オーストラリア政府が国家のサイバーセキュリティレジリエンスを構築し、脅威に立ち向かう方法
2020年を迎えるにあたり リモートワークの大幅な急増さらに、大規模なデータ漏えいが続いており、オンラインでのプライバシー侵害の影響への関心が高まっていることに加えて、サイバーセキュリティに対する世間の関心はかつてないほど高まっています。その結果、世界中の政府がサイバーセキュリティ計画とインフラストラクチャの再構築と更新に踏み込んでいます。これには、企業が私たちの最も貴重なデジタルリソースを扱う際に従うことが義務付けられている戦略や規制も含まれます。
サイバーセキュリティに関する戦略的保護ガイドラインは新しい概念ではなく、次のような組織は ニスト 長年にわたり、世界の政府部門の方針を伝えてきました。デジタルの進歩が目まぐるしいペースで進むにつれ、多くの人々にとって、絶え間なく変化する環境の一部である脅威の数、起こり得る攻撃ベクトル、コンプライアンス要件に追いつくことが難しくなっています。
最近の ニューサウスウェールズ州の運転免許証54,000件違反 アクセスしやすく、設定に誤りがあるサードパーティサーバーの S3 バケットが原因で、何千人もの個人が危険にさらされました。報告したセキュリティ研究者は、データがすでにダークウェブで販売されている可能性があることを認めています。悲しいことに、これは簡単な解決策であり、キャッシュを設定する人がセキュリティを最優先に考えていたら、実現する可能性はまったくありませんでした。
オーストラリア政府は最近 オーストラリアサイバーセキュリティ戦略 2020は、「オーストラリア人、そのビジネス、そして私たち全員が依存する不可欠なサービスのために、より安全なオンラインの世界を作るというビジョン」を達成するために、今後10年間に使われる新しいイニシアチブと16億7,000万ドルの資金援助に焦点を当てています。これは明らかに非常に歓迎すべき見直しであり、最新の計画である。特に、主な目標の1つが以下の通りであるからである。
「自社の製品やサービスを保護し、既知のサイバー脆弱性から顧客を保護するための企業による行動「。
政府機関は、国の重要インフラ、つまり壊滅的な組織的攻撃にさらされやすい地域に関するセキュリティ対策に(本来あるべきように)重点を置く傾向がありますが、これまで欠けていたのは、私たちのデータを毎日収集して使用する企業向けのガイドラインでした。
さて、このような公式戦略となると、必ずしもビールとスキットルズではありません。解釈が少し難しく、詳細が曖昧なため、非具体的なガイドラインに基づいて計画をまとめるのは組織のセキュリティチームに任されています。この問題はオーストラリア政府に限ったことではありませんが、オーストラリア政府の新しいリリースを分析してみましょう。
予防ではなく反応に焦点を当てています。
最新のオーストラリアサイバーセキュリティ戦略は、企業、特に中小企業向けにかなり包括的な計画が盛り込まれた、2016年の前回リリースへのより適切なアップグレードです。この戦略の概要は以下のとおりです。
「政府と大企業は、中小企業(SME)の成長とサイバーセキュリティ意識と能力の向上を支援します。オーストラリア政府は大企業やサービスプロバイダーと協力して、中小企業にサイバーセキュリティ情報やツールを安全なサービス(脅威ブロック、ウイルス対策、サイバーセキュリティ意識向上トレーニングなど)の「バンドル」の一環として提供する。。」
これにより、中小企業はサイバー脅威から事業を保護するための適切な基本基盤を得ることができますが、 これは主に事後対応型のアプローチです、そして焦点は検出ツールにあります。これはサイバーセキュリティ環境の比較的小さな部分です。
また、大企業がどのようにして自社を保護し、攻撃ベクトルを減らすことができるかについての情報も驚くほど少ない。多くの企業が重要なインフラストラクチャ (電気通信、輸送など) を保護する計画に参加しているかもしれませんが、 金融サービス、 小売、そして他の多くの業種は、サイバー攻撃が成功すると失うものがたくさんあります。おそらくこれは今後の法律の一部となるでしょうが、それでも、企業レベルでの綿密なサイバーセキュリティのベストプラクティスの重要性を強調することが、大きな変化を遂げ、侵害されたデータやサイバー犯罪を減らすための基本です。
全体として、戦略全体を考えると、リアクティブなアプローチを中心に構築されています。サイバー攻撃への対抗、活動的なサイバー犯罪者の妨害と訴追の確保、国際的な同盟国との情報共有はすべて重要な要素ですが、全国的な保護基準が予防に焦点を当てていたらどうなるか想像してみてください。重要なインフラストラクチャの保護対策に加えて、セキュリティがすべてのビジネスで最優先事項であり、デジタル世界を構築するコードに触れるすべての人が、攻撃が発生する前に攻撃をブロックするための適切な準備が整っていれば、被害者の時間、お金、そして心痛の節約は計り知れません。
レジリエンスは可能ですが、計画する必要があります。
オーストラリア政府がサイバーセキュリティに真剣に取り組もうとしていることから、サイバーセキュリティが国家レベルで主要なリスク領域として特定されていることは明らかです。私たちの生活様式を混乱させる可能性のある他の悪意のある攻撃と同様に、レジリエンスは絶対的に重要です。そのような攻撃に耐えるだけでなく、そのような攻撃が起きるのを阻止する役割を果たすためです。結局のところ、脅威アクターでさえ怠惰になる可能性があり、成功の妨げとなる障壁が多すぎると、目標達成のためにより簡単なターゲットに移動してしまいます。
現時点では、 私たちは世界的なサイバーセキュリティスキル不足に直面していますそして、これが世界中のCISOを夜も眠らせている理由です。何十億行ものコード、絶え間ない大規模なデータ漏えい、そしてペナルティを受けるリスクの増大(マリオットのみ) GDPRで1億2300万米ドルの罰金が科せられた 2018年のデータ漏えいについて... そして彼ら 今年も違反がありました)は、これまで以上にセキュリティスペシャリストの需要の裂け目を生み出しましたが、現実的にはこれを埋めることはまずありません。コードが多すぎて、リソースが少なすぎて、あらゆる角度から確実に強化できないのです。
では、サイバー脅威に直面しても真に立ち向かうことはできるという考えをあきらめるべきでしょうか?チャンスではない。レジリエンスには、利用可能なすべてのリソースを活用し、一歩先を見据えることが必要です。そして多くの企業にとって、 彼らの開発者は、コードが書かれると同時に強力な強化方法を解き放つことができる。これは、ビジネス全体に広く浸透しているポジティブなセキュリティ文化と相まって、多くの攻撃者が揺るがしたり壊したりするのが難しい安全な基盤となります。ただし、この方法では、オーストラリアのサイバーセキュリティ戦略からの提案を例にとり、ビジネスに関連する効果的な変化をサポートするためにどのようにカスタマイズできるかを深く掘り下げる必要があります。
そのためには、いくつかのヒントを詳しく説明することが重要です。
- セキュリティ意識向上トレーニング:これは特に中小企業を対象としており、レポート全体の文脈では、主にすべてのスタッフに基本的なセキュリティ衛生(フィッシングメールの検出、未知のリンクのクリック防止など)を教えることを目的としています。現実的には、特に開発者のようにコードに触れる人にとっては、それよりもはるかに進んで、役割に特化したものにする必要があります。予防措置とレジリエンスの構築には、セキュリティ意識向上研修が不可欠です。
- 教育:新たな変化として、小中学校から高等教育までのサイバーセキュリティ研修に重点を置いて、今後10年間のサイバーセキュリティスキル不足に対処するための綿密な計画があります。これは、将来のセキュリティスーパースターを築くために非常に必要ですが、現在のビジネスニーズに対応する観点から見ると、一般的な脆弱性を減らし始めるには、開発コホート向けのセキュアコーディングの実地トレーニングが絶対必要であり、機能的なセキュリティプログラムの一部でなければなりません。
セキュリティの専門家として、私たちは世界中の企業が、単なる基本的な認識基準を超えた内部セキュリティプログラムを構築することの重要性を理解してもらうために、さらに多くのことを行う必要があります。開発者のスキルアップに時間を割くことで、働き過ぎのAppSecスペシャリストのプレッシャーから解放されます。また、ソフトウェアにおける脅威の対象となる攻撃領域を減らすには、組織全体がそれぞれの役割の中でできる限りセキュリティを意識することが不可欠です。
開発者のスキルアップは有効活用できる時間なのに、なぜこれほど多くの企業がそれを無視しているのでしょうか?
DDLSによる最近の調査では、オーストラリアの組織におけるサイバーセキュリティトレーニングに関しては、優先順位はほとんどないと結論付けられました。実際、 トレーニングの優先順位の上位3つにも入っていませんでした回答者の 77% が、サイバーセキュリティ意識を自社のビジネスにおいて「非常に」または「非常に重要」と回答しているにもかかわらずです。
オーストラリアが拡大するスキル格差の解消に苦慮しているのも不思議ではありません。生活必需品サービスから小売まで、そしてその中間のあらゆる分野で、よりレジリエントなインフラを構築するためにやるべきことがいくつかあります。
ここには大きなチャンスがあります 政府 セキュリティスキルのベースライン認定または規制を策定することですが、この戦略では限られたリソースを活用する方法としてこれをほのめかしています。しかし、繰り返しになりますが、これは未来を見据えた提案のように思えます。影響の大きい分野を最初にターゲットにすれば、はるかに早く開始できるツールがあります。私にとって、希望の光は各組織の開発チームにあります。成功するためのツールと知識があれば、彼らはよくある脆弱性をその場で遮断し、組織内のデータ漏洩のリスクを大幅に減らすことができます。
2019年には、 すべてのデータ漏えいの 24% は人為的ミスによるもの つまり、セキュリティの設定ミスです。これは通常、比較的単純なコードレベルの修正です。ここでトレーニングを優先し、全社的なセキュリティ意識の構築と併せれば、侵害を受けた何千もの顧客への侵害通知を承認するCISOの数は減るでしょう。
オーストラリア政府がサイバーセキュリティに真剣に取り組んでいることから、サイバーセキュリティが国家レベルで主要なリスク領域として特定されていることは明らかですが、その戦略は十分に行き渡っているのでしょうか。
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
2020年を迎えるにあたり リモートワークの大幅な急増さらに、大規模なデータ漏えいが続いており、オンラインでのプライバシー侵害の影響への関心が高まっていることに加えて、サイバーセキュリティに対する世間の関心はかつてないほど高まっています。その結果、世界中の政府がサイバーセキュリティ計画とインフラストラクチャの再構築と更新に踏み込んでいます。これには、企業が私たちの最も貴重なデジタルリソースを扱う際に従うことが義務付けられている戦略や規制も含まれます。
サイバーセキュリティに関する戦略的保護ガイドラインは新しい概念ではなく、次のような組織は ニスト 長年にわたり、世界の政府部門の方針を伝えてきました。デジタルの進歩が目まぐるしいペースで進むにつれ、多くの人々にとって、絶え間なく変化する環境の一部である脅威の数、起こり得る攻撃ベクトル、コンプライアンス要件に追いつくことが難しくなっています。
最近の ニューサウスウェールズ州の運転免許証54,000件違反 アクセスしやすく、設定に誤りがあるサードパーティサーバーの S3 バケットが原因で、何千人もの個人が危険にさらされました。報告したセキュリティ研究者は、データがすでにダークウェブで販売されている可能性があることを認めています。悲しいことに、これは簡単な解決策であり、キャッシュを設定する人がセキュリティを最優先に考えていたら、実現する可能性はまったくありませんでした。
オーストラリア政府は最近 オーストラリアサイバーセキュリティ戦略 2020は、「オーストラリア人、そのビジネス、そして私たち全員が依存する不可欠なサービスのために、より安全なオンラインの世界を作るというビジョン」を達成するために、今後10年間に使われる新しいイニシアチブと16億7,000万ドルの資金援助に焦点を当てています。これは明らかに非常に歓迎すべき見直しであり、最新の計画である。特に、主な目標の1つが以下の通りであるからである。
「自社の製品やサービスを保護し、既知のサイバー脆弱性から顧客を保護するための企業による行動「。
政府機関は、国の重要インフラ、つまり壊滅的な組織的攻撃にさらされやすい地域に関するセキュリティ対策に(本来あるべきように)重点を置く傾向がありますが、これまで欠けていたのは、私たちのデータを毎日収集して使用する企業向けのガイドラインでした。
さて、このような公式戦略となると、必ずしもビールとスキットルズではありません。解釈が少し難しく、詳細が曖昧なため、非具体的なガイドラインに基づいて計画をまとめるのは組織のセキュリティチームに任されています。この問題はオーストラリア政府に限ったことではありませんが、オーストラリア政府の新しいリリースを分析してみましょう。
予防ではなく反応に焦点を当てています。
最新のオーストラリアサイバーセキュリティ戦略は、企業、特に中小企業向けにかなり包括的な計画が盛り込まれた、2016年の前回リリースへのより適切なアップグレードです。この戦略の概要は以下のとおりです。
「政府と大企業は、中小企業(SME)の成長とサイバーセキュリティ意識と能力の向上を支援します。オーストラリア政府は大企業やサービスプロバイダーと協力して、中小企業にサイバーセキュリティ情報やツールを安全なサービス(脅威ブロック、ウイルス対策、サイバーセキュリティ意識向上トレーニングなど)の「バンドル」の一環として提供する。。」
これにより、中小企業はサイバー脅威から事業を保護するための適切な基本基盤を得ることができますが、 これは主に事後対応型のアプローチです、そして焦点は検出ツールにあります。これはサイバーセキュリティ環境の比較的小さな部分です。
また、大企業がどのようにして自社を保護し、攻撃ベクトルを減らすことができるかについての情報も驚くほど少ない。多くの企業が重要なインフラストラクチャ (電気通信、輸送など) を保護する計画に参加しているかもしれませんが、 金融サービス、 小売、そして他の多くの業種は、サイバー攻撃が成功すると失うものがたくさんあります。おそらくこれは今後の法律の一部となるでしょうが、それでも、企業レベルでの綿密なサイバーセキュリティのベストプラクティスの重要性を強調することが、大きな変化を遂げ、侵害されたデータやサイバー犯罪を減らすための基本です。
全体として、戦略全体を考えると、リアクティブなアプローチを中心に構築されています。サイバー攻撃への対抗、活動的なサイバー犯罪者の妨害と訴追の確保、国際的な同盟国との情報共有はすべて重要な要素ですが、全国的な保護基準が予防に焦点を当てていたらどうなるか想像してみてください。重要なインフラストラクチャの保護対策に加えて、セキュリティがすべてのビジネスで最優先事項であり、デジタル世界を構築するコードに触れるすべての人が、攻撃が発生する前に攻撃をブロックするための適切な準備が整っていれば、被害者の時間、お金、そして心痛の節約は計り知れません。
レジリエンスは可能ですが、計画する必要があります。
オーストラリア政府がサイバーセキュリティに真剣に取り組もうとしていることから、サイバーセキュリティが国家レベルで主要なリスク領域として特定されていることは明らかです。私たちの生活様式を混乱させる可能性のある他の悪意のある攻撃と同様に、レジリエンスは絶対的に重要です。そのような攻撃に耐えるだけでなく、そのような攻撃が起きるのを阻止する役割を果たすためです。結局のところ、脅威アクターでさえ怠惰になる可能性があり、成功の妨げとなる障壁が多すぎると、目標達成のためにより簡単なターゲットに移動してしまいます。
現時点では、 私たちは世界的なサイバーセキュリティスキル不足に直面していますそして、これが世界中のCISOを夜も眠らせている理由です。何十億行ものコード、絶え間ない大規模なデータ漏えい、そしてペナルティを受けるリスクの増大(マリオットのみ) GDPRで1億2300万米ドルの罰金が科せられた 2018年のデータ漏えいについて... そして彼ら 今年も違反がありました)は、これまで以上にセキュリティスペシャリストの需要の裂け目を生み出しましたが、現実的にはこれを埋めることはまずありません。コードが多すぎて、リソースが少なすぎて、あらゆる角度から確実に強化できないのです。
では、サイバー脅威に直面しても真に立ち向かうことはできるという考えをあきらめるべきでしょうか?チャンスではない。レジリエンスには、利用可能なすべてのリソースを活用し、一歩先を見据えることが必要です。そして多くの企業にとって、 彼らの開発者は、コードが書かれると同時に強力な強化方法を解き放つことができる。これは、ビジネス全体に広く浸透しているポジティブなセキュリティ文化と相まって、多くの攻撃者が揺るがしたり壊したりするのが難しい安全な基盤となります。ただし、この方法では、オーストラリアのサイバーセキュリティ戦略からの提案を例にとり、ビジネスに関連する効果的な変化をサポートするためにどのようにカスタマイズできるかを深く掘り下げる必要があります。
そのためには、いくつかのヒントを詳しく説明することが重要です。
- セキュリティ意識向上トレーニング:これは特に中小企業を対象としており、レポート全体の文脈では、主にすべてのスタッフに基本的なセキュリティ衛生(フィッシングメールの検出、未知のリンクのクリック防止など)を教えることを目的としています。現実的には、特に開発者のようにコードに触れる人にとっては、それよりもはるかに進んで、役割に特化したものにする必要があります。予防措置とレジリエンスの構築には、セキュリティ意識向上研修が不可欠です。
- 教育:新たな変化として、小中学校から高等教育までのサイバーセキュリティ研修に重点を置いて、今後10年間のサイバーセキュリティスキル不足に対処するための綿密な計画があります。これは、将来のセキュリティスーパースターを築くために非常に必要ですが、現在のビジネスニーズに対応する観点から見ると、一般的な脆弱性を減らし始めるには、開発コホート向けのセキュアコーディングの実地トレーニングが絶対必要であり、機能的なセキュリティプログラムの一部でなければなりません。
セキュリティの専門家として、私たちは世界中の企業が、単なる基本的な認識基準を超えた内部セキュリティプログラムを構築することの重要性を理解してもらうために、さらに多くのことを行う必要があります。開発者のスキルアップに時間を割くことで、働き過ぎのAppSecスペシャリストのプレッシャーから解放されます。また、ソフトウェアにおける脅威の対象となる攻撃領域を減らすには、組織全体がそれぞれの役割の中でできる限りセキュリティを意識することが不可欠です。
開発者のスキルアップは有効活用できる時間なのに、なぜこれほど多くの企業がそれを無視しているのでしょうか?
DDLSによる最近の調査では、オーストラリアの組織におけるサイバーセキュリティトレーニングに関しては、優先順位はほとんどないと結論付けられました。実際、 トレーニングの優先順位の上位3つにも入っていませんでした回答者の 77% が、サイバーセキュリティ意識を自社のビジネスにおいて「非常に」または「非常に重要」と回答しているにもかかわらずです。
オーストラリアが拡大するスキル格差の解消に苦慮しているのも不思議ではありません。生活必需品サービスから小売まで、そしてその中間のあらゆる分野で、よりレジリエントなインフラを構築するためにやるべきことがいくつかあります。
ここには大きなチャンスがあります 政府 セキュリティスキルのベースライン認定または規制を策定することですが、この戦略では限られたリソースを活用する方法としてこれをほのめかしています。しかし、繰り返しになりますが、これは未来を見据えた提案のように思えます。影響の大きい分野を最初にターゲットにすれば、はるかに早く開始できるツールがあります。私にとって、希望の光は各組織の開発チームにあります。成功するためのツールと知識があれば、彼らはよくある脆弱性をその場で遮断し、組織内のデータ漏洩のリスクを大幅に減らすことができます。
2019年には、 すべてのデータ漏えいの 24% は人為的ミスによるもの つまり、セキュリティの設定ミスです。これは通常、比較的単純なコードレベルの修正です。ここでトレーニングを優先し、全社的なセキュリティ意識の構築と併せれば、侵害を受けた何千もの顧客への侵害通知を承認するCISOの数は減るでしょう。
2020年を迎えるにあたり リモートワークの大幅な急増さらに、大規模なデータ漏えいが続いており、オンラインでのプライバシー侵害の影響への関心が高まっていることに加えて、サイバーセキュリティに対する世間の関心はかつてないほど高まっています。その結果、世界中の政府がサイバーセキュリティ計画とインフラストラクチャの再構築と更新に踏み込んでいます。これには、企業が私たちの最も貴重なデジタルリソースを扱う際に従うことが義務付けられている戦略や規制も含まれます。
サイバーセキュリティに関する戦略的保護ガイドラインは新しい概念ではなく、次のような組織は ニスト 長年にわたり、世界の政府部門の方針を伝えてきました。デジタルの進歩が目まぐるしいペースで進むにつれ、多くの人々にとって、絶え間なく変化する環境の一部である脅威の数、起こり得る攻撃ベクトル、コンプライアンス要件に追いつくことが難しくなっています。
最近の ニューサウスウェールズ州の運転免許証54,000件違反 アクセスしやすく、設定に誤りがあるサードパーティサーバーの S3 バケットが原因で、何千人もの個人が危険にさらされました。報告したセキュリティ研究者は、データがすでにダークウェブで販売されている可能性があることを認めています。悲しいことに、これは簡単な解決策であり、キャッシュを設定する人がセキュリティを最優先に考えていたら、実現する可能性はまったくありませんでした。
オーストラリア政府は最近 オーストラリアサイバーセキュリティ戦略 2020は、「オーストラリア人、そのビジネス、そして私たち全員が依存する不可欠なサービスのために、より安全なオンラインの世界を作るというビジョン」を達成するために、今後10年間に使われる新しいイニシアチブと16億7,000万ドルの資金援助に焦点を当てています。これは明らかに非常に歓迎すべき見直しであり、最新の計画である。特に、主な目標の1つが以下の通りであるからである。
「自社の製品やサービスを保護し、既知のサイバー脆弱性から顧客を保護するための企業による行動「。
政府機関は、国の重要インフラ、つまり壊滅的な組織的攻撃にさらされやすい地域に関するセキュリティ対策に(本来あるべきように)重点を置く傾向がありますが、これまで欠けていたのは、私たちのデータを毎日収集して使用する企業向けのガイドラインでした。
さて、このような公式戦略となると、必ずしもビールとスキットルズではありません。解釈が少し難しく、詳細が曖昧なため、非具体的なガイドラインに基づいて計画をまとめるのは組織のセキュリティチームに任されています。この問題はオーストラリア政府に限ったことではありませんが、オーストラリア政府の新しいリリースを分析してみましょう。
予防ではなく反応に焦点を当てています。
最新のオーストラリアサイバーセキュリティ戦略は、企業、特に中小企業向けにかなり包括的な計画が盛り込まれた、2016年の前回リリースへのより適切なアップグレードです。この戦略の概要は以下のとおりです。
「政府と大企業は、中小企業(SME)の成長とサイバーセキュリティ意識と能力の向上を支援します。オーストラリア政府は大企業やサービスプロバイダーと協力して、中小企業にサイバーセキュリティ情報やツールを安全なサービス(脅威ブロック、ウイルス対策、サイバーセキュリティ意識向上トレーニングなど)の「バンドル」の一環として提供する。。」
これにより、中小企業はサイバー脅威から事業を保護するための適切な基本基盤を得ることができますが、 これは主に事後対応型のアプローチです、そして焦点は検出ツールにあります。これはサイバーセキュリティ環境の比較的小さな部分です。
また、大企業がどのようにして自社を保護し、攻撃ベクトルを減らすことができるかについての情報も驚くほど少ない。多くの企業が重要なインフラストラクチャ (電気通信、輸送など) を保護する計画に参加しているかもしれませんが、 金融サービス、 小売、そして他の多くの業種は、サイバー攻撃が成功すると失うものがたくさんあります。おそらくこれは今後の法律の一部となるでしょうが、それでも、企業レベルでの綿密なサイバーセキュリティのベストプラクティスの重要性を強調することが、大きな変化を遂げ、侵害されたデータやサイバー犯罪を減らすための基本です。
全体として、戦略全体を考えると、リアクティブなアプローチを中心に構築されています。サイバー攻撃への対抗、活動的なサイバー犯罪者の妨害と訴追の確保、国際的な同盟国との情報共有はすべて重要な要素ですが、全国的な保護基準が予防に焦点を当てていたらどうなるか想像してみてください。重要なインフラストラクチャの保護対策に加えて、セキュリティがすべてのビジネスで最優先事項であり、デジタル世界を構築するコードに触れるすべての人が、攻撃が発生する前に攻撃をブロックするための適切な準備が整っていれば、被害者の時間、お金、そして心痛の節約は計り知れません。
レジリエンスは可能ですが、計画する必要があります。
オーストラリア政府がサイバーセキュリティに真剣に取り組もうとしていることから、サイバーセキュリティが国家レベルで主要なリスク領域として特定されていることは明らかです。私たちの生活様式を混乱させる可能性のある他の悪意のある攻撃と同様に、レジリエンスは絶対的に重要です。そのような攻撃に耐えるだけでなく、そのような攻撃が起きるのを阻止する役割を果たすためです。結局のところ、脅威アクターでさえ怠惰になる可能性があり、成功の妨げとなる障壁が多すぎると、目標達成のためにより簡単なターゲットに移動してしまいます。
現時点では、 私たちは世界的なサイバーセキュリティスキル不足に直面していますそして、これが世界中のCISOを夜も眠らせている理由です。何十億行ものコード、絶え間ない大規模なデータ漏えい、そしてペナルティを受けるリスクの増大(マリオットのみ) GDPRで1億2300万米ドルの罰金が科せられた 2018年のデータ漏えいについて... そして彼ら 今年も違反がありました)は、これまで以上にセキュリティスペシャリストの需要の裂け目を生み出しましたが、現実的にはこれを埋めることはまずありません。コードが多すぎて、リソースが少なすぎて、あらゆる角度から確実に強化できないのです。
では、サイバー脅威に直面しても真に立ち向かうことはできるという考えをあきらめるべきでしょうか?チャンスではない。レジリエンスには、利用可能なすべてのリソースを活用し、一歩先を見据えることが必要です。そして多くの企業にとって、 彼らの開発者は、コードが書かれると同時に強力な強化方法を解き放つことができる。これは、ビジネス全体に広く浸透しているポジティブなセキュリティ文化と相まって、多くの攻撃者が揺るがしたり壊したりするのが難しい安全な基盤となります。ただし、この方法では、オーストラリアのサイバーセキュリティ戦略からの提案を例にとり、ビジネスに関連する効果的な変化をサポートするためにどのようにカスタマイズできるかを深く掘り下げる必要があります。
そのためには、いくつかのヒントを詳しく説明することが重要です。
- セキュリティ意識向上トレーニング:これは特に中小企業を対象としており、レポート全体の文脈では、主にすべてのスタッフに基本的なセキュリティ衛生(フィッシングメールの検出、未知のリンクのクリック防止など)を教えることを目的としています。現実的には、特に開発者のようにコードに触れる人にとっては、それよりもはるかに進んで、役割に特化したものにする必要があります。予防措置とレジリエンスの構築には、セキュリティ意識向上研修が不可欠です。
- 教育:新たな変化として、小中学校から高等教育までのサイバーセキュリティ研修に重点を置いて、今後10年間のサイバーセキュリティスキル不足に対処するための綿密な計画があります。これは、将来のセキュリティスーパースターを築くために非常に必要ですが、現在のビジネスニーズに対応する観点から見ると、一般的な脆弱性を減らし始めるには、開発コホート向けのセキュアコーディングの実地トレーニングが絶対必要であり、機能的なセキュリティプログラムの一部でなければなりません。
セキュリティの専門家として、私たちは世界中の企業が、単なる基本的な認識基準を超えた内部セキュリティプログラムを構築することの重要性を理解してもらうために、さらに多くのことを行う必要があります。開発者のスキルアップに時間を割くことで、働き過ぎのAppSecスペシャリストのプレッシャーから解放されます。また、ソフトウェアにおける脅威の対象となる攻撃領域を減らすには、組織全体がそれぞれの役割の中でできる限りセキュリティを意識することが不可欠です。
開発者のスキルアップは有効活用できる時間なのに、なぜこれほど多くの企業がそれを無視しているのでしょうか?
DDLSによる最近の調査では、オーストラリアの組織におけるサイバーセキュリティトレーニングに関しては、優先順位はほとんどないと結論付けられました。実際、 トレーニングの優先順位の上位3つにも入っていませんでした回答者の 77% が、サイバーセキュリティ意識を自社のビジネスにおいて「非常に」または「非常に重要」と回答しているにもかかわらずです。
オーストラリアが拡大するスキル格差の解消に苦慮しているのも不思議ではありません。生活必需品サービスから小売まで、そしてその中間のあらゆる分野で、よりレジリエントなインフラを構築するためにやるべきことがいくつかあります。
ここには大きなチャンスがあります 政府 セキュリティスキルのベースライン認定または規制を策定することですが、この戦略では限られたリソースを活用する方法としてこれをほのめかしています。しかし、繰り返しになりますが、これは未来を見据えた提案のように思えます。影響の大きい分野を最初にターゲットにすれば、はるかに早く開始できるツールがあります。私にとって、希望の光は各組織の開発チームにあります。成功するためのツールと知識があれば、彼らはよくある脆弱性をその場で遮断し、組織内のデータ漏洩のリスクを大幅に減らすことができます。
2019年には、 すべてのデータ漏えいの 24% は人為的ミスによるもの つまり、セキュリティの設定ミスです。これは通常、比較的単純なコードレベルの修正です。ここでトレーニングを優先し、全社的なセキュリティ意識の構築と併せれば、侵害を受けた何千もの顧客への侵害通知を承認するCISOの数は減るでしょう。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
2020年を迎えるにあたり リモートワークの大幅な急増さらに、大規模なデータ漏えいが続いており、オンラインでのプライバシー侵害の影響への関心が高まっていることに加えて、サイバーセキュリティに対する世間の関心はかつてないほど高まっています。その結果、世界中の政府がサイバーセキュリティ計画とインフラストラクチャの再構築と更新に踏み込んでいます。これには、企業が私たちの最も貴重なデジタルリソースを扱う際に従うことが義務付けられている戦略や規制も含まれます。
サイバーセキュリティに関する戦略的保護ガイドラインは新しい概念ではなく、次のような組織は ニスト 長年にわたり、世界の政府部門の方針を伝えてきました。デジタルの進歩が目まぐるしいペースで進むにつれ、多くの人々にとって、絶え間なく変化する環境の一部である脅威の数、起こり得る攻撃ベクトル、コンプライアンス要件に追いつくことが難しくなっています。
最近の ニューサウスウェールズ州の運転免許証54,000件違反 アクセスしやすく、設定に誤りがあるサードパーティサーバーの S3 バケットが原因で、何千人もの個人が危険にさらされました。報告したセキュリティ研究者は、データがすでにダークウェブで販売されている可能性があることを認めています。悲しいことに、これは簡単な解決策であり、キャッシュを設定する人がセキュリティを最優先に考えていたら、実現する可能性はまったくありませんでした。
オーストラリア政府は最近 オーストラリアサイバーセキュリティ戦略 2020は、「オーストラリア人、そのビジネス、そして私たち全員が依存する不可欠なサービスのために、より安全なオンラインの世界を作るというビジョン」を達成するために、今後10年間に使われる新しいイニシアチブと16億7,000万ドルの資金援助に焦点を当てています。これは明らかに非常に歓迎すべき見直しであり、最新の計画である。特に、主な目標の1つが以下の通りであるからである。
「自社の製品やサービスを保護し、既知のサイバー脆弱性から顧客を保護するための企業による行動「。
政府機関は、国の重要インフラ、つまり壊滅的な組織的攻撃にさらされやすい地域に関するセキュリティ対策に(本来あるべきように)重点を置く傾向がありますが、これまで欠けていたのは、私たちのデータを毎日収集して使用する企業向けのガイドラインでした。
さて、このような公式戦略となると、必ずしもビールとスキットルズではありません。解釈が少し難しく、詳細が曖昧なため、非具体的なガイドラインに基づいて計画をまとめるのは組織のセキュリティチームに任されています。この問題はオーストラリア政府に限ったことではありませんが、オーストラリア政府の新しいリリースを分析してみましょう。
予防ではなく反応に焦点を当てています。
最新のオーストラリアサイバーセキュリティ戦略は、企業、特に中小企業向けにかなり包括的な計画が盛り込まれた、2016年の前回リリースへのより適切なアップグレードです。この戦略の概要は以下のとおりです。
「政府と大企業は、中小企業(SME)の成長とサイバーセキュリティ意識と能力の向上を支援します。オーストラリア政府は大企業やサービスプロバイダーと協力して、中小企業にサイバーセキュリティ情報やツールを安全なサービス(脅威ブロック、ウイルス対策、サイバーセキュリティ意識向上トレーニングなど)の「バンドル」の一環として提供する。。」
これにより、中小企業はサイバー脅威から事業を保護するための適切な基本基盤を得ることができますが、 これは主に事後対応型のアプローチです、そして焦点は検出ツールにあります。これはサイバーセキュリティ環境の比較的小さな部分です。
また、大企業がどのようにして自社を保護し、攻撃ベクトルを減らすことができるかについての情報も驚くほど少ない。多くの企業が重要なインフラストラクチャ (電気通信、輸送など) を保護する計画に参加しているかもしれませんが、 金融サービス、 小売、そして他の多くの業種は、サイバー攻撃が成功すると失うものがたくさんあります。おそらくこれは今後の法律の一部となるでしょうが、それでも、企業レベルでの綿密なサイバーセキュリティのベストプラクティスの重要性を強調することが、大きな変化を遂げ、侵害されたデータやサイバー犯罪を減らすための基本です。
全体として、戦略全体を考えると、リアクティブなアプローチを中心に構築されています。サイバー攻撃への対抗、活動的なサイバー犯罪者の妨害と訴追の確保、国際的な同盟国との情報共有はすべて重要な要素ですが、全国的な保護基準が予防に焦点を当てていたらどうなるか想像してみてください。重要なインフラストラクチャの保護対策に加えて、セキュリティがすべてのビジネスで最優先事項であり、デジタル世界を構築するコードに触れるすべての人が、攻撃が発生する前に攻撃をブロックするための適切な準備が整っていれば、被害者の時間、お金、そして心痛の節約は計り知れません。
レジリエンスは可能ですが、計画する必要があります。
オーストラリア政府がサイバーセキュリティに真剣に取り組もうとしていることから、サイバーセキュリティが国家レベルで主要なリスク領域として特定されていることは明らかです。私たちの生活様式を混乱させる可能性のある他の悪意のある攻撃と同様に、レジリエンスは絶対的に重要です。そのような攻撃に耐えるだけでなく、そのような攻撃が起きるのを阻止する役割を果たすためです。結局のところ、脅威アクターでさえ怠惰になる可能性があり、成功の妨げとなる障壁が多すぎると、目標達成のためにより簡単なターゲットに移動してしまいます。
現時点では、 私たちは世界的なサイバーセキュリティスキル不足に直面していますそして、これが世界中のCISOを夜も眠らせている理由です。何十億行ものコード、絶え間ない大規模なデータ漏えい、そしてペナルティを受けるリスクの増大(マリオットのみ) GDPRで1億2300万米ドルの罰金が科せられた 2018年のデータ漏えいについて... そして彼ら 今年も違反がありました)は、これまで以上にセキュリティスペシャリストの需要の裂け目を生み出しましたが、現実的にはこれを埋めることはまずありません。コードが多すぎて、リソースが少なすぎて、あらゆる角度から確実に強化できないのです。
では、サイバー脅威に直面しても真に立ち向かうことはできるという考えをあきらめるべきでしょうか?チャンスではない。レジリエンスには、利用可能なすべてのリソースを活用し、一歩先を見据えることが必要です。そして多くの企業にとって、 彼らの開発者は、コードが書かれると同時に強力な強化方法を解き放つことができる。これは、ビジネス全体に広く浸透しているポジティブなセキュリティ文化と相まって、多くの攻撃者が揺るがしたり壊したりするのが難しい安全な基盤となります。ただし、この方法では、オーストラリアのサイバーセキュリティ戦略からの提案を例にとり、ビジネスに関連する効果的な変化をサポートするためにどのようにカスタマイズできるかを深く掘り下げる必要があります。
そのためには、いくつかのヒントを詳しく説明することが重要です。
- セキュリティ意識向上トレーニング:これは特に中小企業を対象としており、レポート全体の文脈では、主にすべてのスタッフに基本的なセキュリティ衛生(フィッシングメールの検出、未知のリンクのクリック防止など)を教えることを目的としています。現実的には、特に開発者のようにコードに触れる人にとっては、それよりもはるかに進んで、役割に特化したものにする必要があります。予防措置とレジリエンスの構築には、セキュリティ意識向上研修が不可欠です。
- 教育:新たな変化として、小中学校から高等教育までのサイバーセキュリティ研修に重点を置いて、今後10年間のサイバーセキュリティスキル不足に対処するための綿密な計画があります。これは、将来のセキュリティスーパースターを築くために非常に必要ですが、現在のビジネスニーズに対応する観点から見ると、一般的な脆弱性を減らし始めるには、開発コホート向けのセキュアコーディングの実地トレーニングが絶対必要であり、機能的なセキュリティプログラムの一部でなければなりません。
セキュリティの専門家として、私たちは世界中の企業が、単なる基本的な認識基準を超えた内部セキュリティプログラムを構築することの重要性を理解してもらうために、さらに多くのことを行う必要があります。開発者のスキルアップに時間を割くことで、働き過ぎのAppSecスペシャリストのプレッシャーから解放されます。また、ソフトウェアにおける脅威の対象となる攻撃領域を減らすには、組織全体がそれぞれの役割の中でできる限りセキュリティを意識することが不可欠です。
開発者のスキルアップは有効活用できる時間なのに、なぜこれほど多くの企業がそれを無視しているのでしょうか?
DDLSによる最近の調査では、オーストラリアの組織におけるサイバーセキュリティトレーニングに関しては、優先順位はほとんどないと結論付けられました。実際、 トレーニングの優先順位の上位3つにも入っていませんでした回答者の 77% が、サイバーセキュリティ意識を自社のビジネスにおいて「非常に」または「非常に重要」と回答しているにもかかわらずです。
オーストラリアが拡大するスキル格差の解消に苦慮しているのも不思議ではありません。生活必需品サービスから小売まで、そしてその中間のあらゆる分野で、よりレジリエントなインフラを構築するためにやるべきことがいくつかあります。
ここには大きなチャンスがあります 政府 セキュリティスキルのベースライン認定または規制を策定することですが、この戦略では限られたリソースを活用する方法としてこれをほのめかしています。しかし、繰り返しになりますが、これは未来を見据えた提案のように思えます。影響の大きい分野を最初にターゲットにすれば、はるかに早く開始できるツールがあります。私にとって、希望の光は各組織の開発チームにあります。成功するためのツールと知識があれば、彼らはよくある脆弱性をその場で遮断し、組織内のデータ漏洩のリスクを大幅に減らすことができます。
2019年には、 すべてのデータ漏えいの 24% は人為的ミスによるもの つまり、セキュリティの設定ミスです。これは通常、比較的単純なコードレベルの修正です。ここでトレーニングを優先し、全社的なセキュリティ意識の構築と併せれば、侵害を受けた何千もの顧客への侵害通知を承認するCISOの数は減るでしょう。
%20(1).avif)
.avif)
