Skip to content

サイバーセキュリテイに関するDavid Lindner(Contrast CISO)の視点 | 2024年5月10日

    
サイバーセキュリテイに関するDavid Lindner(Contrast CISO)の視点 | 2024年5月10日

ポイント#1

CISA(米サイバーセキュリティ・インフラセキュリティ庁)のKEV(悪用が確認された脆弱性のリスト)は、脆弱性の修正が迅速化されていることを示しているが、Verizonのデータ漏洩/侵害調査報告書(DBIR)では、脆弱性の修正にいまだに必要以上に時間がかかっていることも示している。「改善」とは向上に努めることを意味するのだろうか、それともこれらの脆弱性対応の優先順位が変わるだけで、以前と同じようにゆっくりと修正されることを意味するのだろうか?時が経てば分かるだろう。

ポイント#2

Microsoftのセキュリティ担当上級副社長であるCharlie Bell氏は最近、同社の経営執行チームの報酬の一部を「セキュリティ計画とマイルストーンの達成における進捗状況」に基づいて決定するなど、経営陣に対してサイバーセキュリティに対する説明責任を負わせるつもりである述べたMicrosoftが幹部にセキュリティの責任を負わせるということは、おそらく同社が望むことを実現するために予算を増やす計画であることを意味している。「それを成し遂げるのはあなたの責任だ」と言うだけでは、魔法のように実現するわけではない。

ポイント#3

CISAが「パストラバーサルの脆弱性を修正するように」というようなメッセージを発信しているのが不思議に思う。同庁はFBIと共同で開発者に警告を出し、ソフトウェアを出荷する前にこれらの脆弱性を確認するよう促した。実は、OWASP Top10で20年以上前からこのことを言っている。これは、サイバーセキュリティ意識向上月間のたびに発信される「強力なパスワードを使いましょう」というメッセージのようなものだ。明らかに、脆弱性に言及し続けても根本的な原因は解決しないようだ。このような脆弱性を防ぐために、ソフトウェアを変える時が来たのだ。

David Lindner, Chief Information Security Officer

David is an experienced application security professional with over 20 years in cybersecurity. In addition to serving as the chief information security officer, David leads the Contrast Labs team that is focused on analyzing threat intelligence to help enterprise clients develop more proactive approaches to their application security programs. Throughout his career, David has worked within multiple disciplines in the security field—from application development, to network architecture design and support, to IT security and consulting, to security training, to application security. Over the past decade, David has specialized in all things related to mobile applications and securing them. He has worked with many clients across industry sectors, including financial, government, automobile, healthcare, and retail. David is an active participant in numerous bug bounty programs.