ソフトウェア・セキュリティ・トレーニングに関する4つの課題を克服する方法
ソフトウェア・セキュリティ・トレーニングに関する以下の4つの課題に直面した場合、それらを克服してチームが必要なトレーニングを受けるためのヒントがいくつかあります。
ソフトウェア開発者のセキュリティ・トレーニングは、組織のセキュリティの重要な要素です。トレーニングによって全員がセキュリティ専門家となるわけではありませんが、適切なトレーニングは開発チームを負担になる存在からすばらしい資産の1つへと変えることができます。
多くの組織は、少なくとも侵害を受けた後は、正しい目的を持っています。
ただし、どのセキュリティ管理でも同様に、トレーニングを不適切に実装する可能性があります。この投稿では、ソフトウェア・セキュリティ・トレーニングに関する一般的な課題をいくつか取り上げ、それらを防止する方法または克服する方法を提案します。
課題1:「万人向け」は誰にも適さない
「手当たり次第」な取り組みを指示するトレーニングが非常に多く見受けられます。どのような役割かにかかわらず、すべての開発チーム・メンバーに同じソフトウェア・セキュリティ・トレーニングに出席することを要求するなどです。実例を挙げると、ある組織では、COBOLでメインフレーム・クライアント-サーバー保守を行っている開発者も含めて、開発者全員がJavaで記述されたWebアプリケーションの一般的な攻撃と防御に関するコースを受講することを要求しました。
優秀な講師は、必ず専門知識のレベルと受講者のニーズに教材を合わせようとしますが、役割と専門知識が広範に及ぶ受講者がすべて同じコースに出席すると、これは非常に困難になります。
有効なのであれば、トレーニングは出席者の役割に即したものでなければなりません。ソフトウェア開発者とテスターには、技術面を重視したトレーニングが必要です。プロジェクト・マネージャーの場合は、ビジネスに重点を置く必要があります。コンプライアンス(SOX、PCI、HIPAAなど)の「チェック・ボックスをオンにする」ために行うトレーニングであっても、役割に基づいてカスタマイズする必要があります。そうでなければ、時間と費用が無駄になる可能性があります。
その他に、ソフトウェア・セキュリティ・トレーニングは、ハッキング・デモ、実地演習、ケース・スタディなどを含む興味深く、インタラクティブな内容である必要があります。効果的なトレーニングにするためには、現在開発者が使用しているテクノロジーおよびプラットフォームに関連性するコースでなければなりません。
最後に、レベル、デリバリー、役割、カリキュラム、および言語で絞り込めるオンライン・トレーニング、またはeラーニング・コースを検討してください。講師によるトレーニングほどインタラクティブではありませんが、eラーニング・コースには、開発者が時間のあるときにトレーニングにアクセスし、必要なときにいつでも復習できるという柔軟性があります。
開発者にインセンティブを提供することによって、このコースを勧めることができます。コースまたはシリーズを修了するごとに表彰することで、トレーニングの時間を作ることを奨励します。
課題2:ハッカーは進化しています。そのため、トレーニングにも進化が必要です。
トレーニング・プログラムは、往々にして前年と変わりません。しかし、ソフトウェア・セキュリティはソフトウェア・エンジニアリングの一面であり、絶えず進化しています。いくつかの例外はありますが、過去5年間更新されていないフレームワーク固有または言語固有のトレーニングがある場合は、そのコースを注意深く調べて、まだ関連性があることを確認する必要があります。テクノロジー自体は変わっていなくても、攻撃者は新しい手口の攻撃を使い、前に使った攻撃に基づいてレガシー・システムに侵入します。
当てはまる場合や、対象者が技術的な知識を十分に持ち合わせている場合は、ソフトウェア・セキュリティ・トレーニングには最近の侵害の技術的詳細を含める必要があります。受講者は、侵害に関連するテクノロジーに従事していない場合でも、これらの議論を興味深いと思うでしょう。
課題3:検索エンジンの役割も果たす講師
ソフトウェア開発者や、ソフトウェア開発プラクティスに携わる他の方も含め、ソフトウェア・セキュリティ・トレーニングを受けるユーザーは誰でも、自分たちが毎日直面している課題と同様の課題を講師が経験していることを希望します。
たとえば、Java KeyStoreに基づくSSL証明書管理戦略を説明することは比較的簡単です。さらに講師が一般的なKeyStoreの問題やそれらのデバッグ方法に関する有益な情報を提供できれば、受講者にとっては雲泥の差となります。講師が、指導書に書かれたこと以外のことには何も対応できなければ、受講者はGoogleで検索して必要な情報を得る方が効果的でしょう。
課題4:セキュリティ・トレーニングに対する資金不足
他のセキュリティ管理と同様に、ソフトウェア・セキュリティ・トレーニングには費用がかかります。そのため、多くの場合、トレーニング予算を論証するには、データ侵害により発生する可能性のあるコストの観点から論証を構成すると効果的です。Ponemonなどのリサーチ会社からのデータには事欠きません。Ponemonによる調査の結果では、米国における2019年のデータ侵害の総コストの平均が、世界平均の2倍を超える819万ドルであったことが判明しています。加えて、医療、ライフサイエンス、金融サービス、および輸送業界などでの記録侵害1件当たりの損害はさらに大きいことも判明しました。
以前「ハッキングの黄金時代」と言われていましたが、ソフトウェアの開発方法と事業活動を行う方法における世界規模での激変と、Internet of Things(IoT)の爆発的普及の継続により、現在、確実にハッキングの黄金時代が再来しています。食洗機、冷蔵庫、トースター、サーモスタット、ホーム・セキュリティ・システム、自動車、そして道路や都市まで、すべてがコンピュータ化されたら、アタックサーフェスの拡大、ハッキングの増大、新たな脅威の出現が起き、リスクの上昇が続きます。
幸いなことに、ソフトウェア開発の基礎部分としてソフトウェア・セキュリティ・トレーニングが出現したため、これまで以上のトレーニング・オプションを利用できます。特に既に侵害を経験した競合各社は、セキュリティ・トレーニングを優先事項としています。障害が発生する前に、効果的なトレーニングを組織の優先事項にしてください。
この投稿は2016年10月13日に発表され、2020年7月20日に更新されました。
