Skip to content

サイバーセキュリテイに関するDavid Lindner(Contrast CISO)の視点 | 2024年5月17日

    
サイバーセキュリテイに関するDavid Lindner(Contrast CISO)の視点 | 2024年5月17日

ポイント#1

どちらがいいだろう? (a)より多くの脆弱性を発見し続け、NVD(米国立標準技術研究所が管理する脆弱性情報データベース)のように危機に陥るまでセキュリティバックログを構築し続けるのと、(b)すでに膨れ上がったバックログに対策を講じるのとでは、どちらを選ぶか? 我々は常にもっと多くの脆弱性を見つけることができるだろうが、修正や対策を講じることの方が実は重要なのだ。バックログはどれくらいのペースで増加しているか? 平均修復時間(MTTR)を改善する方法については考えたことはあるか? 解決策はある。苦しむのは終わりにして、情報を探ることから始めよう

ポイント#2

ランタイムセキュリティ、頭の中で何度も繰り返し言うんだ。これこそが未来であり、セキュリティ担当と開発担当がWebアプリケーションの脆弱性を正確に検出、保護、優先順位付けできる唯一の方法だ。

ポイント#3

米サイバーセキュリティ・インフラセキュリティ庁(CISA)のセキュア・バイ・デザイン(Secure by Design)の誓約は、PRのための演出のように思える。ただし、このアプローチを導入してセキュリティ体制を刷新しても害はない。このアプローチには、製品を「箱から出してすぐに安全に使える」ようにするために、製品設計の段階で基本的なセキュリティ対策をすることが含まれている。つまり、安全な設定をデフォルトで有効にし、多要素認証(MFA)、ログ記録、シングルサインオン(SSO)などのセキュリティ機能を追加費用なしで利用できるようにするということだ。この誓約に署名した企業(現在までにCisco、AWS、Google、IBM、Microsoft、Lenovoなど、企業のIT基盤を支える企業を含む68社が署名)は、定期的なパッチの適用、脆弱性開示の方針、透明性の高いCVE(共通脆弱性識別子)、侵入に関するフォレンジックデータなどに取り組む。これらは全て、セキュリティ上当然のことだが。

David Lindner, Chief Information Security Officer

David is an experienced application security professional with over 20 years in cybersecurity. In addition to serving as the chief information security officer, David leads the Contrast Labs team that is focused on analyzing threat intelligence to help enterprise clients develop more proactive approaches to their application security programs. Throughout his career, David has worked within multiple disciplines in the security field—from application development, to network architecture design and support, to IT security and consulting, to security training, to application security. Over the past decade, David has specialized in all things related to mobile applications and securing them. He has worked with many clients across industry sectors, including financial, government, automobile, healthcare, and retail. David is an active participant in numerous bug bounty programs.