セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。最新の Voice of the Community ブログ シリーズの投稿では、マイクロソフトのプロダクト マーケティング マネージャーであるナタリア ゴディラが、 We Hack Purple Academyの創設者であり、ベストセラー本「 Alice and Bob Learn Application Security 」の著者である Tanya Janca と対談しています。この会話で、Tanya は、アプリケーション セキュリティ (AppSec)、セキュリティ組織におけるその役割、および AppSec 専門家の課題に関する洞察を共有しています。
ナタリア: アプリケーションのセキュリティをどのように定義していますか?
Tanya:アプリケーション セキュリティ (AppSec) は、ソフトウェアのセキュリティを確保するために行うあらゆる活動です。 Spring Boot を使用する Java 開発者がいて、脆弱性があるとします。彼らはそれについてのポッドキャストを聞いて、「ポッドキャストでは本当に恐ろしく聞こえたので、おそらく更新する必要があると思います」と言います。これは、アプリケーションのセキュリティに貢献します。
しかし、人々がアプリケーションのセキュリティについて話すとき、リリースされるアプリケーションが確実に安全であることを確認するための、職場での正式なプログラムについて話していることがよくあります。私たちは、すべてのアプリケーションがセキュリティに注意を払い、それぞれが同じセキュリティの注意とサポートを受けられるようにしたいと考えています。目標と決めた姿勢にあることを全力で検証したい。組織ごとに設定方法が異なります。これについては、昨年リリースした本で詳しく説明していますが、基本的に、アプリケーション セキュリティの専門家は、恐ろしいアプリのリスクを最小限に抑え、すべてを全面的により良いセキュリティ ポスチャに引き上げたいと考えています。そのためには、IT 部門のほぼ全員と定期的に話す必要があります。私は、アプリケーション セキュリティの担当者を技術者のソーシャル バタフライと考えるのが好きです。
ナタリア: セキュリティ スキルのギャップは AppSec にどのように影響しますか?
ターニャ:私は研修会社を経営しているので明らかに偏見がありますが、ギャップがあるのでやり方を研修するように人々が私に求め続けたので、それを始めました.一般に、IT セキュリティでは、人々を訓練する方法を推測するだけでなく、経験があり、ベスト プラクティスを理解している人を見つけることにはギャップがあります。
アプリケーション セキュリティでは、さらに大きなギャップが生じる傾向があります。 2020 年 8 月にCyber Mentoring Mondayというポッドキャストを開始しました。私は Twitter で #CyberMentoringMonday を運営していたので始めました。最初の 1 年間は、誰もが「ペネトレーション テスターになりたい」と言っていました。メンターであり、彼らの多くは AppSec が何であるかを知りませんでした。彼らは、 脅威ハンティングとは何かを知りませんでした。彼らは、リスク分析が何であるかを知りませんでした。彼らは、フォレンジックやインシデント対応が存在することを知りませんでした。さらに話をすると、彼らが本当に関心を持っている別のセキュリティ フォーカスがあることがわかりますが、彼らはペネトレーション テストについてしか聞いたことがありませんでした。
それは私も同じでした。ペネトレーション テスターかリスク アナリストでなければならないと思っていましたが、仕事はたくさんあります。私がこのポッドキャストを始めたのは、人々がどのような仕事を望んでいるのかを理解できるようにするためであり、より多くの人々を私たちの分野に引き付けたいからです.大きな問題は、AppSec に入る完璧な方法がないことです。
ナタリア: AppSec の担当者にとって最大の課題は何ですか?
Tanya: AppSec の最初の課題は教育です。一部の開発者は安全なコードの作成方法を理解していません。彼らが望んでいないわけではありません。リスクを理解していないということです。彼らは自分たちが何をすべきかを理解しておらず、多くの人がフラストレーションを感じています。なぜなら、「自分のアプリを完璧で史上最高のものにしたい」と考えているからです。彼らはセキュリティがその一部であることを知っていますが、それを持っていません。それを行う手段。
ほぼすべての職場で目にする 2 つ目の課題は、賛同を得ようとすることです。私が AppSec をフルタイムで行っていたとき、特定の場所では、毎日の 50% を自分の仕事をさせてもらうためだけに費やしていました。たとえば、私はこの新しいツールが欲しいのですが、その理由は次のとおりです。人々はこう答えます。開発者ツールは安価です。」 「私は開発者ではありません」と言うでしょう。開発者として必要のなかった方法で経営陣とコミュニケーションをとる方法を学ばなければなりませんでした。私が開発者だったときは、「あと 2 週間です」とだけ言っていたものです。もっと早くできるかと聞かれたら、「残業代を払いたいですか?」と聞いていました。そして、彼らはイエスと言って残業をするか、ノーと言います。説得力はありません。
AppSec では、「20 個のアプリがあります。 1 つのミッション クリティカルな非常に凝ったアプリをテストするために、4 人の鋭いテスターを雇うために何十億ドルも費やしたいと思っていることは知っています。しかし、そのために誰かを雇うことができますか?そして、そのお金を使って、文字通り燃えているこれらのレガシーなものを見ることができますか?」私が驚いたのは、AppSec で働くために学ばなければならなかった多くの交渉と説得です。
ナタリア: クラウド セキュリティに関して、AppSec の役割は何ですか?
Tanya:誰もやっていないのに、あなたが夢中になっているので、取られていないものはすべて AppSec 担当者の役割になることがわかりました。すべてがオンプレミスである会社で AppSec を行う場合、多くの場合、運用チームが存在し、すべてのインフラストラクチャを処理するため、その必要はありません。クラウドに移行するとき、特に DevOps を行う組織で作業している場合は、突然クラウド テクノロジ、少なくとも基本を学ぶ必要があります。
私は多くの AppSec 関係者と話し、次のように言いました。責任共有モデルです。」共有責任モデルとは、クラウド プロバイダーがパッチやデータ センターの物理的なセキュリティを処理する場合でも、不適切な構成を選択した場合は、それらの責任を負うことを意味します。したがって、最初に行う必要があるのは、共有責任モデルをチェックして、非常に重要なものを見逃さないように、自分の側が何をしなければならないかを知ることです.
クラウドに移行するときは、責任の共有を理解し、信頼できる結果が得られるようにプロセスを設定することが非常に重要です。理想的には、ソフトウェア開発ライフサイクルのすべてのフェーズに、セキュリティをサポートするアクティビティが 1 つ以上含まれています。クラウドを使用している場合は、DevOps を行っている可能性が十分にあります。その場合、開発者は DevOps の人になります。あなたは、開発と運用の両方を保護することについて彼らと話したいと思っています。彼らが開発を行っているだけで、運用を行う別のチームがある場合、運用チームを支援するセキュリティ チームがありますが、セキュリティ アシスタンスを受けられるようにする必要があります。開発者がクラウド セキュリティの基本を理解して、誤って恐ろしいことをしないようにすることが重要です。
クラウドに関して、私のお気に入りの 1 つは自動化です。私はマイクロソフトで働いていて、Azure のファンです。 Azure にはSecurity Centerがあります。これは最高であり、一連のポリシーを自動化し、多くのことをチェックできます。どの部分をオンにするか、将来どの部分に予算を設定する必要があるか、どの部分にサードパーティのツールが必要かを知ることは重要です。これらの決定を下すことは、 クラウド セキュリティチームと AppSec 担当者にとって重要であり、クラウドに安全かつ確実に展開する方法を考え出すことです。
Tanya Janca が、アプリケーション セキュリティ プログラムを構築し、その成功を測定する方法に関するベスト プラクティスを共有しているので、インタビューの後半に注目してください。
もっと詳しく知る
- Microsoft の Cloud Access Security Broker であるMicrosoft Cloud App Securityを使用して、セキュリティ体制を強化します。
- Microsoft のクラウド セキュリティアプローチについて説明します。
- Azure Security Centerの使用を開始します。
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments