Contextual, Hands-On Learning。セキュリティのために脳を鍛える超一流の方法
申し訳ありませんが、悪い知らせをお伝えしなければなりません。
伝統的なトレーニングは死んだ。
まあ、そうではないのですが...でも、おそらくそうすべきでしょう。何度も何度も、何か新しいことを学んだり、コンプライアンス上の課題をクリアしたり、再教育を受けたりするために、大勢の人を教室に押し込むことは、人が教育を受ける上で最も効果的でない方法のひとつであることが研究によって示されてきました。そして、企業研修に関しては、この統計は改善されません。ハーバード・ビジネス・レビュー』誌は、大企業の新入社員に対するクラスルームトレーニングの効果に関する研究を発表し、この学習方法が新入社員をスピードアップさせ、生産性を高めるまでに平均8〜12カ月かかることを明らかにした。これは、人のスキルを十分に活用するのに非常に長い時間です(新入社員であれば、快適に過ごすのにも長い時間がかかります)。最近では、ほとんどの企業にそのような時間はありません。必然的に、手抜きをしたり、必要なトレーニングを受けられなかったり、企業はもっと早くに得られたはずの多くの価値を失ってしまいます。
多くの企業では、会社のベストプラクティスや新しい取り組みを優秀な人材に理解してもらうために、いまだに教室や乾いたテキスト、退屈なビデオトレーニングに頼っていることには、本当に頭が下がります。特に、もっと良い方法、もっと魅力的な方法、そしてもっと価値のある方法があるというのに。私たち人間は、新しいアイデアやプロセスを実際に体験することで、情報をよりよく記憶することができるのです。
さて、開発者といえば...私たちは特別な存在です。私自身の開発者としての経験からすると、従来のトレーニングは私の世界を刺激するものではありません。開発者は、創造的で機知に富んだ問題解決者であり、新しい情報を学ぼうとするときに、教室で講義を受けたり、しゃべっている人のビデオを延々と見たりするよりも、ツールを使うことを好む傾向があります。開発者はコードに含まれる一般的な脆弱性に対処できず、AppSecの専門家は簡単に修正できる同じ問題に何度も直面して泣いているのです。これらのチーム間の関係は緊迫しており、開発者には、安全な開発のベストプラクティスに従事するための適切なツールやトレーニングが与えられていません。彼らの主な目的は機能構築ですが、すべての企業でサイバーリスクが急速に増加している今、私たちにはこれ以上、セキュリティの知識を無視したり、優先順位を下げたりする余裕はありません。
そして何よりも素晴らしいのは開発者がセキュリティを意識すれば、一般的な脆弱性は消えていきます。後発のバグを修正するためのコストとともに、リスクも減少します。
では、コンテクスト・トレーニングで開発者を惹きつけるとは、具体的にどのようなことなのでしょうか。
実例はとんでもない威力を発揮します。
もし私たちがYouTubeのビデオを見て運転を学ばなければならないとしたらどうでしょう。車がどのように動くのか、どのような流れで道を進むのかなど、大まかなことはわかりますが、実際に車に乗って試してみないと、うまく運転できるようになるのは事実上不可能です。
文脈に沿ったトレーニングは、教えられることに対して生徒が運転席に座ることができるという点で、非常に価値があります。何かを学ぶときに現実世界の状況があれば、学習ははるかに魅力的で意味のあるものになります。
安全なコーディングを考えると、誰でもビデオを見てSQLインジェクションの基本を理解することができますが、締め切りが迫っていたり、機能の提供を優先したりすると、実際に問題を解決するための細かい作業は忘れられがちです。しかし、トレーニングの一環として、実際のコード例を確認し、インジェクションを特定して修正することができれば、一方的な情報を記憶するよりも、開発者の日常業務にはるかに近いものとなります。また、開発者にとっても、自分が普段書いているコードと似たようなものを見れば、立ち上がって注意を払うようになります。
プラットフォーム上で Secure Code Warriorこのプラットフォームでは、セキュアなコードトレーニングをゲーム化し、複数の言語とフレームワークでさまざまな課題を提供しています。このシステムは繰り返しプレイすることを可能にし、最も重要なことは、真の文脈的学習のための適切な環境を提供するために即座にカスタマイズできることです。
最も有用な時に知識を提供する
文脈学習理論によると、効果的な学習は、学生が新しい情報や知識を、それぞれの参照枠の中で理解できるように処理したときにのみ起こるとされています。
開発者が、バグバウンティプログラム、SASTツール、あるいはバグトラッキングソフトウェアから、セキュリティ脆弱性のリストを受け取ったとします。これまでにこれらの脆弱性に出会ったことがなければ、開発者は当惑し、圧倒されるかもしれません。さらに悪いことに、ほとんどのレポートはアプリケーションセキュリティの専門家向けに作成されており、開発者向けではありません。レポートに記載されている情報は解析が難しく、開発者には直接適用できない一般的なアドバイスが含まれていることが多いのです。
最近では、バグバウンティプログラム、SASTツール、バグトラッキングソフトウェア、ペネトレーションテストのレポートなどから、脆弱性に関するハンズオントレーニングに直接ディープリンクする機能を追加しました。開発者は、すぐに基本を理解し、特定のフレームワークのための優れたコーディングレシピを学ぶことができます。
このようにして学習することで、開発者は最も適切なタイミングでコンセプトに関する知識やトレーニングを受けることができ、その情報を長期的に維持することができるようになります。
より早い結果、より少ない混乱、より幸せなキャンパー。
どんなトレーニングでも、一般的なものを仕事に応用しようとするよりも、日々の活動に即したもののほうがはるかに効果的です。勉強モード」で過ごす時間が減りますし、最悪の場合、何か答えが必要なときに、すでに「学んだ」ことに立ち返らなければならないこともありません。
コンテクスチュアル・トレーニングの原則の一つは、知識を積み重ねることで、トレーニングの各要素が前の要素に追加され、参加者に習得への道筋を与える段階的なプロセスを可能にすることです。これもまた、私たちのプラットフォームでサポートしていることのひとつです。誰もが最初は白帯からスタートし、必要な時間のトレーニングとtournament の参加を経て、憧れの黒帯、つまり「セキュリティ・チャンピオン」のレベルに到達します。これは、実際の価値と実用性を備えた楽しいアプローチです。
優秀な人材を確保し、セキュリティ意識を持ち続けたいと思いませんか?そのためには、成功するためのツールを提供しましょう。
残念なことに、現在、セキュリティに精通した開発者やアプリケーションセキュリティの専門家は、希少価値の高い(しかし重要な)リソースとなっています。また、彼らを確保するのが難しいことでも知られています。
Cybrary社は、2018年に3100人のIT・セキュリティ専門家を対象とした調査を実施し、価値ある社員を維持するための重要な要素は、彼らのトレーニングに投資することであることを明らかにしました。その調査結果によると、社内のセキュリティスキルを育成するためのツールやトレーニングを提供している企業は、そうでない企業に比べてセキュリティのプロを60%以上維持することができ、なんと65%の回答者がそのトレーニングがハンズオンであることを好んでいたのです。すばらしいことですね。
しかし、今回の調査結果では、かなり憂慮すべき事実も明らかになりました。回答者の80%が、サイバー脅威から組織を守るための十分な準備ができていないと感じているのです。このような脅威がなくなることはありません。そして、コストのかかるデータ漏洩や攻撃のリスクが高まっていることに対処するために、適切なトレーニングがこれまで以上に必要とされています。私は偏見を持っているかもしれませんが、Secure Code Warrior のプラットフォームは、積極的なセキュリティ文化に火をつけ、開発者が好む文脈に沿ったトレーニングで開発者をスキルアップさせ、サポートし、組織を悪者から守るために必要なツールとなるでしょう。デモをリクエストしていただければ、より詳しくご説明いたします。
多くの企業が、優秀な人材を新しい取り組みに参加させるために、いまだに教室や乾いたテキスト、退屈なビデオトレーニングに頼っていることには、本当に驚かされます。特に、もっと優れていて、もっと魅力的で、もっと価値のある学習方法、つまりコンテクスト・トレーニングがあるのに。
Jaap Karan Singhは、Secure Coding Evangelistであり、Chief Singhであり、Secure Code Warrior の共同設立者です。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Jaap Karan Singhは、Secure Coding Evangelistであり、Chief Singhであり、Secure Code Warrior の共同設立者です。
申し訳ありませんが、悪い知らせをお伝えしなければなりません。
伝統的なトレーニングは死んだ。
まあ、そうではないのですが...でも、おそらくそうすべきでしょう。何度も何度も、何か新しいことを学んだり、コンプライアンス上の課題をクリアしたり、再教育を受けたりするために、大勢の人を教室に押し込むことは、人が教育を受ける上で最も効果的でない方法のひとつであることが研究によって示されてきました。そして、企業研修に関しては、この統計は改善されません。ハーバード・ビジネス・レビュー』誌は、大企業の新入社員に対するクラスルームトレーニングの効果に関する研究を発表し、この学習方法が新入社員をスピードアップさせ、生産性を高めるまでに平均8〜12カ月かかることを明らかにした。これは、人のスキルを十分に活用するのに非常に長い時間です(新入社員であれば、快適に過ごすのにも長い時間がかかります)。最近では、ほとんどの企業にそのような時間はありません。必然的に、手抜きをしたり、必要なトレーニングを受けられなかったり、企業はもっと早くに得られたはずの多くの価値を失ってしまいます。
多くの企業では、会社のベストプラクティスや新しい取り組みを優秀な人材に理解してもらうために、いまだに教室や乾いたテキスト、退屈なビデオトレーニングに頼っていることには、本当に頭が下がります。特に、もっと良い方法、もっと魅力的な方法、そしてもっと価値のある方法があるというのに。私たち人間は、新しいアイデアやプロセスを実際に体験することで、情報をよりよく記憶することができるのです。
さて、開発者といえば...私たちは特別な存在です。私自身の開発者としての経験からすると、従来のトレーニングは私の世界を刺激するものではありません。開発者は、創造的で機知に富んだ問題解決者であり、新しい情報を学ぼうとするときに、教室で講義を受けたり、しゃべっている人のビデオを延々と見たりするよりも、ツールを使うことを好む傾向があります。開発者はコードに含まれる一般的な脆弱性に対処できず、AppSecの専門家は簡単に修正できる同じ問題に何度も直面して泣いているのです。これらのチーム間の関係は緊迫しており、開発者には、安全な開発のベストプラクティスに従事するための適切なツールやトレーニングが与えられていません。彼らの主な目的は機能構築ですが、すべての企業でサイバーリスクが急速に増加している今、私たちにはこれ以上、セキュリティの知識を無視したり、優先順位を下げたりする余裕はありません。
そして何よりも素晴らしいのは開発者がセキュリティを意識すれば、一般的な脆弱性は消えていきます。後発のバグを修正するためのコストとともに、リスクも減少します。
では、コンテクスト・トレーニングで開発者を惹きつけるとは、具体的にどのようなことなのでしょうか。
実例はとんでもない威力を発揮します。
もし私たちがYouTubeのビデオを見て運転を学ばなければならないとしたらどうでしょう。車がどのように動くのか、どのような流れで道を進むのかなど、大まかなことはわかりますが、実際に車に乗って試してみないと、うまく運転できるようになるのは事実上不可能です。
文脈に沿ったトレーニングは、教えられることに対して生徒が運転席に座ることができるという点で、非常に価値があります。何かを学ぶときに現実世界の状況があれば、学習ははるかに魅力的で意味のあるものになります。
安全なコーディングを考えると、誰でもビデオを見てSQLインジェクションの基本を理解することができますが、締め切りが迫っていたり、機能の提供を優先したりすると、実際に問題を解決するための細かい作業は忘れられがちです。しかし、トレーニングの一環として、実際のコード例を確認し、インジェクションを特定して修正することができれば、一方的な情報を記憶するよりも、開発者の日常業務にはるかに近いものとなります。また、開発者にとっても、自分が普段書いているコードと似たようなものを見れば、立ち上がって注意を払うようになります。
プラットフォーム上で Secure Code Warriorこのプラットフォームでは、セキュアなコードトレーニングをゲーム化し、複数の言語とフレームワークでさまざまな課題を提供しています。このシステムは繰り返しプレイすることを可能にし、最も重要なことは、真の文脈的学習のための適切な環境を提供するために即座にカスタマイズできることです。
最も有用な時に知識を提供する
文脈学習理論によると、効果的な学習は、学生が新しい情報や知識を、それぞれの参照枠の中で理解できるように処理したときにのみ起こるとされています。
開発者が、バグバウンティプログラム、SASTツール、あるいはバグトラッキングソフトウェアから、セキュリティ脆弱性のリストを受け取ったとします。これまでにこれらの脆弱性に出会ったことがなければ、開発者は当惑し、圧倒されるかもしれません。さらに悪いことに、ほとんどのレポートはアプリケーションセキュリティの専門家向けに作成されており、開発者向けではありません。レポートに記載されている情報は解析が難しく、開発者には直接適用できない一般的なアドバイスが含まれていることが多いのです。
最近では、バグバウンティプログラム、SASTツール、バグトラッキングソフトウェア、ペネトレーションテストのレポートなどから、脆弱性に関するハンズオントレーニングに直接ディープリンクする機能を追加しました。開発者は、すぐに基本を理解し、特定のフレームワークのための優れたコーディングレシピを学ぶことができます。
このようにして学習することで、開発者は最も適切なタイミングでコンセプトに関する知識やトレーニングを受けることができ、その情報を長期的に維持することができるようになります。
より早い結果、より少ない混乱、より幸せなキャンパー。
どんなトレーニングでも、一般的なものを仕事に応用しようとするよりも、日々の活動に即したもののほうがはるかに効果的です。勉強モード」で過ごす時間が減りますし、最悪の場合、何か答えが必要なときに、すでに「学んだ」ことに立ち返らなければならないこともありません。
コンテクスチュアル・トレーニングの原則の一つは、知識を積み重ねることで、トレーニングの各要素が前の要素に追加され、参加者に習得への道筋を与える段階的なプロセスを可能にすることです。これもまた、私たちのプラットフォームでサポートしていることのひとつです。誰もが最初は白帯からスタートし、必要な時間のトレーニングとtournament の参加を経て、憧れの黒帯、つまり「セキュリティ・チャンピオン」のレベルに到達します。これは、実際の価値と実用性を備えた楽しいアプローチです。
優秀な人材を確保し、セキュリティ意識を持ち続けたいと思いませんか?そのためには、成功するためのツールを提供しましょう。
残念なことに、現在、セキュリティに精通した開発者やアプリケーションセキュリティの専門家は、希少価値の高い(しかし重要な)リソースとなっています。また、彼らを確保するのが難しいことでも知られています。
Cybrary社は、2018年に3100人のIT・セキュリティ専門家を対象とした調査を実施し、価値ある社員を維持するための重要な要素は、彼らのトレーニングに投資することであることを明らかにしました。その調査結果によると、社内のセキュリティスキルを育成するためのツールやトレーニングを提供している企業は、そうでない企業に比べてセキュリティのプロを60%以上維持することができ、なんと65%の回答者がそのトレーニングがハンズオンであることを好んでいたのです。すばらしいことですね。
しかし、今回の調査結果では、かなり憂慮すべき事実も明らかになりました。回答者の80%が、サイバー脅威から組織を守るための十分な準備ができていないと感じているのです。このような脅威がなくなることはありません。そして、コストのかかるデータ漏洩や攻撃のリスクが高まっていることに対処するために、適切なトレーニングがこれまで以上に必要とされています。私は偏見を持っているかもしれませんが、Secure Code Warrior のプラットフォームは、積極的なセキュリティ文化に火をつけ、開発者が好む文脈に沿ったトレーニングで開発者をスキルアップさせ、サポートし、組織を悪者から守るために必要なツールとなるでしょう。デモをリクエストしていただければ、より詳しくご説明いたします。
申し訳ありませんが、悪い知らせをお伝えしなければなりません。
伝統的なトレーニングは死んだ。
まあ、そうではないのですが...でも、おそらくそうすべきでしょう。何度も何度も、何か新しいことを学んだり、コンプライアンス上の課題をクリアしたり、再教育を受けたりするために、大勢の人を教室に押し込むことは、人が教育を受ける上で最も効果的でない方法のひとつであることが研究によって示されてきました。そして、企業研修に関しては、この統計は改善されません。ハーバード・ビジネス・レビュー』誌は、大企業の新入社員に対するクラスルームトレーニングの効果に関する研究を発表し、この学習方法が新入社員をスピードアップさせ、生産性を高めるまでに平均8〜12カ月かかることを明らかにした。これは、人のスキルを十分に活用するのに非常に長い時間です(新入社員であれば、快適に過ごすのにも長い時間がかかります)。最近では、ほとんどの企業にそのような時間はありません。必然的に、手抜きをしたり、必要なトレーニングを受けられなかったり、企業はもっと早くに得られたはずの多くの価値を失ってしまいます。
多くの企業では、会社のベストプラクティスや新しい取り組みを優秀な人材に理解してもらうために、いまだに教室や乾いたテキスト、退屈なビデオトレーニングに頼っていることには、本当に頭が下がります。特に、もっと良い方法、もっと魅力的な方法、そしてもっと価値のある方法があるというのに。私たち人間は、新しいアイデアやプロセスを実際に体験することで、情報をよりよく記憶することができるのです。
さて、開発者といえば...私たちは特別な存在です。私自身の開発者としての経験からすると、従来のトレーニングは私の世界を刺激するものではありません。開発者は、創造的で機知に富んだ問題解決者であり、新しい情報を学ぼうとするときに、教室で講義を受けたり、しゃべっている人のビデオを延々と見たりするよりも、ツールを使うことを好む傾向があります。開発者はコードに含まれる一般的な脆弱性に対処できず、AppSecの専門家は簡単に修正できる同じ問題に何度も直面して泣いているのです。これらのチーム間の関係は緊迫しており、開発者には、安全な開発のベストプラクティスに従事するための適切なツールやトレーニングが与えられていません。彼らの主な目的は機能構築ですが、すべての企業でサイバーリスクが急速に増加している今、私たちにはこれ以上、セキュリティの知識を無視したり、優先順位を下げたりする余裕はありません。
そして何よりも素晴らしいのは開発者がセキュリティを意識すれば、一般的な脆弱性は消えていきます。後発のバグを修正するためのコストとともに、リスクも減少します。
では、コンテクスト・トレーニングで開発者を惹きつけるとは、具体的にどのようなことなのでしょうか。
実例はとんでもない威力を発揮します。
もし私たちがYouTubeのビデオを見て運転を学ばなければならないとしたらどうでしょう。車がどのように動くのか、どのような流れで道を進むのかなど、大まかなことはわかりますが、実際に車に乗って試してみないと、うまく運転できるようになるのは事実上不可能です。
文脈に沿ったトレーニングは、教えられることに対して生徒が運転席に座ることができるという点で、非常に価値があります。何かを学ぶときに現実世界の状況があれば、学習ははるかに魅力的で意味のあるものになります。
安全なコーディングを考えると、誰でもビデオを見てSQLインジェクションの基本を理解することができますが、締め切りが迫っていたり、機能の提供を優先したりすると、実際に問題を解決するための細かい作業は忘れられがちです。しかし、トレーニングの一環として、実際のコード例を確認し、インジェクションを特定して修正することができれば、一方的な情報を記憶するよりも、開発者の日常業務にはるかに近いものとなります。また、開発者にとっても、自分が普段書いているコードと似たようなものを見れば、立ち上がって注意を払うようになります。
プラットフォーム上で Secure Code Warriorこのプラットフォームでは、セキュアなコードトレーニングをゲーム化し、複数の言語とフレームワークでさまざまな課題を提供しています。このシステムは繰り返しプレイすることを可能にし、最も重要なことは、真の文脈的学習のための適切な環境を提供するために即座にカスタマイズできることです。
最も有用な時に知識を提供する
文脈学習理論によると、効果的な学習は、学生が新しい情報や知識を、それぞれの参照枠の中で理解できるように処理したときにのみ起こるとされています。
開発者が、バグバウンティプログラム、SASTツール、あるいはバグトラッキングソフトウェアから、セキュリティ脆弱性のリストを受け取ったとします。これまでにこれらの脆弱性に出会ったことがなければ、開発者は当惑し、圧倒されるかもしれません。さらに悪いことに、ほとんどのレポートはアプリケーションセキュリティの専門家向けに作成されており、開発者向けではありません。レポートに記載されている情報は解析が難しく、開発者には直接適用できない一般的なアドバイスが含まれていることが多いのです。
最近では、バグバウンティプログラム、SASTツール、バグトラッキングソフトウェア、ペネトレーションテストのレポートなどから、脆弱性に関するハンズオントレーニングに直接ディープリンクする機能を追加しました。開発者は、すぐに基本を理解し、特定のフレームワークのための優れたコーディングレシピを学ぶことができます。
このようにして学習することで、開発者は最も適切なタイミングでコンセプトに関する知識やトレーニングを受けることができ、その情報を長期的に維持することができるようになります。
より早い結果、より少ない混乱、より幸せなキャンパー。
どんなトレーニングでも、一般的なものを仕事に応用しようとするよりも、日々の活動に即したもののほうがはるかに効果的です。勉強モード」で過ごす時間が減りますし、最悪の場合、何か答えが必要なときに、すでに「学んだ」ことに立ち返らなければならないこともありません。
コンテクスチュアル・トレーニングの原則の一つは、知識を積み重ねることで、トレーニングの各要素が前の要素に追加され、参加者に習得への道筋を与える段階的なプロセスを可能にすることです。これもまた、私たちのプラットフォームでサポートしていることのひとつです。誰もが最初は白帯からスタートし、必要な時間のトレーニングとtournament の参加を経て、憧れの黒帯、つまり「セキュリティ・チャンピオン」のレベルに到達します。これは、実際の価値と実用性を備えた楽しいアプローチです。
優秀な人材を確保し、セキュリティ意識を持ち続けたいと思いませんか?そのためには、成功するためのツールを提供しましょう。
残念なことに、現在、セキュリティに精通した開発者やアプリケーションセキュリティの専門家は、希少価値の高い(しかし重要な)リソースとなっています。また、彼らを確保するのが難しいことでも知られています。
Cybrary社は、2018年に3100人のIT・セキュリティ専門家を対象とした調査を実施し、価値ある社員を維持するための重要な要素は、彼らのトレーニングに投資することであることを明らかにしました。その調査結果によると、社内のセキュリティスキルを育成するためのツールやトレーニングを提供している企業は、そうでない企業に比べてセキュリティのプロを60%以上維持することができ、なんと65%の回答者がそのトレーニングがハンズオンであることを好んでいたのです。すばらしいことですね。
しかし、今回の調査結果では、かなり憂慮すべき事実も明らかになりました。回答者の80%が、サイバー脅威から組織を守るための十分な準備ができていないと感じているのです。このような脅威がなくなることはありません。そして、コストのかかるデータ漏洩や攻撃のリスクが高まっていることに対処するために、適切なトレーニングがこれまで以上に必要とされています。私は偏見を持っているかもしれませんが、Secure Code Warrior のプラットフォームは、積極的なセキュリティ文化に火をつけ、開発者が好む文脈に沿ったトレーニングで開発者をスキルアップさせ、サポートし、組織を悪者から守るために必要なツールとなるでしょう。デモをリクエストしていただければ、より詳しくご説明いたします。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Jaap Karan Singhは、Secure Coding Evangelistであり、Chief Singhであり、Secure Code Warrior の共同設立者です。
申し訳ありませんが、悪い知らせをお伝えしなければなりません。
伝統的なトレーニングは死んだ。
まあ、そうではないのですが...でも、おそらくそうすべきでしょう。何度も何度も、何か新しいことを学んだり、コンプライアンス上の課題をクリアしたり、再教育を受けたりするために、大勢の人を教室に押し込むことは、人が教育を受ける上で最も効果的でない方法のひとつであることが研究によって示されてきました。そして、企業研修に関しては、この統計は改善されません。ハーバード・ビジネス・レビュー』誌は、大企業の新入社員に対するクラスルームトレーニングの効果に関する研究を発表し、この学習方法が新入社員をスピードアップさせ、生産性を高めるまでに平均8〜12カ月かかることを明らかにした。これは、人のスキルを十分に活用するのに非常に長い時間です(新入社員であれば、快適に過ごすのにも長い時間がかかります)。最近では、ほとんどの企業にそのような時間はありません。必然的に、手抜きをしたり、必要なトレーニングを受けられなかったり、企業はもっと早くに得られたはずの多くの価値を失ってしまいます。
多くの企業では、会社のベストプラクティスや新しい取り組みを優秀な人材に理解してもらうために、いまだに教室や乾いたテキスト、退屈なビデオトレーニングに頼っていることには、本当に頭が下がります。特に、もっと良い方法、もっと魅力的な方法、そしてもっと価値のある方法があるというのに。私たち人間は、新しいアイデアやプロセスを実際に体験することで、情報をよりよく記憶することができるのです。
さて、開発者といえば...私たちは特別な存在です。私自身の開発者としての経験からすると、従来のトレーニングは私の世界を刺激するものではありません。開発者は、創造的で機知に富んだ問題解決者であり、新しい情報を学ぼうとするときに、教室で講義を受けたり、しゃべっている人のビデオを延々と見たりするよりも、ツールを使うことを好む傾向があります。開発者はコードに含まれる一般的な脆弱性に対処できず、AppSecの専門家は簡単に修正できる同じ問題に何度も直面して泣いているのです。これらのチーム間の関係は緊迫しており、開発者には、安全な開発のベストプラクティスに従事するための適切なツールやトレーニングが与えられていません。彼らの主な目的は機能構築ですが、すべての企業でサイバーリスクが急速に増加している今、私たちにはこれ以上、セキュリティの知識を無視したり、優先順位を下げたりする余裕はありません。
そして何よりも素晴らしいのは開発者がセキュリティを意識すれば、一般的な脆弱性は消えていきます。後発のバグを修正するためのコストとともに、リスクも減少します。
では、コンテクスト・トレーニングで開発者を惹きつけるとは、具体的にどのようなことなのでしょうか。
実例はとんでもない威力を発揮します。
もし私たちがYouTubeのビデオを見て運転を学ばなければならないとしたらどうでしょう。車がどのように動くのか、どのような流れで道を進むのかなど、大まかなことはわかりますが、実際に車に乗って試してみないと、うまく運転できるようになるのは事実上不可能です。
文脈に沿ったトレーニングは、教えられることに対して生徒が運転席に座ることができるという点で、非常に価値があります。何かを学ぶときに現実世界の状況があれば、学習ははるかに魅力的で意味のあるものになります。
安全なコーディングを考えると、誰でもビデオを見てSQLインジェクションの基本を理解することができますが、締め切りが迫っていたり、機能の提供を優先したりすると、実際に問題を解決するための細かい作業は忘れられがちです。しかし、トレーニングの一環として、実際のコード例を確認し、インジェクションを特定して修正することができれば、一方的な情報を記憶するよりも、開発者の日常業務にはるかに近いものとなります。また、開発者にとっても、自分が普段書いているコードと似たようなものを見れば、立ち上がって注意を払うようになります。
プラットフォーム上で Secure Code Warriorこのプラットフォームでは、セキュアなコードトレーニングをゲーム化し、複数の言語とフレームワークでさまざまな課題を提供しています。このシステムは繰り返しプレイすることを可能にし、最も重要なことは、真の文脈的学習のための適切な環境を提供するために即座にカスタマイズできることです。
最も有用な時に知識を提供する
文脈学習理論によると、効果的な学習は、学生が新しい情報や知識を、それぞれの参照枠の中で理解できるように処理したときにのみ起こるとされています。
開発者が、バグバウンティプログラム、SASTツール、あるいはバグトラッキングソフトウェアから、セキュリティ脆弱性のリストを受け取ったとします。これまでにこれらの脆弱性に出会ったことがなければ、開発者は当惑し、圧倒されるかもしれません。さらに悪いことに、ほとんどのレポートはアプリケーションセキュリティの専門家向けに作成されており、開発者向けではありません。レポートに記載されている情報は解析が難しく、開発者には直接適用できない一般的なアドバイスが含まれていることが多いのです。
最近では、バグバウンティプログラム、SASTツール、バグトラッキングソフトウェア、ペネトレーションテストのレポートなどから、脆弱性に関するハンズオントレーニングに直接ディープリンクする機能を追加しました。開発者は、すぐに基本を理解し、特定のフレームワークのための優れたコーディングレシピを学ぶことができます。
このようにして学習することで、開発者は最も適切なタイミングでコンセプトに関する知識やトレーニングを受けることができ、その情報を長期的に維持することができるようになります。
より早い結果、より少ない混乱、より幸せなキャンパー。
どんなトレーニングでも、一般的なものを仕事に応用しようとするよりも、日々の活動に即したもののほうがはるかに効果的です。勉強モード」で過ごす時間が減りますし、最悪の場合、何か答えが必要なときに、すでに「学んだ」ことに立ち返らなければならないこともありません。
コンテクスチュアル・トレーニングの原則の一つは、知識を積み重ねることで、トレーニングの各要素が前の要素に追加され、参加者に習得への道筋を与える段階的なプロセスを可能にすることです。これもまた、私たちのプラットフォームでサポートしていることのひとつです。誰もが最初は白帯からスタートし、必要な時間のトレーニングとtournament の参加を経て、憧れの黒帯、つまり「セキュリティ・チャンピオン」のレベルに到達します。これは、実際の価値と実用性を備えた楽しいアプローチです。
優秀な人材を確保し、セキュリティ意識を持ち続けたいと思いませんか?そのためには、成功するためのツールを提供しましょう。
残念なことに、現在、セキュリティに精通した開発者やアプリケーションセキュリティの専門家は、希少価値の高い(しかし重要な)リソースとなっています。また、彼らを確保するのが難しいことでも知られています。
Cybrary社は、2018年に3100人のIT・セキュリティ専門家を対象とした調査を実施し、価値ある社員を維持するための重要な要素は、彼らのトレーニングに投資することであることを明らかにしました。その調査結果によると、社内のセキュリティスキルを育成するためのツールやトレーニングを提供している企業は、そうでない企業に比べてセキュリティのプロを60%以上維持することができ、なんと65%の回答者がそのトレーニングがハンズオンであることを好んでいたのです。すばらしいことですね。
しかし、今回の調査結果では、かなり憂慮すべき事実も明らかになりました。回答者の80%が、サイバー脅威から組織を守るための十分な準備ができていないと感じているのです。このような脅威がなくなることはありません。そして、コストのかかるデータ漏洩や攻撃のリスクが高まっていることに対処するために、適切なトレーニングがこれまで以上に必要とされています。私は偏見を持っているかもしれませんが、Secure Code Warrior のプラットフォームは、積極的なセキュリティ文化に火をつけ、開発者が好む文脈に沿ったトレーニングで開発者をスキルアップさせ、サポートし、組織を悪者から守るために必要なツールとなるでしょう。デモをリクエストしていただければ、より詳しくご説明いたします。
始めるためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
.png)
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
