足場のある学習がセキュリティに強い開発者を育てる理由

2022年1月21日発行
マティアス・マドゥ博士著
ケーススタディ

足場のある学習がセキュリティに強い開発者を育てる理由

2022年1月21日発行
マティアス・マドゥ博士著
リソースを見る
リソースを見る

テクノロジー関連のニュースをほんの数分見ただけで、脅威の状況がいかに危険なものになっているかがすぐにわかります。毎日のように、大規模な侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による積極的な悪用の危険性が報告されているように思えます。また、ほとんどすべての業界指標や報告書は、ますます危険な数のサイバー脅威を示しており、ほとんどの専門家はこの傾向今後数年間続くと予測しています。

このような新たな脅威に立ち向かうのは、ITセキュリティの最前線で働く人たちです。高額な給与を受け取り、企業や組織にとって不可欠な存在であるにもかかわらず、セキュリティ人材は決して十分ではありません。Center for Strategic and International Studiesが実施した最近の調査では、ITの意思決定者の82%が、自分の組織はサイバーセキュリティのスキル不足に悩まされていると回答し、71%が、その不足によって組織に直接的かつ測定可能な損害が発生したと答えています。米国だけを見ても、約94万人しか雇用されていない分野で、52万人以上の未充足のサイバーセキュリティの仕事があると指摘しています。

全世界では現在、約350万件のサイバーセキュリティ関連の未充足の仕事があり、巨額の費用を投じてトップレベルのプロフェッショナルを雇用し、維持しようとする組織でさえ、適切な候補者を探すのに苦労しているということです。また、サイバーセキュリティ関連の求人は、他の職種に比べて、採用できたとしても平均して約21%の時間がかかります。

デベロッパー・イネーブルメントはあまりにも長い間無視されてきた

以前のブログでは、サイバーセキュリティ対策の重要なギャップを埋めるために、開発者を活用できることを紹介しました。しかし、従来、開発者はサイバーセキュリティに関するトレーニングを受けたことがありませんでした。彼らの仕事ぶりは、ほとんどの場合、デプロイまでのスピードと時間に基づいていました。セキュリティは、その先にあるAppSecチームの仕事でした。

残念ながら、開発者にいきなりアプリケーションやプログラムにセキュリティを追加してくださいというだけではありません。たとえ開発者がそのような変更を望んでいたとしても、多くの開発者がそのような変更を望んでいることが調査で明らかになっていますが、それを実現するためにはトレーニングが必要なのです。上層部からの励ましやサポートも必要ですが、意味のある学習ができるかどうかが、最初の、そして多くの場合最大の障害となります。

高給で安全性の高いITセキュリティのポジションが、世界中で何百万人も埋まっていないのには理由があります。簡単な仕事であれば、誰もがその分野に飛び込んでいるはずです。脅威に対抗し、コード内の脆弱性を排除する方法を学ぶのは難しく、脅威の状況は常に変化しています。サイバーセキュリティを教えようとしても、比較的技術に精通した開発者であっても、すぐに期限が切れて記憶に残らないような静的なトレーニングでは効率的に行うことができず、特に、すでに過密なスケジュールにこれらの要件が追加された場合には、プラスの影響は最小限にとどまるでしょう。

足場を組んで高みを目指す

従来の方法でサイバーセキュリティのスキルを教えることは、地面から足を一歩も踏み出さずに超高層ビルを建てようとするようなものです。なぜなら、サイバーセキュリティのような複雑な分野の多くの高度な概念を習得するために必要な基礎が、学生にはないからです。それを補うために、足場のある学習というコンセプトを採用することができます。

スキャフォールド(階層化)されたアップスキリングのアプローチでは、大きなテーマを個別の学習体験やコンセプトに分解します。これにより、生徒はそれぞれのコンセプトを適切な演習や指導によって習得することができ、各構成要素に必要なすべてのサポートを受けることができます。建物の高さを増すための足場のように、すでに習得した概念の上に、さらに新しい高度な概念を重ねていきます。このようにして、生徒は、支援なしでは習得できない、より高いレベルの理解とスキルの習得を達成することができるのです。

物理的な足場と同じように、そのサポートは必要がなくなれば段階的に取り除かれ、生徒の習熟度に応じてより多くの責任を負うことになります。

足場を使った学習は、主に、生徒が支援なしで難しい課題に挑戦する際に、イライラしたり、怖気づいたり、落胆したりしたときに、ネガティブな感情や自己認識を軽減するために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組む際にも、この方法は大きな価値を持ちます。開発者を子供のように扱うのではなく、セキュリティチームとの経験が、イライラしたり落胆したりするのと同じ効果をもたらすのであれば、それは非常に有益なことです。特に、彼らのハードワークがバグ修正されて送り返され、新たな批判を受けたときには。 

開発者は、安全なコーディングの基本を理解するためのツール(通常、OWASP トップ 10 から始まります)を与えられると、どのようにしてセキュリティバグが発生するのか、なぜ危険なのか、そして本番環境になる前にどのように修正するのかを自分の目で確認することができます。そこから、より複雑な脆弱性に取り組み、適切な修正方法を適用するための実践的な経験を積むことで、知識を拡大していくことができます。そうして少しずつ層が厚くなり、安全でないソフトウェアアーキテクチャや脅威のモデル化など、高度なセキュリティ問題に取り組む際には、これらの飛躍がそれほど怖くなくなり、正確に取り組むことができるようになります。

業界としては、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織は開発者の能力を高めるための新しい基準を採用することで、より質の高いソフトウェアを生み出すことができます。さらに、エンジニアがスキルアップしている組織にとっては、各ステップや各レベルの足場が、学習する際のサイバーセキュリティの向上に直結します。コースが終了するまで結果を待つ必要はありません。

サイバーセキュリティについて学ぶことは難しく、適切な支援や指導がなければ習得することはほぼ不可能です。足場のある学習方法を採用したセキュリティプログラムを導入すれば、すぐに効果が現れ、最大限に活用することができます。向上はすぐに始まり、時間の経過とともに継続的に改善されていきます。


セキュリティに強い開発者の構築を私たちと一緒に始めてみませんか。

Courses
Missions
Developer training

... and more!

リソースを見る
リソースを見る

著者

マティアス・マドゥ博士

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

足場のある学習がセキュリティに強い開発者を育てる理由

2024年1月22日発行
マティアス・マドゥ博士著

テクノロジー関連のニュースをほんの数分見ただけで、脅威の状況がいかに危険なものになっているかがすぐにわかります。毎日のように、大規模な侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による積極的な悪用の危険性が報告されているように思えます。また、ほとんどすべての業界指標や報告書は、ますます危険な数のサイバー脅威を示しており、ほとんどの専門家はこの傾向今後数年間続くと予測しています。

このような新たな脅威に立ち向かうのは、ITセキュリティの最前線で働く人たちです。高額な給与を受け取り、企業や組織にとって不可欠な存在であるにもかかわらず、セキュリティ人材は決して十分ではありません。Center for Strategic and International Studiesが実施した最近の調査では、ITの意思決定者の82%が、自分の組織はサイバーセキュリティのスキル不足に悩まされていると回答し、71%が、その不足によって組織に直接的かつ測定可能な損害が発生したと答えています。米国だけを見ても、約94万人しか雇用されていない分野で、52万人以上の未充足のサイバーセキュリティの仕事があると指摘しています。

全世界では現在、約350万件のサイバーセキュリティ関連の未充足の仕事があり、巨額の費用を投じてトップレベルのプロフェッショナルを雇用し、維持しようとする組織でさえ、適切な候補者を探すのに苦労しているということです。また、サイバーセキュリティ関連の求人は、他の職種に比べて、採用できたとしても平均して約21%の時間がかかります。

デベロッパー・イネーブルメントはあまりにも長い間無視されてきた

以前のブログでは、サイバーセキュリティ対策の重要なギャップを埋めるために、開発者を活用できることを紹介しました。しかし、従来、開発者はサイバーセキュリティに関するトレーニングを受けたことがありませんでした。彼らの仕事ぶりは、ほとんどの場合、デプロイまでのスピードと時間に基づいていました。セキュリティは、その先にあるAppSecチームの仕事でした。

残念ながら、開発者にいきなりアプリケーションやプログラムにセキュリティを追加してくださいというだけではありません。たとえ開発者がそのような変更を望んでいたとしても、多くの開発者がそのような変更を望んでいることが調査で明らかになっていますが、それを実現するためにはトレーニングが必要なのです。上層部からの励ましやサポートも必要ですが、意味のある学習ができるかどうかが、最初の、そして多くの場合最大の障害となります。

高給で安全性の高いITセキュリティのポジションが、世界中で何百万人も埋まっていないのには理由があります。簡単な仕事であれば、誰もがその分野に飛び込んでいるはずです。脅威に対抗し、コード内の脆弱性を排除する方法を学ぶのは難しく、脅威の状況は常に変化しています。サイバーセキュリティを教えようとしても、比較的技術に精通した開発者であっても、すぐに期限が切れて記憶に残らないような静的なトレーニングでは効率的に行うことができず、特に、すでに過密なスケジュールにこれらの要件が追加された場合には、プラスの影響は最小限にとどまるでしょう。

足場を組んで高みを目指す

従来の方法でサイバーセキュリティのスキルを教えることは、地面から足を一歩も踏み出さずに超高層ビルを建てようとするようなものです。なぜなら、サイバーセキュリティのような複雑な分野の多くの高度な概念を習得するために必要な基礎が、学生にはないからです。それを補うために、足場のある学習というコンセプトを採用することができます。

スキャフォールド(階層化)されたアップスキリングのアプローチでは、大きなテーマを個別の学習体験やコンセプトに分解します。これにより、生徒はそれぞれのコンセプトを適切な演習や指導によって習得することができ、各構成要素に必要なすべてのサポートを受けることができます。建物の高さを増すための足場のように、すでに習得した概念の上に、さらに新しい高度な概念を重ねていきます。このようにして、生徒は、支援なしでは習得できない、より高いレベルの理解とスキルの習得を達成することができるのです。

物理的な足場と同じように、そのサポートは必要がなくなれば段階的に取り除かれ、生徒の習熟度に応じてより多くの責任を負うことになります。

足場を使った学習は、主に、生徒が支援なしで難しい課題に挑戦する際に、イライラしたり、怖気づいたり、落胆したりしたときに、ネガティブな感情や自己認識を軽減するために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組む際にも、この方法は大きな価値を持ちます。開発者を子供のように扱うのではなく、セキュリティチームとの経験が、イライラしたり落胆したりするのと同じ効果をもたらすのであれば、それは非常に有益なことです。特に、彼らのハードワークがバグ修正されて送り返され、新たな批判を受けたときには。 

開発者は、安全なコーディングの基本を理解するためのツール(通常、OWASP トップ 10 から始まります)を与えられると、どのようにしてセキュリティバグが発生するのか、なぜ危険なのか、そして本番環境になる前にどのように修正するのかを自分の目で確認することができます。そこから、より複雑な脆弱性に取り組み、適切な修正方法を適用するための実践的な経験を積むことで、知識を拡大していくことができます。そうして少しずつ層が厚くなり、安全でないソフトウェアアーキテクチャや脅威のモデル化など、高度なセキュリティ問題に取り組む際には、これらの飛躍がそれほど怖くなくなり、正確に取り組むことができるようになります。

業界としては、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織は開発者の能力を高めるための新しい基準を採用することで、より質の高いソフトウェアを生み出すことができます。さらに、エンジニアがスキルアップしている組織にとっては、各ステップや各レベルの足場が、学習する際のサイバーセキュリティの向上に直結します。コースが終了するまで結果を待つ必要はありません。

サイバーセキュリティについて学ぶことは難しく、適切な支援や指導がなければ習得することはほぼ不可能です。足場のある学習方法を採用したセキュリティプログラムを導入すれば、すぐに効果が現れ、最大限に活用することができます。向上はすぐに始まり、時間の経過とともに継続的に改善されていきます。


セキュリティに強い開発者の構築を私たちと一緒に始めてみませんか。

Courses
Missions
Developer training

... and more!

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。