成功基準を決定する際には、プログラムの主要な利害関係者を考慮してください。経営陣のスポンサーとそのビジネス目標を把握することで、部門横断的な導入促進につながります。
ブログ
実現要因1:定義済みかつ測定可能な成功基準
成功を導く10の要素について深く掘り下げるにあたり、最初の基盤となるステップ「要素1:明確かつ測定可能な成功基準」から始めます。セキュアコーディングプログラムを旅に例えるなら、最初で最も重要なステップは、自分がどこへ向かっているのかを正確に把握することです。これが最初の要素の本質です。
成功基準とビジネス成果の連動
成功するセキュアコーディングプログラムを構築するには、ビジネス成果と密接に結びついた明確な目標の存在が不可欠です。実現要因1は中核的な問いに答えます:「セキュアコーディングプログラムで解決しようとしている問題や課題は、具体的に測定可能な形で何なのか?」
おそらく御社は、コンプライアンス要件を満たすことや、セキュリティ侵害やサイバー攻撃を回避することを目指しているかもしれません。あるいは、組織として最初から左側(セキュリティ重視)に立つことを目指し、開発者に最初から安全なコーディングを訓練することで、コストと手戻りの時間を削減しようとしているのかもしれません。
動機や組織の現状、選択するセキュリティ研修プラットフォームに関わらず、プログラムの長期的な成功は、ビジネス目標に結びついた明確な目標を設定し、関係者の理解と支持を得て持続的な成功を保証することに大きく依存します。
成功を具体化し、測定可能にする
これらの目標は、その性質上、貴組織に固有のものでなければなりません。とはいえ、以下の典型的なビジネス目標を検討し、それらが貴組織にさらなるアイデアをもたらす可能性について考えてみてください:
リスク低減:開発者リスクを軽減し、コーディング上の欠陥によって生じる脆弱性を削減します。これにはリスクの特定とアプリケーションの攻撃対象領域の縮小が含まれます。
プログラムはしばしば、脆弱性密度や脆弱性注入率の低減・回避といった指標を目標とする。
運用速度:製品提供速度を最大化し、開発者のフラストレーションと離職率を低減し、手戻り作業に費やす時間を削減します。セキュアコーディング研修は、ソフトウェア開発ライフサイクルの後半で発見されるバグのあるコードの手戻り作業という時間的損失を回避する手助けとなるため、開発者にとって大きなインセンティブとなります。
プログラムはしばしば、開発者の脆弱性修正平均時間(MTTR)の短縮を目標とする。
規制コンプライアンス:外部コンプライアンスを達成する。例えば、PCI-DSS(支払いシステムに携わる全開発者への研修を義務付ける)などの基準への準拠。
人材と信頼:開発者組織内におけるセキュリティと脆弱性への関与と認識を高めつつ、顧客の信頼を維持・構築する。一部の企業では、セキュリティ対応開発者が市場での差別化確立に寄与する。
プログラムでは、開発者に対する最低限のスキル要件を設定したり、専門的なセキュリティチャンピオンプログラムを創設したりすることが多い。
共同成功計画における成功の記録
成功基準を定義したら、次のステップはそれらを共同成功計画書に文書化することです。この計画書は、トレーニングプラットフォームのCSMなどの外部サポートを含む、プログラムの主要なステークホルダー全員と共有する部門横断的な青写真となります。
成功計画には以下が含まれます:
- 価値ドライバー:これには、コードのセキュリティ向上に関連する高レベルのビジネス目標と、プログラムの「目的」を明確にするための要素が含まれます。
- 現状:これは「現状はどうか?」(例:現在のセキュアコーディングスキルや既存のトレーニングプログラム)を確立するものです。
- 将来(望ましい)状態:次に「どこに到達したいのか?」を文書化し、セキュアコーディングスキルのギャップをどのように埋めるかを確立します。
- KPI/測定指標:これらは成功を示す指標であり、プログラムの展開に伴い現状と将来像の間のギャップが縮まっていることを実証するものです。
まず1~2つの具体的な指標から始め、必要に応じて後で拡大することを推奨します。これらのKPI/測定基準はS.M.A.R.T.原則(具体的、測定可能、達成可能、関連性、期限付き)に準拠する必要があります。追跡が容易で、曖昧な解釈の余地がないものでなければなりません。 計画を実行に移すには、全関係者の責任が求められます。また、リーダーシップ層と定期的に合意した頻度で、価値とROIをレビューする必要があります。
これらの基準を明確に定義し測定することで、セキュアコーディングプログラムは単なるコストセンターから、重要なビジネス成果を確実に推進する原動力へと進化します。これはプログラムの成熟度を達成するための必須の第一歩です。
次に、イネーブラー2:上級管理職の支援 について掘り下げ、セキュアコーディングプログラムの成功した導入においてリーダーシップが果たす重要な役割について 議論します。
追加のご質問はございますか?お客様はアカウントチームまたはsupport@securecodewarrior.com までお問い合わせください。見込み顧客の方は、こちらからお問い合わせいただければ、営業チームメンバーが対応いたします。
ご興味がおありですか?
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するシェアする
著者
SCWのカリキュラム&オンボーディングマネージャーであるケイトリン・トリニダードは、6年以上の経験を持つカスタマーサクセス専門家であり、プログラムのベストプラクティスと技術的なノウハウを通じて顧客を支援しています。
シェアする
成功を導く10の要素について深く掘り下げるにあたり、最初の基盤となるステップ「要素1:明確かつ測定可能な成功基準」から始めます。セキュアコーディングプログラムを旅に例えるなら、最初で最も重要なステップは、自分がどこへ向かっているのかを正確に把握することです。これが最初の要素の本質です。
成功基準とビジネス成果の連動
成功するセキュアコーディングプログラムを構築するには、ビジネス成果と密接に結びついた明確な目標の存在が不可欠です。実現要因1は中核的な問いに答えます:「セキュアコーディングプログラムで解決しようとしている問題や課題は、具体的に測定可能な形で何なのか?」
おそらく御社は、コンプライアンス要件を満たすことや、セキュリティ侵害やサイバー攻撃を回避することを目指しているかもしれません。あるいは、組織として最初から左側(セキュリティ重視)に立つことを目指し、開発者に最初から安全なコーディングを訓練することで、コストと手戻りの時間を削減しようとしているのかもしれません。
動機や組織の現状、選択するセキュリティ研修プラットフォームに関わらず、プログラムの長期的な成功は、ビジネス目標に結びついた明確な目標を設定し、関係者の理解と支持を得て持続的な成功を保証することに大きく依存します。
成功基準を決定する際には、プログラムの主要な利害関係者を考慮してください。経営陣のスポンサーとそのビジネス目標を把握することで、部門横断的な導入促進につながります。
成功を具体化し、測定可能にする
これらの目標は、その性質上、貴組織に固有のものでなければなりません。とはいえ、以下の典型的なビジネス目標を検討し、それらが貴組織にさらなるアイデアをもたらす可能性について考えてみてください:
リスク低減:開発者リスクを軽減し、コーディング上の欠陥によって生じる脆弱性を削減します。これにはリスクの特定とアプリケーションの攻撃対象領域の縮小が含まれます。
プログラムはしばしば、脆弱性密度や脆弱性注入率の低減・回避といった指標を目標とする。
運用速度:製品提供速度を最大化し、開発者のフラストレーションと離職率を低減し、手戻り作業に費やす時間を削減します。セキュアコーディング研修は、ソフトウェア開発ライフサイクルの後半で発見されるバグのあるコードの手戻り作業という時間的損失を回避する手助けとなるため、開発者にとって大きなインセンティブとなります。
プログラムはしばしば、開発者の脆弱性修正平均時間(MTTR)の短縮を目標とする。
規制コンプライアンス:外部コンプライアンスを達成する。例えば、PCI-DSS(支払いシステムに携わる全開発者への研修を義務付ける)などの基準への準拠。
人材と信頼:開発者組織内におけるセキュリティと脆弱性への関与と認識を高めつつ、顧客の信頼を維持・構築する。一部の企業では、セキュリティ対応開発者が市場での差別化確立に寄与する。
プログラムでは、開発者に対する最低限のスキル要件を設定したり、専門的なセキュリティチャンピオンプログラムを創設したりすることが多い。
共同成功計画における成功の記録
成功基準を定義したら、次のステップはそれらを共同成功計画書に文書化することです。この計画書は、トレーニングプラットフォームのCSMなどの外部サポートを含む、プログラムの主要なステークホルダー全員と共有する部門横断的な青写真となります。
成功計画には以下が含まれます:
- 価値ドライバー:これには、コードのセキュリティ向上に関連する高レベルのビジネス目標と、プログラムの「目的」を明確にするための要素が含まれます。
- 現状:これは「現状はどうか?」(例:現在のセキュアコーディングスキルや既存のトレーニングプログラム)を確立するものです。
- 将来(望ましい)状態:次に「どこに到達したいのか?」を文書化し、セキュアコーディングスキルのギャップをどのように埋めるかを確立します。
- KPI/測定指標:これらは成功を示す指標であり、プログラムの展開に伴い現状と将来像の間のギャップが縮まっていることを実証するものです。
まず1~2つの具体的な指標から始め、必要に応じて後で拡大することを推奨します。これらのKPI/測定基準はS.M.A.R.T.原則(具体的、測定可能、達成可能、関連性、期限付き)に準拠する必要があります。追跡が容易で、曖昧な解釈の余地がないものでなければなりません。 計画を実行に移すには、全関係者の責任が求められます。また、リーダーシップ層と定期的に合意した頻度で、価値とROIをレビューする必要があります。
これらの基準を明確に定義し測定することで、セキュアコーディングプログラムは単なるコストセンターから、重要なビジネス成果を確実に推進する原動力へと進化します。これはプログラムの成熟度を達成するための必須の第一歩です。
次に、イネーブラー2:上級管理職の支援 について掘り下げ、セキュアコーディングプログラムの成功した導入においてリーダーシップが果たす重要な役割について 議論します。
追加のご質問はございますか?お客様はアカウントチームまたはsupport@securecodewarrior.com までお問い合わせください。見込み顧客の方は、こちらからお問い合わせいただければ、営業チームメンバーが対応いたします。
リソースを見る
リソースを見る
成功を導く10の要素について深く掘り下げるにあたり、最初の基盤となるステップ「要素1:明確かつ測定可能な成功基準」から始めます。セキュアコーディングプログラムを旅に例えるなら、最初で最も重要なステップは、自分がどこへ向かっているのかを正確に把握することです。これが最初の要素の本質です。
成功基準とビジネス成果の連動
成功するセキュアコーディングプログラムを構築するには、ビジネス成果と密接に結びついた明確な目標の存在が不可欠です。実現要因1は中核的な問いに答えます:「セキュアコーディングプログラムで解決しようとしている問題や課題は、具体的に測定可能な形で何なのか?」
おそらく御社は、コンプライアンス要件を満たすことや、セキュリティ侵害やサイバー攻撃を回避することを目指しているかもしれません。あるいは、組織として最初から左側(セキュリティ重視)に立つことを目指し、開発者に最初から安全なコーディングを訓練することで、コストと手戻りの時間を削減しようとしているのかもしれません。
動機や組織の現状、選択するセキュリティ研修プラットフォームに関わらず、プログラムの長期的な成功は、ビジネス目標に結びついた明確な目標を設定し、関係者の理解と支持を得て持続的な成功を保証することに大きく依存します。
成功基準を決定する際には、プログラムの主要な利害関係者を考慮してください。経営陣のスポンサーとそのビジネス目標を把握することで、部門横断的な導入促進につながります。
成功を具体化し、測定可能にする
これらの目標は、その性質上、貴組織に固有のものでなければなりません。とはいえ、以下の典型的なビジネス目標を検討し、それらが貴組織にさらなるアイデアをもたらす可能性について考えてみてください:
リスク低減:開発者リスクを軽減し、コーディング上の欠陥によって生じる脆弱性を削減します。これにはリスクの特定とアプリケーションの攻撃対象領域の縮小が含まれます。
プログラムはしばしば、脆弱性密度や脆弱性注入率の低減・回避といった指標を目標とする。
運用速度:製品提供速度を最大化し、開発者のフラストレーションと離職率を低減し、手戻り作業に費やす時間を削減します。セキュアコーディング研修は、ソフトウェア開発ライフサイクルの後半で発見されるバグのあるコードの手戻り作業という時間的損失を回避する手助けとなるため、開発者にとって大きなインセンティブとなります。
プログラムはしばしば、開発者の脆弱性修正平均時間(MTTR)の短縮を目標とする。
規制コンプライアンス:外部コンプライアンスを達成する。例えば、PCI-DSS(支払いシステムに携わる全開発者への研修を義務付ける)などの基準への準拠。
人材と信頼:開発者組織内におけるセキュリティと脆弱性への関与と認識を高めつつ、顧客の信頼を維持・構築する。一部の企業では、セキュリティ対応開発者が市場での差別化確立に寄与する。
プログラムでは、開発者に対する最低限のスキル要件を設定したり、専門的なセキュリティチャンピオンプログラムを創設したりすることが多い。
共同成功計画における成功の記録
成功基準を定義したら、次のステップはそれらを共同成功計画書に文書化することです。この計画書は、トレーニングプラットフォームのCSMなどの外部サポートを含む、プログラムの主要なステークホルダー全員と共有する部門横断的な青写真となります。
成功計画には以下が含まれます:
- 価値ドライバー:これには、コードのセキュリティ向上に関連する高レベルのビジネス目標と、プログラムの「目的」を明確にするための要素が含まれます。
- 現状:これは「現状はどうか?」(例:現在のセキュアコーディングスキルや既存のトレーニングプログラム)を確立するものです。
- 将来(望ましい)状態:次に「どこに到達したいのか?」を文書化し、セキュアコーディングスキルのギャップをどのように埋めるかを確立します。
- KPI/測定指標:これらは成功を示す指標であり、プログラムの展開に伴い現状と将来像の間のギャップが縮まっていることを実証するものです。
まず1~2つの具体的な指標から始め、必要に応じて後で拡大することを推奨します。これらのKPI/測定基準はS.M.A.R.T.原則(具体的、測定可能、達成可能、関連性、期限付き)に準拠する必要があります。追跡が容易で、曖昧な解釈の余地がないものでなければなりません。 計画を実行に移すには、全関係者の責任が求められます。また、リーダーシップ層と定期的に合意した頻度で、価値とROIをレビューする必要があります。
これらの基準を明確に定義し測定することで、セキュアコーディングプログラムは単なるコストセンターから、重要なビジネス成果を確実に推進する原動力へと進化します。これはプログラムの成熟度を達成するための必須の第一歩です。
次に、イネーブラー2:上級管理職の支援 について掘り下げ、セキュアコーディングプログラムの成功した導入においてリーダーシップが果たす重要な役割について 議論します。
追加のご質問はございますか?お客様はアカウントチームまたはsupport@securecodewarrior.com までお問い合わせください。見込み顧客の方は、こちらからお問い合わせいただければ、営業チームメンバーが対応いたします。
始める
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約するリソースを見る
シェアする
著者
SCWのカリキュラム&オンボーディングマネージャーであるケイトリン・トリニダードは、6年以上の経験を持つカスタマーサクセス専門家であり、プログラムのベストプラクティスと技術的なノウハウを通じて顧客を支援しています。
シェアする
成功を導く10の要素について深く掘り下げるにあたり、最初の基盤となるステップ「要素1:明確かつ測定可能な成功基準」から始めます。セキュアコーディングプログラムを旅に例えるなら、最初で最も重要なステップは、自分がどこへ向かっているのかを正確に把握することです。これが最初の要素の本質です。
成功基準とビジネス成果の連動
成功するセキュアコーディングプログラムを構築するには、ビジネス成果と密接に結びついた明確な目標の存在が不可欠です。実現要因1は中核的な問いに答えます:「セキュアコーディングプログラムで解決しようとしている問題や課題は、具体的に測定可能な形で何なのか?」
おそらく御社は、コンプライアンス要件を満たすことや、セキュリティ侵害やサイバー攻撃を回避することを目指しているかもしれません。あるいは、組織として最初から左側(セキュリティ重視)に立つことを目指し、開発者に最初から安全なコーディングを訓練することで、コストと手戻りの時間を削減しようとしているのかもしれません。
動機や組織の現状、選択するセキュリティ研修プラットフォームに関わらず、プログラムの長期的な成功は、ビジネス目標に結びついた明確な目標を設定し、関係者の理解と支持を得て持続的な成功を保証することに大きく依存します。
成功基準を決定する際には、プログラムの主要な利害関係者を考慮してください。経営陣のスポンサーとそのビジネス目標を把握することで、部門横断的な導入促進につながります。
成功を具体化し、測定可能にする
これらの目標は、その性質上、貴組織に固有のものでなければなりません。とはいえ、以下の典型的なビジネス目標を検討し、それらが貴組織にさらなるアイデアをもたらす可能性について考えてみてください:
リスク低減:開発者リスクを軽減し、コーディング上の欠陥によって生じる脆弱性を削減します。これにはリスクの特定とアプリケーションの攻撃対象領域の縮小が含まれます。
プログラムはしばしば、脆弱性密度や脆弱性注入率の低減・回避といった指標を目標とする。
運用速度:製品提供速度を最大化し、開発者のフラストレーションと離職率を低減し、手戻り作業に費やす時間を削減します。セキュアコーディング研修は、ソフトウェア開発ライフサイクルの後半で発見されるバグのあるコードの手戻り作業という時間的損失を回避する手助けとなるため、開発者にとって大きなインセンティブとなります。
プログラムはしばしば、開発者の脆弱性修正平均時間(MTTR)の短縮を目標とする。
規制コンプライアンス:外部コンプライアンスを達成する。例えば、PCI-DSS(支払いシステムに携わる全開発者への研修を義務付ける)などの基準への準拠。
人材と信頼:開発者組織内におけるセキュリティと脆弱性への関与と認識を高めつつ、顧客の信頼を維持・構築する。一部の企業では、セキュリティ対応開発者が市場での差別化確立に寄与する。
プログラムでは、開発者に対する最低限のスキル要件を設定したり、専門的なセキュリティチャンピオンプログラムを創設したりすることが多い。
共同成功計画における成功の記録
成功基準を定義したら、次のステップはそれらを共同成功計画書に文書化することです。この計画書は、トレーニングプラットフォームのCSMなどの外部サポートを含む、プログラムの主要なステークホルダー全員と共有する部門横断的な青写真となります。
成功計画には以下が含まれます:
- 価値ドライバー:これには、コードのセキュリティ向上に関連する高レベルのビジネス目標と、プログラムの「目的」を明確にするための要素が含まれます。
- 現状:これは「現状はどうか?」(例:現在のセキュアコーディングスキルや既存のトレーニングプログラム)を確立するものです。
- 将来(望ましい)状態:次に「どこに到達したいのか?」を文書化し、セキュアコーディングスキルのギャップをどのように埋めるかを確立します。
- KPI/測定指標:これらは成功を示す指標であり、プログラムの展開に伴い現状と将来像の間のギャップが縮まっていることを実証するものです。
まず1~2つの具体的な指標から始め、必要に応じて後で拡大することを推奨します。これらのKPI/測定基準はS.M.A.R.T.原則(具体的、測定可能、達成可能、関連性、期限付き)に準拠する必要があります。追跡が容易で、曖昧な解釈の余地がないものでなければなりません。 計画を実行に移すには、全関係者の責任が求められます。また、リーダーシップ層と定期的に合意した頻度で、価値とROIをレビューする必要があります。
これらの基準を明確に定義し測定することで、セキュアコーディングプログラムは単なるコストセンターから、重要なビジネス成果を確実に推進する原動力へと進化します。これはプログラムの成熟度を達成するための必須の第一歩です。
次に、イネーブラー2:上級管理職の支援 について掘り下げ、セキュアコーディングプログラムの成功した導入においてリーダーシップが果たす重要な役割について 議論します。
追加のご質問はございますか?お客様はアカウントチームまたはsupport@securecodewarrior.com までお問い合わせください。見込み顧客の方は、こちらからお問い合わせいただければ、営業チームメンバーが対応いたします。
リソース・ハブ
始めるためのリソース
その他の記事
%20(1).avif)
.avif)
リソース・ハブ
始めるためのリソース
その他の記事
.avif)
