サイバーセキュリティにおけるヒューマンファクターを決して見過ごしてはいけない理由
私たちは最近、最初のものを見てとても興奮しました フォーブス・テクノロジー・カウンシルの投稿 会長兼CEOのピーター・ダンヒューによるライブ配信です。この投稿では、より安全なコードを作成するために開発者のスキルを向上させることが、サイバー攻撃やデータ漏えいを防ぐ鍵となることを詳しく説明しました。それだけでなく、セキュリティを意識した同じ開発者が、多くの IT 部門が認識しているよりも早く、より優れた、より安全なコードをどのように提供できるかが明らかになりました。このアプローチの必要性は確かに説得力があります。最近の調査では、 現在、サイバー攻撃は39秒ごとに発生していますそして、ランサムウェア攻撃がたった1回成功しただけで混乱が生じたことは誰もが経験しています コロニアルパイプライン大局的に見れば、それほどの破壊力はありませんでした ソーラーウィンズハック。
多くの一般的な脆弱性が存在し続けているのは、貧弱なコーディングパターンを、より安全で安全な方法で同じ機能を実現するためのより良い方法に置き換える方法を開発者にわざわざ示す人が誰もいなかったためです。また、開発後期にソフトウェアを修正することによる影響は、費やされる時間と導入の遅延の両面で、非常にコストがかかります。コードのデプロイ後、特に攻撃者がこれまで発見されていなかった脆弱性を悪用した後のコードの修正には、数百万ドルの費用がかかることがあります。それに、重大な侵害を受けた企業の評判へのダメージも考慮に入れていません。
セキュリティのトレーニングを受けた開発者は、自然に優れたコーダーになります。確かに、CISOはセキュリティツールをすぐにやめるべきではありませんが、インクルーシブで予防的なセキュリティアプローチを上層部から主導することで、CISOは自社の最大のリソースであるヒューマンファクターを活用できます。特に、ソフトウェア開発ライフサイクルの初期段階からセキュアコーディングに関してはそうです。
そのために、覚えておくべき上位3つの戦略を以下に示します。
1。事後対応ではなく、先を見越して行動しましょう
企業は、独自のビジョンを開発して追求するのではなく、競合他社の行動に対応するなど、事後対応型の罠に陥ることがよくあります。また、多くの企業が、コード内のセキュリティ脆弱性に関してはこのアプローチをデフォルトとして採用し、侵害が成功した結果として強制された場合にのみサイバーセキュリティを真剣に受け止めます。残念なことに、それまでに被害は収まり、罰金、復旧費用、顧客の減少、ブランド回復のすべてが収益に打撃を与えます。対策ではなく、最初から安全なコードを作成することに集中するのではなく、自動または手動のコードスキャンを利用して既存のコードの脆弱性を発見する方法もあります。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに含まれる脆弱性が多いほど、一部がすり抜ける可能性が高くなります。
積極的なアプローチを取り、開発者と協力して最初から安全なコードを作成できるように支援することによってのみ、コーディングの脆弱性がユーザーに公開される可能性を大幅に減らすソフトウェア開発ライフサイクルを確立できます。
2。スキルアップ、やりすぎないで
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、そのアプローチを賢く選択してください。コーディングをやめるような社内トレーニングワークショップは、開発者と管理者の両方を苛立たせます。夕方または週末に参加する必要があるオフサイトコースは、さらに人気がありません。最善のアプローチは、コーディングスキルを徐々に身に付けることです。 コーディングプロセス中に関連情報を段階的に提供する —開発者の気を散らしたり、開発プロセスを遅らせたりすることなく、基本的にスキルを向上させます。
3。 インセンティブを与える、思い込まないでください
開発者は、セキュリティスキルの向上を罰や骨の折れる作業と見なすべきではありません。マネージャーは、企業の成功においてセキュアコードが果たす重要な役割を伝えることで、開発者を鼓舞しなければなりません。また、セキュアコーダーは会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要です。
バイデン政権は歓迎されました 行政命令 サイバーセキュリティへの注力が高まり、「開発者やサプライヤー自身のセキュリティ慣行を評価するための基準を組み込み、安全な慣行への適合を実証するための革新的なツールや方法を特定する」必要性が高まっています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。導入されたシステムやツールをどうにかして無視したり、誤解したり、悪用したり、その他の方法で回避したりする個人の能力を完全に排除するツールはありません。企業のセキュリティを最大化するには、CISOは人的要因を活用し、開発者が積極的にセキュリティを支持し、実践するよう奨励する必要があります。
最近、会長兼CEOのピーター・ダンヒューによるフォーブス・テクノロジー・カウンシルの最初の投稿が公開されたことを非常に嬉しく思います。この投稿では、より安全なコードを作成するために開発者のスキルを向上させることが、サイバー攻撃やデータ漏えいを防ぐための鍵となることを詳しく説明しました。
Secure Code Warriorは、開発者がスキルを向上させるにつれて、セキュアコーディングを前向きで魅力的な体験にします。セキュリティスキルのある開発者が、接続された世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが希望する学習経路に導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
Secure Code Warriorは、開発者がスキルを向上させるにつれて、セキュアコーディングを前向きで魅力的な体験にします。セキュリティスキルのある開発者が、接続された世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが希望する学習経路に導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身に付けることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
私たちは最近、最初のものを見てとても興奮しました フォーブス・テクノロジー・カウンシルの投稿 会長兼CEOのピーター・ダンヒューによるライブ配信です。この投稿では、より安全なコードを作成するために開発者のスキルを向上させることが、サイバー攻撃やデータ漏えいを防ぐ鍵となることを詳しく説明しました。それだけでなく、セキュリティを意識した同じ開発者が、多くの IT 部門が認識しているよりも早く、より優れた、より安全なコードをどのように提供できるかが明らかになりました。このアプローチの必要性は確かに説得力があります。最近の調査では、 現在、サイバー攻撃は39秒ごとに発生していますそして、ランサムウェア攻撃がたった1回成功しただけで混乱が生じたことは誰もが経験しています コロニアルパイプライン大局的に見れば、それほどの破壊力はありませんでした ソーラーウィンズハック。
多くの一般的な脆弱性が存在し続けているのは、貧弱なコーディングパターンを、より安全で安全な方法で同じ機能を実現するためのより良い方法に置き換える方法を開発者にわざわざ示す人が誰もいなかったためです。また、開発後期にソフトウェアを修正することによる影響は、費やされる時間と導入の遅延の両面で、非常にコストがかかります。コードのデプロイ後、特に攻撃者がこれまで発見されていなかった脆弱性を悪用した後のコードの修正には、数百万ドルの費用がかかることがあります。それに、重大な侵害を受けた企業の評判へのダメージも考慮に入れていません。
セキュリティのトレーニングを受けた開発者は、自然に優れたコーダーになります。確かに、CISOはセキュリティツールをすぐにやめるべきではありませんが、インクルーシブで予防的なセキュリティアプローチを上層部から主導することで、CISOは自社の最大のリソースであるヒューマンファクターを活用できます。特に、ソフトウェア開発ライフサイクルの初期段階からセキュアコーディングに関してはそうです。
そのために、覚えておくべき上位3つの戦略を以下に示します。
1。事後対応ではなく、先を見越して行動しましょう
企業は、独自のビジョンを開発して追求するのではなく、競合他社の行動に対応するなど、事後対応型の罠に陥ることがよくあります。また、多くの企業が、コード内のセキュリティ脆弱性に関してはこのアプローチをデフォルトとして採用し、侵害が成功した結果として強制された場合にのみサイバーセキュリティを真剣に受け止めます。残念なことに、それまでに被害は収まり、罰金、復旧費用、顧客の減少、ブランド回復のすべてが収益に打撃を与えます。対策ではなく、最初から安全なコードを作成することに集中するのではなく、自動または手動のコードスキャンを利用して既存のコードの脆弱性を発見する方法もあります。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに含まれる脆弱性が多いほど、一部がすり抜ける可能性が高くなります。
積極的なアプローチを取り、開発者と協力して最初から安全なコードを作成できるように支援することによってのみ、コーディングの脆弱性がユーザーに公開される可能性を大幅に減らすソフトウェア開発ライフサイクルを確立できます。
2。スキルアップ、やりすぎないで
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、そのアプローチを賢く選択してください。コーディングをやめるような社内トレーニングワークショップは、開発者と管理者の両方を苛立たせます。夕方または週末に参加する必要があるオフサイトコースは、さらに人気がありません。最善のアプローチは、コーディングスキルを徐々に身に付けることです。 コーディングプロセス中に関連情報を段階的に提供する —開発者の気を散らしたり、開発プロセスを遅らせたりすることなく、基本的にスキルを向上させます。
3。 インセンティブを与える、思い込まないでください
開発者は、セキュリティスキルの向上を罰や骨の折れる作業と見なすべきではありません。マネージャーは、企業の成功においてセキュアコードが果たす重要な役割を伝えることで、開発者を鼓舞しなければなりません。また、セキュアコーダーは会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要です。
バイデン政権は歓迎されました 行政命令 サイバーセキュリティへの注力が高まり、「開発者やサプライヤー自身のセキュリティ慣行を評価するための基準を組み込み、安全な慣行への適合を実証するための革新的なツールや方法を特定する」必要性が高まっています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。導入されたシステムやツールをどうにかして無視したり、誤解したり、悪用したり、その他の方法で回避したりする個人の能力を完全に排除するツールはありません。企業のセキュリティを最大化するには、CISOは人的要因を活用し、開発者が積極的にセキュリティを支持し、実践するよう奨励する必要があります。
私たちは最近、最初のものを見てとても興奮しました フォーブス・テクノロジー・カウンシルの投稿 会長兼CEOのピーター・ダンヒューによるライブ配信です。この投稿では、より安全なコードを作成するために開発者のスキルを向上させることが、サイバー攻撃やデータ漏えいを防ぐ鍵となることを詳しく説明しました。それだけでなく、セキュリティを意識した同じ開発者が、多くの IT 部門が認識しているよりも早く、より優れた、より安全なコードをどのように提供できるかが明らかになりました。このアプローチの必要性は確かに説得力があります。最近の調査では、 現在、サイバー攻撃は39秒ごとに発生していますそして、ランサムウェア攻撃がたった1回成功しただけで混乱が生じたことは誰もが経験しています コロニアルパイプライン大局的に見れば、それほどの破壊力はありませんでした ソーラーウィンズハック。
多くの一般的な脆弱性が存在し続けているのは、貧弱なコーディングパターンを、より安全で安全な方法で同じ機能を実現するためのより良い方法に置き換える方法を開発者にわざわざ示す人が誰もいなかったためです。また、開発後期にソフトウェアを修正することによる影響は、費やされる時間と導入の遅延の両面で、非常にコストがかかります。コードのデプロイ後、特に攻撃者がこれまで発見されていなかった脆弱性を悪用した後のコードの修正には、数百万ドルの費用がかかることがあります。それに、重大な侵害を受けた企業の評判へのダメージも考慮に入れていません。
セキュリティのトレーニングを受けた開発者は、自然に優れたコーダーになります。確かに、CISOはセキュリティツールをすぐにやめるべきではありませんが、インクルーシブで予防的なセキュリティアプローチを上層部から主導することで、CISOは自社の最大のリソースであるヒューマンファクターを活用できます。特に、ソフトウェア開発ライフサイクルの初期段階からセキュアコーディングに関してはそうです。
そのために、覚えておくべき上位3つの戦略を以下に示します。
1。事後対応ではなく、先を見越して行動しましょう
企業は、独自のビジョンを開発して追求するのではなく、競合他社の行動に対応するなど、事後対応型の罠に陥ることがよくあります。また、多くの企業が、コード内のセキュリティ脆弱性に関してはこのアプローチをデフォルトとして採用し、侵害が成功した結果として強制された場合にのみサイバーセキュリティを真剣に受け止めます。残念なことに、それまでに被害は収まり、罰金、復旧費用、顧客の減少、ブランド回復のすべてが収益に打撃を与えます。対策ではなく、最初から安全なコードを作成することに集中するのではなく、自動または手動のコードスキャンを利用して既存のコードの脆弱性を発見する方法もあります。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに含まれる脆弱性が多いほど、一部がすり抜ける可能性が高くなります。
積極的なアプローチを取り、開発者と協力して最初から安全なコードを作成できるように支援することによってのみ、コーディングの脆弱性がユーザーに公開される可能性を大幅に減らすソフトウェア開発ライフサイクルを確立できます。
2。スキルアップ、やりすぎないで
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、そのアプローチを賢く選択してください。コーディングをやめるような社内トレーニングワークショップは、開発者と管理者の両方を苛立たせます。夕方または週末に参加する必要があるオフサイトコースは、さらに人気がありません。最善のアプローチは、コーディングスキルを徐々に身に付けることです。 コーディングプロセス中に関連情報を段階的に提供する —開発者の気を散らしたり、開発プロセスを遅らせたりすることなく、基本的にスキルを向上させます。
3。 インセンティブを与える、思い込まないでください
開発者は、セキュリティスキルの向上を罰や骨の折れる作業と見なすべきではありません。マネージャーは、企業の成功においてセキュアコードが果たす重要な役割を伝えることで、開発者を鼓舞しなければなりません。また、セキュアコーダーは会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要です。
バイデン政権は歓迎されました 行政命令 サイバーセキュリティへの注力が高まり、「開発者やサプライヤー自身のセキュリティ慣行を評価するための基準を組み込み、安全な慣行への適合を実証するための革新的なツールや方法を特定する」必要性が高まっています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。導入されたシステムやツールをどうにかして無視したり、誤解したり、悪用したり、その他の方法で回避したりする個人の能力を完全に排除するツールはありません。企業のセキュリティを最大化するには、CISOは人的要因を活用し、開発者が積極的にセキュリティを支持し、実践するよう奨励する必要があります。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Secure Code Warriorは、開発者がスキルを向上させるにつれて、セキュアコーディングを前向きで魅力的な体験にします。セキュリティスキルのある開発者が、接続された世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが希望する学習経路に導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身に付けることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
私たちは最近、最初のものを見てとても興奮しました フォーブス・テクノロジー・カウンシルの投稿 会長兼CEOのピーター・ダンヒューによるライブ配信です。この投稿では、より安全なコードを作成するために開発者のスキルを向上させることが、サイバー攻撃やデータ漏えいを防ぐ鍵となることを詳しく説明しました。それだけでなく、セキュリティを意識した同じ開発者が、多くの IT 部門が認識しているよりも早く、より優れた、より安全なコードをどのように提供できるかが明らかになりました。このアプローチの必要性は確かに説得力があります。最近の調査では、 現在、サイバー攻撃は39秒ごとに発生していますそして、ランサムウェア攻撃がたった1回成功しただけで混乱が生じたことは誰もが経験しています コロニアルパイプライン大局的に見れば、それほどの破壊力はありませんでした ソーラーウィンズハック。
多くの一般的な脆弱性が存在し続けているのは、貧弱なコーディングパターンを、より安全で安全な方法で同じ機能を実現するためのより良い方法に置き換える方法を開発者にわざわざ示す人が誰もいなかったためです。また、開発後期にソフトウェアを修正することによる影響は、費やされる時間と導入の遅延の両面で、非常にコストがかかります。コードのデプロイ後、特に攻撃者がこれまで発見されていなかった脆弱性を悪用した後のコードの修正には、数百万ドルの費用がかかることがあります。それに、重大な侵害を受けた企業の評判へのダメージも考慮に入れていません。
セキュリティのトレーニングを受けた開発者は、自然に優れたコーダーになります。確かに、CISOはセキュリティツールをすぐにやめるべきではありませんが、インクルーシブで予防的なセキュリティアプローチを上層部から主導することで、CISOは自社の最大のリソースであるヒューマンファクターを活用できます。特に、ソフトウェア開発ライフサイクルの初期段階からセキュアコーディングに関してはそうです。
そのために、覚えておくべき上位3つの戦略を以下に示します。
1。事後対応ではなく、先を見越して行動しましょう
企業は、独自のビジョンを開発して追求するのではなく、競合他社の行動に対応するなど、事後対応型の罠に陥ることがよくあります。また、多くの企業が、コード内のセキュリティ脆弱性に関してはこのアプローチをデフォルトとして採用し、侵害が成功した結果として強制された場合にのみサイバーセキュリティを真剣に受け止めます。残念なことに、それまでに被害は収まり、罰金、復旧費用、顧客の減少、ブランド回復のすべてが収益に打撃を与えます。対策ではなく、最初から安全なコードを作成することに集中するのではなく、自動または手動のコードスキャンを利用して既存のコードの脆弱性を発見する方法もあります。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに含まれる脆弱性が多いほど、一部がすり抜ける可能性が高くなります。
積極的なアプローチを取り、開発者と協力して最初から安全なコードを作成できるように支援することによってのみ、コーディングの脆弱性がユーザーに公開される可能性を大幅に減らすソフトウェア開発ライフサイクルを確立できます。
2。スキルアップ、やりすぎないで
安全なコードを作成するために必要な知識を開発者に提供することを決めたら、そのアプローチを賢く選択してください。コーディングをやめるような社内トレーニングワークショップは、開発者と管理者の両方を苛立たせます。夕方または週末に参加する必要があるオフサイトコースは、さらに人気がありません。最善のアプローチは、コーディングスキルを徐々に身に付けることです。 コーディングプロセス中に関連情報を段階的に提供する —開発者の気を散らしたり、開発プロセスを遅らせたりすることなく、基本的にスキルを向上させます。
3。 インセンティブを与える、思い込まないでください
開発者は、セキュリティスキルの向上を罰や骨の折れる作業と見なすべきではありません。マネージャーは、企業の成功においてセキュアコードが果たす重要な役割を伝えることで、開発者を鼓舞しなければなりません。また、セキュアコーダーは会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要です。
バイデン政権は歓迎されました 行政命令 サイバーセキュリティへの注力が高まり、「開発者やサプライヤー自身のセキュリティ慣行を評価するための基準を組み込み、安全な慣行への適合を実証するための革新的なツールや方法を特定する」必要性が高まっています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。導入されたシステムやツールをどうにかして無視したり、誤解したり、悪用したり、その他の方法で回避したりする個人の能力を完全に排除するツールはありません。企業のセキュリティを最大化するには、CISOは人的要因を活用し、開発者が積極的にセキュリティを支持し、実践するよう奨励する必要があります。
目次
Secure Code Warriorは、開発者がスキルを向上させるにつれて、セキュアコーディングを前向きで魅力的な体験にします。セキュリティスキルのある開発者が、接続された世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが希望する学習経路に導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
