えて市場に提供するソリューションを革新し続けたいと考えています。私たちは、開発者が機能提供のスピードを損なうことなく、また複数の優先事項に取り組む際の健全性を損なうことなく、セキュリティを提供できるようにすることに重点を置いています。
私たちは、組織が防御セキュリティプログラムに革命を起こすのを支援することを目指しており、セキュリティ対応の開発者にはそのストーリーの主人公になってもらいたいと考えています。このスペースをご覧ください。
このインタビューはもともと掲載されました サイバーニュース。
セキュリティツールやサービスが普及しているにもかかわらず、企業は依然として進化し続ける脅威の状況に遅れずについていくのに苦労しています。
これは、開発者のセキュリティ意識とトレーニングの欠如が原因と考えられます。これにより、危険なコードが公開され、悪意のある攻撃者によって悪用される可能性があります。一方、セキュリティ対策は次のようなものです。 ウイルス対策ソフトウェア また、強力な脆弱性スキャンソリューションによってセキュリティを強化することもできますが、今日のゲストは、すべてはセキュリティに重点を置いた開発チームから始まると説明しました。
サイバーニュースのチームは、セキュリティ脅威を特定して軽減するために開発者を訓練する方法について話し合うために、サイバーニュースのCEO兼共同創設者であるPieter Danhieuxに話を聞きました。 セキュア・コード・ウォリアーは、開発チームがセキュリティの脆弱性をナビゲートするのを支援する学習プラットフォームと開発者に焦点を当てた一連のツールを提供する会社です。
あなたの旅はどのようなものでしたか?セキュア・コード・ウォリアーのアイデアはどのようにして生まれたのですか?
若いオタクだった私は、テクノロジーを分解して、内部に何が入っているのか、どのように機能するのかを発見することに魅了されました。私の家族と共有アプライアンスを大いに安心させるために、私はやがてハードウェアとソフトウェアで同じアプローチを取り、それを侵害したり壊したりする方法を探しました。セキュリティに対する生涯にわたる情熱が生まれ、私は長年、自分の「破壊的な」スキルを学生、同僚、セキュリティコミュニティと共有することに重点を置き、ソフトウェアのエラーを見つけ、使用し、悪用する方法を示してきました。その後、防御者のスキルアップ、開発者に教室環境で適切で安全なコーディングパターンを教え、一般的な脆弱性とその回避方法を理解できるように支援することに再び焦点を当てました。また、コンサルティングの仕事にも携わり、特に開発者の関与に関しては、セキュリティプログラムをどのように改善できるかについて、大企業に助言しました。私が現在のセキュア・コード・ウォリアー(Secure Code Warrior)の創設チームとつながったのは、この時期でした。私たちは共に、コードレベルの脆弱性に関してセキュリティチームと開発チームの両方が直面する問題点と、開発者のセキュリティスキルの向上を目的としたほとんどのトレーニングソリューションに存在する問題を理解していました。私たちは、開発者にとって楽しく魅力的なものでありながら、エンタープライズレベルで拡張できる学習プラットフォームというビジョンの実現に取り掛かりました。最終的には、開発者の作業環境に合わせて調整され、混乱が少なく、セキュリティ第一の考え方を身につけるのに役立つ一連のツールを作成したいと考えました。そして、これを可能な限り言語に柔軟に対応し、コンテンツが豊富なものにすることを目指しました。
あなたの仕事を紹介してもらえますか?あなたが乗り越える手助けをしている主な課題は何ですか?
最終的には、コード内の不適切なセキュリティパターンの使用によってしばしば生じるセキュリティ上の摩擦や遅延を取り除くことで、企業がソフトウェア開発をスピードアップできるよう支援します。私たちは、開発チームが一般的なセキュリティの脆弱性をナビゲートするのを支援する、学習プラットフォームと開発者に焦点を当てた一連のツールを開発しました。これらの脆弱性の多くは、数十年前から存在し、今日でも企業をサイバーリスクにさらし続けています。その理由は、開発者がコードレベルの問題を解決するためのトレーニングやスキルを欠いており、そもそも貧弱なコーディングパターンやテクニックを使い続けて導入することが多いからです。高等教育レベルでは安全なコーディングを教えられておらず、ほとんどの職場でのトレーニングプログラムは、頻度が低すぎて時間の経過とともにコードの品質とセキュリティに真に影響を与えることはできないことに加えて、日常業務に関連するコンテンツの提供において効果がありません。私たちのソリューションは、コーディング行動を変え、現実の世界でセキュリティを最優先するのに役立つ、魅力的で関連性の高いスキル開発を提供することを目指しています。私たちは、開発者が最も慣れ親しんでいる環境との統合をますます進めており、状況に応じた学習に重点を置いているため、ユーザーは主要な教育成果を把握できる可能性を最大限に高めることができます。また、開発者が成功に報い、コミュニティを構築する、前向きで楽しい見方でセキュリティを理解できるように努めています。
セキュアコーディングについて学ぶのは退屈に思えるかもしれませんが、トレーニングを効果的でありながら楽しいものにするにはどうすればよいでしょうか。
当社の主力学習プラットフォームは、開発者のエンゲージメントを念頭に置いて設計されています。最も人気のある機能の1つはトーナメントモードで、参加者はトレーニング中に習得した知識を仲間と競ってテストできます。正解ごとにポイントが加算され、トーナメントセッション中はリーダーボードがライブで更新されます。これらはコミュニティのイベントやカンファレンスで実施しており、一部のお客様の中には、全員がコスチュームを着て参加するという非常に複雑なテーマを設定しているお客様もいます。これは素晴らしいチームビルディング体験であり、ピザや賞品によるスキルアップへの取り組みを祝い、通常のルーチンからの脱却を祝う絶好の機会です。さらに、私たちのコンテンツは一般に、日常業務で実際に見られる実際のコードスニペットを使用して、60を超えるプログラミングフレームワークで利用できます。動画や年に一度のコンプライアンス試験を視聴するよりも、関連性が高く、実際の問題の解決に役立つコンテンツがあれば、エンゲージメントを維持するのがはるかに簡単になります。
開発者が現在直面している主な課題は何だと思いますか?
開発者はうまくやりたいと思っているが、教育やキャリアにおいてセキュリティが十分に備えられていないことを立証することが重要だと思います。これは、セキュリティの観点から見ると、彼らが直面している問題の多くにとって重要です。また、彼らはセキュリティを自分の責任範囲外と見なす傾向があり、大多数の組織では、KPIには安全なコーディングの結果に関連するものは含まれていません。コードレベルの脆弱性の量が増加した場合は、この現状を打破する必要があります。しかし、開発者は私たちが望む変化をもたらすために適切なサポートとツールを必要としています。課題は、効果的な支援の提供、トレーニングのための時間の提供、そして後で迅速にセキュリティを実現するためにそのスキルアップに今すぐ投資することにあります。
最近の世界的な出来事は、あなたの仕事の分野にどのような影響を与えましたか?
すべての企業が、現在の地球規模の気候が自社の目標、予測、予算に何らかの影響を感じていることは間違いありませんが、私たちはこれまでこの嵐を乗り切ることができて幸運でした。サイバーセキュリティはほとんどの企業にとって譲ることのできない要素であり、私たちはクライアントや見込み客との会話の一部であり続けるよう努めています。
ソフトウェアやアプリケーションを開発する際に組織が従うべきベストプラクティスにはどのようなものがありますか?
組織にはそれぞれ微妙な違いがありますが、一般的に、最高のセキュリティプラクティスを実践している企業は、既成概念にとらわれずにさまざまなアプローチを試そうとしています。セキュリティの結果にポジティブな変化をもたらす人々の力を忘れません。ほとんどの場合、開発者はセキュリティプログラムにおいて大きな考慮事項ではありません。しかし、セキュリティスキルが世界的に不足しており、すぐに埋められる可能性は低いですが、セキュリティに精通した開発者は、ソフトウェア作成の観点からリスクを軽減し、コンプライアンスを達成する手助けをすることができます。プロセスの最も早い段階で、かつ最もコストがかからない段階で成果を上げることができます。
安全なコーディングツール以外に、事業運営を強化するだけでなくセキュリティを確保できる手段や方法は他にありますか?
すべての企業が、何らかの役割ベースのセキュリティトレーニングを受ける必要があります。攻撃者が利用しようとしているコードレベルのエクスプロイト以外にも、脅威アクターが狙う脅威は数多く存在するため、組織内の各人が自分の仕事に適用するセキュリティ原則をある程度定期的に理解しておく必要があります。その意味で、オフィスマネージャーから経理チームまで、全員がサイバーセキュリティ対策と意識向上において果たす役割を理解し、受け入れる必要があります。
現在の経済情勢において、CISOは最低限のコストで企業の安全を確保しなければならないという大きなプレッシャーにさらされています。CISOに何かアドバイスはありますか?
特にサイバーセキュリティに関する法律がますます厳しくなり、場合によっては違反が発生した場合にCISOが個人的な責任を問われるようになったため、CISOはこのような状況においてある程度の創造性を発揮する必要があります。そこにレイオフを加えると、同じ量のソフトウェアを書いているのに、より少ないエンジニアがより多くの責任を引き受けることが予想される状況になります。CISOは、CISOを遅らせる主な障害の1つであるセキュリティに対処することで、ビジネスの成功を支援できます。
コードレベルのセキュリティの脆弱性や設定ミスに対処する最も安価な段階は、ソフトウェアが出荷される前です。これにより、開発者は当然そのリスクを軽減する絶好の立場に立つことができます。ただし、これを実現するには、カスタマイズされたサポートが必要です。現在のワークフローと技術スタックを考慮して、開発者を第一に考えたツールをエンジニアリングチームに提供すれば、迅速なセキュリティを実現できます。彼らにはセキュリティの正確さを高速に達成するための手段が必要です。そのためには、安全なコーディングパターンを使用して問題をより迅速に修正する方法を示すのが一番です。
包括的な開発者トレーニングの費用については、基本的に脆弱性を発生源から排除し、ソフトウェア開発ライフサイクル(SDLC)の後半で時間と費用を節約できます。大規模な攻撃が頻発し、歴史上他のどの時期よりもCISOの負担が大きくなっていることを考えると、遅れをとっているのはサイバーセキュリティのスキル不足のせいにするのはやめなければなりません。防御的なセキュリティ対策を優先し、すでに目の前にいる人員を増やしましょう。
セキュア・コード・ウォリアーの将来はどうなるのでしょうか?
私たちは、開発者を第一に考えて市場に提供するソリューションを革新し続けたいと考えています。私たちは、開発者が機能提供のスピードを損なうことなく、また複数の優先事項に取り組む際の健全性を損なうことなく、セキュリティを提供できるようにすることに重点を置いています。
私たちは、組織が防御セキュリティプログラムに革命を起こすのを支援することを目指しており、セキュリティ対応の開発者にはそのストーリーの主人公になってもらいたいと考えています。このスペースをご覧ください。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
このインタビューはもともと掲載されました サイバーニュース。
セキュリティツールやサービスが普及しているにもかかわらず、企業は依然として進化し続ける脅威の状況に遅れずについていくのに苦労しています。
これは、開発者のセキュリティ意識とトレーニングの欠如が原因と考えられます。これにより、危険なコードが公開され、悪意のある攻撃者によって悪用される可能性があります。一方、セキュリティ対策は次のようなものです。 ウイルス対策ソフトウェア また、強力な脆弱性スキャンソリューションによってセキュリティを強化することもできますが、今日のゲストは、すべてはセキュリティに重点を置いた開発チームから始まると説明しました。
サイバーニュースのチームは、セキュリティ脅威を特定して軽減するために開発者を訓練する方法について話し合うために、サイバーニュースのCEO兼共同創設者であるPieter Danhieuxに話を聞きました。 セキュア・コード・ウォリアーは、開発チームがセキュリティの脆弱性をナビゲートするのを支援する学習プラットフォームと開発者に焦点を当てた一連のツールを提供する会社です。
あなたの旅はどのようなものでしたか?セキュア・コード・ウォリアーのアイデアはどのようにして生まれたのですか?
若いオタクだった私は、テクノロジーを分解して、内部に何が入っているのか、どのように機能するのかを発見することに魅了されました。私の家族と共有アプライアンスを大いに安心させるために、私はやがてハードウェアとソフトウェアで同じアプローチを取り、それを侵害したり壊したりする方法を探しました。セキュリティに対する生涯にわたる情熱が生まれ、私は長年、自分の「破壊的な」スキルを学生、同僚、セキュリティコミュニティと共有することに重点を置き、ソフトウェアのエラーを見つけ、使用し、悪用する方法を示してきました。その後、防御者のスキルアップ、開発者に教室環境で適切で安全なコーディングパターンを教え、一般的な脆弱性とその回避方法を理解できるように支援することに再び焦点を当てました。また、コンサルティングの仕事にも携わり、特に開発者の関与に関しては、セキュリティプログラムをどのように改善できるかについて、大企業に助言しました。私が現在のセキュア・コード・ウォリアー(Secure Code Warrior)の創設チームとつながったのは、この時期でした。私たちは共に、コードレベルの脆弱性に関してセキュリティチームと開発チームの両方が直面する問題点と、開発者のセキュリティスキルの向上を目的としたほとんどのトレーニングソリューションに存在する問題を理解していました。私たちは、開発者にとって楽しく魅力的なものでありながら、エンタープライズレベルで拡張できる学習プラットフォームというビジョンの実現に取り掛かりました。最終的には、開発者の作業環境に合わせて調整され、混乱が少なく、セキュリティ第一の考え方を身につけるのに役立つ一連のツールを作成したいと考えました。そして、これを可能な限り言語に柔軟に対応し、コンテンツが豊富なものにすることを目指しました。
あなたの仕事を紹介してもらえますか?あなたが乗り越える手助けをしている主な課題は何ですか?
最終的には、コード内の不適切なセキュリティパターンの使用によってしばしば生じるセキュリティ上の摩擦や遅延を取り除くことで、企業がソフトウェア開発をスピードアップできるよう支援します。私たちは、開発チームが一般的なセキュリティの脆弱性をナビゲートするのを支援する、学習プラットフォームと開発者に焦点を当てた一連のツールを開発しました。これらの脆弱性の多くは、数十年前から存在し、今日でも企業をサイバーリスクにさらし続けています。その理由は、開発者がコードレベルの問題を解決するためのトレーニングやスキルを欠いており、そもそも貧弱なコーディングパターンやテクニックを使い続けて導入することが多いからです。高等教育レベルでは安全なコーディングを教えられておらず、ほとんどの職場でのトレーニングプログラムは、頻度が低すぎて時間の経過とともにコードの品質とセキュリティに真に影響を与えることはできないことに加えて、日常業務に関連するコンテンツの提供において効果がありません。私たちのソリューションは、コーディング行動を変え、現実の世界でセキュリティを最優先するのに役立つ、魅力的で関連性の高いスキル開発を提供することを目指しています。私たちは、開発者が最も慣れ親しんでいる環境との統合をますます進めており、状況に応じた学習に重点を置いているため、ユーザーは主要な教育成果を把握できる可能性を最大限に高めることができます。また、開発者が成功に報い、コミュニティを構築する、前向きで楽しい見方でセキュリティを理解できるように努めています。
セキュアコーディングについて学ぶのは退屈に思えるかもしれませんが、トレーニングを効果的でありながら楽しいものにするにはどうすればよいでしょうか。
当社の主力学習プラットフォームは、開発者のエンゲージメントを念頭に置いて設計されています。最も人気のある機能の1つはトーナメントモードで、参加者はトレーニング中に習得した知識を仲間と競ってテストできます。正解ごとにポイントが加算され、トーナメントセッション中はリーダーボードがライブで更新されます。これらはコミュニティのイベントやカンファレンスで実施しており、一部のお客様の中には、全員がコスチュームを着て参加するという非常に複雑なテーマを設定しているお客様もいます。これは素晴らしいチームビルディング体験であり、ピザや賞品によるスキルアップへの取り組みを祝い、通常のルーチンからの脱却を祝う絶好の機会です。さらに、私たちのコンテンツは一般に、日常業務で実際に見られる実際のコードスニペットを使用して、60を超えるプログラミングフレームワークで利用できます。動画や年に一度のコンプライアンス試験を視聴するよりも、関連性が高く、実際の問題の解決に役立つコンテンツがあれば、エンゲージメントを維持するのがはるかに簡単になります。
開発者が現在直面している主な課題は何だと思いますか?
開発者はうまくやりたいと思っているが、教育やキャリアにおいてセキュリティが十分に備えられていないことを立証することが重要だと思います。これは、セキュリティの観点から見ると、彼らが直面している問題の多くにとって重要です。また、彼らはセキュリティを自分の責任範囲外と見なす傾向があり、大多数の組織では、KPIには安全なコーディングの結果に関連するものは含まれていません。コードレベルの脆弱性の量が増加した場合は、この現状を打破する必要があります。しかし、開発者は私たちが望む変化をもたらすために適切なサポートとツールを必要としています。課題は、効果的な支援の提供、トレーニングのための時間の提供、そして後で迅速にセキュリティを実現するためにそのスキルアップに今すぐ投資することにあります。
最近の世界的な出来事は、あなたの仕事の分野にどのような影響を与えましたか?
すべての企業が、現在の地球規模の気候が自社の目標、予測、予算に何らかの影響を感じていることは間違いありませんが、私たちはこれまでこの嵐を乗り切ることができて幸運でした。サイバーセキュリティはほとんどの企業にとって譲ることのできない要素であり、私たちはクライアントや見込み客との会話の一部であり続けるよう努めています。
ソフトウェアやアプリケーションを開発する際に組織が従うべきベストプラクティスにはどのようなものがありますか?
組織にはそれぞれ微妙な違いがありますが、一般的に、最高のセキュリティプラクティスを実践している企業は、既成概念にとらわれずにさまざまなアプローチを試そうとしています。セキュリティの結果にポジティブな変化をもたらす人々の力を忘れません。ほとんどの場合、開発者はセキュリティプログラムにおいて大きな考慮事項ではありません。しかし、セキュリティスキルが世界的に不足しており、すぐに埋められる可能性は低いですが、セキュリティに精通した開発者は、ソフトウェア作成の観点からリスクを軽減し、コンプライアンスを達成する手助けをすることができます。プロセスの最も早い段階で、かつ最もコストがかからない段階で成果を上げることができます。
安全なコーディングツール以外に、事業運営を強化するだけでなくセキュリティを確保できる手段や方法は他にありますか?
すべての企業が、何らかの役割ベースのセキュリティトレーニングを受ける必要があります。攻撃者が利用しようとしているコードレベルのエクスプロイト以外にも、脅威アクターが狙う脅威は数多く存在するため、組織内の各人が自分の仕事に適用するセキュリティ原則をある程度定期的に理解しておく必要があります。その意味で、オフィスマネージャーから経理チームまで、全員がサイバーセキュリティ対策と意識向上において果たす役割を理解し、受け入れる必要があります。
現在の経済情勢において、CISOは最低限のコストで企業の安全を確保しなければならないという大きなプレッシャーにさらされています。CISOに何かアドバイスはありますか?
特にサイバーセキュリティに関する法律がますます厳しくなり、場合によっては違反が発生した場合にCISOが個人的な責任を問われるようになったため、CISOはこのような状況においてある程度の創造性を発揮する必要があります。そこにレイオフを加えると、同じ量のソフトウェアを書いているのに、より少ないエンジニアがより多くの責任を引き受けることが予想される状況になります。CISOは、CISOを遅らせる主な障害の1つであるセキュリティに対処することで、ビジネスの成功を支援できます。
コードレベルのセキュリティの脆弱性や設定ミスに対処する最も安価な段階は、ソフトウェアが出荷される前です。これにより、開発者は当然そのリスクを軽減する絶好の立場に立つことができます。ただし、これを実現するには、カスタマイズされたサポートが必要です。現在のワークフローと技術スタックを考慮して、開発者を第一に考えたツールをエンジニアリングチームに提供すれば、迅速なセキュリティを実現できます。彼らにはセキュリティの正確さを高速に達成するための手段が必要です。そのためには、安全なコーディングパターンを使用して問題をより迅速に修正する方法を示すのが一番です。
包括的な開発者トレーニングの費用については、基本的に脆弱性を発生源から排除し、ソフトウェア開発ライフサイクル(SDLC)の後半で時間と費用を節約できます。大規模な攻撃が頻発し、歴史上他のどの時期よりもCISOの負担が大きくなっていることを考えると、遅れをとっているのはサイバーセキュリティのスキル不足のせいにするのはやめなければなりません。防御的なセキュリティ対策を優先し、すでに目の前にいる人員を増やしましょう。
セキュア・コード・ウォリアーの将来はどうなるのでしょうか?
私たちは、開発者を第一に考えて市場に提供するソリューションを革新し続けたいと考えています。私たちは、開発者が機能提供のスピードを損なうことなく、また複数の優先事項に取り組む際の健全性を損なうことなく、セキュリティを提供できるようにすることに重点を置いています。
私たちは、組織が防御セキュリティプログラムに革命を起こすのを支援することを目指しており、セキュリティ対応の開発者にはそのストーリーの主人公になってもらいたいと考えています。このスペースをご覧ください。
%20(1).avif)
.avif)
