HCL AppScan: 新しいハイブリッドセキュリティー担当者の姿

2020/9/2 - 読み終える時間: 3 分

製品から離れて、セキュリティーの一般論を今日は紹介してみたいと思います。HCL AppScan - The New Hybrid Security Employee の翻訳版です。

HCL AppScan: 新しいハイブリッドセキュリティーー担当者の姿

2020年9月1日

著者: Rob Cuddy / Global Application Security Sales Evangelist

「ゲームをしよう (Shall we play a game?)」という言葉を聞いて何を思い浮かべるでしょうか？

もしあなたが私の世代なら、1983年に戻って、若いマシュー・ブロデリック（『(フェリスはある朝突然に Ferris Bueller's Day Off)』から数年後）とアリー・シーディ（『セント・エルモス・ファイア (St. Elmo’s Fire)』や『ブレックファスト・クラブ (The Breakfast Club)』から数年後）が、人気映画『ウォー・ゲーム (War Games)』の中で地球熱核戦争のゲームを始めるのをすぐに思い出すことでしょう。多くの人にとって、これが私たちが初めてサイバーセキュリティーを知ったきっかけでした。

そして数十年後の今でも、サイバーセキュリティーといえば、多くの人が思い浮かべるのはこれです。

画像提供：Giphy のご厚意による

40年近く経った今でも、コントロールルームやセキュリティー・オペレーション・センターは非常に存在感があり、私たちを守るために必要なものですが、確かにサイバーセキュリティーに対処する必要があるのはこれらの場所だけではありません。脅威の状況がますます増加し、脆弱性の数も増加している中で、可能性のある攻撃や脅威の媒介をすべて処理するために、高度な訓練を受けた専門家の小さなグループを一室に集めて依頼するのは、非常に不公平なだけではありません。危険です。

Edgescanの 2020 Vulnerability Statistics Report では、「専門家の 64%が、組織の Web アプリケーションやエンドポイントを完全に認識していないことを認めた」とし、2019年には 80億件以上のレコードが侵害されたことにも言及しています。そして、コンテナ、マイクロサービス、モノのインターネット (IoT) の普及はそれを難しくしているだけです。

つまり、単一分野のセキュリティー専門家に頼るという古いモデルは、特にDevOpsのスピードで動いている場合には通用しないということです。今日、成功した安全なソフトウェア開発には、複数の分野にまたがるアプローチと人材が必要とされています。今日と明日のセキュリティー社員は、どのような姿をしているのでしょうか？よくぞ聞いてくれました。

セキュリティー従業員の新しい種類

先日、Application Paranoia のポッドキャストでは、HCL Software の CISO である Joe Rubino にインタビューを行い、当社が行うすべての業務において、信頼されたセキュリティーの強固な文化を構築することについての彼の考えを尋ねました。その中心にあるのは、組織とその顧客基盤をサポートするセキュリティー専門家のチームをどのように構築し、育成しているかということです。

私たち全員が非常に興味深かったのは「セキュリティーのプロとは何か」という概念を広げる議論でした。皆さんも「セキュリティーはみんなの仕事」という言葉を聞いたことがあるのではないでしょうか。確かにその通りだと思います。結局のところ、私たちは個人的なデバイスを持ち歩き、日常的に個人的な資産と職業的な資産の複雑な組み合わせを使用しています。私たちは皆、自分の役割を果たす責任があります。私たちは、これらのデバイスを更新し、適切に使用し、フィッシング詐欺のような明らかなものを避けるようにしなければなりません。

これらは素晴らしいことですが、今日の真のセキュリティーには、より全体的な対応が求められています。ジョーはこのように表現しています。"私たちは皆、セキュリティーの専門家としての責任を負わなければなりません。データプライバシーの専門家の。カスタマーサポートのプロ。そして、その新しい通常の状態、期待、それに伴う責任を受け入れるように自分自身を追い込むことができればできるほど、私たちはさらに進歩していくでしょう。

で、セキュリティーの専門家って何ですか？

明らかに、セキュリティーは常に進化し、複雑さを増している高度に技術的な領域です。この分野で成功するためには、技術的なスキルを理解し、適応し、適用し、学ぶ能力が成功の前提条件となります。

しかし、優れた技術力だけでは、もはや十分ではありません。

今日では、特にセキュリティーに関わる分野では、従業員のハイブリッドモデルをさらに導入する必要があります。 ジョーが "学際的なアプローチ "と呼ぶものが必要です。これは、人々はいくつかの重要な分野でスキルを持っていますが、ビジネスのニーズが変化し、新しいスキルが登場しなければならないため、それらのスキルセットだけに頼ることはできないという考え方です。

ポッドキャストでは、そのような従業員を見つけ、育成することについて、成功への鍵がいくつか言及されていました。その中でも特に重要なのは、次のようなことでした。好奇心旺盛で、共感力のある人を見つけること。これは、より多くの組織が DevSecOps のプラクティスを採用するように努力しているので、特に重要である。好奇心と共感は問題解決とチームワークを促進し、DevOps と DevSecOps の長期的な成功に不可欠な文化を構築します。

セキュリティー専門家のメンタリティが、単に「このチェックリストを実行してください。完了！」という考え方では、必要とされる包括的なセキュリティーを提供することはできません。また、ポリシーの施行や規制の遵守だけではいけません。その代わり、セキュリティー対策は継続的に評価、評価され、ビジネスニーズの変化に応じて調整されなければなりません。適切に実施されれば、優れたセキュリティーは消費者の信頼と信頼を促進します。これにより、「当社はお客様のデータに対して責任を持っています」と宣言することができます。

「決められていることだから」の意識から距離を置く

我々は正しい理由で正しいことを行い、多くの人がセキュリティーの専門家だと思っているようなチェックリストのような考え方を避けているのだろうか」という、重要なレトリック的な質問をジョー氏は投げかけました。

素晴らしい質問です。

今日、セキュリティーは単なるゲートキーパーではなく、ビジネスを可能にする存在である必要があります。つまり、セキュリティーの専門家は、ビジネスとの連携が必要なのです。セキュリティーはもはやサイロで運営することができないため、コラボレーションの増加を意味します。また、コラボレーションには、あらゆるレベルで効果的な感情的知性、共感性、リーダーシップが必要である。これは、潜在的なリスクを認識するだけでなく、ビジネス価値の観点からリスクを評価できることを意味します。要するに、セキュリティーに対する考え方は、「NO」の声が聞こえる場所から、「YES、そして、安全に行う方法はこうだ」というのが当たり前の場所へと変化しなければならないのです。

良いセキュリティーがあれば、より速く進むことができる。

その通りです。優れたセキュリティー対策がソフトウェア開発ライフサイクル (SDLC) 全体に十分に統合され、すべての段階で意味のある実用的なフィードバックがチームに提供されると、リスクの監視、管理、最小化、緩和がより適切に行われるようになります。 その結果、システムに構築された信頼性が高まり、全体的な展開が短縮されます。

「決められた」という考え方から離れることができれば、莫大な利益を得ることができます。特に、安全なコーディングの分野があります。安全でないコードを書こうとしている開発者にはまだ会ったことがありません。彼らは正しいことをしたいと思っています。彼らは、機能する安全なコードを書きたいと思っています。しかし、あまりにも多くの場合、私たちは開発者が成功するためにはセキュリティーの「専門家」になる必要があると考えています。しかし、それは真実ではありません。開発者が専門家になる必要はありませんが、開発者全員がより安全になる必要があります。

実際に、説明しましょう。あなたがどこかに車を運転していて、突然、車のダッシュボードがクリスマスツリーのようにライトアップされ、エンジンがストールしたとしましょう。あなたは車を停めて、車を降りてボンネットを開け、問題を解決できる可能性が低いことを知っていました。突然、あなたの後ろに車が停車する音がして、誰かがやってきて、あなたのそばに立ってしばらく見ていました。そして、エンジンのランダムな部分を指差して「そこに問題があります」と言うと、あなたが返事をする前に、彼らは自分の車に戻って、車に乗って走り去ってしまうのです。あなたがたまたま経験豊富なメカニックで、手元に正しい部品を持っていない限り、彼らが問題を指摘するだけでは、あなたを助けるためには何の役にも立たないのではないでしょうか？

欠陥追跡システムからセキュリティー問題についてのメールを受け取る開発者のようなものです。

私はしばらく前に主要なセキュリティーカンファレンスにいましたが、私が訪れたほぼすべてのブースでは、「開発者をセキュリティーに関与させる」ということについて、何かしらの趣向が凝らされていました。その根底にある考えは、開発者がスキャンをして報告を受けることで、何がどこに脆弱性があるのか、より多くの情報を開発者に提供することができれば、もちろん開発者はそれを修正する方法を知っているだろうというものでした。これを聞いたとき、私が最初に思ったのは「頑張ってください！」ということでした。現実には、開発者がそのレベルのセキュリティーの専門知識を求めているのであれば、すでにそれを達成しているはずだからです。

実際のところ、安全なコーディングは大変な作業です。そして、やりがいがあります。そして、それには複数の視点が必要です。機能が満たされていることを確認するためにコードレビューを行うという概念は理解していますよね？では、セキュリティーの専門家と開発者が、脅威のモデル化やセキュリティーレビューのようなことで一緒にパートナーを組むのは良いアイデアではないと考えるのは、本当に大げさなことでしょうか？重要なのは、セキュリティーの専門家は、もはやテストを実行して発見した脆弱性を報告するだけでは済まないということです。そうではなく、開発チームと協力して、バランスを取り、優先順位をつけ、修正するために積極的に働く必要があります。これこそが、共有学習を促進することなのです。

まとめ

つまり、今日のビジネスを成功させるためには、技術的なスキルだけでなく、リスクを軽減するためのより良いコラボレーションを推進するための根性、共感、好奇心を持ったセキュリティーとセキュリティーの専門家に対する新しいチームベースのアプローチが求められているということです。ビジネスリーダーは、このようなコラボレーションを大規模に推進するための環境、プラットフォーム、さらにはインセンティブを提供し、チーム間やパイプラインを通じて信頼を高め、最終的には、より優れた、より安全なソフトウェアをより迅速に提供することにつながるようにする必要があります。

これらやその他のアプリケーションセキュリティーに関する議論については、Application Paranoia ポッドキャストをチェックしてください。