サイバーセキュリティにおける人的要素を絶対に軽視してはならない理由
私たちは最近、最初のものを目にする機会を得て大変嬉しく思いました。フォーブステクノロジーカウンシルポスト会長兼CEOであるピーター・ダニュ(Pieter Danhieux)が直接執筆しました。この投稿では、開発者のスキルを向上させてより安全なコードを作成することが、サイバー攻撃やデータ侵害を防ぐ上でいかに重要かを詳しく説明しました。さらに、セキュリティに精通した開発者が、多くのIT部門が考えている以上に優れた安全なコードを迅速に提供できるよう支援する方法についても理解できました。このアプローチの必要性は確かに説得力があります。最近の調査によれば、今や39秒ごとにサイバー攻撃が発生しています。そして私たちは皆、たった1回のランサムウェア攻撃の成功が引き起こす混乱を目の当たりにしました。コロニアル・パイプラインの事例は、より大きな枠組みで見れば、それほど破壊的ではありませんでした。SolarWindsハッキング事件ほどには。
多くの一般的な脆弱性が依然として存在しています。 開発者に対して、誤ったコーディングパターンを安全で確実な方法、つまり同じ機能を実行するより優れた方法で置き換える方法を誰も示してこなかったためです。また、開発の後半段階でソフトウェアを修正する場合、かかる時間とデプロイの遅延という点で莫大なコストが発生します。デプロイ後、特に攻撃者がこれまで発見されていなかった脆弱性を悪用した後でコードを修正するには、時には数百万ドルもの費用がかかることもあります。これには重大なセキュリティ侵害による企業の評判の毀損は含まれていません。
セキュリティ教育を受けた開発者は、自然と優れたコーダーになります。もちろんCISOはセキュリティツールをすぐに放棄すべきではありません。しかし、最高レベルから包括的かつ予防的なセキュリティアプローチを主導することで、CISOは企業最大の資源である人的要素を活用できます。特にソフトウェア開発ライフサイクルの初期段階からセキュリティコーディングに関して言えば、なおさらです。
このために留意すべき上位3つの戦略は以下の通りです。
1.事後対応ではなく、能動的に行動してください
例えば、企業は独自のビジョンを開発し追求する代わりに、競合他社の行動に対応するなど、事後対応の罠に陥ることが多いです。また、コードのセキュリティ脆弱性に関しても、こうしたアプローチを採用する企業が多く、セキュリティ侵害が成功し避けられない事態となった場合にのみ、サイバーセキュリティを真剣に受け止めます。残念ながら、その頃には罰金、復旧費用、顧客離れ、ブランド回復など損害が発生し、結局は収益に打撃を受けることになります。対策の代わりに取れる別の対応策は、そもそも安全なコードを作成することに焦点を当てるのではなく、自動または手動のコードスキャンに依存して既存コードの脆弱性を発見することです。残念ながらコードスキャンは完全な解決策ではありません。つまり、コードに脆弱性が多いほど、一部の脆弱性が見逃される可能性が高くなります。
予防的アプローチを採用し、開発者と協力して最初から安全なコードを作成できるよう支援することで、ユーザーにコーディング上の脆弱性が公開される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立できます。
2.スキルアップは無理しないでください
開発者にセキュアなコード作成に必要な知識を提供すると決めたなら、アプローチを賢く選択してください。コーディングを中断させる社内教育ワークショップは、開発者と管理者の双方にフラストレーションをもたらします。夜間や週末に参加しなければならない外部教育コースは、さらに人気がありません。最良の方法は、コーディングスキルを段階的に積み上げていくことです。コーディングプロセス中に段階的に関連情報を提供することで、開発者の注意を散漫にしたり開発プロセスを遅らせたりすることなく、基本的にスキルを向上させることができます。
3.インセンティブを提供してください、推測しないでください
開発者は、セキュリティ技術の向上を罰則や完全な苦役と見なすべきではありません。管理者は、セキュリティコードが会社の成功に果たす重要な役割を伝え、開発者にインスピレーションを与えるべきです。また、セキュリティコーダーは会社にとってより価値があり、将来的により多くのキャリア機会を得られるという点を伝えることも重要です。
バイデン政権の歓迎 行政命令 サイバーセキュリティへの焦点と、「開発者およびサプライヤー自身のセキュリティ慣行を評価し、セキュリティ慣行への準拠を実証するための革新的なツールまたは手法を特定する基準を含む」必要性が拡大されました。しかし、ツールは必須ではあるものの、それだけでは十分ではありません。いかなるツールも、既存のシステムやツールを無視したり、 誤解したり、悪用したり、その他の方法で回避する個人の能力を完全に排除することはできません。企業のセキュリティを最大化するために、CISOは人的要素を活用し、開発者が進んでセキュリティの支持者および実践者となるよう奨励すべきです。
最近、フォーブステクノロジー委員会の会長兼CEOであるピーター・ダニュ(Pieter Danhieux)氏の最初のフォーブステクノロジー委員会投稿が公開され、大変嬉しく思いました。この投稿では、開発者のスキルを向上させてより安全なコードを作成することが、サイバー攻撃やデータ侵害を防ぐ上でいかに重要かを詳しく説明していました。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
私たちは最近、最初のものを目にする機会を得て大変嬉しく思いました。フォーブステクノロジーカウンシルポスト会長兼CEOであるピーター・ダニュ(Pieter Danhieux)が直接執筆しました。この投稿では、開発者のスキルを向上させてより安全なコードを作成することが、サイバー攻撃やデータ侵害を防ぐ上でいかに重要かを詳しく説明しました。さらに、セキュリティに精通した開発者が、多くのIT部門が考えている以上に優れた安全なコードを迅速に提供できるよう支援する方法についても理解できました。このアプローチの必要性は確かに説得力があります。最近の調査によれば、今や39秒ごとにサイバー攻撃が発生しています。そして私たちは皆、たった1回のランサムウェア攻撃の成功が引き起こす混乱を目の当たりにしました。コロニアル・パイプラインの事例は、より大きな枠組みで見れば、それほど破壊的ではありませんでした。SolarWindsハッキング事件ほどには。
多くの一般的な脆弱性が依然として存在しています。 開発者に対して、誤ったコーディングパターンを安全で確実な方法、つまり同じ機能を実行するより優れた方法で置き換える方法を誰も示してこなかったためです。また、開発の後半段階でソフトウェアを修正する場合、かかる時間とデプロイの遅延という点で莫大なコストが発生します。デプロイ後、特に攻撃者がこれまで発見されていなかった脆弱性を悪用した後でコードを修正するには、時には数百万ドルもの費用がかかることもあります。これには重大なセキュリティ侵害による企業の評判の毀損は含まれていません。
セキュリティ教育を受けた開発者は、自然と優れたコーダーになります。もちろんCISOはセキュリティツールをすぐに放棄すべきではありません。しかし、最高レベルから包括的かつ予防的なセキュリティアプローチを主導することで、CISOは企業最大の資源である人的要素を活用できます。特にソフトウェア開発ライフサイクルの初期段階からセキュリティコーディングに関して言えば、なおさらです。
このために留意すべき上位3つの戦略は以下の通りです。
1.事後対応ではなく、能動的に行動してください
例えば、企業は独自のビジョンを開発し追求する代わりに、競合他社の行動に対応するなど、事後対応の罠に陥ることが多いです。また、コードのセキュリティ脆弱性に関しても、こうしたアプローチを採用する企業が多く、セキュリティ侵害が成功し避けられない事態となった場合にのみ、サイバーセキュリティを真剣に受け止めます。残念ながら、その頃には罰金、復旧費用、顧客離れ、ブランド回復など損害が発生し、結局は収益に打撃を受けることになります。対策の代わりに取れる別の対応策は、そもそも安全なコードを作成することに焦点を当てるのではなく、自動または手動のコードスキャンに依存して既存コードの脆弱性を発見することです。残念ながらコードスキャンは完全な解決策ではありません。つまり、コードに脆弱性が多いほど、一部の脆弱性が見逃される可能性が高くなります。
予防的アプローチを採用し、開発者と協力して最初から安全なコードを作成できるよう支援することで、ユーザーにコーディング上の脆弱性が公開される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立できます。
2.スキルアップは無理しないでください
開発者にセキュアなコード作成に必要な知識を提供すると決めたなら、アプローチを賢く選択してください。コーディングを中断させる社内教育ワークショップは、開発者と管理者の双方にフラストレーションをもたらします。夜間や週末に参加しなければならない外部教育コースは、さらに人気がありません。最良の方法は、コーディングスキルを段階的に積み上げていくことです。コーディングプロセス中に段階的に関連情報を提供することで、開発者の注意を散漫にしたり開発プロセスを遅らせたりすることなく、基本的にスキルを向上させることができます。
3.インセンティブを提供してください、推測しないでください
開発者は、セキュリティ技術の向上を罰則や完全な苦役と見なすべきではありません。管理者は、セキュリティコードが会社の成功に果たす重要な役割を伝え、開発者にインスピレーションを与えるべきです。また、セキュリティコーダーは会社にとってより価値があり、将来的により多くのキャリア機会を得られるという点を伝えることも重要です。
バイデン政権の歓迎 行政命令 サイバーセキュリティへの焦点と、「開発者およびサプライヤー自身のセキュリティ慣行を評価し、セキュリティ慣行への準拠を実証するための革新的なツールまたは手法を特定する基準を含む」必要性が拡大されました。しかし、ツールは必須ではあるものの、それだけでは十分ではありません。いかなるツールも、既存のシステムやツールを無視したり、 誤解したり、悪用したり、その他の方法で回避する個人の能力を完全に排除することはできません。企業のセキュリティを最大化するために、CISOは人的要素を活用し、開発者が進んでセキュリティの支持者および実践者となるよう奨励すべきです。
私たちは最近、最初のものを目にする機会を得て大変嬉しく思いました。フォーブステクノロジーカウンシルポスト会長兼CEOであるピーター・ダニュ(Pieter Danhieux)が直接執筆しました。この投稿では、開発者のスキルを向上させてより安全なコードを作成することが、サイバー攻撃やデータ侵害を防ぐ上でいかに重要かを詳しく説明しました。さらに、セキュリティに精通した開発者が、多くのIT部門が考えている以上に優れた安全なコードを迅速に提供できるよう支援する方法についても理解できました。このアプローチの必要性は確かに説得力があります。最近の調査によれば、今や39秒ごとにサイバー攻撃が発生しています。そして私たちは皆、たった1回のランサムウェア攻撃の成功が引き起こす混乱を目の当たりにしました。コロニアル・パイプラインの事例は、より大きな枠組みで見れば、それほど破壊的ではありませんでした。SolarWindsハッキング事件ほどには。
多くの一般的な脆弱性が依然として存在しています。 開発者に対して、誤ったコーディングパターンを安全で確実な方法、つまり同じ機能を実行するより優れた方法で置き換える方法を誰も示してこなかったためです。また、開発の後半段階でソフトウェアを修正する場合、かかる時間とデプロイの遅延という点で莫大なコストが発生します。デプロイ後、特に攻撃者がこれまで発見されていなかった脆弱性を悪用した後でコードを修正するには、時には数百万ドルもの費用がかかることもあります。これには重大なセキュリティ侵害による企業の評判の毀損は含まれていません。
セキュリティ教育を受けた開発者は、自然と優れたコーダーになります。もちろんCISOはセキュリティツールをすぐに放棄すべきではありません。しかし、最高レベルから包括的かつ予防的なセキュリティアプローチを主導することで、CISOは企業最大の資源である人的要素を活用できます。特にソフトウェア開発ライフサイクルの初期段階からセキュリティコーディングに関して言えば、なおさらです。
このために留意すべき上位3つの戦略は以下の通りです。
1.事後対応ではなく、能動的に行動してください
例えば、企業は独自のビジョンを開発し追求する代わりに、競合他社の行動に対応するなど、事後対応の罠に陥ることが多いです。また、コードのセキュリティ脆弱性に関しても、こうしたアプローチを採用する企業が多く、セキュリティ侵害が成功し避けられない事態となった場合にのみ、サイバーセキュリティを真剣に受け止めます。残念ながら、その頃には罰金、復旧費用、顧客離れ、ブランド回復など損害が発生し、結局は収益に打撃を受けることになります。対策の代わりに取れる別の対応策は、そもそも安全なコードを作成することに焦点を当てるのではなく、自動または手動のコードスキャンに依存して既存コードの脆弱性を発見することです。残念ながらコードスキャンは完全な解決策ではありません。つまり、コードに脆弱性が多いほど、一部の脆弱性が見逃される可能性が高くなります。
予防的アプローチを採用し、開発者と協力して最初から安全なコードを作成できるよう支援することで、ユーザーにコーディング上の脆弱性が公開される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立できます。
2.スキルアップは無理しないでください
開発者にセキュアなコード作成に必要な知識を提供すると決めたなら、アプローチを賢く選択してください。コーディングを中断させる社内教育ワークショップは、開発者と管理者の双方にフラストレーションをもたらします。夜間や週末に参加しなければならない外部教育コースは、さらに人気がありません。最良の方法は、コーディングスキルを段階的に積み上げていくことです。コーディングプロセス中に段階的に関連情報を提供することで、開発者の注意を散漫にしたり開発プロセスを遅らせたりすることなく、基本的にスキルを向上させることができます。
3.インセンティブを提供してください、推測しないでください
開発者は、セキュリティ技術の向上を罰則や完全な苦役と見なすべきではありません。管理者は、セキュリティコードが会社の成功に果たす重要な役割を伝え、開発者にインスピレーションを与えるべきです。また、セキュリティコーダーは会社にとってより価値があり、将来的により多くのキャリア機会を得られるという点を伝えることも重要です。
バイデン政権の歓迎 行政命令 サイバーセキュリティへの焦点と、「開発者およびサプライヤー自身のセキュリティ慣行を評価し、セキュリティ慣行への準拠を実証するための革新的なツールまたは手法を特定する基準を含む」必要性が拡大されました。しかし、ツールは必須ではあるものの、それだけでは十分ではありません。いかなるツールも、既存のシステムやツールを無視したり、 誤解したり、悪用したり、その他の方法で回避する個人の能力を完全に排除することはできません。企業のセキュリティを最大化するために、CISOは人的要素を活用し、開発者が進んでセキュリティの支持者および実践者となるよう奨励すべきです。
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
私たちは最近、最初のものを目にする機会を得て大変嬉しく思いました。フォーブステクノロジーカウンシルポスト会長兼CEOであるピーター・ダニュ(Pieter Danhieux)が直接執筆しました。この投稿では、開発者のスキルを向上させてより安全なコードを作成することが、サイバー攻撃やデータ侵害を防ぐ上でいかに重要かを詳しく説明しました。さらに、セキュリティに精通した開発者が、多くのIT部門が考えている以上に優れた安全なコードを迅速に提供できるよう支援する方法についても理解できました。このアプローチの必要性は確かに説得力があります。最近の調査によれば、今や39秒ごとにサイバー攻撃が発生しています。そして私たちは皆、たった1回のランサムウェア攻撃の成功が引き起こす混乱を目の当たりにしました。コロニアル・パイプラインの事例は、より大きな枠組みで見れば、それほど破壊的ではありませんでした。SolarWindsハッキング事件ほどには。
多くの一般的な脆弱性が依然として存在しています。 開発者に対して、誤ったコーディングパターンを安全で確実な方法、つまり同じ機能を実行するより優れた方法で置き換える方法を誰も示してこなかったためです。また、開発の後半段階でソフトウェアを修正する場合、かかる時間とデプロイの遅延という点で莫大なコストが発生します。デプロイ後、特に攻撃者がこれまで発見されていなかった脆弱性を悪用した後でコードを修正するには、時には数百万ドルもの費用がかかることもあります。これには重大なセキュリティ侵害による企業の評判の毀損は含まれていません。
セキュリティ教育を受けた開発者は、自然と優れたコーダーになります。もちろんCISOはセキュリティツールをすぐに放棄すべきではありません。しかし、最高レベルから包括的かつ予防的なセキュリティアプローチを主導することで、CISOは企業最大の資源である人的要素を活用できます。特にソフトウェア開発ライフサイクルの初期段階からセキュリティコーディングに関して言えば、なおさらです。
このために留意すべき上位3つの戦略は以下の通りです。
1.事後対応ではなく、能動的に行動してください
例えば、企業は独自のビジョンを開発し追求する代わりに、競合他社の行動に対応するなど、事後対応の罠に陥ることが多いです。また、コードのセキュリティ脆弱性に関しても、こうしたアプローチを採用する企業が多く、セキュリティ侵害が成功し避けられない事態となった場合にのみ、サイバーセキュリティを真剣に受け止めます。残念ながら、その頃には罰金、復旧費用、顧客離れ、ブランド回復など損害が発生し、結局は収益に打撃を受けることになります。対策の代わりに取れる別の対応策は、そもそも安全なコードを作成することに焦点を当てるのではなく、自動または手動のコードスキャンに依存して既存コードの脆弱性を発見することです。残念ながらコードスキャンは完全な解決策ではありません。つまり、コードに脆弱性が多いほど、一部の脆弱性が見逃される可能性が高くなります。
予防的アプローチを採用し、開発者と協力して最初から安全なコードを作成できるよう支援することで、ユーザーにコーディング上の脆弱性が公開される可能性を大幅に低減するソフトウェア開発ライフサイクルを確立できます。
2.スキルアップは無理しないでください
開発者にセキュアなコード作成に必要な知識を提供すると決めたなら、アプローチを賢く選択してください。コーディングを中断させる社内教育ワークショップは、開発者と管理者の双方にフラストレーションをもたらします。夜間や週末に参加しなければならない外部教育コースは、さらに人気がありません。最良の方法は、コーディングスキルを段階的に積み上げていくことです。コーディングプロセス中に段階的に関連情報を提供することで、開発者の注意を散漫にしたり開発プロセスを遅らせたりすることなく、基本的にスキルを向上させることができます。
3.インセンティブを提供してください、推測しないでください
開発者は、セキュリティ技術の向上を罰則や完全な苦役と見なすべきではありません。管理者は、セキュリティコードが会社の成功に果たす重要な役割を伝え、開発者にインスピレーションを与えるべきです。また、セキュリティコーダーは会社にとってより価値があり、将来的により多くのキャリア機会を得られるという点を伝えることも重要です。
バイデン政権の歓迎 行政命令 サイバーセキュリティへの焦点と、「開発者およびサプライヤー自身のセキュリティ慣行を評価し、セキュリティ慣行への準拠を実証するための革新的なツールまたは手法を特定する基準を含む」必要性が拡大されました。しかし、ツールは必須ではあるものの、それだけでは十分ではありません。いかなるツールも、既存のシステムやツールを無視したり、 誤解したり、悪用したり、その他の方法で回避する個人の能力を完全に排除することはできません。企業のセキュリティを最大化するために、CISOは人的要素を活用し、開発者が進んでセキュリティの支持者および実践者となるよう奨励すべきです。
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約ダウンロード
%20(1).avif)
.avif)
