Skip to content

サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年9月20日

By David Lindner、最高情報セキュリティ責任者

9月 25, 2024

DevOps Thought Leaders DevSecOps XSS RCA

    
サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2024年9月20日

ポイント #1: ポイント #1: インターネット上の脅威を軽視しないで!

クロスサイトスクリプティング(XSS)見過ごされがちな脆弱性だが、Webを脅かす。Contrastの最近の攻撃データが示すように、XSSはどこにでも存在するにもかかわらず、「低リスク」として片付けられてしまうことが多い。しかし実際には、このXSSが広く蔓延していることこそが、XSSをより大きな脅威にしており、簡単に悪用される可能性がある。幸いなことに、アプリケーションにおける検知と対応(ADR)がこの問題を解決するのに役立つ。
 

ポイント #2: 根本原因を見つけても問題が解決するとは限らない 

根本原因分析(RCA)は、Forbesが述べているように、発生した可能性のある技術的な問題を解明することだけではない。技術的な問題が単独で存在することは、ほとんどない。多くの場合、大規模なプロセスやワークフローの中で発生する。そのプロセスが非効率であれば、技術的な問題が発生しやすくなったり、検知や修正が困難になる状況を生み出す出す可能性がある。

 

ポイント #3: 文化の改善がセキュリティの改善につながる 

ここ数ヶ月、同業者たちとの興味深いやり取りの中で、脆弱性の検出と修正、そしてそれを推進するセキュリティ文化との間には、依然として大きな隔たりがあることに気づかされた。あまりにも多くのセキュリティ責任者が文化を気にせず、リスクの解決に関心を持っている。しかし、前向きなセキュリティ文化を作ることが、当然、脆弱性への対応を早め(MTTR:平均応答/修復時間)、時間の経過とともに脆弱性を減少させる(VER:脆弱性回避率))のに役立つはずだ。なぜこの障壁を乗り越えられないのか?
DevOps Thought Leaders DevSecOps XSS RCA

David Lindner、最高情報セキュリティ責任者

Davidは、サイバーセキュリティの分野で20年以上の経験を持つアプリケーションセキュリティの専門家です。最高情報セキュリティ責任者としての役割に加えて、Contrast研究所を率いています。Contrast研究所では、脅威インテリジェンスを分析し、企業がより予防的なアプリケーションセキュリティプログラムを開発できるように支援することに取り組んでいます。Davidは、セキュリティ分野のさまざまな領域で活躍してきました。アプリケーション開発からネットワークアーキテクチャの設計・サポート、ITセキュリティとコンサルティング、セキュリティトレーニング、アプリケーションセキュリティに至るまで、幅広いキャリアがあります。過去10年以上にわたり、モバイルアプリケーションとそのセキュリティに関するあらゆる分野を専門としてきました。金融、政府、自動車、医療、小売など、業種を問わず多くの顧客と仕事をしています。また、Davidは多くのバグ報奨金プログラムに積極的に参加しています。

August attack data: A look beyond the numbers