静的 vs.動的サイバーセキュリティトレーニング:衝動的なコンプライアンス対応と将来の問題
「サイバーセキュリティコンプライアンス」という言葉が流行して何年も経つように感じられる。終わりのない記事や取り組み、委員会が、この巨大で複合的な脅威であるサイバー犯罪という獣に世界がどう最善に対処すべきかを議論し続けている。
問題は、私たちがその点で大きな進歩を遂げられていないように見えることです 。世界的に見て、データ漏洩のコストは着実に上昇を続けており、5年間で12%増加し、2019年には1件あたり約392万ドルで安定しています。わずか数十年でインターネットの利用が急増する中、多くの企業は迅速にオンライン展開し、店舗を開設し、不安全なソフトウェアや限られたアプリケーションセキュリティリソース、場合によっては顧客の信頼を悪用することによる結果に対処しながら、鎧もつけずに戦わざるを得なかった。
今日、私たちは疑いようもなく成熟した。脅威の範囲を理解し詳細に議論し、各企業はサイバー攻撃が顧客感情、評判、利益に及ぼす影響を十分に認識している。多くの場所で、コンプライアンス研修、熟練者の採用、そして増え続けるDevSecOps計画を通じてソフトウェアの安全性を向上させようと積極的に取り組んでいる。大きな飛躍を遂げたにもかかわらず、この戦いに勝利したわけではない——むしろ程遠い。少なくとも40億件の記録が、2019年のデータ漏洩事件だけで盗まれた。
欠けている要素の一つは、サイバーセキュリティ基準、期待される対応、違反の帰結に関する浸透が(政府レベルで)やや遅れていることだ。GDPRの 施行により、少なくとも欧州では一部の関係者が対応を急いでいるが 、多くの政府機関は今になってようやく対応を開始した。新たに導入されたコンプライアンス措置への急な対応が、将来的に何らかの悪影響を及ぼす可能性がある。
バカが飛び込んでくる(間違った訓練に参加する)
NISTの強力なガイドライン、 ニューヨーク州の 新規制、そして英国サイバーセキュリティ委員会の設立——これらは、データ保護に取り組む人々にとって大きな勝利です。これらは現行のソフトウェア開発における課題を認識し、組織が倫理的かつコンプライアンスを満たすために達成すべきセキュリティベストプラクティス基準を定める措置です。
残念ながら、現段階では、最も重要な内容の一部を説明することがやや困難です。例えば、英国サイバーセキュリティ委員会の立法における権限の一つは:
「既に展開されているキャリアパスに基づき、明確な認証リストと理解しやすい枠組みを構築し、それらがどのようにつながっているか、またどのような能力を伝達しているかを説明する」。
時間の経過とともに、彼らの取り組みは確かに改善・発展していくでしょうが、組織が今まさに緊急ボタンを押して訓練を開始しているなら、将来に向けて準備が整っていないことに気づくかもしれません。
組織のサイバーセキュリティ要件は急速に変化しており、静的なトレーニングソリューションでは、危険なソフトウェアの流入を必要な速度で阻止することは困難です。状況の変化は従来のカリキュラムの更新速度を上回っており、一部の組織は「オンデマンド型」のコンプライアンス作業に陥る可能性があります。開発者、契約社員、その他のセキュリティ専門家が十分なトレーニングを受けていないため、我々は再び傍観状態に戻ってしまうのです。
静的トレーニングと静的ツールも同様の問題に直面する
静的解析ツールは SDLC に不可欠な要素であり、大半の大規模組織において不足し過労状態にあるアプリケーションセキュリティ専門家にとってのスキャンツールである。それらは十分に機能するが、一つの欠点がある:あらゆる脆弱性をスキャンし、既存の多様なプログラミングフレームワークをサポートする「単一の」ツールは存在しない。また、このプロセスは遅延を伴い、たった一つのセキュリティホールが攻撃者に門戸を開く可能性がある。
静的トレーニングにおいても同様の問題が存在する。開発者が厳格な「一度学べば一生もの」のコースでセキュリティ研修を受けた場合、その期間中は最も一般的なセキュリティ問題についていくことが困難になる。それは執筆時点のスナップショットに過ぎず、受講者の主要言語やフレームワークで提供されることは稀であり、日常業務で直面する可能性のある脆弱性とも無関係だ。想像してみてほしい——納期前にコードを公開しようとしながら、数ヶ月前に見た動画の関連情報を思い出そうとする状況を想像してみてください... それはまず起こりえないことです。
多くの業界が従来の教育手法を見直している。しかし開発者向けセキュリティ研修に関しては、今なお頻発するデータ漏洩事件(特にSQLインジェクションのように、数十年にわたりプログラミングで回避可能な脆弱性に起因する事例)を目の当たりにすれば、新たなアプローチが必要だと気づかされる。
私たちが必要とするトレーニングは、単一の線形カリキュラムの限界を超え、サイバーセキュリティのベストプラクティスの絶えず変化する要求に柔軟に対応できるものでなければなりません。
動的トレーニング:ゴールドスタンダード
開発者に動的なトレーニングソリューションを提供することで、ビジネス、個人のスキルレベル、一般的な業界動向に応じて迅速に調整可能なこのソリューションにより、安全なプログラミング、セキュリティを最優先にすること、そしてセキュリティ意識を持って行動するための最良の基盤を提供できます。
画一的な研修、再検討を一切行わない研修、最初から参加しない研修は完全に時間の無駄であり、残念ながら、これは最終的にコンプライアンスのために衝動的に無効な計画を購入することになりかねない。それは導入前にすでに時代遅れになっているか、彼らの日常業務のニーズとはほとんど無関係である可能性がある。
動的トレーニングは生き生きとした呼吸ツールであり、絶えず更新され、日常のニーズに適合します。これによりユーザーは批判的思考を実践し、実質的に学習スキルと問題解決能力を身につけることができます。
では、安全の文脈において、動的なトレーニング計画はどのようなものになるのでしょうか?
それは:
- 一口サイズ:開発者は管理可能な部分でスキルを習得でき、これらのスキルは冗長なトレーニングデッキや動画よりも覚えやすく(さらに重要なのは応用しやすい)
- 関連:開発者が主にJavaでコードを書く場合 、例が(例えば)C#で書かれているなら、汎用的なセキュリティトレーニングに何の意味があるのでしょうか?あらゆるトレーニングは、彼らの役割に直接適用され、プログラミング時に何を見つけ修正すべきか(できれば最初に回避すべきこと)を認識できるようにすべきです。
- 現在:これは 明白に見えるが、実際にはそうではない。サイバーセキュリティ環境は絶えず変化しており、コードが増えれば増えるほど責任も重くなる。開発者を第一の防衛ラインとするためには、彼らが現代のセキュリティベストプラクティスに歩調を合わせるよう教育する必要がある。
- 開発者にとって 「セキュリティ」が 厄介な仕事であることは、 もはや公然の秘密です。特にそれが創造的な作業プロセスを妨げる場合にはなおさらです。適切なトレーニングは、日常的なセキュリティ課題(重大なリスクに発展する可能性のあるもの)への対処能力、責任ある文化の構築、そしてセキュリティ意識の醸成において、彼らに何ができるかを示します。
- 楽しさ: 動的トレーニングが退屈 なことはほとんどありません。設計上、少なくとも多少の興奮を伴うべきです。開発者が何に魅力を感じるかを考えてみてください:問題解決、同僚との競争、そして多くの従業員と同様に、報酬と評価です。自らの強みを生かし、最高の成果を上げることに集中しましょう。
ソフトウェアエンジニアにとって、これは胸躍る瞬間です。彼らはデジタルイノベーションにおいて不可欠な役割を果たし、優れた企業を築き上げ、自らの創造物で世界を席巻することさえあります。しかし、政府機関や大企業がソフトウェアセキュリティ基準策定における自らの役割を認識するにつれ、官僚的なチェックリスト活動ではなく、効果的で動的なトレーニングソリューションを通じて彼らを支援し、安全なコーディングへの情熱を育むことが重要となります。
規制措置は時間の経過とともに改善・発展していくことは間違いないが、組織が今まさに緊急ボタンを押して研修を開始しているならば、将来に向けて準備が整っていないことに気づくかもしれない。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
「サイバーセキュリティコンプライアンス」という言葉が流行して何年も経つように感じられる。終わりのない記事や取り組み、委員会が、この巨大で複合的な脅威であるサイバー犯罪という獣に世界がどう最善に対処すべきかを議論し続けている。
問題は、私たちがその点で大きな進歩を遂げられていないように見えることです 。世界的に見て、データ漏洩のコストは着実に上昇を続けており、5年間で12%増加し、2019年には1件あたり約392万ドルで安定しています。わずか数十年でインターネットの利用が急増する中、多くの企業は迅速にオンライン展開し、店舗を開設し、不安全なソフトウェアや限られたアプリケーションセキュリティリソース、場合によっては顧客の信頼を悪用することによる結果に対処しながら、鎧もつけずに戦わざるを得なかった。
今日、私たちは疑いようもなく成熟した。脅威の範囲を理解し詳細に議論し、各企業はサイバー攻撃が顧客感情、評判、利益に及ぼす影響を十分に認識している。多くの場所で、コンプライアンス研修、熟練者の採用、そして増え続けるDevSecOps計画を通じてソフトウェアの安全性を向上させようと積極的に取り組んでいる。大きな飛躍を遂げたにもかかわらず、この戦いに勝利したわけではない——むしろ程遠い。少なくとも40億件の記録が、2019年のデータ漏洩事件だけで盗まれた。
欠けている要素の一つは、サイバーセキュリティ基準、期待される対応、違反の帰結に関する浸透が(政府レベルで)やや遅れていることだ。GDPRの 施行により、少なくとも欧州では一部の関係者が対応を急いでいるが 、多くの政府機関は今になってようやく対応を開始した。新たに導入されたコンプライアンス措置への急な対応が、将来的に何らかの悪影響を及ぼす可能性がある。
バカが飛び込んでくる(間違った訓練に参加する)
NISTの強力なガイドライン、 ニューヨーク州の 新規制、そして英国サイバーセキュリティ委員会の設立——これらは、データ保護に取り組む人々にとって大きな勝利です。これらは現行のソフトウェア開発における課題を認識し、組織が倫理的かつコンプライアンスを満たすために達成すべきセキュリティベストプラクティス基準を定める措置です。
残念ながら、現段階では、最も重要な内容の一部を説明することがやや困難です。例えば、英国サイバーセキュリティ委員会の立法における権限の一つは:
「既に展開されているキャリアパスに基づき、明確な認証リストと理解しやすい枠組みを構築し、それらがどのようにつながっているか、またどのような能力を伝達しているかを説明する」。
時間の経過とともに、彼らの取り組みは確かに改善・発展していくでしょうが、組織が今まさに緊急ボタンを押して訓練を開始しているなら、将来に向けて準備が整っていないことに気づくかもしれません。
組織のサイバーセキュリティ要件は急速に変化しており、静的なトレーニングソリューションでは、危険なソフトウェアの流入を必要な速度で阻止することは困難です。状況の変化は従来のカリキュラムの更新速度を上回っており、一部の組織は「オンデマンド型」のコンプライアンス作業に陥る可能性があります。開発者、契約社員、その他のセキュリティ専門家が十分なトレーニングを受けていないため、我々は再び傍観状態に戻ってしまうのです。
静的トレーニングと静的ツールも同様の問題に直面する
静的解析ツールは SDLC に不可欠な要素であり、大半の大規模組織において不足し過労状態にあるアプリケーションセキュリティ専門家にとってのスキャンツールである。それらは十分に機能するが、一つの欠点がある:あらゆる脆弱性をスキャンし、既存の多様なプログラミングフレームワークをサポートする「単一の」ツールは存在しない。また、このプロセスは遅延を伴い、たった一つのセキュリティホールが攻撃者に門戸を開く可能性がある。
静的トレーニングにおいても同様の問題が存在する。開発者が厳格な「一度学べば一生もの」のコースでセキュリティ研修を受けた場合、その期間中は最も一般的なセキュリティ問題についていくことが困難になる。それは執筆時点のスナップショットに過ぎず、受講者の主要言語やフレームワークで提供されることは稀であり、日常業務で直面する可能性のある脆弱性とも無関係だ。想像してみてほしい——納期前にコードを公開しようとしながら、数ヶ月前に見た動画の関連情報を思い出そうとする状況を想像してみてください... それはまず起こりえないことです。
多くの業界が従来の教育手法を見直している。しかし開発者向けセキュリティ研修に関しては、今なお頻発するデータ漏洩事件(特にSQLインジェクションのように、数十年にわたりプログラミングで回避可能な脆弱性に起因する事例)を目の当たりにすれば、新たなアプローチが必要だと気づかされる。
私たちが必要とするトレーニングは、単一の線形カリキュラムの限界を超え、サイバーセキュリティのベストプラクティスの絶えず変化する要求に柔軟に対応できるものでなければなりません。
動的トレーニング:ゴールドスタンダード
開発者に動的なトレーニングソリューションを提供することで、ビジネス、個人のスキルレベル、一般的な業界動向に応じて迅速に調整可能なこのソリューションにより、安全なプログラミング、セキュリティを最優先にすること、そしてセキュリティ意識を持って行動するための最良の基盤を提供できます。
画一的な研修、再検討を一切行わない研修、最初から参加しない研修は完全に時間の無駄であり、残念ながら、これは最終的にコンプライアンスのために衝動的に無効な計画を購入することになりかねない。それは導入前にすでに時代遅れになっているか、彼らの日常業務のニーズとはほとんど無関係である可能性がある。
動的トレーニングは生き生きとした呼吸ツールであり、絶えず更新され、日常のニーズに適合します。これによりユーザーは批判的思考を実践し、実質的に学習スキルと問題解決能力を身につけることができます。
では、安全の文脈において、動的なトレーニング計画はどのようなものになるのでしょうか?
それは:
- 一口サイズ:開発者は管理可能な部分でスキルを習得でき、これらのスキルは冗長なトレーニングデッキや動画よりも覚えやすく(さらに重要なのは応用しやすい)
- 関連:開発者が主にJavaでコードを書く場合 、例が(例えば)C#で書かれているなら、汎用的なセキュリティトレーニングに何の意味があるのでしょうか?あらゆるトレーニングは、彼らの役割に直接適用され、プログラミング時に何を見つけ修正すべきか(できれば最初に回避すべきこと)を認識できるようにすべきです。
- 現在:これは 明白に見えるが、実際にはそうではない。サイバーセキュリティ環境は絶えず変化しており、コードが増えれば増えるほど責任も重くなる。開発者を第一の防衛ラインとするためには、彼らが現代のセキュリティベストプラクティスに歩調を合わせるよう教育する必要がある。
- 開発者にとって 「セキュリティ」が 厄介な仕事であることは、 もはや公然の秘密です。特にそれが創造的な作業プロセスを妨げる場合にはなおさらです。適切なトレーニングは、日常的なセキュリティ課題(重大なリスクに発展する可能性のあるもの)への対処能力、責任ある文化の構築、そしてセキュリティ意識の醸成において、彼らに何ができるかを示します。
- 楽しさ: 動的トレーニングが退屈 なことはほとんどありません。設計上、少なくとも多少の興奮を伴うべきです。開発者が何に魅力を感じるかを考えてみてください:問題解決、同僚との競争、そして多くの従業員と同様に、報酬と評価です。自らの強みを生かし、最高の成果を上げることに集中しましょう。
ソフトウェアエンジニアにとって、これは胸躍る瞬間です。彼らはデジタルイノベーションにおいて不可欠な役割を果たし、優れた企業を築き上げ、自らの創造物で世界を席巻することさえあります。しかし、政府機関や大企業がソフトウェアセキュリティ基準策定における自らの役割を認識するにつれ、官僚的なチェックリスト活動ではなく、効果的で動的なトレーニングソリューションを通じて彼らを支援し、安全なコーディングへの情熱を育むことが重要となります。
「サイバーセキュリティコンプライアンス」という言葉が流行して何年も経つように感じられる。終わりのない記事や取り組み、委員会が、この巨大で複合的な脅威であるサイバー犯罪という獣に世界がどう最善に対処すべきかを議論し続けている。
問題は、私たちがその点で大きな進歩を遂げられていないように見えることです 。世界的に見て、データ漏洩のコストは着実に上昇を続けており、5年間で12%増加し、2019年には1件あたり約392万ドルで安定しています。わずか数十年でインターネットの利用が急増する中、多くの企業は迅速にオンライン展開し、店舗を開設し、不安全なソフトウェアや限られたアプリケーションセキュリティリソース、場合によっては顧客の信頼を悪用することによる結果に対処しながら、鎧もつけずに戦わざるを得なかった。
今日、私たちは疑いようもなく成熟した。脅威の範囲を理解し詳細に議論し、各企業はサイバー攻撃が顧客感情、評判、利益に及ぼす影響を十分に認識している。多くの場所で、コンプライアンス研修、熟練者の採用、そして増え続けるDevSecOps計画を通じてソフトウェアの安全性を向上させようと積極的に取り組んでいる。大きな飛躍を遂げたにもかかわらず、この戦いに勝利したわけではない——むしろ程遠い。少なくとも40億件の記録が、2019年のデータ漏洩事件だけで盗まれた。
欠けている要素の一つは、サイバーセキュリティ基準、期待される対応、違反の帰結に関する浸透が(政府レベルで)やや遅れていることだ。GDPRの 施行により、少なくとも欧州では一部の関係者が対応を急いでいるが 、多くの政府機関は今になってようやく対応を開始した。新たに導入されたコンプライアンス措置への急な対応が、将来的に何らかの悪影響を及ぼす可能性がある。
バカが飛び込んでくる(間違った訓練に参加する)
NISTの強力なガイドライン、 ニューヨーク州の 新規制、そして英国サイバーセキュリティ委員会の設立——これらは、データ保護に取り組む人々にとって大きな勝利です。これらは現行のソフトウェア開発における課題を認識し、組織が倫理的かつコンプライアンスを満たすために達成すべきセキュリティベストプラクティス基準を定める措置です。
残念ながら、現段階では、最も重要な内容の一部を説明することがやや困難です。例えば、英国サイバーセキュリティ委員会の立法における権限の一つは:
「既に展開されているキャリアパスに基づき、明確な認証リストと理解しやすい枠組みを構築し、それらがどのようにつながっているか、またどのような能力を伝達しているかを説明する」。
時間の経過とともに、彼らの取り組みは確かに改善・発展していくでしょうが、組織が今まさに緊急ボタンを押して訓練を開始しているなら、将来に向けて準備が整っていないことに気づくかもしれません。
組織のサイバーセキュリティ要件は急速に変化しており、静的なトレーニングソリューションでは、危険なソフトウェアの流入を必要な速度で阻止することは困難です。状況の変化は従来のカリキュラムの更新速度を上回っており、一部の組織は「オンデマンド型」のコンプライアンス作業に陥る可能性があります。開発者、契約社員、その他のセキュリティ専門家が十分なトレーニングを受けていないため、我々は再び傍観状態に戻ってしまうのです。
静的トレーニングと静的ツールも同様の問題に直面する
静的解析ツールは SDLC に不可欠な要素であり、大半の大規模組織において不足し過労状態にあるアプリケーションセキュリティ専門家にとってのスキャンツールである。それらは十分に機能するが、一つの欠点がある:あらゆる脆弱性をスキャンし、既存の多様なプログラミングフレームワークをサポートする「単一の」ツールは存在しない。また、このプロセスは遅延を伴い、たった一つのセキュリティホールが攻撃者に門戸を開く可能性がある。
静的トレーニングにおいても同様の問題が存在する。開発者が厳格な「一度学べば一生もの」のコースでセキュリティ研修を受けた場合、その期間中は最も一般的なセキュリティ問題についていくことが困難になる。それは執筆時点のスナップショットに過ぎず、受講者の主要言語やフレームワークで提供されることは稀であり、日常業務で直面する可能性のある脆弱性とも無関係だ。想像してみてほしい——納期前にコードを公開しようとしながら、数ヶ月前に見た動画の関連情報を思い出そうとする状況を想像してみてください... それはまず起こりえないことです。
多くの業界が従来の教育手法を見直している。しかし開発者向けセキュリティ研修に関しては、今なお頻発するデータ漏洩事件(特にSQLインジェクションのように、数十年にわたりプログラミングで回避可能な脆弱性に起因する事例)を目の当たりにすれば、新たなアプローチが必要だと気づかされる。
私たちが必要とするトレーニングは、単一の線形カリキュラムの限界を超え、サイバーセキュリティのベストプラクティスの絶えず変化する要求に柔軟に対応できるものでなければなりません。
動的トレーニング:ゴールドスタンダード
開発者に動的なトレーニングソリューションを提供することで、ビジネス、個人のスキルレベル、一般的な業界動向に応じて迅速に調整可能なこのソリューションにより、安全なプログラミング、セキュリティを最優先にすること、そしてセキュリティ意識を持って行動するための最良の基盤を提供できます。
画一的な研修、再検討を一切行わない研修、最初から参加しない研修は完全に時間の無駄であり、残念ながら、これは最終的にコンプライアンスのために衝動的に無効な計画を購入することになりかねない。それは導入前にすでに時代遅れになっているか、彼らの日常業務のニーズとはほとんど無関係である可能性がある。
動的トレーニングは生き生きとした呼吸ツールであり、絶えず更新され、日常のニーズに適合します。これによりユーザーは批判的思考を実践し、実質的に学習スキルと問題解決能力を身につけることができます。
では、安全の文脈において、動的なトレーニング計画はどのようなものになるのでしょうか?
それは:
- 一口サイズ:開発者は管理可能な部分でスキルを習得でき、これらのスキルは冗長なトレーニングデッキや動画よりも覚えやすく(さらに重要なのは応用しやすい)
- 関連:開発者が主にJavaでコードを書く場合 、例が(例えば)C#で書かれているなら、汎用的なセキュリティトレーニングに何の意味があるのでしょうか?あらゆるトレーニングは、彼らの役割に直接適用され、プログラミング時に何を見つけ修正すべきか(できれば最初に回避すべきこと)を認識できるようにすべきです。
- 現在:これは 明白に見えるが、実際にはそうではない。サイバーセキュリティ環境は絶えず変化しており、コードが増えれば増えるほど責任も重くなる。開発者を第一の防衛ラインとするためには、彼らが現代のセキュリティベストプラクティスに歩調を合わせるよう教育する必要がある。
- 開発者にとって 「セキュリティ」が 厄介な仕事であることは、 もはや公然の秘密です。特にそれが創造的な作業プロセスを妨げる場合にはなおさらです。適切なトレーニングは、日常的なセキュリティ課題(重大なリスクに発展する可能性のあるもの)への対処能力、責任ある文化の構築、そしてセキュリティ意識の醸成において、彼らに何ができるかを示します。
- 楽しさ: 動的トレーニングが退屈 なことはほとんどありません。設計上、少なくとも多少の興奮を伴うべきです。開発者が何に魅力を感じるかを考えてみてください:問題解決、同僚との競争、そして多くの従業員と同様に、報酬と評価です。自らの強みを生かし、最高の成果を上げることに集中しましょう。
ソフトウェアエンジニアにとって、これは胸躍る瞬間です。彼らはデジタルイノベーションにおいて不可欠な役割を果たし、優れた企業を築き上げ、自らの創造物で世界を席巻することさえあります。しかし、政府機関や大企業がソフトウェアセキュリティ基準策定における自らの役割を認識するにつれ、官僚的なチェックリスト活動ではなく、効果的で動的なトレーニングソリューションを通じて彼らを支援し、安全なコーディングへの情熱を育むことが重要となります。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
「サイバーセキュリティコンプライアンス」という言葉が流行して何年も経つように感じられる。終わりのない記事や取り組み、委員会が、この巨大で複合的な脅威であるサイバー犯罪という獣に世界がどう最善に対処すべきかを議論し続けている。
問題は、私たちがその点で大きな進歩を遂げられていないように見えることです 。世界的に見て、データ漏洩のコストは着実に上昇を続けており、5年間で12%増加し、2019年には1件あたり約392万ドルで安定しています。わずか数十年でインターネットの利用が急増する中、多くの企業は迅速にオンライン展開し、店舗を開設し、不安全なソフトウェアや限られたアプリケーションセキュリティリソース、場合によっては顧客の信頼を悪用することによる結果に対処しながら、鎧もつけずに戦わざるを得なかった。
今日、私たちは疑いようもなく成熟した。脅威の範囲を理解し詳細に議論し、各企業はサイバー攻撃が顧客感情、評判、利益に及ぼす影響を十分に認識している。多くの場所で、コンプライアンス研修、熟練者の採用、そして増え続けるDevSecOps計画を通じてソフトウェアの安全性を向上させようと積極的に取り組んでいる。大きな飛躍を遂げたにもかかわらず、この戦いに勝利したわけではない——むしろ程遠い。少なくとも40億件の記録が、2019年のデータ漏洩事件だけで盗まれた。
欠けている要素の一つは、サイバーセキュリティ基準、期待される対応、違反の帰結に関する浸透が(政府レベルで)やや遅れていることだ。GDPRの 施行により、少なくとも欧州では一部の関係者が対応を急いでいるが 、多くの政府機関は今になってようやく対応を開始した。新たに導入されたコンプライアンス措置への急な対応が、将来的に何らかの悪影響を及ぼす可能性がある。
バカが飛び込んでくる(間違った訓練に参加する)
NISTの強力なガイドライン、 ニューヨーク州の 新規制、そして英国サイバーセキュリティ委員会の設立——これらは、データ保護に取り組む人々にとって大きな勝利です。これらは現行のソフトウェア開発における課題を認識し、組織が倫理的かつコンプライアンスを満たすために達成すべきセキュリティベストプラクティス基準を定める措置です。
残念ながら、現段階では、最も重要な内容の一部を説明することがやや困難です。例えば、英国サイバーセキュリティ委員会の立法における権限の一つは:
「既に展開されているキャリアパスに基づき、明確な認証リストと理解しやすい枠組みを構築し、それらがどのようにつながっているか、またどのような能力を伝達しているかを説明する」。
時間の経過とともに、彼らの取り組みは確かに改善・発展していくでしょうが、組織が今まさに緊急ボタンを押して訓練を開始しているなら、将来に向けて準備が整っていないことに気づくかもしれません。
組織のサイバーセキュリティ要件は急速に変化しており、静的なトレーニングソリューションでは、危険なソフトウェアの流入を必要な速度で阻止することは困難です。状況の変化は従来のカリキュラムの更新速度を上回っており、一部の組織は「オンデマンド型」のコンプライアンス作業に陥る可能性があります。開発者、契約社員、その他のセキュリティ専門家が十分なトレーニングを受けていないため、我々は再び傍観状態に戻ってしまうのです。
静的トレーニングと静的ツールも同様の問題に直面する
静的解析ツールは SDLC に不可欠な要素であり、大半の大規模組織において不足し過労状態にあるアプリケーションセキュリティ専門家にとってのスキャンツールである。それらは十分に機能するが、一つの欠点がある:あらゆる脆弱性をスキャンし、既存の多様なプログラミングフレームワークをサポートする「単一の」ツールは存在しない。また、このプロセスは遅延を伴い、たった一つのセキュリティホールが攻撃者に門戸を開く可能性がある。
静的トレーニングにおいても同様の問題が存在する。開発者が厳格な「一度学べば一生もの」のコースでセキュリティ研修を受けた場合、その期間中は最も一般的なセキュリティ問題についていくことが困難になる。それは執筆時点のスナップショットに過ぎず、受講者の主要言語やフレームワークで提供されることは稀であり、日常業務で直面する可能性のある脆弱性とも無関係だ。想像してみてほしい——納期前にコードを公開しようとしながら、数ヶ月前に見た動画の関連情報を思い出そうとする状況を想像してみてください... それはまず起こりえないことです。
多くの業界が従来の教育手法を見直している。しかし開発者向けセキュリティ研修に関しては、今なお頻発するデータ漏洩事件(特にSQLインジェクションのように、数十年にわたりプログラミングで回避可能な脆弱性に起因する事例)を目の当たりにすれば、新たなアプローチが必要だと気づかされる。
私たちが必要とするトレーニングは、単一の線形カリキュラムの限界を超え、サイバーセキュリティのベストプラクティスの絶えず変化する要求に柔軟に対応できるものでなければなりません。
動的トレーニング:ゴールドスタンダード
開発者に動的なトレーニングソリューションを提供することで、ビジネス、個人のスキルレベル、一般的な業界動向に応じて迅速に調整可能なこのソリューションにより、安全なプログラミング、セキュリティを最優先にすること、そしてセキュリティ意識を持って行動するための最良の基盤を提供できます。
画一的な研修、再検討を一切行わない研修、最初から参加しない研修は完全に時間の無駄であり、残念ながら、これは最終的にコンプライアンスのために衝動的に無効な計画を購入することになりかねない。それは導入前にすでに時代遅れになっているか、彼らの日常業務のニーズとはほとんど無関係である可能性がある。
動的トレーニングは生き生きとした呼吸ツールであり、絶えず更新され、日常のニーズに適合します。これによりユーザーは批判的思考を実践し、実質的に学習スキルと問題解決能力を身につけることができます。
では、安全の文脈において、動的なトレーニング計画はどのようなものになるのでしょうか?
それは:
- 一口サイズ:開発者は管理可能な部分でスキルを習得でき、これらのスキルは冗長なトレーニングデッキや動画よりも覚えやすく(さらに重要なのは応用しやすい)
- 関連:開発者が主にJavaでコードを書く場合 、例が(例えば)C#で書かれているなら、汎用的なセキュリティトレーニングに何の意味があるのでしょうか?あらゆるトレーニングは、彼らの役割に直接適用され、プログラミング時に何を見つけ修正すべきか(できれば最初に回避すべきこと)を認識できるようにすべきです。
- 現在:これは 明白に見えるが、実際にはそうではない。サイバーセキュリティ環境は絶えず変化しており、コードが増えれば増えるほど責任も重くなる。開発者を第一の防衛ラインとするためには、彼らが現代のセキュリティベストプラクティスに歩調を合わせるよう教育する必要がある。
- 開発者にとって 「セキュリティ」が 厄介な仕事であることは、 もはや公然の秘密です。特にそれが創造的な作業プロセスを妨げる場合にはなおさらです。適切なトレーニングは、日常的なセキュリティ課題(重大なリスクに発展する可能性のあるもの)への対処能力、責任ある文化の構築、そしてセキュリティ意識の醸成において、彼らに何ができるかを示します。
- 楽しさ: 動的トレーニングが退屈 なことはほとんどありません。設計上、少なくとも多少の興奮を伴うべきです。開発者が何に魅力を感じるかを考えてみてください:問題解決、同僚との競争、そして多くの従業員と同様に、報酬と評価です。自らの強みを生かし、最高の成果を上げることに集中しましょう。
ソフトウェアエンジニアにとって、これは胸躍る瞬間です。彼らはデジタルイノベーションにおいて不可欠な役割を果たし、優れた企業を築き上げ、自らの創造物で世界を席巻することさえあります。しかし、政府機関や大企業がソフトウェアセキュリティ基準策定における自らの役割を認識するにつれ、官僚的なチェックリスト活動ではなく、効果的で動的なトレーニングソリューションを通じて彼らを支援し、安全なコーディングへの情熱を育むことが重要となります。
%20(1).avif)
.avif)
