クリエイティブなCISOとCIOがセキュリティプログラムをどのように革新し、変革できるか
この記事のバージョンが掲載されました DevOps.com; 新しい情報を含むようにタイトルが変更され、更新されました。
CISOとCIOは、ソフトウェア・セキュリティに関する説明責任の大部分を占めるといううらやましい立場にありますが、特に企業にとって恥ずかしいデータ漏えいが発生した場合に、CISOとCIOはうらやましい立場にあります。彼らは新しいイノベーターであり、適切なアプローチをとれば大きな影響力を持つことができるのです。急速にデジタル化する世界では、公共機関も商業組織も、地球上のあらゆる組織が市場スペースの維持(および獲得)に努めています。顧客は、過去の製品と将来の製品の両方にシームレスなオンライン体験を期待しており、「デジタルファースト」のビジネスアプローチが必須になりつつあります。結局のところ、これらの期待に応えられなければ、ほぼ確実に競合他社がその機会に急襲を仕掛ける用意ができていることになります。
では、それは現代のCISOやCIOにとって何を意味するのでしょうか?当然のことながら、彼らは開発者のチームを雇用し、それぞれがデジタル製品やサービスを形成するコードを 1 行ずつ作成しているということです。サイバーセキュリティは長年にわたり主な検討事項でしたが、オンラインで行われる事業活動や攻撃者の目の前での業務が増えるにつれて、サイバーセキュリティはますますリスク要因になっています。侵害がもたらす影響は計り知れませんが、デジタル化をオプトアウトすることは選択肢ではありません。
クリエイティブなCISOやCIOは、アプリケーションセキュリティチームや開発チームとともに、デジタルの未来への道を切り拓き続ける絶好の立場にあります。オンラインでのビジネス、政府、公共サービスの長期的なイノベーションを形作ることは間違いありませんが、迅速な市場投入までの目標と高いソフトウェア品質のバランスを取るという大きな責任を負うのは彼らです。 そして セキュリティリスクの軽減
これまで、このバランスを取ることは非常に困難でした。そのため、開発チームは細分化されがちで、一般的に機能を提供することに主眼を置き、あっという間に作り出されるコードに生じる可能性のある脆弱性を考慮していません。AppSecのスペシャリストは常に同じミスを修正していますが、比較的単純なバックドアが開いたままになっていることによる侵害の脅威は大きくなっています。
データを安全に保つためには、CISOとCIOはチームの連携方法を工夫し、積極的なセキュリティとトップダウンの責任分担の文化を築く必要があります。が直面する壊滅的な結果を見てみましょう。 マリオット 2018年の違反の結果、GDPRで1億2300万米ドルを超える罰金が科せられ、5億件を超えるレコードが盗まれ、セキュリティ上の評判もボロボロになりました。この災害は、主に安全でないコーディング慣行の直接の結果として発生しました。 早くも2014年にスターウッドのサーバーで発見されたSQLインジェクションの脆弱性、2016年にマリオットに買収された会社。その後のソフトウェアの使用は、アプリケーション・セキュリティの観点から見ると、明らかに無視されていました。これにより、悪意のある攻撃者は何年にもわたってデータにアクセスして取得する必要がありましたが、脆弱なパスワードなどの他の脆弱性は、時間が経つにつれて悪用できるホールが増えました。
CIOとCISOは、自社のソフトウェア・セキュリティ環境の状態を慎重に検討する必要があります。平均的な開発者はどの程度セキュリティを意識していますか?AppSec チームと開発チームはどの程度うまく連携していますか?「魔法の杖」のような解決策はありませんが、文化、トレーニング、サポートに取り組み、改善することは可能です。開発チーム できます 組織内のデータ漏えいリスクの第一線から、本番環境に移行する前に不良コードを阻止するセキュリティスーパーヒーローに変身させましょう。
セキュア・コーディング・ヘルスチェック:生命維持装置を利用していますか?
自社の開発チームはどこに適していますか?このセキュア・コーディング・チェックリストを作成したのは、CIOやCISOが、開発チームが本当にセキュア・コーディングのチャンピオンになり、より速く、より良く、より安全なコードでイノベーションを起こすための準備が整っているかどうか(あるいは、実際にセキュリティプログラムの見直しが必要かどうか)を見極めるのに役立つからです。
1。経営幹部の他のメンバーはどの程度サポートしてくれていますか?従来のネットワークセキュリティではもはや十分ではないことを彼らは理解していますか?
ソフトウェアの未来では、時代遅れのセキュリティ対策を使用してネットワーク層を保護するだけでは、セミプロのハッカーに対してさえも十分とは言えません(そして、正直に言うと、成功することはめったにありません)。多くの一貫した報告の中でも、 ベライゾンの「2017年データ漏えい調査報告書「今日のデータ漏えいの35%は、Webアプリケーションの脆弱性が原因であると回答しています。
Webアプリケーションのセキュリティはネットワークセキュリティと同じくらい重要です。これを無視して、AppSec対策の基本的かつ基本的な保護層の予算を組み、導入しないと、侵害の危険にさらされやすくなります。
2。十分に左にシフトしていますか?また、十分早くシフトしていますか?
アプリケーションセキュリティに対する現在のアプローチは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移行に重点を置いており、ツールを多用しています。これは、定義上も設計上も、プロセスに欠陥があることを認識し、検出と対応の結果を裏付けるものです。セキュリティチームは、すでに記述されているコードの脆弱性を探して検出し、細工されたコードにバグがないことを保証するのではなく、コミットされたコードの修正に対応しています。米国国立標準技術研究所によると (ニスト)、それは コミットされたコード内の脆弱性の検出と修正には30倍の費用がかかる IDEで書かれているように防ぐためです。これには、製造上の遅延、二重処理、および同じよく知られたセキュリティ問題を何度も修正するために費やされる時間さえ考慮されていません。
真に強固なセキュリティ文化が根付いている 開始 左は、開発チームに安全なコーディングの考え方で成長し行動するための適切なツールとトレーニングを提供しながら、開発者コホート内のセキュリティチャンピオンに刺激を与えています。継続的な自己啓発と、問題解決の力を発揮して組織の最前線に立ち、一般的な脆弱性の発生を未然に防ぐことに重点が置かれています。
3。実践的なセキュリティスキルを身に付ける努力をしているのか、それとも一方通行の知識を養っているだけなのか。
セキュリティトレーニングソリューション(オンラインおよびCBT)の大部分は、仕事に直接関係する実践的なスキルではなく、知識の構築に重点を置いています。開発者が成功を収め、安全なコードを書くことに取り組むためには、実際の環境で継続的にトレーニングとスキルの開発を行うよう積極的に促すような、状況に応じた実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について実際のコード例で学び、自分の好きな言語やフレームワークで作業できるようにする必要があります。この学習経験は、仕事で積極的に取り組んでいるコード内の既知の脆弱性を発見し、特定し、修正する方法を理解するうえで効果的です。
世の中には知識豊富な教師が多く、セキュリティの脆弱性の修正に関する情報も豊富にありますが、教科書をざっと読んだり、何時間もビデオを見たりしても、多くの創造的で問題解決に取り組む開発者の心をつかむことはできず、絶え間ないデータ侵害の流れが何らかの兆候を示しているとしても、脆弱性がコードに侵入するのを防ぐにはほとんど効果がありません。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発チーム内でセキュリティ第一の考え方を身に付けるための重要なステップは、エビデンスを収集して確認することです。これは仮定や推測ゲームであってはなりません。開発者はセキュリティ志向であるか、そうでないかのどちらかです。
メトリクスは、開発者とその組織に、その努力が報われ、個々のセキュアコーディングスキルが向上していることを証明することを目的としています。測定できないものは改善できません。適切な評価が必要であり、開発チームの進捗状況をリアルタイムで把握できるだけでなく、継続的な改善のためのセキュアコーディングの長所と短所のベンチマークにも役立つはずです。
セキュリティトレーニングは、組織にとって「すぐに使える」ものになってしまい、そのトレーニングが効果的であったり、参加されたり、維持されたりしていることを確認することに重点が置かれていないことが多すぎます。
5。アウトソーシングしているベンダーは、堅牢で安全なコーディング技術を使用していますか?
多くの組織は、開発作業を第三者機関に委託することを決定しています。企業が国内に存在するかオフショアにせよ、その一般的なセキュア・コーディングの能力と実践は、クライアントにとっては比較的謎に包まれています。最良のケースでは、セキュリティに関して組織が受ける唯一の保証は、成果物が「安全」であることを要求する契約書の記述だけです。これらの開発機関のスキルを事前に検証する手段を講じている企業はほとんどないため、説明どおりに動作するが、健全な安全なコーディング手法に従わずに構築されたソフトウェアが納品されるリスクがあります。さらに悪いことに、購入企業がアプリケーションに内在するセキュリティ上の欠陥に気づいていないと、脆弱なソフトウェアを世に送り出すリスクがあります。
最も一般的なシナリオは、あらゆる脆弱性を専任のセキュリティ専門家 (調達が困難で高額な費用がかかる個人) に拾われてしまい、本番稼働日の遅れや、これらのセキュリティ上の弱点の修正に誰が費用を負担すべきかについての契約上の議論に直面するケースです。ただし、前もって賢く、次のアプリケーションを構築する開発者のアプリケーションセキュリティスキルを評価しておけば、潜在的な遅延、フラストレーション、および現金を大幅に節約できます。
6。開発者は最も悪用されやすいセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の85%以上は、わずか10件の既知の脆弱性に起因しています。 OWASP トップ10。少なくとも、アプリケーション・セキュリティ・トレーニングでは、さらに多くの種類の脆弱性に加えて、これらをカバーする必要があります。開発者が取り組むトレーニングの課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれかに応じて、定期的に見直し、更新する必要があります。
現実世界の安全なコーディングシナリオを使用した正確なトレーニングが標準であるべきです。漠然とした一般知識だけでは効果がありません。(このようなセキュア・コーディングのシナリオがどのようなものか気になりますか?私たちのものをチェックしてください コーダーがセキュリティを征服 ブログシリーズ。各投稿にプレイ可能なチャレンジがあります)。
7。社内にセキュリティチャンピオンはいますか?
開発者中心の組織はすべて、開発チーム内で高いセキュリティ基準を維持する責任を負う「セキュリティチャンピオン」に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることと、セキュリティのベストプラクティスに従うことを主唱することです。
これらはセキュリティカルチャーのパズルの重要なピースです。優れたセキュリティチャンピオンは、集中的なトレーニングから勢いを保ち、チームメンバー全員が必要なものを確実に受けられるようにし、サポートを引き続き提唱することができます。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アジャイル開発を行っている組織や、実際に会社で構築したアプリケーションの頻繁な更新に直面している場合、セキュリティの一部を自動化することが、慌ただしい作業ペースと量に対応するための唯一の方法の 1 つです。
SDLCの各段階には、アドバイザー、質の高いゲートキーパー、または検出ツールとして機能するツールがあります。さらに、一部のツールはコードに対して自動テストを実行し、ソフトウェアの本番稼働後にハッキングの試みをシミュレートします。どのツールにも独自の利点と課題があり、アプリケーション内にセキュリティ上の脅威が存在しないことを100%保証する包括的なツールはありません。採用できる一番の予防策は、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながらより迅速かつ安価に弱点を修正できることです。
将来を見据えた CISO の次のステップ
では、あなたの組織は上記のチェックリストにどのように反しましたか?
CISOとCIOは基本的に、エンタープライズDevOpsおよびDecSecOps機能を積極的に構築することを余儀なくされていますが、だからといって、チーム全体で適切なツールやトレーニングを検討して実装する時間がないわけではありません。安全なコーディングスキルは、イノベーションの「妨げにはならない」武器となり、それを放棄すると企業の評判やデータが完全に破壊されてしまう可能性があります。これらのスキルは重要な能力であり、脆弱性を減らしリスクを軽減するためのはるかに安価な長期的ソリューションとなります。
優秀で革新的なCISOには、健全なセキュリティ文化をトップダウンで調整する力があります。つまり、セキュリティのベストプラクティスを効果的に実行するために必要なものをスタッフに確実に届けることができます。
Pieter Danhieuxはセキュリティの専門家であり、の共同創設者です セキュア・コード・ウォリアー。
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
この記事のバージョンが掲載されました DevOps.com; 新しい情報を含むようにタイトルが変更され、更新されました。
CISOとCIOは、ソフトウェア・セキュリティに関する説明責任の大部分を占めるといううらやましい立場にありますが、特に企業にとって恥ずかしいデータ漏えいが発生した場合に、CISOとCIOはうらやましい立場にあります。彼らは新しいイノベーターであり、適切なアプローチをとれば大きな影響力を持つことができるのです。急速にデジタル化する世界では、公共機関も商業組織も、地球上のあらゆる組織が市場スペースの維持(および獲得)に努めています。顧客は、過去の製品と将来の製品の両方にシームレスなオンライン体験を期待しており、「デジタルファースト」のビジネスアプローチが必須になりつつあります。結局のところ、これらの期待に応えられなければ、ほぼ確実に競合他社がその機会に急襲を仕掛ける用意ができていることになります。
では、それは現代のCISOやCIOにとって何を意味するのでしょうか?当然のことながら、彼らは開発者のチームを雇用し、それぞれがデジタル製品やサービスを形成するコードを 1 行ずつ作成しているということです。サイバーセキュリティは長年にわたり主な検討事項でしたが、オンラインで行われる事業活動や攻撃者の目の前での業務が増えるにつれて、サイバーセキュリティはますますリスク要因になっています。侵害がもたらす影響は計り知れませんが、デジタル化をオプトアウトすることは選択肢ではありません。
クリエイティブなCISOやCIOは、アプリケーションセキュリティチームや開発チームとともに、デジタルの未来への道を切り拓き続ける絶好の立場にあります。オンラインでのビジネス、政府、公共サービスの長期的なイノベーションを形作ることは間違いありませんが、迅速な市場投入までの目標と高いソフトウェア品質のバランスを取るという大きな責任を負うのは彼らです。 そして セキュリティリスクの軽減
これまで、このバランスを取ることは非常に困難でした。そのため、開発チームは細分化されがちで、一般的に機能を提供することに主眼を置き、あっという間に作り出されるコードに生じる可能性のある脆弱性を考慮していません。AppSecのスペシャリストは常に同じミスを修正していますが、比較的単純なバックドアが開いたままになっていることによる侵害の脅威は大きくなっています。
データを安全に保つためには、CISOとCIOはチームの連携方法を工夫し、積極的なセキュリティとトップダウンの責任分担の文化を築く必要があります。が直面する壊滅的な結果を見てみましょう。 マリオット 2018年の違反の結果、GDPRで1億2300万米ドルを超える罰金が科せられ、5億件を超えるレコードが盗まれ、セキュリティ上の評判もボロボロになりました。この災害は、主に安全でないコーディング慣行の直接の結果として発生しました。 早くも2014年にスターウッドのサーバーで発見されたSQLインジェクションの脆弱性、2016年にマリオットに買収された会社。その後のソフトウェアの使用は、アプリケーション・セキュリティの観点から見ると、明らかに無視されていました。これにより、悪意のある攻撃者は何年にもわたってデータにアクセスして取得する必要がありましたが、脆弱なパスワードなどの他の脆弱性は、時間が経つにつれて悪用できるホールが増えました。
CIOとCISOは、自社のソフトウェア・セキュリティ環境の状態を慎重に検討する必要があります。平均的な開発者はどの程度セキュリティを意識していますか?AppSec チームと開発チームはどの程度うまく連携していますか?「魔法の杖」のような解決策はありませんが、文化、トレーニング、サポートに取り組み、改善することは可能です。開発チーム できます 組織内のデータ漏えいリスクの第一線から、本番環境に移行する前に不良コードを阻止するセキュリティスーパーヒーローに変身させましょう。
セキュア・コーディング・ヘルスチェック:生命維持装置を利用していますか?
自社の開発チームはどこに適していますか?このセキュア・コーディング・チェックリストを作成したのは、CIOやCISOが、開発チームが本当にセキュア・コーディングのチャンピオンになり、より速く、より良く、より安全なコードでイノベーションを起こすための準備が整っているかどうか(あるいは、実際にセキュリティプログラムの見直しが必要かどうか)を見極めるのに役立つからです。
1。経営幹部の他のメンバーはどの程度サポートしてくれていますか?従来のネットワークセキュリティではもはや十分ではないことを彼らは理解していますか?
ソフトウェアの未来では、時代遅れのセキュリティ対策を使用してネットワーク層を保護するだけでは、セミプロのハッカーに対してさえも十分とは言えません(そして、正直に言うと、成功することはめったにありません)。多くの一貫した報告の中でも、 ベライゾンの「2017年データ漏えい調査報告書「今日のデータ漏えいの35%は、Webアプリケーションの脆弱性が原因であると回答しています。
Webアプリケーションのセキュリティはネットワークセキュリティと同じくらい重要です。これを無視して、AppSec対策の基本的かつ基本的な保護層の予算を組み、導入しないと、侵害の危険にさらされやすくなります。
2。十分に左にシフトしていますか?また、十分早くシフトしていますか?
アプリケーションセキュリティに対する現在のアプローチは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移行に重点を置いており、ツールを多用しています。これは、定義上も設計上も、プロセスに欠陥があることを認識し、検出と対応の結果を裏付けるものです。セキュリティチームは、すでに記述されているコードの脆弱性を探して検出し、細工されたコードにバグがないことを保証するのではなく、コミットされたコードの修正に対応しています。米国国立標準技術研究所によると (ニスト)、それは コミットされたコード内の脆弱性の検出と修正には30倍の費用がかかる IDEで書かれているように防ぐためです。これには、製造上の遅延、二重処理、および同じよく知られたセキュリティ問題を何度も修正するために費やされる時間さえ考慮されていません。
真に強固なセキュリティ文化が根付いている 開始 左は、開発チームに安全なコーディングの考え方で成長し行動するための適切なツールとトレーニングを提供しながら、開発者コホート内のセキュリティチャンピオンに刺激を与えています。継続的な自己啓発と、問題解決の力を発揮して組織の最前線に立ち、一般的な脆弱性の発生を未然に防ぐことに重点が置かれています。
3。実践的なセキュリティスキルを身に付ける努力をしているのか、それとも一方通行の知識を養っているだけなのか。
セキュリティトレーニングソリューション(オンラインおよびCBT)の大部分は、仕事に直接関係する実践的なスキルではなく、知識の構築に重点を置いています。開発者が成功を収め、安全なコードを書くことに取り組むためには、実際の環境で継続的にトレーニングとスキルの開発を行うよう積極的に促すような、状況に応じた実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について実際のコード例で学び、自分の好きな言語やフレームワークで作業できるようにする必要があります。この学習経験は、仕事で積極的に取り組んでいるコード内の既知の脆弱性を発見し、特定し、修正する方法を理解するうえで効果的です。
世の中には知識豊富な教師が多く、セキュリティの脆弱性の修正に関する情報も豊富にありますが、教科書をざっと読んだり、何時間もビデオを見たりしても、多くの創造的で問題解決に取り組む開発者の心をつかむことはできず、絶え間ないデータ侵害の流れが何らかの兆候を示しているとしても、脆弱性がコードに侵入するのを防ぐにはほとんど効果がありません。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発チーム内でセキュリティ第一の考え方を身に付けるための重要なステップは、エビデンスを収集して確認することです。これは仮定や推測ゲームであってはなりません。開発者はセキュリティ志向であるか、そうでないかのどちらかです。
メトリクスは、開発者とその組織に、その努力が報われ、個々のセキュアコーディングスキルが向上していることを証明することを目的としています。測定できないものは改善できません。適切な評価が必要であり、開発チームの進捗状況をリアルタイムで把握できるだけでなく、継続的な改善のためのセキュアコーディングの長所と短所のベンチマークにも役立つはずです。
セキュリティトレーニングは、組織にとって「すぐに使える」ものになってしまい、そのトレーニングが効果的であったり、参加されたり、維持されたりしていることを確認することに重点が置かれていないことが多すぎます。
5。アウトソーシングしているベンダーは、堅牢で安全なコーディング技術を使用していますか?
多くの組織は、開発作業を第三者機関に委託することを決定しています。企業が国内に存在するかオフショアにせよ、その一般的なセキュア・コーディングの能力と実践は、クライアントにとっては比較的謎に包まれています。最良のケースでは、セキュリティに関して組織が受ける唯一の保証は、成果物が「安全」であることを要求する契約書の記述だけです。これらの開発機関のスキルを事前に検証する手段を講じている企業はほとんどないため、説明どおりに動作するが、健全な安全なコーディング手法に従わずに構築されたソフトウェアが納品されるリスクがあります。さらに悪いことに、購入企業がアプリケーションに内在するセキュリティ上の欠陥に気づいていないと、脆弱なソフトウェアを世に送り出すリスクがあります。
最も一般的なシナリオは、あらゆる脆弱性を専任のセキュリティ専門家 (調達が困難で高額な費用がかかる個人) に拾われてしまい、本番稼働日の遅れや、これらのセキュリティ上の弱点の修正に誰が費用を負担すべきかについての契約上の議論に直面するケースです。ただし、前もって賢く、次のアプリケーションを構築する開発者のアプリケーションセキュリティスキルを評価しておけば、潜在的な遅延、フラストレーション、および現金を大幅に節約できます。
6。開発者は最も悪用されやすいセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の85%以上は、わずか10件の既知の脆弱性に起因しています。 OWASP トップ10。少なくとも、アプリケーション・セキュリティ・トレーニングでは、さらに多くの種類の脆弱性に加えて、これらをカバーする必要があります。開発者が取り組むトレーニングの課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれかに応じて、定期的に見直し、更新する必要があります。
現実世界の安全なコーディングシナリオを使用した正確なトレーニングが標準であるべきです。漠然とした一般知識だけでは効果がありません。(このようなセキュア・コーディングのシナリオがどのようなものか気になりますか?私たちのものをチェックしてください コーダーがセキュリティを征服 ブログシリーズ。各投稿にプレイ可能なチャレンジがあります)。
7。社内にセキュリティチャンピオンはいますか?
開発者中心の組織はすべて、開発チーム内で高いセキュリティ基準を維持する責任を負う「セキュリティチャンピオン」に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることと、セキュリティのベストプラクティスに従うことを主唱することです。
これらはセキュリティカルチャーのパズルの重要なピースです。優れたセキュリティチャンピオンは、集中的なトレーニングから勢いを保ち、チームメンバー全員が必要なものを確実に受けられるようにし、サポートを引き続き提唱することができます。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アジャイル開発を行っている組織や、実際に会社で構築したアプリケーションの頻繁な更新に直面している場合、セキュリティの一部を自動化することが、慌ただしい作業ペースと量に対応するための唯一の方法の 1 つです。
SDLCの各段階には、アドバイザー、質の高いゲートキーパー、または検出ツールとして機能するツールがあります。さらに、一部のツールはコードに対して自動テストを実行し、ソフトウェアの本番稼働後にハッキングの試みをシミュレートします。どのツールにも独自の利点と課題があり、アプリケーション内にセキュリティ上の脅威が存在しないことを100%保証する包括的なツールはありません。採用できる一番の予防策は、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながらより迅速かつ安価に弱点を修正できることです。
将来を見据えた CISO の次のステップ
では、あなたの組織は上記のチェックリストにどのように反しましたか?
CISOとCIOは基本的に、エンタープライズDevOpsおよびDecSecOps機能を積極的に構築することを余儀なくされていますが、だからといって、チーム全体で適切なツールやトレーニングを検討して実装する時間がないわけではありません。安全なコーディングスキルは、イノベーションの「妨げにはならない」武器となり、それを放棄すると企業の評判やデータが完全に破壊されてしまう可能性があります。これらのスキルは重要な能力であり、脆弱性を減らしリスクを軽減するためのはるかに安価な長期的ソリューションとなります。
優秀で革新的なCISOには、健全なセキュリティ文化をトップダウンで調整する力があります。つまり、セキュリティのベストプラクティスを効果的に実行するために必要なものをスタッフに確実に届けることができます。
Pieter Danhieuxはセキュリティの専門家であり、の共同創設者です セキュア・コード・ウォリアー。
この記事のバージョンが掲載されました DevOps.com; 新しい情報を含むようにタイトルが変更され、更新されました。
CISOとCIOは、ソフトウェア・セキュリティに関する説明責任の大部分を占めるといううらやましい立場にありますが、特に企業にとって恥ずかしいデータ漏えいが発生した場合に、CISOとCIOはうらやましい立場にあります。彼らは新しいイノベーターであり、適切なアプローチをとれば大きな影響力を持つことができるのです。急速にデジタル化する世界では、公共機関も商業組織も、地球上のあらゆる組織が市場スペースの維持(および獲得)に努めています。顧客は、過去の製品と将来の製品の両方にシームレスなオンライン体験を期待しており、「デジタルファースト」のビジネスアプローチが必須になりつつあります。結局のところ、これらの期待に応えられなければ、ほぼ確実に競合他社がその機会に急襲を仕掛ける用意ができていることになります。
では、それは現代のCISOやCIOにとって何を意味するのでしょうか?当然のことながら、彼らは開発者のチームを雇用し、それぞれがデジタル製品やサービスを形成するコードを 1 行ずつ作成しているということです。サイバーセキュリティは長年にわたり主な検討事項でしたが、オンラインで行われる事業活動や攻撃者の目の前での業務が増えるにつれて、サイバーセキュリティはますますリスク要因になっています。侵害がもたらす影響は計り知れませんが、デジタル化をオプトアウトすることは選択肢ではありません。
クリエイティブなCISOやCIOは、アプリケーションセキュリティチームや開発チームとともに、デジタルの未来への道を切り拓き続ける絶好の立場にあります。オンラインでのビジネス、政府、公共サービスの長期的なイノベーションを形作ることは間違いありませんが、迅速な市場投入までの目標と高いソフトウェア品質のバランスを取るという大きな責任を負うのは彼らです。 そして セキュリティリスクの軽減
これまで、このバランスを取ることは非常に困難でした。そのため、開発チームは細分化されがちで、一般的に機能を提供することに主眼を置き、あっという間に作り出されるコードに生じる可能性のある脆弱性を考慮していません。AppSecのスペシャリストは常に同じミスを修正していますが、比較的単純なバックドアが開いたままになっていることによる侵害の脅威は大きくなっています。
データを安全に保つためには、CISOとCIOはチームの連携方法を工夫し、積極的なセキュリティとトップダウンの責任分担の文化を築く必要があります。が直面する壊滅的な結果を見てみましょう。 マリオット 2018年の違反の結果、GDPRで1億2300万米ドルを超える罰金が科せられ、5億件を超えるレコードが盗まれ、セキュリティ上の評判もボロボロになりました。この災害は、主に安全でないコーディング慣行の直接の結果として発生しました。 早くも2014年にスターウッドのサーバーで発見されたSQLインジェクションの脆弱性、2016年にマリオットに買収された会社。その後のソフトウェアの使用は、アプリケーション・セキュリティの観点から見ると、明らかに無視されていました。これにより、悪意のある攻撃者は何年にもわたってデータにアクセスして取得する必要がありましたが、脆弱なパスワードなどの他の脆弱性は、時間が経つにつれて悪用できるホールが増えました。
CIOとCISOは、自社のソフトウェア・セキュリティ環境の状態を慎重に検討する必要があります。平均的な開発者はどの程度セキュリティを意識していますか?AppSec チームと開発チームはどの程度うまく連携していますか?「魔法の杖」のような解決策はありませんが、文化、トレーニング、サポートに取り組み、改善することは可能です。開発チーム できます 組織内のデータ漏えいリスクの第一線から、本番環境に移行する前に不良コードを阻止するセキュリティスーパーヒーローに変身させましょう。
セキュア・コーディング・ヘルスチェック:生命維持装置を利用していますか?
自社の開発チームはどこに適していますか?このセキュア・コーディング・チェックリストを作成したのは、CIOやCISOが、開発チームが本当にセキュア・コーディングのチャンピオンになり、より速く、より良く、より安全なコードでイノベーションを起こすための準備が整っているかどうか(あるいは、実際にセキュリティプログラムの見直しが必要かどうか)を見極めるのに役立つからです。
1。経営幹部の他のメンバーはどの程度サポートしてくれていますか?従来のネットワークセキュリティではもはや十分ではないことを彼らは理解していますか?
ソフトウェアの未来では、時代遅れのセキュリティ対策を使用してネットワーク層を保護するだけでは、セミプロのハッカーに対してさえも十分とは言えません(そして、正直に言うと、成功することはめったにありません)。多くの一貫した報告の中でも、 ベライゾンの「2017年データ漏えい調査報告書「今日のデータ漏えいの35%は、Webアプリケーションの脆弱性が原因であると回答しています。
Webアプリケーションのセキュリティはネットワークセキュリティと同じくらい重要です。これを無視して、AppSec対策の基本的かつ基本的な保護層の予算を組み、導入しないと、侵害の危険にさらされやすくなります。
2。十分に左にシフトしていますか?また、十分早くシフトしていますか?
アプリケーションセキュリティに対する現在のアプローチは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移行に重点を置いており、ツールを多用しています。これは、定義上も設計上も、プロセスに欠陥があることを認識し、検出と対応の結果を裏付けるものです。セキュリティチームは、すでに記述されているコードの脆弱性を探して検出し、細工されたコードにバグがないことを保証するのではなく、コミットされたコードの修正に対応しています。米国国立標準技術研究所によると (ニスト)、それは コミットされたコード内の脆弱性の検出と修正には30倍の費用がかかる IDEで書かれているように防ぐためです。これには、製造上の遅延、二重処理、および同じよく知られたセキュリティ問題を何度も修正するために費やされる時間さえ考慮されていません。
真に強固なセキュリティ文化が根付いている 開始 左は、開発チームに安全なコーディングの考え方で成長し行動するための適切なツールとトレーニングを提供しながら、開発者コホート内のセキュリティチャンピオンに刺激を与えています。継続的な自己啓発と、問題解決の力を発揮して組織の最前線に立ち、一般的な脆弱性の発生を未然に防ぐことに重点が置かれています。
3。実践的なセキュリティスキルを身に付ける努力をしているのか、それとも一方通行の知識を養っているだけなのか。
セキュリティトレーニングソリューション(オンラインおよびCBT)の大部分は、仕事に直接関係する実践的なスキルではなく、知識の構築に重点を置いています。開発者が成功を収め、安全なコードを書くことに取り組むためには、実際の環境で継続的にトレーニングとスキルの開発を行うよう積極的に促すような、状況に応じた実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について実際のコード例で学び、自分の好きな言語やフレームワークで作業できるようにする必要があります。この学習経験は、仕事で積極的に取り組んでいるコード内の既知の脆弱性を発見し、特定し、修正する方法を理解するうえで効果的です。
世の中には知識豊富な教師が多く、セキュリティの脆弱性の修正に関する情報も豊富にありますが、教科書をざっと読んだり、何時間もビデオを見たりしても、多くの創造的で問題解決に取り組む開発者の心をつかむことはできず、絶え間ないデータ侵害の流れが何らかの兆候を示しているとしても、脆弱性がコードに侵入するのを防ぐにはほとんど効果がありません。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発チーム内でセキュリティ第一の考え方を身に付けるための重要なステップは、エビデンスを収集して確認することです。これは仮定や推測ゲームであってはなりません。開発者はセキュリティ志向であるか、そうでないかのどちらかです。
メトリクスは、開発者とその組織に、その努力が報われ、個々のセキュアコーディングスキルが向上していることを証明することを目的としています。測定できないものは改善できません。適切な評価が必要であり、開発チームの進捗状況をリアルタイムで把握できるだけでなく、継続的な改善のためのセキュアコーディングの長所と短所のベンチマークにも役立つはずです。
セキュリティトレーニングは、組織にとって「すぐに使える」ものになってしまい、そのトレーニングが効果的であったり、参加されたり、維持されたりしていることを確認することに重点が置かれていないことが多すぎます。
5。アウトソーシングしているベンダーは、堅牢で安全なコーディング技術を使用していますか?
多くの組織は、開発作業を第三者機関に委託することを決定しています。企業が国内に存在するかオフショアにせよ、その一般的なセキュア・コーディングの能力と実践は、クライアントにとっては比較的謎に包まれています。最良のケースでは、セキュリティに関して組織が受ける唯一の保証は、成果物が「安全」であることを要求する契約書の記述だけです。これらの開発機関のスキルを事前に検証する手段を講じている企業はほとんどないため、説明どおりに動作するが、健全な安全なコーディング手法に従わずに構築されたソフトウェアが納品されるリスクがあります。さらに悪いことに、購入企業がアプリケーションに内在するセキュリティ上の欠陥に気づいていないと、脆弱なソフトウェアを世に送り出すリスクがあります。
最も一般的なシナリオは、あらゆる脆弱性を専任のセキュリティ専門家 (調達が困難で高額な費用がかかる個人) に拾われてしまい、本番稼働日の遅れや、これらのセキュリティ上の弱点の修正に誰が費用を負担すべきかについての契約上の議論に直面するケースです。ただし、前もって賢く、次のアプリケーションを構築する開発者のアプリケーションセキュリティスキルを評価しておけば、潜在的な遅延、フラストレーション、および現金を大幅に節約できます。
6。開発者は最も悪用されやすいセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の85%以上は、わずか10件の既知の脆弱性に起因しています。 OWASP トップ10。少なくとも、アプリケーション・セキュリティ・トレーニングでは、さらに多くの種類の脆弱性に加えて、これらをカバーする必要があります。開発者が取り組むトレーニングの課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれかに応じて、定期的に見直し、更新する必要があります。
現実世界の安全なコーディングシナリオを使用した正確なトレーニングが標準であるべきです。漠然とした一般知識だけでは効果がありません。(このようなセキュア・コーディングのシナリオがどのようなものか気になりますか?私たちのものをチェックしてください コーダーがセキュリティを征服 ブログシリーズ。各投稿にプレイ可能なチャレンジがあります)。
7。社内にセキュリティチャンピオンはいますか?
開発者中心の組織はすべて、開発チーム内で高いセキュリティ基準を維持する責任を負う「セキュリティチャンピオン」に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることと、セキュリティのベストプラクティスに従うことを主唱することです。
これらはセキュリティカルチャーのパズルの重要なピースです。優れたセキュリティチャンピオンは、集中的なトレーニングから勢いを保ち、チームメンバー全員が必要なものを確実に受けられるようにし、サポートを引き続き提唱することができます。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アジャイル開発を行っている組織や、実際に会社で構築したアプリケーションの頻繁な更新に直面している場合、セキュリティの一部を自動化することが、慌ただしい作業ペースと量に対応するための唯一の方法の 1 つです。
SDLCの各段階には、アドバイザー、質の高いゲートキーパー、または検出ツールとして機能するツールがあります。さらに、一部のツールはコードに対して自動テストを実行し、ソフトウェアの本番稼働後にハッキングの試みをシミュレートします。どのツールにも独自の利点と課題があり、アプリケーション内にセキュリティ上の脅威が存在しないことを100%保証する包括的なツールはありません。採用できる一番の予防策は、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながらより迅速かつ安価に弱点を修正できることです。
将来を見据えた CISO の次のステップ
では、あなたの組織は上記のチェックリストにどのように反しましたか?
CISOとCIOは基本的に、エンタープライズDevOpsおよびDecSecOps機能を積極的に構築することを余儀なくされていますが、だからといって、チーム全体で適切なツールやトレーニングを検討して実装する時間がないわけではありません。安全なコーディングスキルは、イノベーションの「妨げにはならない」武器となり、それを放棄すると企業の評判やデータが完全に破壊されてしまう可能性があります。これらのスキルは重要な能力であり、脆弱性を減らしリスクを軽減するためのはるかに安価な長期的ソリューションとなります。
優秀で革新的なCISOには、健全なセキュリティ文化をトップダウンで調整する力があります。つまり、セキュリティのベストプラクティスを効果的に実行するために必要なものをスタッフに確実に届けることができます。
Pieter Danhieuxはセキュリティの専門家であり、の共同創設者です セキュア・コード・ウォリアー。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
この記事のバージョンが掲載されました DevOps.com; 新しい情報を含むようにタイトルが変更され、更新されました。
CISOとCIOは、ソフトウェア・セキュリティに関する説明責任の大部分を占めるといううらやましい立場にありますが、特に企業にとって恥ずかしいデータ漏えいが発生した場合に、CISOとCIOはうらやましい立場にあります。彼らは新しいイノベーターであり、適切なアプローチをとれば大きな影響力を持つことができるのです。急速にデジタル化する世界では、公共機関も商業組織も、地球上のあらゆる組織が市場スペースの維持(および獲得)に努めています。顧客は、過去の製品と将来の製品の両方にシームレスなオンライン体験を期待しており、「デジタルファースト」のビジネスアプローチが必須になりつつあります。結局のところ、これらの期待に応えられなければ、ほぼ確実に競合他社がその機会に急襲を仕掛ける用意ができていることになります。
では、それは現代のCISOやCIOにとって何を意味するのでしょうか?当然のことながら、彼らは開発者のチームを雇用し、それぞれがデジタル製品やサービスを形成するコードを 1 行ずつ作成しているということです。サイバーセキュリティは長年にわたり主な検討事項でしたが、オンラインで行われる事業活動や攻撃者の目の前での業務が増えるにつれて、サイバーセキュリティはますますリスク要因になっています。侵害がもたらす影響は計り知れませんが、デジタル化をオプトアウトすることは選択肢ではありません。
クリエイティブなCISOやCIOは、アプリケーションセキュリティチームや開発チームとともに、デジタルの未来への道を切り拓き続ける絶好の立場にあります。オンラインでのビジネス、政府、公共サービスの長期的なイノベーションを形作ることは間違いありませんが、迅速な市場投入までの目標と高いソフトウェア品質のバランスを取るという大きな責任を負うのは彼らです。 そして セキュリティリスクの軽減
これまで、このバランスを取ることは非常に困難でした。そのため、開発チームは細分化されがちで、一般的に機能を提供することに主眼を置き、あっという間に作り出されるコードに生じる可能性のある脆弱性を考慮していません。AppSecのスペシャリストは常に同じミスを修正していますが、比較的単純なバックドアが開いたままになっていることによる侵害の脅威は大きくなっています。
データを安全に保つためには、CISOとCIOはチームの連携方法を工夫し、積極的なセキュリティとトップダウンの責任分担の文化を築く必要があります。が直面する壊滅的な結果を見てみましょう。 マリオット 2018年の違反の結果、GDPRで1億2300万米ドルを超える罰金が科せられ、5億件を超えるレコードが盗まれ、セキュリティ上の評判もボロボロになりました。この災害は、主に安全でないコーディング慣行の直接の結果として発生しました。 早くも2014年にスターウッドのサーバーで発見されたSQLインジェクションの脆弱性、2016年にマリオットに買収された会社。その後のソフトウェアの使用は、アプリケーション・セキュリティの観点から見ると、明らかに無視されていました。これにより、悪意のある攻撃者は何年にもわたってデータにアクセスして取得する必要がありましたが、脆弱なパスワードなどの他の脆弱性は、時間が経つにつれて悪用できるホールが増えました。
CIOとCISOは、自社のソフトウェア・セキュリティ環境の状態を慎重に検討する必要があります。平均的な開発者はどの程度セキュリティを意識していますか?AppSec チームと開発チームはどの程度うまく連携していますか?「魔法の杖」のような解決策はありませんが、文化、トレーニング、サポートに取り組み、改善することは可能です。開発チーム できます 組織内のデータ漏えいリスクの第一線から、本番環境に移行する前に不良コードを阻止するセキュリティスーパーヒーローに変身させましょう。
セキュア・コーディング・ヘルスチェック:生命維持装置を利用していますか?
自社の開発チームはどこに適していますか?このセキュア・コーディング・チェックリストを作成したのは、CIOやCISOが、開発チームが本当にセキュア・コーディングのチャンピオンになり、より速く、より良く、より安全なコードでイノベーションを起こすための準備が整っているかどうか(あるいは、実際にセキュリティプログラムの見直しが必要かどうか)を見極めるのに役立つからです。
1。経営幹部の他のメンバーはどの程度サポートしてくれていますか?従来のネットワークセキュリティではもはや十分ではないことを彼らは理解していますか?
ソフトウェアの未来では、時代遅れのセキュリティ対策を使用してネットワーク層を保護するだけでは、セミプロのハッカーに対してさえも十分とは言えません(そして、正直に言うと、成功することはめったにありません)。多くの一貫した報告の中でも、 ベライゾンの「2017年データ漏えい調査報告書「今日のデータ漏えいの35%は、Webアプリケーションの脆弱性が原因であると回答しています。
Webアプリケーションのセキュリティはネットワークセキュリティと同じくらい重要です。これを無視して、AppSec対策の基本的かつ基本的な保護層の予算を組み、導入しないと、侵害の危険にさらされやすくなります。
2。十分に左にシフトしていますか?また、十分早くシフトしていますか?
アプリケーションセキュリティに対する現在のアプローチは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移行に重点を置いており、ツールを多用しています。これは、定義上も設計上も、プロセスに欠陥があることを認識し、検出と対応の結果を裏付けるものです。セキュリティチームは、すでに記述されているコードの脆弱性を探して検出し、細工されたコードにバグがないことを保証するのではなく、コミットされたコードの修正に対応しています。米国国立標準技術研究所によると (ニスト)、それは コミットされたコード内の脆弱性の検出と修正には30倍の費用がかかる IDEで書かれているように防ぐためです。これには、製造上の遅延、二重処理、および同じよく知られたセキュリティ問題を何度も修正するために費やされる時間さえ考慮されていません。
真に強固なセキュリティ文化が根付いている 開始 左は、開発チームに安全なコーディングの考え方で成長し行動するための適切なツールとトレーニングを提供しながら、開発者コホート内のセキュリティチャンピオンに刺激を与えています。継続的な自己啓発と、問題解決の力を発揮して組織の最前線に立ち、一般的な脆弱性の発生を未然に防ぐことに重点が置かれています。
3。実践的なセキュリティスキルを身に付ける努力をしているのか、それとも一方通行の知識を養っているだけなのか。
セキュリティトレーニングソリューション(オンラインおよびCBT)の大部分は、仕事に直接関係する実践的なスキルではなく、知識の構築に重点を置いています。開発者が成功を収め、安全なコードを書くことに取り組むためには、実際の環境で継続的にトレーニングとスキルの開発を行うよう積極的に促すような、状況に応じた実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について実際のコード例で学び、自分の好きな言語やフレームワークで作業できるようにする必要があります。この学習経験は、仕事で積極的に取り組んでいるコード内の既知の脆弱性を発見し、特定し、修正する方法を理解するうえで効果的です。
世の中には知識豊富な教師が多く、セキュリティの脆弱性の修正に関する情報も豊富にありますが、教科書をざっと読んだり、何時間もビデオを見たりしても、多くの創造的で問題解決に取り組む開発者の心をつかむことはできず、絶え間ないデータ侵害の流れが何らかの兆候を示しているとしても、脆弱性がコードに侵入するのを防ぐにはほとんど効果がありません。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発チーム内でセキュリティ第一の考え方を身に付けるための重要なステップは、エビデンスを収集して確認することです。これは仮定や推測ゲームであってはなりません。開発者はセキュリティ志向であるか、そうでないかのどちらかです。
メトリクスは、開発者とその組織に、その努力が報われ、個々のセキュアコーディングスキルが向上していることを証明することを目的としています。測定できないものは改善できません。適切な評価が必要であり、開発チームの進捗状況をリアルタイムで把握できるだけでなく、継続的な改善のためのセキュアコーディングの長所と短所のベンチマークにも役立つはずです。
セキュリティトレーニングは、組織にとって「すぐに使える」ものになってしまい、そのトレーニングが効果的であったり、参加されたり、維持されたりしていることを確認することに重点が置かれていないことが多すぎます。
5。アウトソーシングしているベンダーは、堅牢で安全なコーディング技術を使用していますか?
多くの組織は、開発作業を第三者機関に委託することを決定しています。企業が国内に存在するかオフショアにせよ、その一般的なセキュア・コーディングの能力と実践は、クライアントにとっては比較的謎に包まれています。最良のケースでは、セキュリティに関して組織が受ける唯一の保証は、成果物が「安全」であることを要求する契約書の記述だけです。これらの開発機関のスキルを事前に検証する手段を講じている企業はほとんどないため、説明どおりに動作するが、健全な安全なコーディング手法に従わずに構築されたソフトウェアが納品されるリスクがあります。さらに悪いことに、購入企業がアプリケーションに内在するセキュリティ上の欠陥に気づいていないと、脆弱なソフトウェアを世に送り出すリスクがあります。
最も一般的なシナリオは、あらゆる脆弱性を専任のセキュリティ専門家 (調達が困難で高額な費用がかかる個人) に拾われてしまい、本番稼働日の遅れや、これらのセキュリティ上の弱点の修正に誰が費用を負担すべきかについての契約上の議論に直面するケースです。ただし、前もって賢く、次のアプリケーションを構築する開発者のアプリケーションセキュリティスキルを評価しておけば、潜在的な遅延、フラストレーション、および現金を大幅に節約できます。
6。開発者は最も悪用されやすいセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の85%以上は、わずか10件の既知の脆弱性に起因しています。 OWASP トップ10。少なくとも、アプリケーション・セキュリティ・トレーニングでは、さらに多くの種類の脆弱性に加えて、これらをカバーする必要があります。開発者が取り組むトレーニングの課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれかに応じて、定期的に見直し、更新する必要があります。
現実世界の安全なコーディングシナリオを使用した正確なトレーニングが標準であるべきです。漠然とした一般知識だけでは効果がありません。(このようなセキュア・コーディングのシナリオがどのようなものか気になりますか?私たちのものをチェックしてください コーダーがセキュリティを征服 ブログシリーズ。各投稿にプレイ可能なチャレンジがあります)。
7。社内にセキュリティチャンピオンはいますか?
開発者中心の組織はすべて、開発チーム内で高いセキュリティ基準を維持する責任を負う「セキュリティチャンピオン」に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることと、セキュリティのベストプラクティスに従うことを主唱することです。
これらはセキュリティカルチャーのパズルの重要なピースです。優れたセキュリティチャンピオンは、集中的なトレーニングから勢いを保ち、チームメンバー全員が必要なものを確実に受けられるようにし、サポートを引き続き提唱することができます。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アジャイル開発を行っている組織や、実際に会社で構築したアプリケーションの頻繁な更新に直面している場合、セキュリティの一部を自動化することが、慌ただしい作業ペースと量に対応するための唯一の方法の 1 つです。
SDLCの各段階には、アドバイザー、質の高いゲートキーパー、または検出ツールとして機能するツールがあります。さらに、一部のツールはコードに対して自動テストを実行し、ソフトウェアの本番稼働後にハッキングの試みをシミュレートします。どのツールにも独自の利点と課題があり、アプリケーション内にセキュリティ上の脅威が存在しないことを100%保証する包括的なツールはありません。採用できる一番の予防策は、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながらより迅速かつ安価に弱点を修正できることです。
将来を見据えた CISO の次のステップ
では、あなたの組織は上記のチェックリストにどのように反しましたか?
CISOとCIOは基本的に、エンタープライズDevOpsおよびDecSecOps機能を積極的に構築することを余儀なくされていますが、だからといって、チーム全体で適切なツールやトレーニングを検討して実装する時間がないわけではありません。安全なコーディングスキルは、イノベーションの「妨げにはならない」武器となり、それを放棄すると企業の評判やデータが完全に破壊されてしまう可能性があります。これらのスキルは重要な能力であり、脆弱性を減らしリスクを軽減するためのはるかに安価な長期的ソリューションとなります。
優秀で革新的なCISOには、健全なセキュリティ文化をトップダウンで調整する力があります。つまり、セキュリティのベストプラクティスを効果的に実行するために必要なものをスタッフに確実に届けることができます。
Pieter Danhieuxはセキュリティの専門家であり、の共同創設者です セキュア・コード・ウォリアー。
%20(1).avif)
.avif)
