バイデン政権が発表した 国家のサイバーセキュリティ向上に関する大統領令のCEOであるPieter Danhieux氏と対談しました。 セキュア・コード・ウォリアーこの命令が開発者コミュニティとソフトウェア業界に与える影響について。
NetWitnessピーターは、サイバーセキュリティに関する大統領令で最も心強いものは何だと感じましたか?
ピーテル米国政府がサイバーセキュリティに真剣に取り組んでいるのを見るのは、とても新鮮なことだ。その最初の指標は、1月にバイデンが$10Bの予算配分に裏打ちされたサイバーセキュリティ・イニシアチブを発表したことだ。最近の大統領令(EO)では、セキュリティの観点からソフトウェアの開発方法に関する規制を強化することで、政府部門やインフラを保護するための一歩を踏み出そうとしています。
私にとって心強いのは、おそらく初めて、世界的な管理機関がサイバー防衛の源として開発者に注目していることだ。この新しい命令は、とりわけ、開発者が検証されたセキュリティ・スキルを持ち、厳格なベスト・プラクティスを遵守する必要性を特に訴えている。開発者が防御の最前線に立つためには、より包括的なトレーニングとツールが必要であることは以前からわかっていた。
NetWitness:私たちは、効果的なセキュリティとは技術以上のものであることを知っています。製品の開発段階から、企業がその製品をどのように使用するかに至るまで、脅威を認識して対策を講じるためには、人々の努力が必要です。今回の命令では、この点にどのように取り組んでいるのか、詳しく教えてください。
ピーターツールはDevSecOpsの基本的な部分であり、実際、強固なセキュリティ・プログラムですが、万能ではありません。単一のツールですべての言語のすべての脆弱性を発見できるわけではないし、面倒で時間がかかることも多い。重要なインフラを動かす可能性のあるソフトウェアを構築しているのは依然として人間であることを忘れてはならない。DevSecOpsは、人間をセキュリティ意識に向かわせること、そして、セキュリティ責任という点で、これまで行われてきたことを文化的に変えることがすべてである。
大統領令は、開発プロセス全体にわたってスキャン・ツールを義務付けることに言及しているが、さらに踏み込んで、ツールと人材のバランスについても言及している。サイバーセキュリティのスキル・ギャップは、質の低いソフトウェアを量産するための言い訳ではなくなっており、EOは、政府を顧客としたいのであれば、開発プロセスに参加する者は、検証済みのセキュリティ能力を有していなければならないことを示している。これを達成するためには、組織は今以上のことをしなければならない:一般的で、頻度が低く、何の影響も及ぼさない「場当たり的な」セキュリティ研修は廃止し、開発者のスキルアップを実際に行うソリューションに投資することが必須となる。最低限のトレーニングに時間と資金を費やす必要はない。お金を節約して何もしなければ、効果がないのと同じである。
NetWitness:開発しているツールやソリューションをより安全なものにするために、開発者ができることは何だと思いますか。
Pieter: The thing to remember is that developers didn’t sign up to become security experts, and nobody should expect them to fill that role. They want to build features, and that’s their core task. However, we produce higher volumes of code year on year, and software is eating the world. There is simply too much code to pass off to already stretched security teams, and developers have the power to ease that load by becoming security-aware and stopping common vulnerabilities from the start of the process. They should never be expected to fix complex problems, but the ones resulting from poor coding patterns can definitely be addressed when they have the skills to do so.
開発者は、セキュリティに不慣れであることが多く、そのような開発者を説得する必要がある。開発環境において、一口大のトレーニングによるコンテキスト学習によって、セキュアなコーディングパターンを筋肉に記憶させ、既存の知識の上に構築することができる。答えを見つけたり、基本的なことを学んだりするために、画面やプログラムを切り替えたり切り替えたりしなければならないのであれば、セキュリティ学習は後回しにされる可能性が高い。どのような学習も、魅力的で、適切で、頻繁に、できるだけワークフローを妨げないようにすることが重要である。どのようなツールも、開発者を念頭に置き、彼らの環境にどのように受け入れられ、導入されるかを理解した上で選択すべきである。何でもかんでも開発者に丸投げするのは、セキュリティの悪い経験を永続させることになる。
NetWitness米国連邦政府がどのようにソフトウェアを使用しているかを強調することは、サプライチェーンのセキュリティ向上に役立つと感じますか?
ピーテルサプライチェーンの安全確保はEOの超重要課題だ。これは すべて は、自社のサプライチェーンを分析し、ベンダーのセキュリティ基準を評価する。
サードパーティ・ベンダー(サードパーティのコンポーネントを利用している開発者は言うまでもない)がセキュリティ対策について透明性を欠いている場合、サイバーセキュリティのベストプラクティスが履行されているかどうかを確認することは非常に難しくなる。私たちは、私たちが使用するサプライヤーと彼らが作成するソフトウェアを分析しなければならない。これらの行動は「余分な1マイル」と見られるかもしれないが、サイバーセキュリティのベストプラクティスのゴールドスタンダードに固有のものであるべきだ。
NetWitness:この新しい秩序のもとでソフトウェア業界が前進していく中で、自動化はどのような役割を果たすとお考えですか。
ピーテル自動化はEOのハイライトであり、特にセキュリティ・モニタリングとゼロ・トラスト対策において重要です。膨大な量のコードを通じて、インテリジェントな自動化は不可欠であり、安全なエンドポイントの維持と脅威に対する継続的なスキャンにおいて、多くの重労働をこなしている。
唯一の懸念は、サイバーセキュリティの防御は自動操縦のままでよいという誤解がある場合だ。
NetWitness:セキュア・コード・ウォリアーのソリューションが開発コミュニティをどのようにサポートするとお考えですか。
ピーテル私たちがここで行っていることはすべて、開発者を念頭に置いています。私たちは長い間、開発者をサイバー防衛の鍵として擁護し、彼らのトレーニングや評価が効果的であるためには、はるかに魅力的で本業に関連したものでなければならないと、屋上から叫んできました。今こそ、開発者のスキルを向上させ、セキュリティ意識の高い開発者を測定し、認定する時なのだ。
今日に至るまで、開発者を対象とした正式なセキュアコーディング資格は存在しません。しかし、当社の学習プラットフォームは、開発者をトレーニングし、評価し、業務の中でセキュアなコーディングを行うために必要な知識を持っていると認定することができます。私たちは、特定のコンプライアンス目標の達成に役立つ厳選されたコースを提供し、JiraやGitHubのような一般的な開発環境と統合するさまざまなツールを用意しています。また、Jira や GitHub などの一般的な開発環境と統合できる各種ツールもご用意しています。
私たちはまた、社内の深い専門知識を駆使して、NISTに正式にポジショニング・ペーパーを提出しました。これは、NISTが戦略やガイドラインをより直接的な人間的要素や、人間的な問題を解決するために有効なツールやトレーニングに関するより具体的な内容で改良するのを支援することを目的としています。
NetWitnessです:ありがとうございました!この問題についてお話しできて光栄です。
ピーテルあなたと話せてよかった。
# # #
Join Matias Madou, CTO of Secure Code Warrior, and RSA’s CTO Ben Smith as they discuss the importance of empowering developers to start left, not just shift left. Through this interactive session, they will touch on the importance of building a positive security environment that can be used in a dev team’s everyday practice. Register これ.