あなたの会社は革新的なアプリやコネクテッド製品のキラーコンセプトを持っており、あなたはその最初の青天の霹靂の段階にいます。流通チェーンを開発し、人目を引く広告を作成し、ソーシャル メディアで話題を集める機会がたくさんあります。しかし、待っていられないタスクが 1 つあります。今こそセキュリティから始めるときです。これには、新製品の開発時に健全なセキュリティ慣行を適用することが含まれます。
技術専門家は、事後的にセキュリティを移植するのは難しいと言うでしょう。より健全な戦略、そして消費者の信頼を勝ち取る可能性がより高い戦略は、最初からセキュリティを組み込むことです。 FTC の調査、法執行機関の行動、企業が私たちに共有した経験を見ると、製品開発においてセキュリティから始めることの重要性が示唆されています。これらの情報源から収集した例を次に示します。
安全なコーディングについてエンジニアをトレーニングします。
あなたの会社が健全なデータ セキュリティに重点を置いているのは、「言うまでもない」というものではありません。 。 」一種のこと。はっきりと、誠実に、そして頻繁に言いましょう。あらゆる段階で製品開発にセキュリティを組み込むことがスタッフに奨励される職場環境を作りましょう。コンセプトから市場、さらにその先に至るまで、従業員が意思決定の最前線でセキュリティを維持することへの期待を明確に述べます。最終的には、それが顧客、企業の評判、収益性にとって最善の戦略となります。
例: 新しいソフトウェア製品を発売する企業は、製品ができるだけ早く市場に投入されるように、迅速にコーディングすることの重要性をソフトウェア エンジニアに強調し、エンジニアは社内のコーディング期限を守ります。しかし同社は、製品が消費者の手に渡って初めて、利用可能な解決策がある一般的なよく知られたセキュリティ脆弱性の影響を受けやすいコードをエンジニアが繰り返し作成していたことに気づきました。この問題を解決するには、企業は高価な事後修正を実施する必要があります。より効率的で、最終的にはよりコスト効率の高い実践方法は、企業がソフトウェア エンジニアに開発プロセス全体を通じて安全なコーディングの重要性を強調し、その期待に応えるために必要なトレーニングを提供することだったでしょう。
セキュリティに関するプラットフォームのガイドラインに従ってください。
セキュリティから始めることは、必ずしもゼロから始めることを意味するわけではありません。すべての主要なプラットフォームには、機密データを安全に保つための開発者向けのガイドラインがあります。賢明な企業は、新製品を設計する際にそのアドバイスを考慮に入れます。
例: 会社 2 つの異なるアプリ プラットフォーム用のモバイル アプリを作成します。どちらのプラットフォームでも、転送中にデータを暗号化する必要があり、業界標準の暗号化を提供するアプリケーション プログラミング インターフェイス (API) を備えています。プラットフォームの API を正しく使用することで、同社のエンジニアはデータを安全に保つことができます。
セキュリティ機能が機能することを確認します。
車の中に傘を常備しておくことは賢明な考えですが、太陽が輝いているときに試してください。土砂降りの雨が降るまで待って、リブが曲がったりハンドルが壊れたりしないようにしてください。同様に、製品にセキュリティ機能を組み込むことは賢明ですが、市場に出す前に、それらが有効になっていて適切に動作していることを確認してください。
さらに、製品が提供するセキュリティの性質について消費者に主張する場合、その表明は真実であり、販売を開始する前に手元にある証拠によって裏付けられている必要があります。 「しかし、私たちは安全保障に関するいかなる主張も行っていません。」 そうかもしれませんが、本当にそうですか? FTC法に基づき、企業は、状況下で合理的に行動する消費者が企業のマーケティング資料から取得するすべての表現(明示的および黙示的)に対して責任を負います。これには、テレビやラジオ、印刷物、Web サイト、オンライン広告、パッケージ、ソーシャル メディア、プライバシー ポリシー、またはアプリ ストアで伝えられる発言や描写が含まれます。企業は、確立された真実の広告基準を尊重する限り、マーケティング資料の中心にセキュリティ機能を自由に組み込むことができます。したがって、製品のセキュリティ上の利点を宣伝する前に、それらが宣伝された約束を満たしていることを確認してください。
例: 家計簿アプリを販売する会社は、自社製品が「銀行レベルのセキュリティ」を備えていると主張する広告を掲載しています。しかし、同社には書面によるセキュリティ プログラムがなく、リスク評価も実施しておらず、安全な情報に関する実践について従業員を訓練しておらず、「銀行グレードのセキュリティ」に一般的に関連付けられているその他の実践も実施していません。虚偽または根拠のない表現を行ったことにより、同社は確立された広告の真実性基準に違反した可能性があります。
一般的な脆弱性をテストします。
製品を 100% ハッキングから守る方法はありますか?ブリキ缶を紐で繋いだ時代に戻らない限り、答えは「ノー」です。ただし、実証済みのセキュリティ ツールで防ぐことができる既知の脆弱性から顧客を保護するために実行できる手順はあります。幸いなことに、これらのツールの多くは無料、または低コストで利用できます。製品をリリースする前に、ゴールデンタイムに向けて準備が整っていることを確認してください。テストして、既知のリスクに対する防御機能が組み込まれていることを確認します。
もちろん、新しい脅威は定期的に出現するため、ビジネスではセキュリティを動的なプロセスにする必要があります。昨年の製品用に導入したセキュリティ プロトコルは、バージョン 2.0 には十分ではない可能性があります。最新の脅威に対する防御について常に耳を傾けるにはどうすればよいでしょうか?研究者、技術専門家、業界関係者、政府機関など、セキュリティの堅持に尽力する人々の間では、公開での活発な意見交換が行われています。信頼できる Web サイトでのディスカッションに従い、新しいリスクに関する警告に注意を払い、それに応じて設計上の決定を修正してください。
例: 10K レースの申し込みでは、登録者は名前、住所、生年月日、クレジット カード番号、および 10K の最速タイムを入力する必要があります。データは、全国のレース イベントのデータを統合した SQL データベースに保存されます。イベント主催者は、セキュリティ リスクの最新情報を入手するために無料のリソースを参照せず、アプリケーションが SQL インジェクション攻撃に対して脆弱かどうかを評価するためのコード分析や侵入テストも実行しませんでした。 OWASP のトップ 10 プロジェクトなど、無料のリソースを最新の状態に保つことで、イベント主催者はレーサーの個人情報が不正アクセスにさらされるリスクを軽減できた可能性があります。
例: あるアプリ会社は、US-CERT などの公共リソースを定期的に調べて、サイバー脅威に関する最新情報を入手しています。同社は、開発中の製品に一部のハッカーが悪用し始めたセキュリティ上の欠陥が含まれていることを認識しました。問題を早期に発見し、適切な修正を実施することで、同社は顧客とその評判を保護してきました。
企業はこれらの例から何を学べるでしょうか?セキュリティをゼロから構築することは、イノベーションへの費用対効果の高いアプローチです。
