サイバーセキュリティのベストプラクティスについては、金融業界に目を向けてください
最初に公開されました レギュレーション・アジア。
「あらゆる業種のあらゆるタイプの組織に影響を及ぼす」サイバー攻撃が増加している中、費用がかかり、恥ずかしく、収益に影響するデータ侵害の脅威は非常に現実的です。問題は小さくなっているのではなく、腫瘍のように大きくなっていることです。
サイバーセキュリティとアプリケーション・セキュリティのベスト・プラクティスの「ワイルドウエスト」を巧みかつ巧みに操りながら、この問題に取り組んでいる組織の例を挙げてほしいとよく聞かれます。ある答えに他の人よりも頻繁に出くわしていることに気づきます。それは、ほとんどの企業よりもうまくやっているのは金融業界です。
規制:金融業界のサイバーセキュリティリーダーシップの原動力
金融セクターがアプリケーションセキュリティ分野で非常に好調である理由の1つは、サイバーセキュリティ攻撃やデータ盗難の成功によって生じる可能性のある、普遍的な「壊滅的な」影響に対する世界、地域、および国の規制当局の懸念が(少なくとも部分的には)原動力となっていることです。
BCBS(バーゼル銀行監督委員会)は、 報告書 12月には、複数の法域で実施されている銀行、規制、監督のサイバーレジリエンスの取り組みの範囲が詳しく説明されています。その主な調査結果の中には、サイバーセキュリティのスキル不足という課題がありました。特定のサイバー認証を導入してこの課題に対処した法域はごくわずかです。
「一部の法域では、サイバーセキュリティ人材のトレーニングと能力に特に注意を払いながら、IT要員と情報セキュリティ機能の責任に対応するIT固有の基準を設けています」と報告書は述べている。しかし、ほとんどの法域は、銀行のサイバー要員のスキルとリソースを監視するための監督業務を実施する「初期段階」にあります。
ほとんどの場合、規制制度は規制対象機関にリスク管理を義務付けていますが、このリスクをうまく軽減するための明確な道筋はほとんどありません。サイバーセキュリティ要員のスキルやリソースに対応するための特定の要件 (あるいはベンチマーク) は設定されていません。ほとんどの規制当局は現場調査を通じて教育機関のサイバーセキュリティ要員を評価します。このような現場では、自己評価アンケートが一般的であり、研修プロセスが特に精査されていますが、規制によってITスタッフの役割と責任が具体的に扱われている法域はごくわずかです。簡単に言うと、間違いを犯す余地は大きく、適切なトレーニングとその後のスキル評価に重点が置かれることはあまりありません。
日本と韓国では、公的機関が適切なサイバーセキュリティ人材管理に関するガイドラインを定めています。しかし、他のほとんどの法域では、サイバー労働力管理に関する規制要件は監督当局の期待に限られており、規制対象組織におけるサイバーセキュリティスキルやスタッフトレーニングについて監督者による評価が行われていないことが多いです。
香港、シンガポール、英国のみが、サイバーワーカーのスキルと能力を認定するための専用のフレームワークを発行しています。「コンプライアンス」や「認定」などの言葉は、優れたソフトウェア機能の構築を任された、創造的で問題解決に取り組む平均的な開発者の背筋を冷たく震わせる傾向がありますが(彼らにとって、セキュリティはセキュリティチームという他の誰かの問題と見なされることがよくあります)、多くの規制対象機関が保持する膨大な量の機密データは、スキルが適切に検証されるのではなく、スキルが「引き受けられる」人々に任せるにはあまりにも貴重です。
幸いなことに、多くの銀行や金融機関は、必ずしも明らかな規制経路に頼っていなくても、このことを認識しています。規制は確かに最終結果への期待(つまり、安全なソフトウェア)の概要を示していますが、これを実現するには、開発者をトレーニングし、既存のアプリケーションセキュリティ専門家との関係を育み、責任と所有権を生む前向きなセキュリティ文化を構築することでサイバーセキュリティのスキル不足を回避する必要があることを認識しています。
なぜ金融業界にはサイバーセキュリティの「Xファクター」があるのでしょうか?
銀行業界の企業には、いくつかの要素が関係しています。 金融サービス そして保険業界は、サイバーセキュリティ環境におけるリーダーシップの基盤となる強みの柱となっています。
当然のことながら、世界の財政(何百万もの非常に機密性の高いデータ記録は言うまでもありません)の門番として、彼らは通常、非常にコンプライアンス主導で規制された組織です。「最新のガイドライン、規制、要件は、有意義な方法で期待され、計画されています。その結果、最も厳格なサイバーセキュリティのベストプラクティスポリシーと、潜在的な攻撃にさらされるリスクを減らすためのエンドツーエンドのプロセスを誇り、サイバーリスクの軽減に対するニーズの高まりに身を任せました。
では、金融機関は他の金融機関と何が違うのでしょうか?私の経験では、アプリケーション・セキュリティの専門家やペネトレーション・テスターだけでなく、その(通常は非常に大規模で世界中に分散している)開発チームを対象とした総合的なトレーニング・プログラムの必要性を認識し、リソースを投入して、他の企業よりもセキュリティ意識を高めるための基礎を築いてきました。
サイバーセキュリティはほとんどの組織で比較的新しいものですが、金融機関が安全でセキュアなソフトウェアを提供しようとして、真にオープンマインドで革新的になっていることは新鮮です。多くの企業が、開発コホートのスキルアップのメリットを実感しています。 魅力的なトレーニング これにより、生徒は教室から飛び出して、問題を解決するだけでなく、一般的な安全なコーディングの重要性を理解するのに役立つ、実践的で適切な学習体験ができます。
結局のところ、セキュアコーディングは、開発者とAppSecチームとの間に強固で機能的な関係を築き、ビジネス内で強固なセキュリティ文化を維持する上で重要な要素です。セキュリティプログラムを成功させるもう 1 つの重要な要素は、主要な利害関係者がセキュリティ専門家でなくても参加してメリットを享受できるようにすることです。
金融機関は経営幹部とうまくコミュニケーションをとる傾向があり、トップレベルの意思決定者に、セキュリティプロセスは「設定したら忘れる」手段ではなく、使用されているテクノロジーと同じくらい迅速に進化し、さまざまなリスクに適応する必要があることを理解させる傾向があります。
今は時間と費用がかかるかもしれませんが、コミットされたコードで脆弱性を修正するには30倍の費用がかかるため、「ゼロからのトレーニングを含む」万能なセキュリティプログラムは、長期的なお金の節約になります。セキュリティ意識の高い開発者がセキュリティ問題を修正した方がはるかに安価です。
セキュリティ基準は、増大するリスクに対応し始めています
金融業界におけるサイバーコンプライアンスの重要な推進力は、 PCI セキュリティ標準審議会は、金融機関が実行可能なセキュリティポリシーを実施し、あらゆる分野でガイドラインを維持できるよう支援することに引き続き取り組んでいます。これらの機関は、この業種が決済ソフトウェアにおける最高水準のセキュリティを実現するうえで、善の力となってきました。
ただし、金融業界のクライアントの多くは、実際には現在のPCIセキュリティ基準審議会のガイドラインさえも上回っていると言わざるを得ません。これらのガイドラインは開発者向けのトレーニングを推奨していますが (規制情報の他の例でも触れたとおり)、トレーニングが効果的であったことを示すために満たすべき特定のタイプやベンチマークは明記していません。
SQLインジェクションやクロスサイトスクリプティング(XSS)などの多くの脆弱性が以前から存在しています 二十年 (2019年もまだ問題を引き起こしています)、すべてのトレーニングが同等または効果的であるとは限らないことは明らかです。銀行やその他の金融サービス企業は、実践的でゲーミフィケーションされた安全なトレーニングを採用することで、はるかに良い結果を得ることができ、悪用された場合に大混乱を招きかねない脆弱性を実質的に減少させています。
その好例が、米国の金融機関であるキャピタルワンが、革新的なテックカレッジと認定制度の一環として、ゲーミフィケーションを使ったトレーニング手法をどのように活用してきたかです。最近、同社のサイバーセキュリティおよびクラウドコンピューティング教育担当ディレクターを務めるラッセル・ウルフが語りました。 ウェブセミナー、ボランティアトレーニングプログラムとコーディングトーナメントは、前例のない需要と、認定資格を取得して他の人のスキルアップを支援したいという仲間からの有機的なモチベーションにより、すぐに勢いを増しました。
サイバーセキュリティ担当者が適切なトレーニングを受けていることを確認するために、規制当局は何ができるでしょうか?
世界中の規制当局は、データ保護の管理者が満たさなければならない受け入れられているトレーニング方法論と基準を概説するだけで、既存のサイバー規制ポリシーとガイドラインを本当に「より良くする」ことができます。現時点では、ほとんどの規制ポリシーにトレーニング要件に関する一般的な言及があるようですが、所定のトレーニングを受けた人がサイバー脅威との戦いを本当に支援するために必要なコンテンツとテクニックを吸収していることを確認するためのフォローアップはほとんどありません。
MAS(シンガポール金融管理局)による最近の動きは、セキュリティ意識向上トレーニングプログラムと安全なソフトウェア開発のベストプラクティスを採用することを 最新のイテレーション しかし、その技術リスクガイドラインの中には心強いものがあります。ガイドラインが施行されれば、金融機関は、ソフトウェア開発者がソフトウェアを開発する際にセキュア・コーディング、ソース・コード・レビュー、およびAppSecテスト標準を適用するためのトレーニングを受けていることを確認するよう求めることになり、バグや脆弱性を最小限に抑えるのに大いに役立つはずです。
私にとって、手遅れになる前にすべての組織が作成しなければならない強固なセキュリティ文化の基盤を築きながら、開発コホートに実践的で現実世界のテクニックを身に付けることは、彼らの仕事にとって断然最も魅力的で関連性の高いものです。
サイバー攻撃は増加の一途をたどり、あらゆる業種のあらゆるタイプの組織に影響を及ぼしています。高額で恥ずかしいだけでなく、収益にも影響を及ぼすデータ漏洩の脅威は非常に現実的です。問題は小さくなっているのではなく、腫瘍のように大きくなっていることです。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
最初に公開されました レギュレーション・アジア。
「あらゆる業種のあらゆるタイプの組織に影響を及ぼす」サイバー攻撃が増加している中、費用がかかり、恥ずかしく、収益に影響するデータ侵害の脅威は非常に現実的です。問題は小さくなっているのではなく、腫瘍のように大きくなっていることです。
サイバーセキュリティとアプリケーション・セキュリティのベスト・プラクティスの「ワイルドウエスト」を巧みかつ巧みに操りながら、この問題に取り組んでいる組織の例を挙げてほしいとよく聞かれます。ある答えに他の人よりも頻繁に出くわしていることに気づきます。それは、ほとんどの企業よりもうまくやっているのは金融業界です。
規制:金融業界のサイバーセキュリティリーダーシップの原動力
金融セクターがアプリケーションセキュリティ分野で非常に好調である理由の1つは、サイバーセキュリティ攻撃やデータ盗難の成功によって生じる可能性のある、普遍的な「壊滅的な」影響に対する世界、地域、および国の規制当局の懸念が(少なくとも部分的には)原動力となっていることです。
BCBS(バーゼル銀行監督委員会)は、 報告書 12月には、複数の法域で実施されている銀行、規制、監督のサイバーレジリエンスの取り組みの範囲が詳しく説明されています。その主な調査結果の中には、サイバーセキュリティのスキル不足という課題がありました。特定のサイバー認証を導入してこの課題に対処した法域はごくわずかです。
「一部の法域では、サイバーセキュリティ人材のトレーニングと能力に特に注意を払いながら、IT要員と情報セキュリティ機能の責任に対応するIT固有の基準を設けています」と報告書は述べている。しかし、ほとんどの法域は、銀行のサイバー要員のスキルとリソースを監視するための監督業務を実施する「初期段階」にあります。
ほとんどの場合、規制制度は規制対象機関にリスク管理を義務付けていますが、このリスクをうまく軽減するための明確な道筋はほとんどありません。サイバーセキュリティ要員のスキルやリソースに対応するための特定の要件 (あるいはベンチマーク) は設定されていません。ほとんどの規制当局は現場調査を通じて教育機関のサイバーセキュリティ要員を評価します。このような現場では、自己評価アンケートが一般的であり、研修プロセスが特に精査されていますが、規制によってITスタッフの役割と責任が具体的に扱われている法域はごくわずかです。簡単に言うと、間違いを犯す余地は大きく、適切なトレーニングとその後のスキル評価に重点が置かれることはあまりありません。
日本と韓国では、公的機関が適切なサイバーセキュリティ人材管理に関するガイドラインを定めています。しかし、他のほとんどの法域では、サイバー労働力管理に関する規制要件は監督当局の期待に限られており、規制対象組織におけるサイバーセキュリティスキルやスタッフトレーニングについて監督者による評価が行われていないことが多いです。
香港、シンガポール、英国のみが、サイバーワーカーのスキルと能力を認定するための専用のフレームワークを発行しています。「コンプライアンス」や「認定」などの言葉は、優れたソフトウェア機能の構築を任された、創造的で問題解決に取り組む平均的な開発者の背筋を冷たく震わせる傾向がありますが(彼らにとって、セキュリティはセキュリティチームという他の誰かの問題と見なされることがよくあります)、多くの規制対象機関が保持する膨大な量の機密データは、スキルが適切に検証されるのではなく、スキルが「引き受けられる」人々に任せるにはあまりにも貴重です。
幸いなことに、多くの銀行や金融機関は、必ずしも明らかな規制経路に頼っていなくても、このことを認識しています。規制は確かに最終結果への期待(つまり、安全なソフトウェア)の概要を示していますが、これを実現するには、開発者をトレーニングし、既存のアプリケーションセキュリティ専門家との関係を育み、責任と所有権を生む前向きなセキュリティ文化を構築することでサイバーセキュリティのスキル不足を回避する必要があることを認識しています。
なぜ金融業界にはサイバーセキュリティの「Xファクター」があるのでしょうか?
銀行業界の企業には、いくつかの要素が関係しています。 金融サービス そして保険業界は、サイバーセキュリティ環境におけるリーダーシップの基盤となる強みの柱となっています。
当然のことながら、世界の財政(何百万もの非常に機密性の高いデータ記録は言うまでもありません)の門番として、彼らは通常、非常にコンプライアンス主導で規制された組織です。「最新のガイドライン、規制、要件は、有意義な方法で期待され、計画されています。その結果、最も厳格なサイバーセキュリティのベストプラクティスポリシーと、潜在的な攻撃にさらされるリスクを減らすためのエンドツーエンドのプロセスを誇り、サイバーリスクの軽減に対するニーズの高まりに身を任せました。
では、金融機関は他の金融機関と何が違うのでしょうか?私の経験では、アプリケーション・セキュリティの専門家やペネトレーション・テスターだけでなく、その(通常は非常に大規模で世界中に分散している)開発チームを対象とした総合的なトレーニング・プログラムの必要性を認識し、リソースを投入して、他の企業よりもセキュリティ意識を高めるための基礎を築いてきました。
サイバーセキュリティはほとんどの組織で比較的新しいものですが、金融機関が安全でセキュアなソフトウェアを提供しようとして、真にオープンマインドで革新的になっていることは新鮮です。多くの企業が、開発コホートのスキルアップのメリットを実感しています。 魅力的なトレーニング これにより、生徒は教室から飛び出して、問題を解決するだけでなく、一般的な安全なコーディングの重要性を理解するのに役立つ、実践的で適切な学習体験ができます。
結局のところ、セキュアコーディングは、開発者とAppSecチームとの間に強固で機能的な関係を築き、ビジネス内で強固なセキュリティ文化を維持する上で重要な要素です。セキュリティプログラムを成功させるもう 1 つの重要な要素は、主要な利害関係者がセキュリティ専門家でなくても参加してメリットを享受できるようにすることです。
金融機関は経営幹部とうまくコミュニケーションをとる傾向があり、トップレベルの意思決定者に、セキュリティプロセスは「設定したら忘れる」手段ではなく、使用されているテクノロジーと同じくらい迅速に進化し、さまざまなリスクに適応する必要があることを理解させる傾向があります。
今は時間と費用がかかるかもしれませんが、コミットされたコードで脆弱性を修正するには30倍の費用がかかるため、「ゼロからのトレーニングを含む」万能なセキュリティプログラムは、長期的なお金の節約になります。セキュリティ意識の高い開発者がセキュリティ問題を修正した方がはるかに安価です。
セキュリティ基準は、増大するリスクに対応し始めています
金融業界におけるサイバーコンプライアンスの重要な推進力は、 PCI セキュリティ標準審議会は、金融機関が実行可能なセキュリティポリシーを実施し、あらゆる分野でガイドラインを維持できるよう支援することに引き続き取り組んでいます。これらの機関は、この業種が決済ソフトウェアにおける最高水準のセキュリティを実現するうえで、善の力となってきました。
ただし、金融業界のクライアントの多くは、実際には現在のPCIセキュリティ基準審議会のガイドラインさえも上回っていると言わざるを得ません。これらのガイドラインは開発者向けのトレーニングを推奨していますが (規制情報の他の例でも触れたとおり)、トレーニングが効果的であったことを示すために満たすべき特定のタイプやベンチマークは明記していません。
SQLインジェクションやクロスサイトスクリプティング(XSS)などの多くの脆弱性が以前から存在しています 二十年 (2019年もまだ問題を引き起こしています)、すべてのトレーニングが同等または効果的であるとは限らないことは明らかです。銀行やその他の金融サービス企業は、実践的でゲーミフィケーションされた安全なトレーニングを採用することで、はるかに良い結果を得ることができ、悪用された場合に大混乱を招きかねない脆弱性を実質的に減少させています。
その好例が、米国の金融機関であるキャピタルワンが、革新的なテックカレッジと認定制度の一環として、ゲーミフィケーションを使ったトレーニング手法をどのように活用してきたかです。最近、同社のサイバーセキュリティおよびクラウドコンピューティング教育担当ディレクターを務めるラッセル・ウルフが語りました。 ウェブセミナー、ボランティアトレーニングプログラムとコーディングトーナメントは、前例のない需要と、認定資格を取得して他の人のスキルアップを支援したいという仲間からの有機的なモチベーションにより、すぐに勢いを増しました。
サイバーセキュリティ担当者が適切なトレーニングを受けていることを確認するために、規制当局は何ができるでしょうか?
世界中の規制当局は、データ保護の管理者が満たさなければならない受け入れられているトレーニング方法論と基準を概説するだけで、既存のサイバー規制ポリシーとガイドラインを本当に「より良くする」ことができます。現時点では、ほとんどの規制ポリシーにトレーニング要件に関する一般的な言及があるようですが、所定のトレーニングを受けた人がサイバー脅威との戦いを本当に支援するために必要なコンテンツとテクニックを吸収していることを確認するためのフォローアップはほとんどありません。
MAS(シンガポール金融管理局)による最近の動きは、セキュリティ意識向上トレーニングプログラムと安全なソフトウェア開発のベストプラクティスを採用することを 最新のイテレーション しかし、その技術リスクガイドラインの中には心強いものがあります。ガイドラインが施行されれば、金融機関は、ソフトウェア開発者がソフトウェアを開発する際にセキュア・コーディング、ソース・コード・レビュー、およびAppSecテスト標準を適用するためのトレーニングを受けていることを確認するよう求めることになり、バグや脆弱性を最小限に抑えるのに大いに役立つはずです。
私にとって、手遅れになる前にすべての組織が作成しなければならない強固なセキュリティ文化の基盤を築きながら、開発コホートに実践的で現実世界のテクニックを身に付けることは、彼らの仕事にとって断然最も魅力的で関連性の高いものです。
最初に公開されました レギュレーション・アジア。
「あらゆる業種のあらゆるタイプの組織に影響を及ぼす」サイバー攻撃が増加している中、費用がかかり、恥ずかしく、収益に影響するデータ侵害の脅威は非常に現実的です。問題は小さくなっているのではなく、腫瘍のように大きくなっていることです。
サイバーセキュリティとアプリケーション・セキュリティのベスト・プラクティスの「ワイルドウエスト」を巧みかつ巧みに操りながら、この問題に取り組んでいる組織の例を挙げてほしいとよく聞かれます。ある答えに他の人よりも頻繁に出くわしていることに気づきます。それは、ほとんどの企業よりもうまくやっているのは金融業界です。
規制:金融業界のサイバーセキュリティリーダーシップの原動力
金融セクターがアプリケーションセキュリティ分野で非常に好調である理由の1つは、サイバーセキュリティ攻撃やデータ盗難の成功によって生じる可能性のある、普遍的な「壊滅的な」影響に対する世界、地域、および国の規制当局の懸念が(少なくとも部分的には)原動力となっていることです。
BCBS(バーゼル銀行監督委員会)は、 報告書 12月には、複数の法域で実施されている銀行、規制、監督のサイバーレジリエンスの取り組みの範囲が詳しく説明されています。その主な調査結果の中には、サイバーセキュリティのスキル不足という課題がありました。特定のサイバー認証を導入してこの課題に対処した法域はごくわずかです。
「一部の法域では、サイバーセキュリティ人材のトレーニングと能力に特に注意を払いながら、IT要員と情報セキュリティ機能の責任に対応するIT固有の基準を設けています」と報告書は述べている。しかし、ほとんどの法域は、銀行のサイバー要員のスキルとリソースを監視するための監督業務を実施する「初期段階」にあります。
ほとんどの場合、規制制度は規制対象機関にリスク管理を義務付けていますが、このリスクをうまく軽減するための明確な道筋はほとんどありません。サイバーセキュリティ要員のスキルやリソースに対応するための特定の要件 (あるいはベンチマーク) は設定されていません。ほとんどの規制当局は現場調査を通じて教育機関のサイバーセキュリティ要員を評価します。このような現場では、自己評価アンケートが一般的であり、研修プロセスが特に精査されていますが、規制によってITスタッフの役割と責任が具体的に扱われている法域はごくわずかです。簡単に言うと、間違いを犯す余地は大きく、適切なトレーニングとその後のスキル評価に重点が置かれることはあまりありません。
日本と韓国では、公的機関が適切なサイバーセキュリティ人材管理に関するガイドラインを定めています。しかし、他のほとんどの法域では、サイバー労働力管理に関する規制要件は監督当局の期待に限られており、規制対象組織におけるサイバーセキュリティスキルやスタッフトレーニングについて監督者による評価が行われていないことが多いです。
香港、シンガポール、英国のみが、サイバーワーカーのスキルと能力を認定するための専用のフレームワークを発行しています。「コンプライアンス」や「認定」などの言葉は、優れたソフトウェア機能の構築を任された、創造的で問題解決に取り組む平均的な開発者の背筋を冷たく震わせる傾向がありますが(彼らにとって、セキュリティはセキュリティチームという他の誰かの問題と見なされることがよくあります)、多くの規制対象機関が保持する膨大な量の機密データは、スキルが適切に検証されるのではなく、スキルが「引き受けられる」人々に任せるにはあまりにも貴重です。
幸いなことに、多くの銀行や金融機関は、必ずしも明らかな規制経路に頼っていなくても、このことを認識しています。規制は確かに最終結果への期待(つまり、安全なソフトウェア)の概要を示していますが、これを実現するには、開発者をトレーニングし、既存のアプリケーションセキュリティ専門家との関係を育み、責任と所有権を生む前向きなセキュリティ文化を構築することでサイバーセキュリティのスキル不足を回避する必要があることを認識しています。
なぜ金融業界にはサイバーセキュリティの「Xファクター」があるのでしょうか?
銀行業界の企業には、いくつかの要素が関係しています。 金融サービス そして保険業界は、サイバーセキュリティ環境におけるリーダーシップの基盤となる強みの柱となっています。
当然のことながら、世界の財政(何百万もの非常に機密性の高いデータ記録は言うまでもありません)の門番として、彼らは通常、非常にコンプライアンス主導で規制された組織です。「最新のガイドライン、規制、要件は、有意義な方法で期待され、計画されています。その結果、最も厳格なサイバーセキュリティのベストプラクティスポリシーと、潜在的な攻撃にさらされるリスクを減らすためのエンドツーエンドのプロセスを誇り、サイバーリスクの軽減に対するニーズの高まりに身を任せました。
では、金融機関は他の金融機関と何が違うのでしょうか?私の経験では、アプリケーション・セキュリティの専門家やペネトレーション・テスターだけでなく、その(通常は非常に大規模で世界中に分散している)開発チームを対象とした総合的なトレーニング・プログラムの必要性を認識し、リソースを投入して、他の企業よりもセキュリティ意識を高めるための基礎を築いてきました。
サイバーセキュリティはほとんどの組織で比較的新しいものですが、金融機関が安全でセキュアなソフトウェアを提供しようとして、真にオープンマインドで革新的になっていることは新鮮です。多くの企業が、開発コホートのスキルアップのメリットを実感しています。 魅力的なトレーニング これにより、生徒は教室から飛び出して、問題を解決するだけでなく、一般的な安全なコーディングの重要性を理解するのに役立つ、実践的で適切な学習体験ができます。
結局のところ、セキュアコーディングは、開発者とAppSecチームとの間に強固で機能的な関係を築き、ビジネス内で強固なセキュリティ文化を維持する上で重要な要素です。セキュリティプログラムを成功させるもう 1 つの重要な要素は、主要な利害関係者がセキュリティ専門家でなくても参加してメリットを享受できるようにすることです。
金融機関は経営幹部とうまくコミュニケーションをとる傾向があり、トップレベルの意思決定者に、セキュリティプロセスは「設定したら忘れる」手段ではなく、使用されているテクノロジーと同じくらい迅速に進化し、さまざまなリスクに適応する必要があることを理解させる傾向があります。
今は時間と費用がかかるかもしれませんが、コミットされたコードで脆弱性を修正するには30倍の費用がかかるため、「ゼロからのトレーニングを含む」万能なセキュリティプログラムは、長期的なお金の節約になります。セキュリティ意識の高い開発者がセキュリティ問題を修正した方がはるかに安価です。
セキュリティ基準は、増大するリスクに対応し始めています
金融業界におけるサイバーコンプライアンスの重要な推進力は、 PCI セキュリティ標準審議会は、金融機関が実行可能なセキュリティポリシーを実施し、あらゆる分野でガイドラインを維持できるよう支援することに引き続き取り組んでいます。これらの機関は、この業種が決済ソフトウェアにおける最高水準のセキュリティを実現するうえで、善の力となってきました。
ただし、金融業界のクライアントの多くは、実際には現在のPCIセキュリティ基準審議会のガイドラインさえも上回っていると言わざるを得ません。これらのガイドラインは開発者向けのトレーニングを推奨していますが (規制情報の他の例でも触れたとおり)、トレーニングが効果的であったことを示すために満たすべき特定のタイプやベンチマークは明記していません。
SQLインジェクションやクロスサイトスクリプティング(XSS)などの多くの脆弱性が以前から存在しています 二十年 (2019年もまだ問題を引き起こしています)、すべてのトレーニングが同等または効果的であるとは限らないことは明らかです。銀行やその他の金融サービス企業は、実践的でゲーミフィケーションされた安全なトレーニングを採用することで、はるかに良い結果を得ることができ、悪用された場合に大混乱を招きかねない脆弱性を実質的に減少させています。
その好例が、米国の金融機関であるキャピタルワンが、革新的なテックカレッジと認定制度の一環として、ゲーミフィケーションを使ったトレーニング手法をどのように活用してきたかです。最近、同社のサイバーセキュリティおよびクラウドコンピューティング教育担当ディレクターを務めるラッセル・ウルフが語りました。 ウェブセミナー、ボランティアトレーニングプログラムとコーディングトーナメントは、前例のない需要と、認定資格を取得して他の人のスキルアップを支援したいという仲間からの有機的なモチベーションにより、すぐに勢いを増しました。
サイバーセキュリティ担当者が適切なトレーニングを受けていることを確認するために、規制当局は何ができるでしょうか?
世界中の規制当局は、データ保護の管理者が満たさなければならない受け入れられているトレーニング方法論と基準を概説するだけで、既存のサイバー規制ポリシーとガイドラインを本当に「より良くする」ことができます。現時点では、ほとんどの規制ポリシーにトレーニング要件に関する一般的な言及があるようですが、所定のトレーニングを受けた人がサイバー脅威との戦いを本当に支援するために必要なコンテンツとテクニックを吸収していることを確認するためのフォローアップはほとんどありません。
MAS(シンガポール金融管理局)による最近の動きは、セキュリティ意識向上トレーニングプログラムと安全なソフトウェア開発のベストプラクティスを採用することを 最新のイテレーション しかし、その技術リスクガイドラインの中には心強いものがあります。ガイドラインが施行されれば、金融機関は、ソフトウェア開発者がソフトウェアを開発する際にセキュア・コーディング、ソース・コード・レビュー、およびAppSecテスト標準を適用するためのトレーニングを受けていることを確認するよう求めることになり、バグや脆弱性を最小限に抑えるのに大いに役立つはずです。
私にとって、手遅れになる前にすべての組織が作成しなければならない強固なセキュリティ文化の基盤を築きながら、開発コホートに実践的で現実世界のテクニックを身に付けることは、彼らの仕事にとって断然最も魅力的で関連性の高いものです。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
最初に公開されました レギュレーション・アジア。
「あらゆる業種のあらゆるタイプの組織に影響を及ぼす」サイバー攻撃が増加している中、費用がかかり、恥ずかしく、収益に影響するデータ侵害の脅威は非常に現実的です。問題は小さくなっているのではなく、腫瘍のように大きくなっていることです。
サイバーセキュリティとアプリケーション・セキュリティのベスト・プラクティスの「ワイルドウエスト」を巧みかつ巧みに操りながら、この問題に取り組んでいる組織の例を挙げてほしいとよく聞かれます。ある答えに他の人よりも頻繁に出くわしていることに気づきます。それは、ほとんどの企業よりもうまくやっているのは金融業界です。
規制:金融業界のサイバーセキュリティリーダーシップの原動力
金融セクターがアプリケーションセキュリティ分野で非常に好調である理由の1つは、サイバーセキュリティ攻撃やデータ盗難の成功によって生じる可能性のある、普遍的な「壊滅的な」影響に対する世界、地域、および国の規制当局の懸念が(少なくとも部分的には)原動力となっていることです。
BCBS(バーゼル銀行監督委員会)は、 報告書 12月には、複数の法域で実施されている銀行、規制、監督のサイバーレジリエンスの取り組みの範囲が詳しく説明されています。その主な調査結果の中には、サイバーセキュリティのスキル不足という課題がありました。特定のサイバー認証を導入してこの課題に対処した法域はごくわずかです。
「一部の法域では、サイバーセキュリティ人材のトレーニングと能力に特に注意を払いながら、IT要員と情報セキュリティ機能の責任に対応するIT固有の基準を設けています」と報告書は述べている。しかし、ほとんどの法域は、銀行のサイバー要員のスキルとリソースを監視するための監督業務を実施する「初期段階」にあります。
ほとんどの場合、規制制度は規制対象機関にリスク管理を義務付けていますが、このリスクをうまく軽減するための明確な道筋はほとんどありません。サイバーセキュリティ要員のスキルやリソースに対応するための特定の要件 (あるいはベンチマーク) は設定されていません。ほとんどの規制当局は現場調査を通じて教育機関のサイバーセキュリティ要員を評価します。このような現場では、自己評価アンケートが一般的であり、研修プロセスが特に精査されていますが、規制によってITスタッフの役割と責任が具体的に扱われている法域はごくわずかです。簡単に言うと、間違いを犯す余地は大きく、適切なトレーニングとその後のスキル評価に重点が置かれることはあまりありません。
日本と韓国では、公的機関が適切なサイバーセキュリティ人材管理に関するガイドラインを定めています。しかし、他のほとんどの法域では、サイバー労働力管理に関する規制要件は監督当局の期待に限られており、規制対象組織におけるサイバーセキュリティスキルやスタッフトレーニングについて監督者による評価が行われていないことが多いです。
香港、シンガポール、英国のみが、サイバーワーカーのスキルと能力を認定するための専用のフレームワークを発行しています。「コンプライアンス」や「認定」などの言葉は、優れたソフトウェア機能の構築を任された、創造的で問題解決に取り組む平均的な開発者の背筋を冷たく震わせる傾向がありますが(彼らにとって、セキュリティはセキュリティチームという他の誰かの問題と見なされることがよくあります)、多くの規制対象機関が保持する膨大な量の機密データは、スキルが適切に検証されるのではなく、スキルが「引き受けられる」人々に任せるにはあまりにも貴重です。
幸いなことに、多くの銀行や金融機関は、必ずしも明らかな規制経路に頼っていなくても、このことを認識しています。規制は確かに最終結果への期待(つまり、安全なソフトウェア)の概要を示していますが、これを実現するには、開発者をトレーニングし、既存のアプリケーションセキュリティ専門家との関係を育み、責任と所有権を生む前向きなセキュリティ文化を構築することでサイバーセキュリティのスキル不足を回避する必要があることを認識しています。
なぜ金融業界にはサイバーセキュリティの「Xファクター」があるのでしょうか?
銀行業界の企業には、いくつかの要素が関係しています。 金融サービス そして保険業界は、サイバーセキュリティ環境におけるリーダーシップの基盤となる強みの柱となっています。
当然のことながら、世界の財政(何百万もの非常に機密性の高いデータ記録は言うまでもありません)の門番として、彼らは通常、非常にコンプライアンス主導で規制された組織です。「最新のガイドライン、規制、要件は、有意義な方法で期待され、計画されています。その結果、最も厳格なサイバーセキュリティのベストプラクティスポリシーと、潜在的な攻撃にさらされるリスクを減らすためのエンドツーエンドのプロセスを誇り、サイバーリスクの軽減に対するニーズの高まりに身を任せました。
では、金融機関は他の金融機関と何が違うのでしょうか?私の経験では、アプリケーション・セキュリティの専門家やペネトレーション・テスターだけでなく、その(通常は非常に大規模で世界中に分散している)開発チームを対象とした総合的なトレーニング・プログラムの必要性を認識し、リソースを投入して、他の企業よりもセキュリティ意識を高めるための基礎を築いてきました。
サイバーセキュリティはほとんどの組織で比較的新しいものですが、金融機関が安全でセキュアなソフトウェアを提供しようとして、真にオープンマインドで革新的になっていることは新鮮です。多くの企業が、開発コホートのスキルアップのメリットを実感しています。 魅力的なトレーニング これにより、生徒は教室から飛び出して、問題を解決するだけでなく、一般的な安全なコーディングの重要性を理解するのに役立つ、実践的で適切な学習体験ができます。
結局のところ、セキュアコーディングは、開発者とAppSecチームとの間に強固で機能的な関係を築き、ビジネス内で強固なセキュリティ文化を維持する上で重要な要素です。セキュリティプログラムを成功させるもう 1 つの重要な要素は、主要な利害関係者がセキュリティ専門家でなくても参加してメリットを享受できるようにすることです。
金融機関は経営幹部とうまくコミュニケーションをとる傾向があり、トップレベルの意思決定者に、セキュリティプロセスは「設定したら忘れる」手段ではなく、使用されているテクノロジーと同じくらい迅速に進化し、さまざまなリスクに適応する必要があることを理解させる傾向があります。
今は時間と費用がかかるかもしれませんが、コミットされたコードで脆弱性を修正するには30倍の費用がかかるため、「ゼロからのトレーニングを含む」万能なセキュリティプログラムは、長期的なお金の節約になります。セキュリティ意識の高い開発者がセキュリティ問題を修正した方がはるかに安価です。
セキュリティ基準は、増大するリスクに対応し始めています
金融業界におけるサイバーコンプライアンスの重要な推進力は、 PCI セキュリティ標準審議会は、金融機関が実行可能なセキュリティポリシーを実施し、あらゆる分野でガイドラインを維持できるよう支援することに引き続き取り組んでいます。これらの機関は、この業種が決済ソフトウェアにおける最高水準のセキュリティを実現するうえで、善の力となってきました。
ただし、金融業界のクライアントの多くは、実際には現在のPCIセキュリティ基準審議会のガイドラインさえも上回っていると言わざるを得ません。これらのガイドラインは開発者向けのトレーニングを推奨していますが (規制情報の他の例でも触れたとおり)、トレーニングが効果的であったことを示すために満たすべき特定のタイプやベンチマークは明記していません。
SQLインジェクションやクロスサイトスクリプティング(XSS)などの多くの脆弱性が以前から存在しています 二十年 (2019年もまだ問題を引き起こしています)、すべてのトレーニングが同等または効果的であるとは限らないことは明らかです。銀行やその他の金融サービス企業は、実践的でゲーミフィケーションされた安全なトレーニングを採用することで、はるかに良い結果を得ることができ、悪用された場合に大混乱を招きかねない脆弱性を実質的に減少させています。
その好例が、米国の金融機関であるキャピタルワンが、革新的なテックカレッジと認定制度の一環として、ゲーミフィケーションを使ったトレーニング手法をどのように活用してきたかです。最近、同社のサイバーセキュリティおよびクラウドコンピューティング教育担当ディレクターを務めるラッセル・ウルフが語りました。 ウェブセミナー、ボランティアトレーニングプログラムとコーディングトーナメントは、前例のない需要と、認定資格を取得して他の人のスキルアップを支援したいという仲間からの有機的なモチベーションにより、すぐに勢いを増しました。
サイバーセキュリティ担当者が適切なトレーニングを受けていることを確認するために、規制当局は何ができるでしょうか?
世界中の規制当局は、データ保護の管理者が満たさなければならない受け入れられているトレーニング方法論と基準を概説するだけで、既存のサイバー規制ポリシーとガイドラインを本当に「より良くする」ことができます。現時点では、ほとんどの規制ポリシーにトレーニング要件に関する一般的な言及があるようですが、所定のトレーニングを受けた人がサイバー脅威との戦いを本当に支援するために必要なコンテンツとテクニックを吸収していることを確認するためのフォローアップはほとんどありません。
MAS(シンガポール金融管理局)による最近の動きは、セキュリティ意識向上トレーニングプログラムと安全なソフトウェア開発のベストプラクティスを採用することを 最新のイテレーション しかし、その技術リスクガイドラインの中には心強いものがあります。ガイドラインが施行されれば、金融機関は、ソフトウェア開発者がソフトウェアを開発する際にセキュア・コーディング、ソース・コード・レビュー、およびAppSecテスト標準を適用するためのトレーニングを受けていることを確認するよう求めることになり、バグや脆弱性を最小限に抑えるのに大いに役立つはずです。
私にとって、手遅れになる前にすべての組織が作成しなければならない強固なセキュリティ文化の基盤を築きながら、開発コホートに実践的で現実世界のテクニックを身に付けることは、彼らの仕事にとって断然最も魅力的で関連性の高いものです。
始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
