Blog

サイバーセキュリティにおけるヒューマンファクターを決して見過ごしてはいけない理由

July 22, 2021
セキュア・コード・ウォリアー

私たちは最近、最初のものを見てとても興奮しました フォーブス・テクノロジー・カウンシルの投稿 会長兼CEOのピーター・ダンヒューによるライブ配信です。この投稿では、より安全なコードを作成するために開発者のスキルを向上させることが、サイバー攻撃やデータ漏えいを防ぐ鍵となることを詳しく説明しました。それだけでなく、セキュリティを意識した同じ開発者が、多くの IT 部門が認識しているよりも早く、より優れた、より安全なコードをどのように提供できるかが明らかになりました。このアプローチの必要性は確かに説得力があります。最近の調査では、 現在、サイバー攻撃は39秒ごとに発生していますそして、ランサムウェア攻撃がたった1回成功しただけで混乱が生じたことは誰もが経験しています コロニアルパイプライン大局的に見れば、それほどの破壊力はありませんでした ソーラーウィンズハック


多くの一般的な脆弱性が存在し続けているのは、貧弱なコーディングパターンを、より安全で安全な方法で同じ機能を実現するためのより良い方法に置き換える方法を開発者にわざわざ示す人が誰もいなかったためです。また、開発後期にソフトウェアを修正することによる影響は、費やされる時間と導入の遅延の両面で、非常にコストがかかります。コードのデプロイ後、特に攻撃者がこれまで発見されていなかった脆弱性を悪用した後のコードの修正には、数百万ドルの費用がかかることがあります。それに、重大な侵害を受けた企業の評判へのダメージも考慮に入れていません。


セキュリティのトレーニングを受けた開発者は、自然に優れたコーダーになります。確かに、CISOはセキュリティツールをすぐにやめるべきではありませんが、インクルーシブで予防的なセキュリティアプローチを上層部から主導することで、CISOは自社の最大のリソースであるヒューマンファクターを活用できます。特に、ソフトウェア開発ライフサイクルの初期段階からセキュアコーディングに関してはそうです。


そのために、覚えておくべき上位3つの戦略を以下に示します。


1。事後対応ではなく、先を見越して行動しましょう

企業は、独自のビジョンを開発して追求するのではなく、競合他社の行動に対応するなど、事後対応型の罠に陥ることがよくあります。また、多くの企業が、コード内のセキュリティ脆弱性に関してはこのアプローチをデフォルトとして採用し、侵害が成功した結果として強制された場合にのみサイバーセキュリティを真剣に受け止めます。残念なことに、それまでに被害は収まり、罰金、復旧費用、顧客の減少、ブランド回復のすべてが収益に打撃を与えます。対策ではなく、最初から安全なコードを作成することに集中するのではなく、自動または手動のコードスキャンを利用して既存のコードの脆弱性を発見する方法もあります。残念ながら、コードスキャンは完璧なソリューションではありません。つまり、コードに含まれる脆弱性が多いほど、一部がすり抜ける可能性が高くなります。


積極的なアプローチを取り、開発者と協力して最初から安全なコードを作成できるように支援することによってのみ、コーディングの脆弱性がユーザーに公開される可能性を大幅に減らすソフトウェア開発ライフサイクルを確立できます。


2。スキルアップ、やりすぎないで

安全なコードを作成するために必要な知識を開発者に提供することを決めたら、そのアプローチを賢く選択してください。コーディングをやめるような社内トレーニングワークショップは、開発者と管理者の両方を苛立たせます。夕方または週末に参加する必要があるオフサイトコースは、さらに人気がありません。最善のアプローチは、コーディングスキルを徐々に身に付けることです。 コーディングプロセス中に関連情報を段階的に提供する —開発者の気を散らしたり、開発プロセスを遅らせたりすることなく、基本的にスキルを向上させます。


3。 インセンティブを与える、思い込まないでください

開発者は、セキュリティスキルの向上を罰や骨の折れる作業と見なすべきではありません。マネージャーは、企業の成功においてセキュアコードが果たす重要な役割を伝えることで、開発者を鼓舞しなければなりません。また、セキュアコーダーは会社にとってより価値があり、将来的にはキャリアの機会が広がることを伝えることも重要です。


バイデン政権は歓迎されました 行政命令 サイバーセキュリティへの注力が高まり、「開発者やサプライヤー自身のセキュリティ慣行を評価するための基準を組み込み、安全な慣行への適合を実証するための革新的なツールや方法を特定する」必要性が高まっています。しかし、ツールは不可欠ですが、それだけでは十分ではありません。導入されたシステムやツールをどうにかして無視したり、誤解したり、悪用したり、その他の方法で回避したりする個人の能力を完全に排除するツールはありません。企業のセキュリティを最大化するには、CISOは人的要因を活用し、開発者が積極的にセキュリティを支持し、実践するよう奨励する必要があります。

キャッチフレーズ

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
キャッチフレーズ

Explore more blogs

これは、オーラが射手と鼻の穴を広げることによって、腸管を熱的に発芽させ、臭いを帯びていることを防ぐためのものです。

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo