導入事例

セキュリティチャンピオンへの道Workday 社がアジャイル学習を活用して開発者のスキルアップを図った方法

2023年10月02日発行

状況

Workday 社がSecure Code Warrior を使ってアジャイル学習を導入する前は、社内でcourses を利用していました。 は、OWASP トップ 10 脆弱性をいくつかの疑似コード例とともに取り上げた PowerPoint プレゼンテーションの録画で構成されていました。セキュリティ開発者トレーニングのプログラムマネージャーである Alex Uda 氏は、これでは自分のチームとセキュリティチーム全体が Workday の全体的なセキュリティ体制を改善するという目標を達成できないことに気づいた。開発者はすぐにトレーニングに参加しなくなったため、彼らはフィードバックを募集し始めることにしました:

  1. より実践的なトレーニングの必要性 
  2. より多くの言語に特化したコンテンツの必要性

アクション 

アレックスと彼のチームは、開発者と協力して、魅力的で成功するセキュアなコード学習プログラムを作成するために、開発者の賛同を得るための2つの主な優先事項を特定した。

明快さとシンプルさ 

ほとんどの開発者は、セキュリティの知識を持って仕事に就いているわけではない。フラストレーションや時間のかかることは、開発者を回避策やハックに向かわせる。Workday が SCW について指摘したのは、開発者がプロセスを明確に認識し、自分のものとし、ワークフローに組み込むことができるという点です。

行動力と価値 

開発者は、何よりもまず、コードベース/ライフサイクルに影響を与えている何かを、迅速に対処できることを望んでいる。そのためには、開発者はその方法について教育される必要がある。開発者にセキュリティのようなことに興味を持ってもらいたいのであれば、このようなトピックの価値を強調することです。

プログラムの構成に関して、アレックスと彼のチームはまず、セキュリティ・チャンピオンのパイロット・グループからプラットフォームに関するフィードバックを集め、カスタマー・サクセス・マネージャーと協力して彼らの提案を実施した。次にアレックスとチームは、自社のSASTツールとインシデントやセキュリティ・イベントの数に関するさまざまな指標を調べ、現在の環境で最も高いリスクは何か、業界全体で何が起きているかを評価した。彼らはまず、OWASP トップ 10 と、Workday
‍で最も一般的でリスクの高い脆弱性に焦点を当てました。

「SCWのおかげで、開発者たちは積極的にソフトウェア・セキュリティの改善に取り組むことができました。コードを書くことがすべてではなく、成長の機会やキャリアの機会も重要です。Workdayのセキュリティプログラムに対するサポートは、会社全体が連携している分野だからこそ存在するものであり、開発者には学習と開発のための時間が許されていました。週に2時間、一定期間にわたって学習を行うことで、一貫性を持って筋肉を記憶させることができます」
‍。

結果

従来、セキュリティは開発プロセスの最終段階にあると考えがちでした。セキュリティチームと協働することで、Workday の開発者はセキュリティを開発サイクルの重要なコンポーネントと見なすようになりました。彼らはセキュリティ項目を SDLC の早い段階で迅速に対処できるようになり、これがこのプログラムの最大の影響である。ダブリンに本拠を置くあるチームでは、開発者は 4662 件のセキュリティ問題(1 日平均約 31.08 件)を抱えていたのが、約 18 ヶ月の間に 0 件になった。

ダブリンに本拠を置くあるチームでは、開発者が 1 日平均約 31.08 件、4662 件のセキュリティ問題を抱えていたのが、約 18 カ月の間に 0 件になった。
アレックスは、このプログラムの成長について、「セキュリティ・チャンピオンのトップ・オブ・マインドで始めた後、雪だるま式に増えていった」と説明した。このプログラムとその利点をリーダーシップに浸透させ、会員を増やし続けるうちに、口コミで自然に増えていきました。トレーニングの観点から見ると、私たちの目標は、開発者が安全にコードを開発するために必要なスキルを身につけることです。これは、Workday が成長を続ける中で特に重要なことです。"

要点

アレックスによれば、 「セキュリティの拡張を成功させるためには、ソフトウェア開発の設計段階でセキュリティ・リスクを特定できるよう、開発者がセキュリティの考え方を持つことが不可欠です。 これは、開発者に権限を与え、時間とコスト、そして多少の心痛を節約することを支援するという、当社の左遷イニシアチブに適合しています。セキュアなコード学習がうまくいけばいくほど、スキャンやペンテストの結果で見られる脆弱性は少なくなります。"


電球アイコン

開発者にとって、セキュリティについて学ぶときに楽しむことは重要 だ。
SCWは、それがいかにエキサイティングなものであるかを示すのに優れている。もしあなたがセキュリティの学習に参加するのであれば、それを全面的に受け入れてください。開発プロセスの一部であり、キャリアアップの一部であると考えてください。

電球アイコン

開発者がセキュリティに興味を持ったら、チームに連絡するよう奨励する。
会話をし、コラボレーションを始める

電球アイコン

セキュリティをブラックボックス化したり、プロジェクトにボルトオンしたりすることは、古臭く、最終的にはソフトウェアに不利益をもたらす
TDD、アジャイル、リンティングを取り入れるのと同じように、セキュリティを開発プロセスの一部として取り入れることで、顧客に提供するソフトウェアのフローを改善し、品質を向上させることができる。

デコラティブ
デコラティブ
PDFをダウンロード
リソースを見る
PDFをダウンロード
リソースを見る

Workday がSecure Code Warrior を通してアジャイル学習で開発者トレーニングをどのように変革したかをご覧ください。実践的な言語固有の教育で開発者を強化することで、Workday は SDLC の早い段階で脆弱性を削減しました。彼らの素晴らしい成果と、安全なコード文化を構築するための重要なポイントをご覧ください。

ご興味がおありですか?

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約する
シェアする
著者
2023年10月02日発行

シェアする
デコラティブ
デコラティブ

状況

Workday 社がSecure Code Warrior を使ってアジャイル学習を導入する前は、社内でcourses を利用していました。 は、OWASP トップ 10 脆弱性をいくつかの疑似コード例とともに取り上げた PowerPoint プレゼンテーションの録画で構成されていました。セキュリティ開発者トレーニングのプログラムマネージャーである Alex Uda 氏は、これでは自分のチームとセキュリティチーム全体が Workday の全体的なセキュリティ体制を改善するという目標を達成できないことに気づいた。開発者はすぐにトレーニングに参加しなくなったため、彼らはフィードバックを募集し始めることにしました:

  1. より実践的なトレーニングの必要性 
  2. より多くの言語に特化したコンテンツの必要性

アクション 

アレックスと彼のチームは、開発者と協力して、魅力的で成功するセキュアなコード学習プログラムを作成するために、開発者の賛同を得るための2つの主な優先事項を特定した。

明快さとシンプルさ 

ほとんどの開発者は、セキュリティの知識を持って仕事に就いているわけではない。フラストレーションや時間のかかることは、開発者を回避策やハックに向かわせる。Workday が SCW について指摘したのは、開発者がプロセスを明確に認識し、自分のものとし、ワークフローに組み込むことができるという点です。

行動力と価値 

開発者は、何よりもまず、コードベース/ライフサイクルに影響を与えている何かを、迅速に対処できることを望んでいる。そのためには、開発者はその方法について教育される必要がある。開発者にセキュリティのようなことに興味を持ってもらいたいのであれば、このようなトピックの価値を強調することです。

プログラムの構成に関して、アレックスと彼のチームはまず、セキュリティ・チャンピオンのパイロット・グループからプラットフォームに関するフィードバックを集め、カスタマー・サクセス・マネージャーと協力して彼らの提案を実施した。次にアレックスとチームは、自社のSASTツールとインシデントやセキュリティ・イベントの数に関するさまざまな指標を調べ、現在の環境で最も高いリスクは何か、業界全体で何が起きているかを評価した。彼らはまず、OWASP トップ 10 と、Workday
‍で最も一般的でリスクの高い脆弱性に焦点を当てました。

「SCWのおかげで、開発者たちは積極的にソフトウェア・セキュリティの改善に取り組むことができました。コードを書くことがすべてではなく、成長の機会やキャリアの機会も重要です。Workdayのセキュリティプログラムに対するサポートは、会社全体が連携している分野だからこそ存在するものであり、開発者には学習と開発のための時間が許されていました。週に2時間、一定期間にわたって学習を行うことで、一貫性を持って筋肉を記憶させることができます」
‍。

結果

従来、セキュリティは開発プロセスの最終段階にあると考えがちでした。セキュリティチームと協働することで、Workday の開発者はセキュリティを開発サイクルの重要なコンポーネントと見なすようになりました。彼らはセキュリティ項目を SDLC の早い段階で迅速に対処できるようになり、これがこのプログラムの最大の影響である。ダブリンに本拠を置くあるチームでは、開発者は 4662 件のセキュリティ問題(1 日平均約 31.08 件)を抱えていたのが、約 18 ヶ月の間に 0 件になった。

ダブリンに本拠を置くあるチームでは、開発者が 1 日平均約 31.08 件、4662 件のセキュリティ問題を抱えていたのが、約 18 カ月の間に 0 件になった。
アレックスは、このプログラムの成長について、「セキュリティ・チャンピオンのトップ・オブ・マインドで始めた後、雪だるま式に増えていった」と説明した。このプログラムとその利点をリーダーシップに浸透させ、会員を増やし続けるうちに、口コミで自然に増えていきました。トレーニングの観点から見ると、私たちの目標は、開発者が安全にコードを開発するために必要なスキルを身につけることです。これは、Workday が成長を続ける中で特に重要なことです。"

要点

アレックスによれば、 「セキュリティの拡張を成功させるためには、ソフトウェア開発の設計段階でセキュリティ・リスクを特定できるよう、開発者がセキュリティの考え方を持つことが不可欠です。 これは、開発者に権限を与え、時間とコスト、そして多少の心痛を節約することを支援するという、当社の左遷イニシアチブに適合しています。セキュアなコード学習がうまくいけばいくほど、スキャンやペンテストの結果で見られる脆弱性は少なくなります。"


電球アイコン

開発者にとって、セキュリティについて学ぶときに楽しむことは重要 だ。
SCWは、それがいかにエキサイティングなものであるかを示すのに優れている。もしあなたがセキュリティの学習に参加するのであれば、それを全面的に受け入れてください。開発プロセスの一部であり、キャリアアップの一部であると考えてください。

電球アイコン

開発者がセキュリティに興味を持ったら、チームに連絡するよう奨励する。
会話をし、コラボレーションを始める

電球アイコン

セキュリティをブラックボックス化したり、プロジェクトにボルトオンしたりすることは、古臭く、最終的にはソフトウェアに不利益をもたらす
TDD、アジャイル、リンティングを取り入れるのと同じように、セキュリティを開発プロセスの一部として取り入れることで、顧客に提供するソフトウェアのフローを改善し、品質を向上させることができる。

PDFをダウンロード
リソースを見る
PDFをダウンロード
リソースを見る

以下のフォームに記入し、レポートをダウンロードしてください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

送信
フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。
デコラティブ

状況

Workday 社がSecure Code Warrior を使ってアジャイル学習を導入する前は、社内でcourses を利用していました。 は、OWASP トップ 10 脆弱性をいくつかの疑似コード例とともに取り上げた PowerPoint プレゼンテーションの録画で構成されていました。セキュリティ開発者トレーニングのプログラムマネージャーである Alex Uda 氏は、これでは自分のチームとセキュリティチーム全体が Workday の全体的なセキュリティ体制を改善するという目標を達成できないことに気づいた。開発者はすぐにトレーニングに参加しなくなったため、彼らはフィードバックを募集し始めることにしました:

  1. より実践的なトレーニングの必要性 
  2. より多くの言語に特化したコンテンツの必要性

アクション 

アレックスと彼のチームは、開発者と協力して、魅力的で成功するセキュアなコード学習プログラムを作成するために、開発者の賛同を得るための2つの主な優先事項を特定した。

明快さとシンプルさ 

ほとんどの開発者は、セキュリティの知識を持って仕事に就いているわけではない。フラストレーションや時間のかかることは、開発者を回避策やハックに向かわせる。Workday が SCW について指摘したのは、開発者がプロセスを明確に認識し、自分のものとし、ワークフローに組み込むことができるという点です。

行動力と価値 

開発者は、何よりもまず、コードベース/ライフサイクルに影響を与えている何かを、迅速に対処できることを望んでいる。そのためには、開発者はその方法について教育される必要がある。開発者にセキュリティのようなことに興味を持ってもらいたいのであれば、このようなトピックの価値を強調することです。

プログラムの構成に関して、アレックスと彼のチームはまず、セキュリティ・チャンピオンのパイロット・グループからプラットフォームに関するフィードバックを集め、カスタマー・サクセス・マネージャーと協力して彼らの提案を実施した。次にアレックスとチームは、自社のSASTツールとインシデントやセキュリティ・イベントの数に関するさまざまな指標を調べ、現在の環境で最も高いリスクは何か、業界全体で何が起きているかを評価した。彼らはまず、OWASP トップ 10 と、Workday
‍で最も一般的でリスクの高い脆弱性に焦点を当てました。

「SCWのおかげで、開発者たちは積極的にソフトウェア・セキュリティの改善に取り組むことができました。コードを書くことがすべてではなく、成長の機会やキャリアの機会も重要です。Workdayのセキュリティプログラムに対するサポートは、会社全体が連携している分野だからこそ存在するものであり、開発者には学習と開発のための時間が許されていました。週に2時間、一定期間にわたって学習を行うことで、一貫性を持って筋肉を記憶させることができます」
‍。

結果

従来、セキュリティは開発プロセスの最終段階にあると考えがちでした。セキュリティチームと協働することで、Workday の開発者はセキュリティを開発サイクルの重要なコンポーネントと見なすようになりました。彼らはセキュリティ項目を SDLC の早い段階で迅速に対処できるようになり、これがこのプログラムの最大の影響である。ダブリンに本拠を置くあるチームでは、開発者は 4662 件のセキュリティ問題(1 日平均約 31.08 件)を抱えていたのが、約 18 ヶ月の間に 0 件になった。

ダブリンに本拠を置くあるチームでは、開発者が 1 日平均約 31.08 件、4662 件のセキュリティ問題を抱えていたのが、約 18 カ月の間に 0 件になった。
アレックスは、このプログラムの成長について、「セキュリティ・チャンピオンのトップ・オブ・マインドで始めた後、雪だるま式に増えていった」と説明した。このプログラムとその利点をリーダーシップに浸透させ、会員を増やし続けるうちに、口コミで自然に増えていきました。トレーニングの観点から見ると、私たちの目標は、開発者が安全にコードを開発するために必要なスキルを身につけることです。これは、Workday が成長を続ける中で特に重要なことです。"

要点

アレックスによれば、 「セキュリティの拡張を成功させるためには、ソフトウェア開発の設計段階でセキュリティ・リスクを特定できるよう、開発者がセキュリティの考え方を持つことが不可欠です。 これは、開発者に権限を与え、時間とコスト、そして多少の心痛を節約することを支援するという、当社の左遷イニシアチブに適合しています。セキュアなコード学習がうまくいけばいくほど、スキャンやペンテストの結果で見られる脆弱性は少なくなります。"


電球アイコン

開発者にとって、セキュリティについて学ぶときに楽しむことは重要 だ。
SCWは、それがいかにエキサイティングなものであるかを示すのに優れている。もしあなたがセキュリティの学習に参加するのであれば、それを全面的に受け入れてください。開発プロセスの一部であり、キャリアアップの一部であると考えてください。

電球アイコン

開発者がセキュリティに興味を持ったら、チームに連絡するよう奨励する。
会話をし、コラボレーションを始める

電球アイコン

セキュリティをブラックボックス化したり、プロジェクトにボルトオンしたりすることは、古臭く、最終的にはソフトウェアに不利益をもたらす
TDD、アジャイル、リンティングを取り入れるのと同じように、セキュリティを開発プロセスの一部として取り入れることで、顧客に提供するソフトウェアのフローを改善し、品質を向上させることができる。

リソースにアクセス

以下のリンクをクリックし、この資料のPDFをダウンロードしてください。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

レポートを見るデモを予約する
PDFをダウンロード
PDFをダウンロード
リソースを見る
シェアする
ご興味がおありですか?

シェアする
著者
2023年10月02日発行

シェアする

状況

Workday 社がSecure Code Warrior を使ってアジャイル学習を導入する前は、社内でcourses を利用していました。 は、OWASP トップ 10 脆弱性をいくつかの疑似コード例とともに取り上げた PowerPoint プレゼンテーションの録画で構成されていました。セキュリティ開発者トレーニングのプログラムマネージャーである Alex Uda 氏は、これでは自分のチームとセキュリティチーム全体が Workday の全体的なセキュリティ体制を改善するという目標を達成できないことに気づいた。開発者はすぐにトレーニングに参加しなくなったため、彼らはフィードバックを募集し始めることにしました:

  1. より実践的なトレーニングの必要性 
  2. より多くの言語に特化したコンテンツの必要性

アクション 

アレックスと彼のチームは、開発者と協力して、魅力的で成功するセキュアなコード学習プログラムを作成するために、開発者の賛同を得るための2つの主な優先事項を特定した。

明快さとシンプルさ 

ほとんどの開発者は、セキュリティの知識を持って仕事に就いているわけではない。フラストレーションや時間のかかることは、開発者を回避策やハックに向かわせる。Workday が SCW について指摘したのは、開発者がプロセスを明確に認識し、自分のものとし、ワークフローに組み込むことができるという点です。

行動力と価値 

開発者は、何よりもまず、コードベース/ライフサイクルに影響を与えている何かを、迅速に対処できることを望んでいる。そのためには、開発者はその方法について教育される必要がある。開発者にセキュリティのようなことに興味を持ってもらいたいのであれば、このようなトピックの価値を強調することです。

プログラムの構成に関して、アレックスと彼のチームはまず、セキュリティ・チャンピオンのパイロット・グループからプラットフォームに関するフィードバックを集め、カスタマー・サクセス・マネージャーと協力して彼らの提案を実施した。次にアレックスとチームは、自社のSASTツールとインシデントやセキュリティ・イベントの数に関するさまざまな指標を調べ、現在の環境で最も高いリスクは何か、業界全体で何が起きているかを評価した。彼らはまず、OWASP トップ 10 と、Workday
‍で最も一般的でリスクの高い脆弱性に焦点を当てました。

「SCWのおかげで、開発者たちは積極的にソフトウェア・セキュリティの改善に取り組むことができました。コードを書くことがすべてではなく、成長の機会やキャリアの機会も重要です。Workdayのセキュリティプログラムに対するサポートは、会社全体が連携している分野だからこそ存在するものであり、開発者には学習と開発のための時間が許されていました。週に2時間、一定期間にわたって学習を行うことで、一貫性を持って筋肉を記憶させることができます」
‍。

結果

従来、セキュリティは開発プロセスの最終段階にあると考えがちでした。セキュリティチームと協働することで、Workday の開発者はセキュリティを開発サイクルの重要なコンポーネントと見なすようになりました。彼らはセキュリティ項目を SDLC の早い段階で迅速に対処できるようになり、これがこのプログラムの最大の影響である。ダブリンに本拠を置くあるチームでは、開発者は 4662 件のセキュリティ問題(1 日平均約 31.08 件)を抱えていたのが、約 18 ヶ月の間に 0 件になった。

ダブリンに本拠を置くあるチームでは、開発者が 1 日平均約 31.08 件、4662 件のセキュリティ問題を抱えていたのが、約 18 カ月の間に 0 件になった。
アレックスは、このプログラムの成長について、「セキュリティ・チャンピオンのトップ・オブ・マインドで始めた後、雪だるま式に増えていった」と説明した。このプログラムとその利点をリーダーシップに浸透させ、会員を増やし続けるうちに、口コミで自然に増えていきました。トレーニングの観点から見ると、私たちの目標は、開発者が安全にコードを開発するために必要なスキルを身につけることです。これは、Workday が成長を続ける中で特に重要なことです。"

要点

アレックスによれば、 「セキュリティの拡張を成功させるためには、ソフトウェア開発の設計段階でセキュリティ・リスクを特定できるよう、開発者がセキュリティの考え方を持つことが不可欠です。 これは、開発者に権限を与え、時間とコスト、そして多少の心痛を節約することを支援するという、当社の左遷イニシアチブに適合しています。セキュアなコード学習がうまくいけばいくほど、スキャンやペンテストの結果で見られる脆弱性は少なくなります。"


電球アイコン

開発者にとって、セキュリティについて学ぶときに楽しむことは重要 だ。
SCWは、それがいかにエキサイティングなものであるかを示すのに優れている。もしあなたがセキュリティの学習に参加するのであれば、それを全面的に受け入れてください。開発プロセスの一部であり、キャリアアップの一部であると考えてください。

電球アイコン

開発者がセキュリティに興味を持ったら、チームに連絡するよう奨励する。
会話をし、コラボレーションを始める

電球アイコン

セキュリティをブラックボックス化したり、プロジェクトにボルトオンしたりすることは、古臭く、最終的にはソフトウェアに不利益をもたらす
TDD、アジャイル、リンティングを取り入れるのと同じように、セキュリティを開発プロセスの一部として取り入れることで、顧客に提供するソフトウェアのフローを改善し、品質を向上させることができる。

目次

PDFをダウンロード
PDFをダウンロード
リソースを見る
ご興味がおありですか?

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約するダウンロード
シェアする
リソース・ハブ

始めるためのリソース

その他の記事
リソース・ハブ

始めるためのリソース

その他の記事