サイバーセキュリティにおける人的要因を決して軽視してはならない理由
私たちは最近、最初の投稿を見て非常に興奮しました。それはフォーブス・テクノロジー・カウンシルの会長兼CEOであるピーター・ダンヒューによるライブ配信です。この投稿では、より安全なコードを作成するために開発者のスキルを向上させることが、サイバー攻撃やデータ漏洩を防ぐ鍵となることを詳しく説明しました。それだけでなく、セキュリティを意識した同じ開発者が、多くのIT部門が認識しているよりも早く、より優れた、より安全なコードをどのように提供できるかが明らかになりました。このアプローチの必要性は確かに説得力があります。最近の調査では、現在、サイバー攻撃は39秒ごとに発生していることが示されており、ランサムウェア攻撃がたった1回成功しただけで混乱が生じたことは誰もが経験しています。コロニアルパイプラインの大規模な混乱は、ソーラーウィンズハックのような破壊力はありませんでした。
多くの一般的な脆弱性が存在し続けているのは、貧弱なコーディングパターンを、より安全で確実な方法で同じ機能を実現するためのより良い方法に置き換える方法を開発者にわざわざ示す人が誰もいなかったためです。また、開発後期にソフトウェアを修正することによる影響は、費やされる時間と導入の遅延の両面で、非常にコストがかかります。コードのデプロイ後、特に攻撃者がこれまで発見されていなかった脆弱性を悪用した後のコードの修正には、数百万ドルの費用がかかることがあります。それに、重大な侵害を受けた企業の評判へのダメージも考慮に入れていません。
セキュリティトレーニングを受けた開発者は、自然と優れたコーダーになります。確かに、CISOはセキュリティツールをすぐに廃止すべきではありませんが、包括的で予防的なセキュリティアプローチを上層部から主導することで、CISOは自社最大の資源である人的要因を活用できます。特に、ソフトウェア開発ライフサイクルの初期段階からセキュアコーディングに関してはそうです。
そのために、覚えておくべき上位3つの戦略を以下に示します。
1。事後対応ではなく、先を見越して行動しましょう
企業は、独自のビジョンを開発して追求するのではなく、競合他社の行動に対応するなど、事後対応型の罠に陥ることがよくあります。また、多くの企業が、コード内のセキュリティ脆弱性に関してはこのアプローチをデフォルトとして採用し、侵害が成功した結果として強制された場合にのみサイバーセキュリティを真剣に受け止めます。残念ながら、それまでに被害は収まり、罰金、復旧費用、顧客の減少、ブランド回復のすべてが収益に打撃を与えます。対策ではなく、最初から安全なコードを作成することに集中するのではなく、自動または手動のコードスキャンを利用して既存のコードの脆弱性を発見する方法もあります。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに含まれる脆弱性が多いほど、一部がすり抜ける可能性が高くなります。
積極的なアプローチを取り、開発者と協力して最初から安全なコードを作成できるよう支援することによってのみ、コーディングの脆弱性がユーザーに公開される可能性を大幅に減らすソフトウェア開発ライフサイクルを確立できます。
2。スキルアップ、やりすぎないで
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、そのアプローチを賢く選択してください。コーディングをやめるような社内トレーニングワークショップは、開発者と管理者の両方を苛立たせます。夕方または週末に参加する必要があるオフサイトコースは、さらに人気がありません。最善のアプローチは、コーディングスキルを徐々に身につけることです。コーディングプロセス中に関連情報を段階的に提供することで、開発者の気を散らしたり、開発プロセスを遅らせたりすることなく、基本的にスキルを向上させます。
3。インセンティブを与える、思い込まないでください
開発者は、セキュリティスキルの向上を罰や骨の折れる作業と見なすべきではありません。マネージャーは、企業の成功においてセキュアコードが果たす重要な役割を伝えることで、開発者を鼓舞しなければなりません。また、セキュアコーダーは会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要です。
バイデン政権は歓迎されました 大統領令 サイバーセキュリティへの注力が強まり、「開発者やサプライヤー自身のセキュリティ慣行を評価するための基準を組み込み、安全な慣行への適合を実証するための革新的なツールや方法を特定する」必要性が高まっています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。導入されたシステムやツールをどうにかして無視したり、誤解したり、悪用したり、その他の方法で回避したりする個人の能力を完全に排除するツールはありません。企業のセキュリティを最大化するには、CISOは人的要因を活用し、開発者が積極的にセキュリティを支持し、実践するよう奨励する必要があります。
このたび、会長兼CEOのピーター・ダンヒューによるフォーブス・テクノロジー・カウンシルの最初の寄稿が公開されたことを大変嬉しく思います。この投稿では、より安全なコードを作成するために開発者のスキルを向上させることが、サイバー攻撃やデータ漏洩を防ぐための鍵となることを詳しく説明しました。
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身につけることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
私たちは最近、最初の投稿を見て非常に興奮しました。それはフォーブス・テクノロジー・カウンシルの会長兼CEOであるピーター・ダンヒューによるライブ配信です。この投稿では、より安全なコードを作成するために開発者のスキルを向上させることが、サイバー攻撃やデータ漏洩を防ぐ鍵となることを詳しく説明しました。それだけでなく、セキュリティを意識した同じ開発者が、多くのIT部門が認識しているよりも早く、より優れた、より安全なコードをどのように提供できるかが明らかになりました。このアプローチの必要性は確かに説得力があります。最近の調査では、現在、サイバー攻撃は39秒ごとに発生していることが示されており、ランサムウェア攻撃がたった1回成功しただけで混乱が生じたことは誰もが経験しています。コロニアルパイプラインの大規模な混乱は、ソーラーウィンズハックのような破壊力はありませんでした。
多くの一般的な脆弱性が存在し続けているのは、貧弱なコーディングパターンを、より安全で確実な方法で同じ機能を実現するためのより良い方法に置き換える方法を開発者にわざわざ示す人が誰もいなかったためです。また、開発後期にソフトウェアを修正することによる影響は、費やされる時間と導入の遅延の両面で、非常にコストがかかります。コードのデプロイ後、特に攻撃者がこれまで発見されていなかった脆弱性を悪用した後のコードの修正には、数百万ドルの費用がかかることがあります。それに、重大な侵害を受けた企業の評判へのダメージも考慮に入れていません。
セキュリティトレーニングを受けた開発者は、自然と優れたコーダーになります。確かに、CISOはセキュリティツールをすぐに廃止すべきではありませんが、包括的で予防的なセキュリティアプローチを上層部から主導することで、CISOは自社最大の資源である人的要因を活用できます。特に、ソフトウェア開発ライフサイクルの初期段階からセキュアコーディングに関してはそうです。
そのために、覚えておくべき上位3つの戦略を以下に示します。
1。事後対応ではなく、先を見越して行動しましょう
企業は、独自のビジョンを開発して追求するのではなく、競合他社の行動に対応するなど、事後対応型の罠に陥ることがよくあります。また、多くの企業が、コード内のセキュリティ脆弱性に関してはこのアプローチをデフォルトとして採用し、侵害が成功した結果として強制された場合にのみサイバーセキュリティを真剣に受け止めます。残念ながら、それまでに被害は収まり、罰金、復旧費用、顧客の減少、ブランド回復のすべてが収益に打撃を与えます。対策ではなく、最初から安全なコードを作成することに集中するのではなく、自動または手動のコードスキャンを利用して既存のコードの脆弱性を発見する方法もあります。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに含まれる脆弱性が多いほど、一部がすり抜ける可能性が高くなります。
積極的なアプローチを取り、開発者と協力して最初から安全なコードを作成できるよう支援することによってのみ、コーディングの脆弱性がユーザーに公開される可能性を大幅に減らすソフトウェア開発ライフサイクルを確立できます。
2。スキルアップ、やりすぎないで
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、そのアプローチを賢く選択してください。コーディングをやめるような社内トレーニングワークショップは、開発者と管理者の両方を苛立たせます。夕方または週末に参加する必要があるオフサイトコースは、さらに人気がありません。最善のアプローチは、コーディングスキルを徐々に身につけることです。コーディングプロセス中に関連情報を段階的に提供することで、開発者の気を散らしたり、開発プロセスを遅らせたりすることなく、基本的にスキルを向上させます。
3。インセンティブを与える、思い込まないでください
開発者は、セキュリティスキルの向上を罰や骨の折れる作業と見なすべきではありません。マネージャーは、企業の成功においてセキュアコードが果たす重要な役割を伝えることで、開発者を鼓舞しなければなりません。また、セキュアコーダーは会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要です。
バイデン政権は歓迎されました 大統領令 サイバーセキュリティへの注力が強まり、「開発者やサプライヤー自身のセキュリティ慣行を評価するための基準を組み込み、安全な慣行への適合を実証するための革新的なツールや方法を特定する」必要性が高まっています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。導入されたシステムやツールをどうにかして無視したり、誤解したり、悪用したり、その他の方法で回避したりする個人の能力を完全に排除するツールはありません。企業のセキュリティを最大化するには、CISOは人的要因を活用し、開発者が積極的にセキュリティを支持し、実践するよう奨励する必要があります。
私たちは最近、最初の投稿を見て非常に興奮しました。それはフォーブス・テクノロジー・カウンシルの会長兼CEOであるピーター・ダンヒューによるライブ配信です。この投稿では、より安全なコードを作成するために開発者のスキルを向上させることが、サイバー攻撃やデータ漏洩を防ぐ鍵となることを詳しく説明しました。それだけでなく、セキュリティを意識した同じ開発者が、多くのIT部門が認識しているよりも早く、より優れた、より安全なコードをどのように提供できるかが明らかになりました。このアプローチの必要性は確かに説得力があります。最近の調査では、現在、サイバー攻撃は39秒ごとに発生していることが示されており、ランサムウェア攻撃がたった1回成功しただけで混乱が生じたことは誰もが経験しています。コロニアルパイプラインの大規模な混乱は、ソーラーウィンズハックのような破壊力はありませんでした。
多くの一般的な脆弱性が存在し続けているのは、貧弱なコーディングパターンを、より安全で確実な方法で同じ機能を実現するためのより良い方法に置き換える方法を開発者にわざわざ示す人が誰もいなかったためです。また、開発後期にソフトウェアを修正することによる影響は、費やされる時間と導入の遅延の両面で、非常にコストがかかります。コードのデプロイ後、特に攻撃者がこれまで発見されていなかった脆弱性を悪用した後のコードの修正には、数百万ドルの費用がかかることがあります。それに、重大な侵害を受けた企業の評判へのダメージも考慮に入れていません。
セキュリティトレーニングを受けた開発者は、自然と優れたコーダーになります。確かに、CISOはセキュリティツールをすぐに廃止すべきではありませんが、包括的で予防的なセキュリティアプローチを上層部から主導することで、CISOは自社最大の資源である人的要因を活用できます。特に、ソフトウェア開発ライフサイクルの初期段階からセキュアコーディングに関してはそうです。
そのために、覚えておくべき上位3つの戦略を以下に示します。
1。事後対応ではなく、先を見越して行動しましょう
企業は、独自のビジョンを開発して追求するのではなく、競合他社の行動に対応するなど、事後対応型の罠に陥ることがよくあります。また、多くの企業が、コード内のセキュリティ脆弱性に関してはこのアプローチをデフォルトとして採用し、侵害が成功した結果として強制された場合にのみサイバーセキュリティを真剣に受け止めます。残念ながら、それまでに被害は収まり、罰金、復旧費用、顧客の減少、ブランド回復のすべてが収益に打撃を与えます。対策ではなく、最初から安全なコードを作成することに集中するのではなく、自動または手動のコードスキャンを利用して既存のコードの脆弱性を発見する方法もあります。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに含まれる脆弱性が多いほど、一部がすり抜ける可能性が高くなります。
積極的なアプローチを取り、開発者と協力して最初から安全なコードを作成できるよう支援することによってのみ、コーディングの脆弱性がユーザーに公開される可能性を大幅に減らすソフトウェア開発ライフサイクルを確立できます。
2。スキルアップ、やりすぎないで
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、そのアプローチを賢く選択してください。コーディングをやめるような社内トレーニングワークショップは、開発者と管理者の両方を苛立たせます。夕方または週末に参加する必要があるオフサイトコースは、さらに人気がありません。最善のアプローチは、コーディングスキルを徐々に身につけることです。コーディングプロセス中に関連情報を段階的に提供することで、開発者の気を散らしたり、開発プロセスを遅らせたりすることなく、基本的にスキルを向上させます。
3。インセンティブを与える、思い込まないでください
開発者は、セキュリティスキルの向上を罰や骨の折れる作業と見なすべきではありません。マネージャーは、企業の成功においてセキュアコードが果たす重要な役割を伝えることで、開発者を鼓舞しなければなりません。また、セキュアコーダーは会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要です。
バイデン政権は歓迎されました 大統領令 サイバーセキュリティへの注力が強まり、「開発者やサプライヤー自身のセキュリティ慣行を評価するための基準を組み込み、安全な慣行への適合を実証するための革新的なツールや方法を特定する」必要性が高まっています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。導入されたシステムやツールをどうにかして無視したり、誤解したり、悪用したり、その他の方法で回避したりする個人の能力を完全に排除するツールはありません。企業のセキュリティを最大化するには、CISOは人的要因を活用し、開発者が積極的にセキュリティを支持し、実践するよう奨励する必要があります。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身につけることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
私たちは最近、最初の投稿を見て非常に興奮しました。それはフォーブス・テクノロジー・カウンシルの会長兼CEOであるピーター・ダンヒューによるライブ配信です。この投稿では、より安全なコードを作成するために開発者のスキルを向上させることが、サイバー攻撃やデータ漏洩を防ぐ鍵となることを詳しく説明しました。それだけでなく、セキュリティを意識した同じ開発者が、多くのIT部門が認識しているよりも早く、より優れた、より安全なコードをどのように提供できるかが明らかになりました。このアプローチの必要性は確かに説得力があります。最近の調査では、現在、サイバー攻撃は39秒ごとに発生していることが示されており、ランサムウェア攻撃がたった1回成功しただけで混乱が生じたことは誰もが経験しています。コロニアルパイプラインの大規模な混乱は、ソーラーウィンズハックのような破壊力はありませんでした。
多くの一般的な脆弱性が存在し続けているのは、貧弱なコーディングパターンを、より安全で確実な方法で同じ機能を実現するためのより良い方法に置き換える方法を開発者にわざわざ示す人が誰もいなかったためです。また、開発後期にソフトウェアを修正することによる影響は、費やされる時間と導入の遅延の両面で、非常にコストがかかります。コードのデプロイ後、特に攻撃者がこれまで発見されていなかった脆弱性を悪用した後のコードの修正には、数百万ドルの費用がかかることがあります。それに、重大な侵害を受けた企業の評判へのダメージも考慮に入れていません。
セキュリティトレーニングを受けた開発者は、自然と優れたコーダーになります。確かに、CISOはセキュリティツールをすぐに廃止すべきではありませんが、包括的で予防的なセキュリティアプローチを上層部から主導することで、CISOは自社最大の資源である人的要因を活用できます。特に、ソフトウェア開発ライフサイクルの初期段階からセキュアコーディングに関してはそうです。
そのために、覚えておくべき上位3つの戦略を以下に示します。
1。事後対応ではなく、先を見越して行動しましょう
企業は、独自のビジョンを開発して追求するのではなく、競合他社の行動に対応するなど、事後対応型の罠に陥ることがよくあります。また、多くの企業が、コード内のセキュリティ脆弱性に関してはこのアプローチをデフォルトとして採用し、侵害が成功した結果として強制された場合にのみサイバーセキュリティを真剣に受け止めます。残念ながら、それまでに被害は収まり、罰金、復旧費用、顧客の減少、ブランド回復のすべてが収益に打撃を与えます。対策ではなく、最初から安全なコードを作成することに集中するのではなく、自動または手動のコードスキャンを利用して既存のコードの脆弱性を発見する方法もあります。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに含まれる脆弱性が多いほど、一部がすり抜ける可能性が高くなります。
積極的なアプローチを取り、開発者と協力して最初から安全なコードを作成できるよう支援することによってのみ、コーディングの脆弱性がユーザーに公開される可能性を大幅に減らすソフトウェア開発ライフサイクルを確立できます。
2。スキルアップ、やりすぎないで
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、そのアプローチを賢く選択してください。コーディングをやめるような社内トレーニングワークショップは、開発者と管理者の両方を苛立たせます。夕方または週末に参加する必要があるオフサイトコースは、さらに人気がありません。最善のアプローチは、コーディングスキルを徐々に身につけることです。コーディングプロセス中に関連情報を段階的に提供することで、開発者の気を散らしたり、開発プロセスを遅らせたりすることなく、基本的にスキルを向上させます。
3。インセンティブを与える、思い込まないでください
開発者は、セキュリティスキルの向上を罰や骨の折れる作業と見なすべきではありません。マネージャーは、企業の成功においてセキュアコードが果たす重要な役割を伝えることで、開発者を鼓舞しなければなりません。また、セキュアコーダーは会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要です。
バイデン政権は歓迎されました 大統領令 サイバーセキュリティへの注力が強まり、「開発者やサプライヤー自身のセキュリティ慣行を評価するための基準を組み込み、安全な慣行への適合を実証するための革新的なツールや方法を特定する」必要性が高まっています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。導入されたシステムやツールをどうにかして無視したり、誤解したり、悪用したり、その他の方法で回避したりする個人の能力を完全に排除するツールはありません。企業のセキュリティを最大化するには、CISOは人的要因を活用し、開発者が積極的にセキュリティを支持し、実践するよう奨励する必要があります。
目次
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]
%20(1).avif)
.avif)
