ブログ

私のワークフローを乱すのはやめてください適切なセキュリティトレーニングを適切なタイミングで受ける方法

マティアス・マドゥ博士
2020年07月01日掲載

あなたが最後に仕事をしていたときのことを考えてみてください。おそらくソフトウェアのプロジェクトチームの中で、不可能な期限に向かって仕事をしていたのではないでしょうか。そんなとき、上司がやってきて、必須のセキュリティトレーニングがあるから、他の仕事に加えて、そのトレーニングを仕事に組み込む必要があると言いました。

彼らもあなたも、それを知っています。これは非常に面倒なことですが、コンプライアンス上の理由から、あなたは退屈なトレーニングビデオをバックグラウンドで流しながらコーディングを続け、両方の作業に参加したり離れたりして、どちらにも全神経を集中させることになります。これはよくあることで、非常に混乱を招き、皆の時間を無駄にしてしまいます。ほとんどのセキュリティトレーニングは一般的なもので、仕事の合間を縫って行われるものには価値がなく、無視してしまいがちです。

会社としての目標は、より良い、より効果的なセキュリティトレーニングを皆様にお届けすることです。これは、AppSecチームが重要だと言っていることから離れ、それぞれの優先順位がずれてしまうことがどのようなことなのかをよく知っているからこそ生まれたものです。しかし、興味深いのは、必要なときにトレーニングを受けるための障壁を減らすために何ができるかを考え始めたことです。私たちの完全なプラットフォームを使っても、トレーニングセッションに集中できないときには、仕事から離れるためのいくつかのステップがあります。

私たちは、IDEや課題追跡システムなどのワークフローに、マイクロラーニングをよりシームレスに導入する方法を検討しました。そしてたどり着いたのが、これです。

これは、JiT(Just-in-Time)の原則に基づいており、正しい知識を正しいタイミングで提供することで、すぐに効果的で有用な知識を得ることができます。これは、情報が氾濫し、機能を構築するための貴重な時間と頭脳を奪うことになりがちなJust in Caseの学習方法とは正反対のものです。

品質の高いコードは安全なコードであり、もしあなたが時折コラボレーションするために、侵襲性のないセキュリティの相棒を必要としているのであれば、それを試してみる価値はあるかもしれません。

障壁をなくし、トレーニングをあなたのもとへ。

サイバーセキュリティに興味を持つ人はいるかもしれませんが、すべての人ではありません。また、開発者がセキュリティの専門家になることを期待するべきではありません。それは、依然としてAppSec専門チームの仕事です。しかし、セキュリティに精通した開発者は、そのスキルと、コード構築の段階から組織を保護することができるという点で高く評価されています。

統合トレーニングをクリッピーようなものと考えている方には重要なことですが、Secure Code Warrior の統合トレーニングは開発者が開発者のために作ったものであり、刺激的な要素は考慮されていません。

実際にチェックしてみましょう。

Secure Code Warrior | GitHubインテグレーション

Secure Code Warrior for Githubは、ラベル、課題のタイトル、および課題の本文に含まれるCWE(Common Weakness Enumeration)またはOWASPの参照をコードで検査し、文脈に沿ったジャストインタイムトレーニングを表示します。脆弱性の参照が見つかった場合には、迅速な解決と脆弱性の再発防止を支援するために、課題にコメントが投稿されます。これにより、お客様のプロセスを中断したり、解決のために手間をかけさせたりすることなく、課題に統合されます。

また、Jiraを使用している場合も同様のプロセスとなります。

SCW for Jira Server
SCW for Jira Cloud

さて、現役のセキュリティ意識の高いスーパースターは、自分の力だけで魔法を起こせるわけではないことを忘れてはいけません。サポート、トレーニング、そしてセキュリティを真剣に考え、自分のワークフローに取り入れる理由が必要になります。幸いなことに、これらはすべて、機能するDevSecOpsプロセスの一部であり、多くの組織がすでに注目しています。

今すぐダウンロードして、ご意見をお聞かせください。

リソースを見る
リソースを見る

私たちは、必要なときにトレーニングを受けるための障壁を減らすために何ができるか、また、マイクロラーニングをよりシームレスな方法でワークフローに導入できるかを考え始めました。

ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約する
シェアする
著者
マティアス・マドゥ博士
2020年07月01日掲載

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする

あなたが最後に仕事をしていたときのことを考えてみてください。おそらくソフトウェアのプロジェクトチームの中で、不可能な期限に向かって仕事をしていたのではないでしょうか。そんなとき、上司がやってきて、必須のセキュリティトレーニングがあるから、他の仕事に加えて、そのトレーニングを仕事に組み込む必要があると言いました。

彼らもあなたも、それを知っています。これは非常に面倒なことですが、コンプライアンス上の理由から、あなたは退屈なトレーニングビデオをバックグラウンドで流しながらコーディングを続け、両方の作業に参加したり離れたりして、どちらにも全神経を集中させることになります。これはよくあることで、非常に混乱を招き、皆の時間を無駄にしてしまいます。ほとんどのセキュリティトレーニングは一般的なもので、仕事の合間を縫って行われるものには価値がなく、無視してしまいがちです。

会社としての目標は、より良い、より効果的なセキュリティトレーニングを皆様にお届けすることです。これは、AppSecチームが重要だと言っていることから離れ、それぞれの優先順位がずれてしまうことがどのようなことなのかをよく知っているからこそ生まれたものです。しかし、興味深いのは、必要なときにトレーニングを受けるための障壁を減らすために何ができるかを考え始めたことです。私たちの完全なプラットフォームを使っても、トレーニングセッションに集中できないときには、仕事から離れるためのいくつかのステップがあります。

私たちは、IDEや課題追跡システムなどのワークフローに、マイクロラーニングをよりシームレスに導入する方法を検討しました。そしてたどり着いたのが、これです。

これは、JiT(Just-in-Time)の原則に基づいており、正しい知識を正しいタイミングで提供することで、すぐに効果的で有用な知識を得ることができます。これは、情報が氾濫し、機能を構築するための貴重な時間と頭脳を奪うことになりがちなJust in Caseの学習方法とは正反対のものです。

品質の高いコードは安全なコードであり、もしあなたが時折コラボレーションするために、侵襲性のないセキュリティの相棒を必要としているのであれば、それを試してみる価値はあるかもしれません。

障壁をなくし、トレーニングをあなたのもとへ。

サイバーセキュリティに興味を持つ人はいるかもしれませんが、すべての人ではありません。また、開発者がセキュリティの専門家になることを期待するべきではありません。それは、依然としてAppSec専門チームの仕事です。しかし、セキュリティに精通した開発者は、そのスキルと、コード構築の段階から組織を保護することができるという点で高く評価されています。

統合トレーニングをクリッピーようなものと考えている方には重要なことですが、Secure Code Warrior の統合トレーニングは開発者が開発者のために作ったものであり、刺激的な要素は考慮されていません。

実際にチェックしてみましょう。

Secure Code Warrior | GitHubインテグレーション

Secure Code Warrior for Githubは、ラベル、課題のタイトル、および課題の本文に含まれるCWE(Common Weakness Enumeration)またはOWASPの参照をコードで検査し、文脈に沿ったジャストインタイムトレーニングを表示します。脆弱性の参照が見つかった場合には、迅速な解決と脆弱性の再発防止を支援するために、課題にコメントが投稿されます。これにより、お客様のプロセスを中断したり、解決のために手間をかけさせたりすることなく、課題に統合されます。

また、Jiraを使用している場合も同様のプロセスとなります。

SCW for Jira Server
SCW for Jira Cloud

さて、現役のセキュリティ意識の高いスーパースターは、自分の力だけで魔法を起こせるわけではないことを忘れてはいけません。サポート、トレーニング、そしてセキュリティを真剣に考え、自分のワークフローに取り入れる理由が必要になります。幸いなことに、これらはすべて、機能するDevSecOpsプロセスの一部であり、多くの組織がすでに注目しています。

今すぐダウンロードして、ご意見をお聞かせください。

リソースを見る
リソースを見る

以下のフォームに記入し、レポートをダウンロードしてください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

送信
フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。

あなたが最後に仕事をしていたときのことを考えてみてください。おそらくソフトウェアのプロジェクトチームの中で、不可能な期限に向かって仕事をしていたのではないでしょうか。そんなとき、上司がやってきて、必須のセキュリティトレーニングがあるから、他の仕事に加えて、そのトレーニングを仕事に組み込む必要があると言いました。

彼らもあなたも、それを知っています。これは非常に面倒なことですが、コンプライアンス上の理由から、あなたは退屈なトレーニングビデオをバックグラウンドで流しながらコーディングを続け、両方の作業に参加したり離れたりして、どちらにも全神経を集中させることになります。これはよくあることで、非常に混乱を招き、皆の時間を無駄にしてしまいます。ほとんどのセキュリティトレーニングは一般的なもので、仕事の合間を縫って行われるものには価値がなく、無視してしまいがちです。

会社としての目標は、より良い、より効果的なセキュリティトレーニングを皆様にお届けすることです。これは、AppSecチームが重要だと言っていることから離れ、それぞれの優先順位がずれてしまうことがどのようなことなのかをよく知っているからこそ生まれたものです。しかし、興味深いのは、必要なときにトレーニングを受けるための障壁を減らすために何ができるかを考え始めたことです。私たちの完全なプラットフォームを使っても、トレーニングセッションに集中できないときには、仕事から離れるためのいくつかのステップがあります。

私たちは、IDEや課題追跡システムなどのワークフローに、マイクロラーニングをよりシームレスに導入する方法を検討しました。そしてたどり着いたのが、これです。

これは、JiT(Just-in-Time)の原則に基づいており、正しい知識を正しいタイミングで提供することで、すぐに効果的で有用な知識を得ることができます。これは、情報が氾濫し、機能を構築するための貴重な時間と頭脳を奪うことになりがちなJust in Caseの学習方法とは正反対のものです。

品質の高いコードは安全なコードであり、もしあなたが時折コラボレーションするために、侵襲性のないセキュリティの相棒を必要としているのであれば、それを試してみる価値はあるかもしれません。

障壁をなくし、トレーニングをあなたのもとへ。

サイバーセキュリティに興味を持つ人はいるかもしれませんが、すべての人ではありません。また、開発者がセキュリティの専門家になることを期待するべきではありません。それは、依然としてAppSec専門チームの仕事です。しかし、セキュリティに精通した開発者は、そのスキルと、コード構築の段階から組織を保護することができるという点で高く評価されています。

統合トレーニングをクリッピーようなものと考えている方には重要なことですが、Secure Code Warrior の統合トレーニングは開発者が開発者のために作ったものであり、刺激的な要素は考慮されていません。

実際にチェックしてみましょう。

Secure Code Warrior | GitHubインテグレーション

Secure Code Warrior for Githubは、ラベル、課題のタイトル、および課題の本文に含まれるCWE(Common Weakness Enumeration)またはOWASPの参照をコードで検査し、文脈に沿ったジャストインタイムトレーニングを表示します。脆弱性の参照が見つかった場合には、迅速な解決と脆弱性の再発防止を支援するために、課題にコメントが投稿されます。これにより、お客様のプロセスを中断したり、解決のために手間をかけさせたりすることなく、課題に統合されます。

また、Jiraを使用している場合も同様のプロセスとなります。

SCW for Jira Server
SCW for Jira Cloud

さて、現役のセキュリティ意識の高いスーパースターは、自分の力だけで魔法を起こせるわけではないことを忘れてはいけません。サポート、トレーニング、そしてセキュリティを真剣に考え、自分のワークフローに取り入れる理由が必要になります。幸いなことに、これらはすべて、機能するDevSecOpsプロセスの一部であり、多くの組織がすでに注目しています。

今すぐダウンロードして、ご意見をお聞かせください。

リソースにアクセス

以下のリンクをクリックし、この資料のPDFをダウンロードしてください。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

レポートを見るデモを予約する
PDFをダウンロード
リソースを見る
シェアする
ご興味がおありですか?

シェアする
著者
マティアス・マドゥ博士
2020年07月01日掲載

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

シェアする

あなたが最後に仕事をしていたときのことを考えてみてください。おそらくソフトウェアのプロジェクトチームの中で、不可能な期限に向かって仕事をしていたのではないでしょうか。そんなとき、上司がやってきて、必須のセキュリティトレーニングがあるから、他の仕事に加えて、そのトレーニングを仕事に組み込む必要があると言いました。

彼らもあなたも、それを知っています。これは非常に面倒なことですが、コンプライアンス上の理由から、あなたは退屈なトレーニングビデオをバックグラウンドで流しながらコーディングを続け、両方の作業に参加したり離れたりして、どちらにも全神経を集中させることになります。これはよくあることで、非常に混乱を招き、皆の時間を無駄にしてしまいます。ほとんどのセキュリティトレーニングは一般的なもので、仕事の合間を縫って行われるものには価値がなく、無視してしまいがちです。

会社としての目標は、より良い、より効果的なセキュリティトレーニングを皆様にお届けすることです。これは、AppSecチームが重要だと言っていることから離れ、それぞれの優先順位がずれてしまうことがどのようなことなのかをよく知っているからこそ生まれたものです。しかし、興味深いのは、必要なときにトレーニングを受けるための障壁を減らすために何ができるかを考え始めたことです。私たちの完全なプラットフォームを使っても、トレーニングセッションに集中できないときには、仕事から離れるためのいくつかのステップがあります。

私たちは、IDEや課題追跡システムなどのワークフローに、マイクロラーニングをよりシームレスに導入する方法を検討しました。そしてたどり着いたのが、これです。

これは、JiT(Just-in-Time)の原則に基づいており、正しい知識を正しいタイミングで提供することで、すぐに効果的で有用な知識を得ることができます。これは、情報が氾濫し、機能を構築するための貴重な時間と頭脳を奪うことになりがちなJust in Caseの学習方法とは正反対のものです。

品質の高いコードは安全なコードであり、もしあなたが時折コラボレーションするために、侵襲性のないセキュリティの相棒を必要としているのであれば、それを試してみる価値はあるかもしれません。

障壁をなくし、トレーニングをあなたのもとへ。

サイバーセキュリティに興味を持つ人はいるかもしれませんが、すべての人ではありません。また、開発者がセキュリティの専門家になることを期待するべきではありません。それは、依然としてAppSec専門チームの仕事です。しかし、セキュリティに精通した開発者は、そのスキルと、コード構築の段階から組織を保護することができるという点で高く評価されています。

統合トレーニングをクリッピーようなものと考えている方には重要なことですが、Secure Code Warrior の統合トレーニングは開発者が開発者のために作ったものであり、刺激的な要素は考慮されていません。

実際にチェックしてみましょう。

Secure Code Warrior | GitHubインテグレーション

Secure Code Warrior for Githubは、ラベル、課題のタイトル、および課題の本文に含まれるCWE(Common Weakness Enumeration)またはOWASPの参照をコードで検査し、文脈に沿ったジャストインタイムトレーニングを表示します。脆弱性の参照が見つかった場合には、迅速な解決と脆弱性の再発防止を支援するために、課題にコメントが投稿されます。これにより、お客様のプロセスを中断したり、解決のために手間をかけさせたりすることなく、課題に統合されます。

また、Jiraを使用している場合も同様のプロセスとなります。

SCW for Jira Server
SCW for Jira Cloud

さて、現役のセキュリティ意識の高いスーパースターは、自分の力だけで魔法を起こせるわけではないことを忘れてはいけません。サポート、トレーニング、そしてセキュリティを真剣に考え、自分のワークフローに取り入れる理由が必要になります。幸いなことに、これらはすべて、機能するDevSecOpsプロセスの一部であり、多くの組織がすでに注目しています。

今すぐダウンロードして、ご意見をお聞かせください。

目次

PDFをダウンロード
リソースを見る
ご興味がおありですか?

Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約するダウンロード
シェアする
リソース・ハブ

始めるためのリソース

その他の記事
リソース・ハブ

始めるためのリソース

その他の記事