安全なコードトレーニングにアジャイル原則を適用する時が来た

ほとんどの組織におけるセキュアコード・トレーニングの従来のアプローチは、始まりと終わりがはっきりした、ある時点だけの訓練として扱っている。デジタル時代においてビジネスがますます高速化するにつれ、これではもはや十分ではありません。あらゆる種類の組織が、開発者の日常業務に組み込まれた継続的な学習戦略を採用する必要がある。新しいセキュリティ・スキルを採用することは一つの答えだが、このような人材は不足しており、このアプローチは拡張性がない。ソフトウェア開発においてアジャイルプラクティスがウォーターフォールアプローチを追い越したように、アジャイルは今や開発者のセキュリティトレーニングに革命をもたらしつつある。ソフトウェアにおけるアジャイルの利点は、作業を小分けにし、スプリントを次のスプリントと重ね合わせることで、継続的かつ反復的なサイクルの中で、速いスピードで確実に成果を出すことである。同じように、セキュアコードのためのアジャイル学習は、消費可能な小さな断片に分割され、徐々に階層化され、反復的な方法で開発者のワークフローの中に緊密に統合される。アジャイルでは、開発者はより効果的に学習し、セキュリティスキルをより早く内面化し、よりセキュアなコードをほぼ即座に書くことができる。  

従来のセキュリティ・トレーニングと安全なコードのためのアジャイルLearning Platform 。

アジャイル・ラーニングとは、人々が知識をより迅速かつ効果的に内面化するための、一連の価値観と原則のことである。ガートナー社は、アジャイル・ラーニング・マニフェスト（下図1）の中で、4つの価値と8つの原則を定義している。

この4つの価値観は、社員研修についての新しい考え方を表している。仕事の統合された一部としての学習は、ビジネスの成果、成長マインドセット、リアルタイムの埋め込み型トレーニング、コミュニティの複合化に価値を置く。これらのバリューは、ラーニング・イニシアチブの北極星として、また8つの原則のフレームとして機能する。

1. 学習から収益へ： 企業の財務目標や能力ニーズと、開発者のスキルアップを結びつける。 
2. モチベーションの向上： 開発者がキャリアアップのために応用できる、効果的なセキュリティスキル構築プラットフォームへのアクセスは、開発者の学習意欲を高める。
3. ジャストインタイムのマイクロバースト： 2分から25分の学習コンテンツがその時々に提供されるため、開発者は関連性のある使えるスキルを身につけることができます。
4. ダイナミックな経路： セキュリティコンテンツをさまざまな形式で提供し、開発者は学習スタイルに最適なモードでセルフサービスを行うことができます。
5. 段階的なレイヤリング： 基本的なセキュアコードの概念を習得した後、より高度な知識と実践を行う。
6. 価値提供のフロー： セキュアコードのコンセプトは、開発者がすでに使用しているツールやスペースに組み込まれているため、トレーニングを受けるために仕事を離れる必要はない。
7. データ主導、AI対応： テクノロジーがレッスンを動的に適応させ、学習内容をパーソナライズすることで、開発者は常に学習状況を把握できるようになり、教室では決して得られないカスタム体験を得ることができる。 
8. 社会的増幅：セキュアなコーディングスキルが称賛され、開発者が切磋琢磨し、知識を共有する学習文化を構築することは、企業全体に利益をもたらします。

セキュアなコードのためのアジャイルlearning platform の紹介 

learning platform過去 10 年間にわたり、Secure Code Warrior の設計にアジャイル原則を統合してきました。私たちは、開発者に焦点を当てた柔軟な学習体験によって、従来のセキュリティ・トレーニングの常識を覆し、リスクとコストの削減から開発者の生産性の向上まで、いくつかの側面にわたって2倍から3倍のビジネス価値を顧客に提供してきた。しかし、アジャイルlearning platform を定義するものは何でしょうか？セキュアコードのためのアジャイルlearning platform は、具体的にどのように開発者に新しいスキルを素早く内面化させ、すぐに実践させるのでしょうか？セキュアコードのためのアジャイル学習が、従来のセキュリティトレーニングよりも優れている理由は何でしょうか？ 一連のブログポストの最初の記事であるこの記事では、SCW AgileLearning Platform がアジャイルの価値と原則のいくつかをどのように例証しているかを探ります。

価値提供のフローに組み込まれたダイナミックな経路とジャスト・イン・タイムのマイクロバースト 

セキュアなコードのためのアジャイルlearning platform は、学習者がコンテンツを利用し、知識を深め、新しいスキルを身につけるためのさまざまな方法を提供します。開発者は、必要な時に必要なコンテンツを、必要な分だけ、少量ずつ受講することができます。ユーザーは、私たちのプラットフォームで自分に最適な学習形態を選ぶことができます。ユーザーは、マイクロバーストで提供されるビデオ、ガイドライン、ウォークスルーで 、セキュリティの概念に触れることができます。 これらの機能は、特定の脆弱性の「何を」「どのように」という基本的な概念を提供します。 このコンテンツは、Jira のような、彼らが毎日使用している開発ツールの中で配信されるため、コンセプトがよりよく理解され、内面化されます。

SCW プラットフォームは、漸進的なレイヤリングというアジャイルの原則を例証している。セキュリティコードの概念に最初に慣れた後、開発者は課題のような実践的な対話型モジュールに移ることができます、 missionsやコーディング・ラボの ような実践的な対話型モジュールに移行することができます。 これらのモジュールは、さまざまなスキルレベルや学習スタイルに対応し、開発者に学習方法の選択肢を提供します。 

‍

トレーニングからアジャイル・ラーニングへの転換

セキュリティトレーニングからセキュアコードのためのアジャイル学習へとアプローチをシフトすることは、開発者の労働力を有効にし、開発者の無駄な時間を取り戻し、その時間をより生産的なプロジェクトに充てるための強力な方法である。 この投稿では、Secure Code Warriorのプラットフォーム機能のほんの一部を紹介し、それらがアジャイル学習戦略の原則をどのように例証しているかを説明した。次回は、セキュアなコード学習のビジネスケースを実証し、アジャイルにインスパイアされたプラットフォームの機能をさらに紹介する。

についてSecure Code Warrior

Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供します。当社のlearning platform は、開発者がソフトウェアセキュリティの原則を学習し、適用し、保持するためのアジャイル学習メソッドを使用しているため、最も効果的なセキュアコーディングソリューションです。アジャイル学習型セキュリティプログラムの実装、セキュアなソフトウェアの迅速な提供、開発者主導のセキュリティ文化の創造において、600社以上の企業がSecure Code Warrior を信頼しています。もっと知りたいですか？ デモをリクエストする