なぜサイバーセキュリティにおける人的要因を決して軽視してはならないのか
私たちは最近、最初のフォーブステクノロジー委員会投稿が、当社の会長兼CEOであるピーター・ダンシックスによって公開されたことを大変嬉しく思っています。この記事では、より安全なコードを作成するための開発者のスキル向上がいかに重要であるか、それがサイバー攻撃やデータ漏洩を防ぐ鍵となることを詳細に説明しています。それだけでなく、セキュリティ意識の高い開発者が、多くのIT部門が認識している以上に優れた安全なコードを提供する方法も明らかにしています。このアプローチへの需要は間違いなく差し迫っています。最近の調査では、現在39秒ごとにサイバー攻撃が発生していることが判明し、また私たちはたった1件の成功したランサムウェア攻撃が引き起こした混乱を目の当たりにしました。コロニアル・パイプラインの事例は、より大きな視点で見れば、SolarWindsハッキングほどの破壊的ではありませんでした。
多くの一般的な脆弱性が依然として存在する理由は、不良なコーディングパターンを置き換える方法——つまり、同じ機能をより安全で確実な方法で実現する手法——を開発者に示す者がこれまで存在しなかったためである。さらに、ソフトウェア開発の後期段階で修正を行うことは、かかる時間とデプロイの遅延の両面で極めて高額な影響をもたらす。コードをデプロイした後の修正、特に攻撃者が未発見の脆弱性を悪用した後の修正には、時に数百万ドルもの費用がかかる場合がある。重大な侵害事件後の企業評判へのダメージすら考慮に入れていない。
セキュリティ研修を受けた開発者は、当然ながらより優れたプログラマーとなる。もちろん、最高情報セキュリティ責任者は短期的にセキュリティツールを放棄すべきではないが、上層部による包括的な予防的セキュリティ手法を通じて、特にソフトウェア開発ライフサイクルの初期段階からセキュアコーディングを組み込むことで、最高情報セキュリティ責任者は自社の最大の資源である人的要素を活用できる。
このため、以下の三つの最も重要な高度な戦略を覚えておいてください。
1。積極的かつ主体的に行動し、受動的ではない。
企業はしばしば受動的な対応の罠に陥る。例えば、独自のビジョンを策定し追求する代わりに、競合他社の行動に反応するだけだ。コード内のセキュリティ脆弱性に関しても、多くの人々がこの方法をデフォルトとして採用し、脆弱性が実際に悪用されて初めてサイバーセキュリティを真剣に考える。残念ながら、その時点では既に損害が発生しており、罰金、損失補填、顧客離れ、ブランド回復のコストが利益を上回る事態に陥る。もう一つの反応的アプローチは、最初から安全なコード作成に注力せず、自動/手動のスキャンに依存して既存コードの脆弱性を発見しようとするものだ。しかしコードスキャンは完璧な解決策ではなく、脆弱性が多いコードほど見逃されるリスクが高まる。
積極的なアプローチを採用し、開発者と協力して最初から安全なコードを作成するよう支援することで初めて、ソフトウェア開発ライフサイクルを構築でき、ユーザーにコードの脆弱性を公開する可能性を大幅に低減できる。
2。スキルを向上させ、過度な矯正は避ける
開発者に安全なコード作成に必要な知識を提供すると決めたら、その方法を賢明に選択してください。プログラミングを中断させる社内研修ワークショップは、開発者と管理者の双方に不満をもたらします。夜間や週末に参加を要するオフサイト研修はさらに不評です。最良の方法は、プログラミングスキルを段階的に育成し、コーディングプロセスの中で関連情報を徐々に提供することです。本質的には、開発者の注意を著しく散漫にさせたり開発プロセスを遅らせたりすることなくスキルを向上させることです。
3.激励,不要假设
開発者は、セキュリティスキルの向上を罰や単なる苦役と捉えるべきではない。管理者は、安全なコードが会社の成功に果たす重要な役割を伝えることで、開発者を動機づける必要がある。同様に重要なのは、安全なコーディングを行う人材が会社にとってより価値が高く、将来的により多くのキャリア機会を得られることを伝えることである。
バイデン政権はこれを歓迎した 大統領令 サイバーセキュリティへの関心を高め、「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を組み込み、安全慣行への準拠を証明するための革新的なツールや手法を特定する」必要性を強調した。しかし、ツールが不可欠であるにもかかわらず、それだけでは不十分です。いかなるツールも、個人が何らかの形で設置されたシステムやツールを無視、誤解、悪用、あるいは回避する能力を完全に排除することはできません。企業のセキュリティを最大限に高めるためには、最高情報セキュリティ責任者(CISO)が人的要因を活用し、開発者が自発的なセキュリティの支持者かつ実践者となるよう促す必要があります。
最近、当社の会長兼最高経営責任者であるピーター・ダンシックスがフォーブス・テクノロジー委員会の初投稿を公開したことを大変嬉しく思います。この投稿では、より安全なコードを作成するための開発者のスキル向上がいかに重要であるか、それがサイバー攻撃やデータ漏洩を防ぐ鍵となることを詳しく説明しています。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
私たちは最近、最初のフォーブステクノロジー委員会投稿が、当社の会長兼CEOであるピーター・ダンシックスによって公開されたことを大変嬉しく思っています。この記事では、より安全なコードを作成するための開発者のスキル向上がいかに重要であるか、それがサイバー攻撃やデータ漏洩を防ぐ鍵となることを詳細に説明しています。それだけでなく、セキュリティ意識の高い開発者が、多くのIT部門が認識している以上に優れた安全なコードを提供する方法も明らかにしています。このアプローチへの需要は間違いなく差し迫っています。最近の調査では、現在39秒ごとにサイバー攻撃が発生していることが判明し、また私たちはたった1件の成功したランサムウェア攻撃が引き起こした混乱を目の当たりにしました。コロニアル・パイプラインの事例は、より大きな視点で見れば、SolarWindsハッキングほどの破壊的ではありませんでした。
多くの一般的な脆弱性が依然として存在する理由は、不良なコーディングパターンを置き換える方法——つまり、同じ機能をより安全で確実な方法で実現する手法——を開発者に示す者がこれまで存在しなかったためである。さらに、ソフトウェア開発の後期段階で修正を行うことは、かかる時間とデプロイの遅延の両面で極めて高額な影響をもたらす。コードをデプロイした後の修正、特に攻撃者が未発見の脆弱性を悪用した後の修正には、時に数百万ドルもの費用がかかる場合がある。重大な侵害事件後の企業評判へのダメージすら考慮に入れていない。
セキュリティ研修を受けた開発者は、当然ながらより優れたプログラマーとなる。もちろん、最高情報セキュリティ責任者は短期的にセキュリティツールを放棄すべきではないが、上層部による包括的な予防的セキュリティ手法を通じて、特にソフトウェア開発ライフサイクルの初期段階からセキュアコーディングを組み込むことで、最高情報セキュリティ責任者は自社の最大の資源である人的要素を活用できる。
このため、以下の三つの最も重要な高度な戦略を覚えておいてください。
1。積極的かつ主体的に行動し、受動的ではない。
企業はしばしば受動的な対応の罠に陥る。例えば、独自のビジョンを策定し追求する代わりに、競合他社の行動に反応するだけだ。コード内のセキュリティ脆弱性に関しても、多くの人々がこの方法をデフォルトとして採用し、脆弱性が実際に悪用されて初めてサイバーセキュリティを真剣に考える。残念ながら、その時点では既に損害が発生しており、罰金、損失補填、顧客離れ、ブランド回復のコストが利益を上回る事態に陥る。もう一つの反応的アプローチは、最初から安全なコード作成に注力せず、自動/手動のスキャンに依存して既存コードの脆弱性を発見しようとするものだ。しかしコードスキャンは完璧な解決策ではなく、脆弱性が多いコードほど見逃されるリスクが高まる。
積極的なアプローチを採用し、開発者と協力して最初から安全なコードを作成するよう支援することで初めて、ソフトウェア開発ライフサイクルを構築でき、ユーザーにコードの脆弱性を公開する可能性を大幅に低減できる。
2。スキルを向上させ、過度な矯正は避ける
開発者に安全なコード作成に必要な知識を提供すると決めたら、その方法を賢明に選択してください。プログラミングを中断させる社内研修ワークショップは、開発者と管理者の双方に不満をもたらします。夜間や週末に参加を要するオフサイト研修はさらに不評です。最良の方法は、プログラミングスキルを段階的に育成し、コーディングプロセスの中で関連情報を徐々に提供することです。本質的には、開発者の注意を著しく散漫にさせたり開発プロセスを遅らせたりすることなくスキルを向上させることです。
3.激励,不要假设
開発者は、セキュリティスキルの向上を罰や単なる苦役と捉えるべきではない。管理者は、安全なコードが会社の成功に果たす重要な役割を伝えることで、開発者を動機づける必要がある。同様に重要なのは、安全なコーディングを行う人材が会社にとってより価値が高く、将来的により多くのキャリア機会を得られることを伝えることである。
バイデン政権はこれを歓迎した 大統領令 サイバーセキュリティへの関心を高め、「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を組み込み、安全慣行への準拠を証明するための革新的なツールや手法を特定する」必要性を強調した。しかし、ツールが不可欠であるにもかかわらず、それだけでは不十分です。いかなるツールも、個人が何らかの形で設置されたシステムやツールを無視、誤解、悪用、あるいは回避する能力を完全に排除することはできません。企業のセキュリティを最大限に高めるためには、最高情報セキュリティ責任者(CISO)が人的要因を活用し、開発者が自発的なセキュリティの支持者かつ実践者となるよう促す必要があります。
私たちは最近、最初のフォーブステクノロジー委員会投稿が、当社の会長兼CEOであるピーター・ダンシックスによって公開されたことを大変嬉しく思っています。この記事では、より安全なコードを作成するための開発者のスキル向上がいかに重要であるか、それがサイバー攻撃やデータ漏洩を防ぐ鍵となることを詳細に説明しています。それだけでなく、セキュリティ意識の高い開発者が、多くのIT部門が認識している以上に優れた安全なコードを提供する方法も明らかにしています。このアプローチへの需要は間違いなく差し迫っています。最近の調査では、現在39秒ごとにサイバー攻撃が発生していることが判明し、また私たちはたった1件の成功したランサムウェア攻撃が引き起こした混乱を目の当たりにしました。コロニアル・パイプラインの事例は、より大きな視点で見れば、SolarWindsハッキングほどの破壊的ではありませんでした。
多くの一般的な脆弱性が依然として存在する理由は、不良なコーディングパターンを置き換える方法——つまり、同じ機能をより安全で確実な方法で実現する手法——を開発者に示す者がこれまで存在しなかったためである。さらに、ソフトウェア開発の後期段階で修正を行うことは、かかる時間とデプロイの遅延の両面で極めて高額な影響をもたらす。コードをデプロイした後の修正、特に攻撃者が未発見の脆弱性を悪用した後の修正には、時に数百万ドルもの費用がかかる場合がある。重大な侵害事件後の企業評判へのダメージすら考慮に入れていない。
セキュリティ研修を受けた開発者は、当然ながらより優れたプログラマーとなる。もちろん、最高情報セキュリティ責任者は短期的にセキュリティツールを放棄すべきではないが、上層部による包括的な予防的セキュリティ手法を通じて、特にソフトウェア開発ライフサイクルの初期段階からセキュアコーディングを組み込むことで、最高情報セキュリティ責任者は自社の最大の資源である人的要素を活用できる。
このため、以下の三つの最も重要な高度な戦略を覚えておいてください。
1。積極的かつ主体的に行動し、受動的ではない。
企業はしばしば受動的な対応の罠に陥る。例えば、独自のビジョンを策定し追求する代わりに、競合他社の行動に反応するだけだ。コード内のセキュリティ脆弱性に関しても、多くの人々がこの方法をデフォルトとして採用し、脆弱性が実際に悪用されて初めてサイバーセキュリティを真剣に考える。残念ながら、その時点では既に損害が発生しており、罰金、損失補填、顧客離れ、ブランド回復のコストが利益を上回る事態に陥る。もう一つの反応的アプローチは、最初から安全なコード作成に注力せず、自動/手動のスキャンに依存して既存コードの脆弱性を発見しようとするものだ。しかしコードスキャンは完璧な解決策ではなく、脆弱性が多いコードほど見逃されるリスクが高まる。
積極的なアプローチを採用し、開発者と協力して最初から安全なコードを作成するよう支援することで初めて、ソフトウェア開発ライフサイクルを構築でき、ユーザーにコードの脆弱性を公開する可能性を大幅に低減できる。
2。スキルを向上させ、過度な矯正は避ける
開発者に安全なコード作成に必要な知識を提供すると決めたら、その方法を賢明に選択してください。プログラミングを中断させる社内研修ワークショップは、開発者と管理者の双方に不満をもたらします。夜間や週末に参加を要するオフサイト研修はさらに不評です。最良の方法は、プログラミングスキルを段階的に育成し、コーディングプロセスの中で関連情報を徐々に提供することです。本質的には、開発者の注意を著しく散漫にさせたり開発プロセスを遅らせたりすることなくスキルを向上させることです。
3.激励,不要假设
開発者は、セキュリティスキルの向上を罰や単なる苦役と捉えるべきではない。管理者は、安全なコードが会社の成功に果たす重要な役割を伝えることで、開発者を動機づける必要がある。同様に重要なのは、安全なコーディングを行う人材が会社にとってより価値が高く、将来的により多くのキャリア機会を得られることを伝えることである。
バイデン政権はこれを歓迎した 大統領令 サイバーセキュリティへの関心を高め、「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を組み込み、安全慣行への準拠を証明するための革新的なツールや手法を特定する」必要性を強調した。しかし、ツールが不可欠であるにもかかわらず、それだけでは不十分です。いかなるツールも、個人が何らかの形で設置されたシステムやツールを無視、誤解、悪用、あるいは回避する能力を完全に排除することはできません。企業のセキュリティを最大限に高めるためには、最高情報セキュリティ責任者(CISO)が人的要因を活用し、開発者が自発的なセキュリティの支持者かつ実践者となるよう促す必要があります。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
私たちは最近、最初のフォーブステクノロジー委員会投稿が、当社の会長兼CEOであるピーター・ダンシックスによって公開されたことを大変嬉しく思っています。この記事では、より安全なコードを作成するための開発者のスキル向上がいかに重要であるか、それがサイバー攻撃やデータ漏洩を防ぐ鍵となることを詳細に説明しています。それだけでなく、セキュリティ意識の高い開発者が、多くのIT部門が認識している以上に優れた安全なコードを提供する方法も明らかにしています。このアプローチへの需要は間違いなく差し迫っています。最近の調査では、現在39秒ごとにサイバー攻撃が発生していることが判明し、また私たちはたった1件の成功したランサムウェア攻撃が引き起こした混乱を目の当たりにしました。コロニアル・パイプラインの事例は、より大きな視点で見れば、SolarWindsハッキングほどの破壊的ではありませんでした。
多くの一般的な脆弱性が依然として存在する理由は、不良なコーディングパターンを置き換える方法——つまり、同じ機能をより安全で確実な方法で実現する手法——を開発者に示す者がこれまで存在しなかったためである。さらに、ソフトウェア開発の後期段階で修正を行うことは、かかる時間とデプロイの遅延の両面で極めて高額な影響をもたらす。コードをデプロイした後の修正、特に攻撃者が未発見の脆弱性を悪用した後の修正には、時に数百万ドルもの費用がかかる場合がある。重大な侵害事件後の企業評判へのダメージすら考慮に入れていない。
セキュリティ研修を受けた開発者は、当然ながらより優れたプログラマーとなる。もちろん、最高情報セキュリティ責任者は短期的にセキュリティツールを放棄すべきではないが、上層部による包括的な予防的セキュリティ手法を通じて、特にソフトウェア開発ライフサイクルの初期段階からセキュアコーディングを組み込むことで、最高情報セキュリティ責任者は自社の最大の資源である人的要素を活用できる。
このため、以下の三つの最も重要な高度な戦略を覚えておいてください。
1。積極的かつ主体的に行動し、受動的ではない。
企業はしばしば受動的な対応の罠に陥る。例えば、独自のビジョンを策定し追求する代わりに、競合他社の行動に反応するだけだ。コード内のセキュリティ脆弱性に関しても、多くの人々がこの方法をデフォルトとして採用し、脆弱性が実際に悪用されて初めてサイバーセキュリティを真剣に考える。残念ながら、その時点では既に損害が発生しており、罰金、損失補填、顧客離れ、ブランド回復のコストが利益を上回る事態に陥る。もう一つの反応的アプローチは、最初から安全なコード作成に注力せず、自動/手動のスキャンに依存して既存コードの脆弱性を発見しようとするものだ。しかしコードスキャンは完璧な解決策ではなく、脆弱性が多いコードほど見逃されるリスクが高まる。
積極的なアプローチを採用し、開発者と協力して最初から安全なコードを作成するよう支援することで初めて、ソフトウェア開発ライフサイクルを構築でき、ユーザーにコードの脆弱性を公開する可能性を大幅に低減できる。
2。スキルを向上させ、過度な矯正は避ける
開発者に安全なコード作成に必要な知識を提供すると決めたら、その方法を賢明に選択してください。プログラミングを中断させる社内研修ワークショップは、開発者と管理者の双方に不満をもたらします。夜間や週末に参加を要するオフサイト研修はさらに不評です。最良の方法は、プログラミングスキルを段階的に育成し、コーディングプロセスの中で関連情報を徐々に提供することです。本質的には、開発者の注意を著しく散漫にさせたり開発プロセスを遅らせたりすることなくスキルを向上させることです。
3.激励,不要假设
開発者は、セキュリティスキルの向上を罰や単なる苦役と捉えるべきではない。管理者は、安全なコードが会社の成功に果たす重要な役割を伝えることで、開発者を動機づける必要がある。同様に重要なのは、安全なコーディングを行う人材が会社にとってより価値が高く、将来的により多くのキャリア機会を得られることを伝えることである。
バイデン政権はこれを歓迎した 大統領令 サイバーセキュリティへの関心を高め、「開発者やサプライヤー自身のセキュリティ慣行を評価する基準を組み込み、安全慣行への準拠を証明するための革新的なツールや手法を特定する」必要性を強調した。しかし、ツールが不可欠であるにもかかわらず、それだけでは不十分です。いかなるツールも、個人が何らかの形で設置されたシステムやツールを無視、誤解、悪用、あるいは回避する能力を完全に排除することはできません。企業のセキュリティを最大限に高めるためには、最高情報セキュリティ責任者(CISO)が人的要因を活用し、開発者が自発的なセキュリティの支持者かつ実践者となるよう促す必要があります。
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
