出典: Darknet Diaries – https://darknetdiaries.com/episode/165/
原題: 165: Tanya
アプリケーションセキュリティの専門家ターニャ・ジャンカが語る現場の実話
世界的に著名なアプリケーションセキュリティ(AppSec)専門家、ターニャ・ジャンカ氏が、自身の豊富な経験をもとにサイバーセキュリティの現場での実話を語ります。本記事では、彼女のペネトレーションテスターやインシデントレスポンダーとしての多彩なストーリーを紹介し、アプリケーションセキュリティの重要性と最新の取り組みについて解説します。
主要なポイント
- 多様な役割での経験:ターニャ氏はペネトレーションテスター(侵入テスト担当者)として脆弱性を発見し、インシデントレスポンダーとして実際のサイバー攻撃に対応した経験を持つ。
- 教育と啓発活動:彼女は「We Hack Purple」の創設者として、アプリケーションセキュリティの教育に力を入れており、ニュースレターや書籍を通じて知識を広めている。
- ゼロトラストセキュリティの推進:スポンサーであるThreatLocker®の技術を活用し、カーネルレベルでのゼロトラスト制御を実現することで、ランサムウェアなどの脅威から組織を守る最新の防御策を紹介。
- 業界の連携と支援:HimsやDrataなどの企業と連携し、オンラインケアやガバナンス自動化など多角的なサポート体制を構築している。
- 実践的なセキュリティポリシーの重要性:監査時に必ず問われる「セキュリティポリシーの有無」について、現場での実態と対応策を語っている。
技術的な詳細や背景情報
アプリケーションセキュリティ(AppSec)は、ソフトウェア開発の全工程でセキュリティを組み込むことを指します。ターニャ氏はペネトレーションテストを通じて、システムの脆弱性を実際に攻撃者の視点で検証し、その後のインシデントレスポンスで被害の拡大を防ぐ役割を果たしてきました。
スポンサーのThreatLocker®は、ゼロトラストセキュリティモデルをエンドポイントに適用するプラットフォームです。ゼロトラストとは「誰も信用しない」ことを前提に、必要なアクセスのみを許可する考え方で、Allowlisting(許可リスト管理)やRingfencing™(プロセスの隔離)により、既知・未知の脆弱性を悪用した攻撃を防ぎます。カーネルレベルでの制御により、システムの深層から防御を強化しています。
また、DrataはAIを活用したガバナンス、リスク、コンプライアンス(GRC)管理の自動化プラットフォームで、企業の監査準備やセキュリティ体制の強化を支援しています。これにより、組織は安全かつ効率的にスケール可能です。
影響や重要性
ターニャ・ジャンカ氏の経験談は、アプリケーションセキュリティの現場で直面するリアルな課題と解決策を示しており、セキュリティ専門家だけでなく開発者や経営層にも大きな示唆を与えます。特に、ゼロトラストモデルの導入や自動化ツールの活用は、今後のサイバーセキュリティ対策の標準となるでしょう。
また、教育活動を通じて次世代のセキュリティ人材を育成し、業界全体のセキュリティレベル向上に寄与しています。監査対応やポリシー策定の重要性を理解し、実践的なセキュリティ文化を組織に根付かせることが求められています。
まとめ
ターニャ・ジャンカ氏の語る現場の実話は、アプリケーションセキュリティの多面的な側面を理解するうえで貴重な情報源です。ペネトレーションテストからインシデントレスポンス、教育活動、そして最新のゼロトラスト技術の活用まで、多彩な経験が示すのは「セキュリティは継続的な取り組みであり、組織全体で推進すべき文化である」ということです。
彼女のニュースレターや著書を通じて、より深い知識を得ることができるため、アプリケーションセキュリティに関心のある方はぜひチェックしてみてください。
