無駄に恐怖を煽らない Web アプリと API のセキュリティに関するトークシリーズ「Dept of Know Live !」が間もなく開催
サイバーセキュリティに関するカンファレンスに参加する場合でも、セキュリティ業界の出版物を読む場合でも、ある感情に度々取り憑かれることがあります。それは「恐怖」です。
アプリケーションセキュリティの世界では、恐怖を煽るような情報が溢れています。誇張された情報が横行し、まるで一歩間違えば、企業は成功や社会的地位を失い、セキュリティスタッフのキャリアが終わるというような印象を受けがちです。リスクを認識することは確かに重要ですが、それほど悲観的にならずにセキュリティの現実について話し合えることも必要です。
そこで Fastly は Web アプリと API のセキュリティに新たな角度からアプローチすることを目的とするバーチャルトークシリーズ「Dept of Know Live!」を開催することにしました。毎回、ホスト役を務める PagerDuty の Bea Hughes 氏 (Staff Security Engineer) と Fastly の Kelly Shortridge (Senior Principal Product Technologist) がセキュリティや最先端テクノロジーの専門家をお招きして15分間のインタビューとライブの Q&A セッションを行います。
ご存知のとおり、現在のセキュリティ部門に関する評判は、「力を奪い、革新を阻む」というような内容で溢れています。そこで Fastly は「否定する部門」からビジネスの成長促進に欠かせないと評価される部門へとセキュリティ部門が変身するお手伝いをしたいと考えています。これらの率直で楽しい (そしてちょっぴり意外性のある) トークが、セキュリティをめぐる現状に挑戦し、より優れた新しいセキュリティへの取り組み方を見つけるきっかけになれば私たちも嬉しいです。
3月の毎週木曜日、午前3時 (日本時間) に新しいトークセッションが放送されます。以下では具体的な内容についてご紹介します。
3月3日 :「現代のセキュリティにおける成功とは何か、それを推進するにはどうすれば良いか」Rinki Sethi 氏 (Twitter 元 VP 兼 CISO)
セキュリティ業界は常に進化しており、「成功」の意味を定義するのは影を捕まえようとするようなものですが、それでも考える価値はあります。Sethi 氏は、現代のセキュリティにおいて「成功」の定義がどう進化してきたか、また、組織の幹部によって単なるリップサービスとしてではなく本格的にセキュリティへの取り組みが支持されるようにするにはどうすべきかについて語ります。セキュリティにおける成功の測定方法について Sethi 氏は、ビジネスの促進に貢献する能力、リスクを実証するためにチームに提示すべきデータ、過去にセ キュリティを取り巻く文化を変えた経験から学んだことを中心にご説明します。
3月10日 :「セキュリティをイノベーションの実現につなげる方法」Sounil Yu 氏 (JupiterOne、CISO 兼 Head of Research)
セキュリティに携わっている方は「CIAトライアド」という言葉を耳にしたことがあるかと思います。これは、組織のアセットの機密性 (Confidentiality)、完全性 (Integrity)、可用性 (Availability) の確保を基準にセキュリティプログラムの優先順位を決定するモデルです。Yu 氏は、脆弱性と脅威を減らすことを重視するこの古いセキュリティに対する考え方は、実際にはビジネスの成長やイノベーションへの貢 献において逆効果である理由について解説します。Yu 氏は、分散化され (Distributed)、不変で (Immutable)、一時的 (Ephemeral) なシステムを設計するためのフレームワーク「DIE トライアド」を考案し、このフレームワークでは、脆弱性や脅威による影響を削減することにより専念することができます。このセッションでは、セキュリティに対するこの新しいアプローチよって、リスク軽減重視の考え方からイノベーションを促進する考え方へと移行することが可能になる理由と、組織内でこれらの原則を推進する方法についてご説明します。
3月17日 :「より最先端のアプリケーションの構築 = セキュアなアプリケーションの構築」Omar 氏 (Betterment、Staff Security Engineer)
安全性を考慮して最先端のアプリケーションを構築しようとすると、うまく行かない部分が多数出てきます。Omar 氏は「Dept of Know Live!」でこれらの点について語り、セキュリティの UX や、セキュリティの確保を簡単にするツールの構築方法、ユーザーリサーチを実施することで、すぐに却下する前にセキュリティエンジニアがより優れた判断を下すことができる理由についてご説明します。また、ビルトインセキュリティを備えたプログラムの興味深 いケーススタディや、セキュリティエンジニアリングがイケアの家具の設計に似ている理由もご紹介します。
3月24日 :「セキュリティ担当者が開発者の期待に応えられない理由」Ellen Körbes 氏 (VMware Tanzu Kubernetes、Senior Product Line Manager)
長年に渡る開発者としての経験を擁する Körbes 氏のセキュリティに対する見解は、開発者に実際に使ってもらえるプログラムを設計したい方にとって特に有用です。このセッションでは、開発者はセキュリティ担当者に何を望んでいるのか、セキュリティ担当者に何が足りないのか、開発者にとって理想的な開発ツールセキュリティのビジョンとは何かについてご説明します。24日のこのトークに参加すれば、開発者がセキュリティ担当者に首を突っ込んで欲しくないと考えている事実にセキュリティ担当者が向き合うべき理由が分かります。
3月31日 :「セキュリティにおいてアセット管理の役割を無視できない理由」Daniel Miessler 氏 (Unsupervised Learning の創設者および大手ファイナンスサービス企業の Head of Vulnerability Management and AppSec)
アセット管理はビジネスの成熟度と安定性を示す重要な指標の一つになると Miessler 氏は考えています。問題は、トラブルの火消し作業に追われるとアセット管理が優先順位の最下位に回されてしまうことです。どうすればアセット管理の重要性を理解してもらえるでしょうか?Miessler 氏はこのセッションで、包括的かつ現実的なアセット管理プログラムの設計方法、上層部の人たちのサポートを得るためのインセンティブ、サイバー保険の方程式におけるアセット管理の位置付けについてお話しします。
このトークシリーズの詳細とご登録についてはこちらをクリックしてください。先着300名様には、Yu 氏の新刊書「The Cyber Defense Matrix: An Essential Guide for Navigating the Cybersecurity Landscape (サイバーセキュリティ対策のマトリックス : サイバーセキュリティの状況を理解するための必須ガイド)」のサイン入りコピーを含む特別ギフトをプレゼントします。皆さまのご参加をお待ちしております!