セキュリティプログラムはインシデント対応に重点を置いていますか?あなたのやり方は間違っています。
この記事のバージョンが特集として登場しました フォーブス・テクノロジー・カウンシル。ここで更新され、シンジケートされました。
データ漏えいの間違った側にいることほど素晴らしいことはありません。最初は拒否され、次にパニックに陥る可能性があります。すべての虚辞が放映され、CISO が午前 2 時に広報担当者との電話会議を行わなければならなくなったら、今こそ総力を挙げてエンドポイントとシステムの保護に取り組み、潜在的な攻撃経路を迅速に排除する作業に取り掛かります。控えめに言っても、これはピクニックではありません。
それでも、これは将来多くの組織で明らかになる現実であり、包括的なサイバーセキュリティインシデント対応計画で絶対に準備する必要があります。しかし問題は、この事後対応型の戦略では、サイバー攻撃の潜在的な深刻度を事前に防止または軽減するための取り組みではなく、時間、リソース、労力の多くが集中している点です。これは、心臓発作が疑われる場合に救急車を呼ぶのと少し似ています。多くの場合、手遅れになる前に予防的な健康対策が実施されていた場合よりも、結果ははるかにポジティブではなく、被害も大きくなることは言うまでもありません。
そのためには、予防計画とはどのようなものでしょうか。セキュリティ専門家が、日々増え続けるサイバーリスクを軽減するために、あらゆるツールをどのように活用できるかを探っていきましょう。
今後の作業範囲を理解する
当たり前のように思えますが、サイバーリスクを軽減するための「正しい」計画には業界によって微妙な違いがあり、望ましい結果を達成するために何が必要かを事前に理解することが重要です。
現在、どのようなセキュリティ上の問題がありますか?どのくらいの時間とリソースを消費しているのか?そのうち、繰り返し発生する問題はいくつあるか?これらは重要な要素であり、基本的な出発点となります。潜在的なリスクのある他の領域を未然に防ぎながら、エンドポイントを保護して攻撃対象領域を減らすために、補充が必要な役割、ツールのギャップ、専門知識とツールの観点から何が必要かを検討してください。
A 最近の報告 過去1年間、11の業界で毎日、少なくとも半分のアプリケーションで深刻な脆弱性が確認されたことが明らかになりました。特に、公益事業、行政機関、専門サービス業では、既知の脆弱性にパッチを適用するのに平均288日かかりました。パッチの適用には非常に時間がかかるため、パッチが適用される前に脆弱性が発見された場合、攻撃者は重大な損害を与えるのに十分な時間が与えられます。これは、組織がデータ侵害を受ける可能性と相まって、 30% に近づいていますは、インシデント対応だけでは不十分であり、リスクが高すぎて大規模なサイバー攻撃の影響に備え、最善の結果を期待できないことを冷静に思い出させてくれます。
文化の変化に賛同してもらう準備をしましょう
現状を変えると眉をひそめる傾向がありますが、実際のところ、セキュリティプログラムは常に継続的に改善されているはずです。すべてのコンポーネントは関連性を維持し、新しい開発を評価して考慮に入れる必要があります。
事後対応型ではなく予防型のアプローチに重点を置くことは、特に大規模で重大なセキュリティインシデントが発生していない場合、セキュリティチーム以外ではあまり理解されない可能性があります。これは壊れておらず、修正する必要もないものと見なされるかもしれません。この場合、経営幹部の賛同を得ることが不可欠です。彼らが考慮すべきより適切なポイントには、次のようなものがあります。
- 重大なインシデントの潜在的なコストとは対照的に、ロールベースのトレーニングや関連ツールなどの予防措置による時間とコストの節約
- 脆弱性を発見して修正することで、セキュリティチームによる問題発生が減り、リリースが予定どおりに進められるようになった方法
- 開発チームからリリースに至るまで、潜在的なセキュリティリスクに備えて未然に防ぐことで、全体的に時間 (多額の現金は言うまでもなく) を節約できる理由大局的に見ると、後期段階の脆弱性はテスト段階、あるいはさらに悪いことにポストプロダクション段階で明らかになったということです。 コストを 3000% も上げることができる 平均して。
最初は不愉快に思えたとしても、提案された文化的な変化がビジネス目標に沿っていることが重要です。
セキュリティ意識が重要で、セキュリティスキルがすべてです
業界として、私たちはセキュリティ意識の重要性について頻繁に話しますが、これは組織のすべてのスタッフにとってますます重要な要素になっています。しかし、特に技術職のスタッフは、口先だけの研修や受動的な研修だけでは十分ではありません。
簡単に言えば、コードに触れる人は誰でも、安全にコーディングするスキルを持っていなければ、潜在的なセキュリティリスクになります。基本的なセキュリティパラメータを一般的に認識することから始めるのは良いことですが、適切で安全なコーディングパターンに関するコンテキスト知識がなければ、悪い習慣が蔓延します。攻撃者が汚い仕事をするために頼りにするのは、この質の高い開発スキルの欠如です。
開発者を帳消しにしないでください。
考え方は変わりつつありますが、多くの組織は、セキュリティ緩和計画において開発者が真の考慮事項になることはめったにないような構造になっています。銀行や金融などの一部の業界では、コンプライアンスや規制要件が厳しいため、セキュリティ対策が強化され、すべてのスタッフを対象としたトレーニングが全面的に行われています。確かに他の業種よりも進んでいますが、世界中のほぼすべての組織が、一般的なセキュリティバグに気付くための基本的な能力を備えた、セキュリティ意識の高い社内の開発者たちの恩恵を受けることができます。ほとんどの企業が、セキュリティプログラムのパズルのこの重要なピースを達成するにはほど遠い状態です。そして、年々量が増加する大量のコードを保護する見込みがあるのであれば、この対策は必要です。
予防的セキュリティは、ソフトウェアを作成するためにキーボードに指が触れた瞬間から始めるべきですが、開発者がセキュリティスキルのギャップを単独で埋めることは期待できません。より高い水準のコード品質を実現するには、適切なツールセットと状況に応じたガイダンスが必要です。最良の結果は、毎年のコンプライアンス要件が導入されるたびに散発的に展開されるような後付けではなく、日常業務の一部であるときに常に得られます。
事後対応型ではなく予防型のアプローチに重点を置くことは、特に大規模で重大なセキュリティインシデントが発生していない場合、セキュリティチーム以外ではあまり理解されない可能性があります。
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
この記事のバージョンが特集として登場しました フォーブス・テクノロジー・カウンシル。ここで更新され、シンジケートされました。
データ漏えいの間違った側にいることほど素晴らしいことはありません。最初は拒否され、次にパニックに陥る可能性があります。すべての虚辞が放映され、CISO が午前 2 時に広報担当者との電話会議を行わなければならなくなったら、今こそ総力を挙げてエンドポイントとシステムの保護に取り組み、潜在的な攻撃経路を迅速に排除する作業に取り掛かります。控えめに言っても、これはピクニックではありません。
それでも、これは将来多くの組織で明らかになる現実であり、包括的なサイバーセキュリティインシデント対応計画で絶対に準備する必要があります。しかし問題は、この事後対応型の戦略では、サイバー攻撃の潜在的な深刻度を事前に防止または軽減するための取り組みではなく、時間、リソース、労力の多くが集中している点です。これは、心臓発作が疑われる場合に救急車を呼ぶのと少し似ています。多くの場合、手遅れになる前に予防的な健康対策が実施されていた場合よりも、結果ははるかにポジティブではなく、被害も大きくなることは言うまでもありません。
そのためには、予防計画とはどのようなものでしょうか。セキュリティ専門家が、日々増え続けるサイバーリスクを軽減するために、あらゆるツールをどのように活用できるかを探っていきましょう。
今後の作業範囲を理解する
当たり前のように思えますが、サイバーリスクを軽減するための「正しい」計画には業界によって微妙な違いがあり、望ましい結果を達成するために何が必要かを事前に理解することが重要です。
現在、どのようなセキュリティ上の問題がありますか?どのくらいの時間とリソースを消費しているのか?そのうち、繰り返し発生する問題はいくつあるか?これらは重要な要素であり、基本的な出発点となります。潜在的なリスクのある他の領域を未然に防ぎながら、エンドポイントを保護して攻撃対象領域を減らすために、補充が必要な役割、ツールのギャップ、専門知識とツールの観点から何が必要かを検討してください。
A 最近の報告 過去1年間、11の業界で毎日、少なくとも半分のアプリケーションで深刻な脆弱性が確認されたことが明らかになりました。特に、公益事業、行政機関、専門サービス業では、既知の脆弱性にパッチを適用するのに平均288日かかりました。パッチの適用には非常に時間がかかるため、パッチが適用される前に脆弱性が発見された場合、攻撃者は重大な損害を与えるのに十分な時間が与えられます。これは、組織がデータ侵害を受ける可能性と相まって、 30% に近づいていますは、インシデント対応だけでは不十分であり、リスクが高すぎて大規模なサイバー攻撃の影響に備え、最善の結果を期待できないことを冷静に思い出させてくれます。
文化の変化に賛同してもらう準備をしましょう
現状を変えると眉をひそめる傾向がありますが、実際のところ、セキュリティプログラムは常に継続的に改善されているはずです。すべてのコンポーネントは関連性を維持し、新しい開発を評価して考慮に入れる必要があります。
事後対応型ではなく予防型のアプローチに重点を置くことは、特に大規模で重大なセキュリティインシデントが発生していない場合、セキュリティチーム以外ではあまり理解されない可能性があります。これは壊れておらず、修正する必要もないものと見なされるかもしれません。この場合、経営幹部の賛同を得ることが不可欠です。彼らが考慮すべきより適切なポイントには、次のようなものがあります。
- 重大なインシデントの潜在的なコストとは対照的に、ロールベースのトレーニングや関連ツールなどの予防措置による時間とコストの節約
- 脆弱性を発見して修正することで、セキュリティチームによる問題発生が減り、リリースが予定どおりに進められるようになった方法
- 開発チームからリリースに至るまで、潜在的なセキュリティリスクに備えて未然に防ぐことで、全体的に時間 (多額の現金は言うまでもなく) を節約できる理由大局的に見ると、後期段階の脆弱性はテスト段階、あるいはさらに悪いことにポストプロダクション段階で明らかになったということです。 コストを 3000% も上げることができる 平均して。
最初は不愉快に思えたとしても、提案された文化的な変化がビジネス目標に沿っていることが重要です。
セキュリティ意識が重要で、セキュリティスキルがすべてです
業界として、私たちはセキュリティ意識の重要性について頻繁に話しますが、これは組織のすべてのスタッフにとってますます重要な要素になっています。しかし、特に技術職のスタッフは、口先だけの研修や受動的な研修だけでは十分ではありません。
簡単に言えば、コードに触れる人は誰でも、安全にコーディングするスキルを持っていなければ、潜在的なセキュリティリスクになります。基本的なセキュリティパラメータを一般的に認識することから始めるのは良いことですが、適切で安全なコーディングパターンに関するコンテキスト知識がなければ、悪い習慣が蔓延します。攻撃者が汚い仕事をするために頼りにするのは、この質の高い開発スキルの欠如です。
開発者を帳消しにしないでください。
考え方は変わりつつありますが、多くの組織は、セキュリティ緩和計画において開発者が真の考慮事項になることはめったにないような構造になっています。銀行や金融などの一部の業界では、コンプライアンスや規制要件が厳しいため、セキュリティ対策が強化され、すべてのスタッフを対象としたトレーニングが全面的に行われています。確かに他の業種よりも進んでいますが、世界中のほぼすべての組織が、一般的なセキュリティバグに気付くための基本的な能力を備えた、セキュリティ意識の高い社内の開発者たちの恩恵を受けることができます。ほとんどの企業が、セキュリティプログラムのパズルのこの重要なピースを達成するにはほど遠い状態です。そして、年々量が増加する大量のコードを保護する見込みがあるのであれば、この対策は必要です。
予防的セキュリティは、ソフトウェアを作成するためにキーボードに指が触れた瞬間から始めるべきですが、開発者がセキュリティスキルのギャップを単独で埋めることは期待できません。より高い水準のコード品質を実現するには、適切なツールセットと状況に応じたガイダンスが必要です。最良の結果は、毎年のコンプライアンス要件が導入されるたびに散発的に展開されるような後付けではなく、日常業務の一部であるときに常に得られます。
この記事のバージョンが特集として登場しました フォーブス・テクノロジー・カウンシル。ここで更新され、シンジケートされました。
データ漏えいの間違った側にいることほど素晴らしいことはありません。最初は拒否され、次にパニックに陥る可能性があります。すべての虚辞が放映され、CISO が午前 2 時に広報担当者との電話会議を行わなければならなくなったら、今こそ総力を挙げてエンドポイントとシステムの保護に取り組み、潜在的な攻撃経路を迅速に排除する作業に取り掛かります。控えめに言っても、これはピクニックではありません。
それでも、これは将来多くの組織で明らかになる現実であり、包括的なサイバーセキュリティインシデント対応計画で絶対に準備する必要があります。しかし問題は、この事後対応型の戦略では、サイバー攻撃の潜在的な深刻度を事前に防止または軽減するための取り組みではなく、時間、リソース、労力の多くが集中している点です。これは、心臓発作が疑われる場合に救急車を呼ぶのと少し似ています。多くの場合、手遅れになる前に予防的な健康対策が実施されていた場合よりも、結果ははるかにポジティブではなく、被害も大きくなることは言うまでもありません。
そのためには、予防計画とはどのようなものでしょうか。セキュリティ専門家が、日々増え続けるサイバーリスクを軽減するために、あらゆるツールをどのように活用できるかを探っていきましょう。
今後の作業範囲を理解する
当たり前のように思えますが、サイバーリスクを軽減するための「正しい」計画には業界によって微妙な違いがあり、望ましい結果を達成するために何が必要かを事前に理解することが重要です。
現在、どのようなセキュリティ上の問題がありますか?どのくらいの時間とリソースを消費しているのか?そのうち、繰り返し発生する問題はいくつあるか?これらは重要な要素であり、基本的な出発点となります。潜在的なリスクのある他の領域を未然に防ぎながら、エンドポイントを保護して攻撃対象領域を減らすために、補充が必要な役割、ツールのギャップ、専門知識とツールの観点から何が必要かを検討してください。
A 最近の報告 過去1年間、11の業界で毎日、少なくとも半分のアプリケーションで深刻な脆弱性が確認されたことが明らかになりました。特に、公益事業、行政機関、専門サービス業では、既知の脆弱性にパッチを適用するのに平均288日かかりました。パッチの適用には非常に時間がかかるため、パッチが適用される前に脆弱性が発見された場合、攻撃者は重大な損害を与えるのに十分な時間が与えられます。これは、組織がデータ侵害を受ける可能性と相まって、 30% に近づいていますは、インシデント対応だけでは不十分であり、リスクが高すぎて大規模なサイバー攻撃の影響に備え、最善の結果を期待できないことを冷静に思い出させてくれます。
文化の変化に賛同してもらう準備をしましょう
現状を変えると眉をひそめる傾向がありますが、実際のところ、セキュリティプログラムは常に継続的に改善されているはずです。すべてのコンポーネントは関連性を維持し、新しい開発を評価して考慮に入れる必要があります。
事後対応型ではなく予防型のアプローチに重点を置くことは、特に大規模で重大なセキュリティインシデントが発生していない場合、セキュリティチーム以外ではあまり理解されない可能性があります。これは壊れておらず、修正する必要もないものと見なされるかもしれません。この場合、経営幹部の賛同を得ることが不可欠です。彼らが考慮すべきより適切なポイントには、次のようなものがあります。
- 重大なインシデントの潜在的なコストとは対照的に、ロールベースのトレーニングや関連ツールなどの予防措置による時間とコストの節約
- 脆弱性を発見して修正することで、セキュリティチームによる問題発生が減り、リリースが予定どおりに進められるようになった方法
- 開発チームからリリースに至るまで、潜在的なセキュリティリスクに備えて未然に防ぐことで、全体的に時間 (多額の現金は言うまでもなく) を節約できる理由大局的に見ると、後期段階の脆弱性はテスト段階、あるいはさらに悪いことにポストプロダクション段階で明らかになったということです。 コストを 3000% も上げることができる 平均して。
最初は不愉快に思えたとしても、提案された文化的な変化がビジネス目標に沿っていることが重要です。
セキュリティ意識が重要で、セキュリティスキルがすべてです
業界として、私たちはセキュリティ意識の重要性について頻繁に話しますが、これは組織のすべてのスタッフにとってますます重要な要素になっています。しかし、特に技術職のスタッフは、口先だけの研修や受動的な研修だけでは十分ではありません。
簡単に言えば、コードに触れる人は誰でも、安全にコーディングするスキルを持っていなければ、潜在的なセキュリティリスクになります。基本的なセキュリティパラメータを一般的に認識することから始めるのは良いことですが、適切で安全なコーディングパターンに関するコンテキスト知識がなければ、悪い習慣が蔓延します。攻撃者が汚い仕事をするために頼りにするのは、この質の高い開発スキルの欠如です。
開発者を帳消しにしないでください。
考え方は変わりつつありますが、多くの組織は、セキュリティ緩和計画において開発者が真の考慮事項になることはめったにないような構造になっています。銀行や金融などの一部の業界では、コンプライアンスや規制要件が厳しいため、セキュリティ対策が強化され、すべてのスタッフを対象としたトレーニングが全面的に行われています。確かに他の業種よりも進んでいますが、世界中のほぼすべての組織が、一般的なセキュリティバグに気付くための基本的な能力を備えた、セキュリティ意識の高い社内の開発者たちの恩恵を受けることができます。ほとんどの企業が、セキュリティプログラムのパズルのこの重要なピースを達成するにはほど遠い状態です。そして、年々量が増加する大量のコードを保護する見込みがあるのであれば、この対策は必要です。
予防的セキュリティは、ソフトウェアを作成するためにキーボードに指が触れた瞬間から始めるべきですが、開発者がセキュリティスキルのギャップを単独で埋めることは期待できません。より高い水準のコード品質を実現するには、適切なツールセットと状況に応じたガイダンスが必要です。最良の結果は、毎年のコンプライアンス要件が導入されるたびに散発的に展開されるような後付けではなく、日常業務の一部であるときに常に得られます。
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
この記事のバージョンが特集として登場しました フォーブス・テクノロジー・カウンシル。ここで更新され、シンジケートされました。
データ漏えいの間違った側にいることほど素晴らしいことはありません。最初は拒否され、次にパニックに陥る可能性があります。すべての虚辞が放映され、CISO が午前 2 時に広報担当者との電話会議を行わなければならなくなったら、今こそ総力を挙げてエンドポイントとシステムの保護に取り組み、潜在的な攻撃経路を迅速に排除する作業に取り掛かります。控えめに言っても、これはピクニックではありません。
それでも、これは将来多くの組織で明らかになる現実であり、包括的なサイバーセキュリティインシデント対応計画で絶対に準備する必要があります。しかし問題は、この事後対応型の戦略では、サイバー攻撃の潜在的な深刻度を事前に防止または軽減するための取り組みではなく、時間、リソース、労力の多くが集中している点です。これは、心臓発作が疑われる場合に救急車を呼ぶのと少し似ています。多くの場合、手遅れになる前に予防的な健康対策が実施されていた場合よりも、結果ははるかにポジティブではなく、被害も大きくなることは言うまでもありません。
そのためには、予防計画とはどのようなものでしょうか。セキュリティ専門家が、日々増え続けるサイバーリスクを軽減するために、あらゆるツールをどのように活用できるかを探っていきましょう。
今後の作業範囲を理解する
当たり前のように思えますが、サイバーリスクを軽減するための「正しい」計画には業界によって微妙な違いがあり、望ましい結果を達成するために何が必要かを事前に理解することが重要です。
現在、どのようなセキュリティ上の問題がありますか?どのくらいの時間とリソースを消費しているのか?そのうち、繰り返し発生する問題はいくつあるか?これらは重要な要素であり、基本的な出発点となります。潜在的なリスクのある他の領域を未然に防ぎながら、エンドポイントを保護して攻撃対象領域を減らすために、補充が必要な役割、ツールのギャップ、専門知識とツールの観点から何が必要かを検討してください。
A 最近の報告 過去1年間、11の業界で毎日、少なくとも半分のアプリケーションで深刻な脆弱性が確認されたことが明らかになりました。特に、公益事業、行政機関、専門サービス業では、既知の脆弱性にパッチを適用するのに平均288日かかりました。パッチの適用には非常に時間がかかるため、パッチが適用される前に脆弱性が発見された場合、攻撃者は重大な損害を与えるのに十分な時間が与えられます。これは、組織がデータ侵害を受ける可能性と相まって、 30% に近づいていますは、インシデント対応だけでは不十分であり、リスクが高すぎて大規模なサイバー攻撃の影響に備え、最善の結果を期待できないことを冷静に思い出させてくれます。
文化の変化に賛同してもらう準備をしましょう
現状を変えると眉をひそめる傾向がありますが、実際のところ、セキュリティプログラムは常に継続的に改善されているはずです。すべてのコンポーネントは関連性を維持し、新しい開発を評価して考慮に入れる必要があります。
事後対応型ではなく予防型のアプローチに重点を置くことは、特に大規模で重大なセキュリティインシデントが発生していない場合、セキュリティチーム以外ではあまり理解されない可能性があります。これは壊れておらず、修正する必要もないものと見なされるかもしれません。この場合、経営幹部の賛同を得ることが不可欠です。彼らが考慮すべきより適切なポイントには、次のようなものがあります。
- 重大なインシデントの潜在的なコストとは対照的に、ロールベースのトレーニングや関連ツールなどの予防措置による時間とコストの節約
- 脆弱性を発見して修正することで、セキュリティチームによる問題発生が減り、リリースが予定どおりに進められるようになった方法
- 開発チームからリリースに至るまで、潜在的なセキュリティリスクに備えて未然に防ぐことで、全体的に時間 (多額の現金は言うまでもなく) を節約できる理由大局的に見ると、後期段階の脆弱性はテスト段階、あるいはさらに悪いことにポストプロダクション段階で明らかになったということです。 コストを 3000% も上げることができる 平均して。
最初は不愉快に思えたとしても、提案された文化的な変化がビジネス目標に沿っていることが重要です。
セキュリティ意識が重要で、セキュリティスキルがすべてです
業界として、私たちはセキュリティ意識の重要性について頻繁に話しますが、これは組織のすべてのスタッフにとってますます重要な要素になっています。しかし、特に技術職のスタッフは、口先だけの研修や受動的な研修だけでは十分ではありません。
簡単に言えば、コードに触れる人は誰でも、安全にコーディングするスキルを持っていなければ、潜在的なセキュリティリスクになります。基本的なセキュリティパラメータを一般的に認識することから始めるのは良いことですが、適切で安全なコーディングパターンに関するコンテキスト知識がなければ、悪い習慣が蔓延します。攻撃者が汚い仕事をするために頼りにするのは、この質の高い開発スキルの欠如です。
開発者を帳消しにしないでください。
考え方は変わりつつありますが、多くの組織は、セキュリティ緩和計画において開発者が真の考慮事項になることはめったにないような構造になっています。銀行や金融などの一部の業界では、コンプライアンスや規制要件が厳しいため、セキュリティ対策が強化され、すべてのスタッフを対象としたトレーニングが全面的に行われています。確かに他の業種よりも進んでいますが、世界中のほぼすべての組織が、一般的なセキュリティバグに気付くための基本的な能力を備えた、セキュリティ意識の高い社内の開発者たちの恩恵を受けることができます。ほとんどの企業が、セキュリティプログラムのパズルのこの重要なピースを達成するにはほど遠い状態です。そして、年々量が増加する大量のコードを保護する見込みがあるのであれば、この対策は必要です。
予防的セキュリティは、ソフトウェアを作成するためにキーボードに指が触れた瞬間から始めるべきですが、開発者がセキュリティスキルのギャップを単独で埋めることは期待できません。より高い水準のコード品質を実現するには、適切なツールセットと状況に応じたガイダンスが必要です。最良の結果は、毎年のコンプライアンス要件が導入されるたびに散発的に展開されるような後付けではなく、日常業務の一部であるときに常に得られます。
%20(1).avif)
.avif)
