足場のある学習がセキュリティに強い開発者を育てる理由
テクノロジー関連のニュースをほんの数分見ただけで、脅威の状況がいかに危険なものになっているかがすぐにわかります。毎日のように、大規模な侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による積極的な悪用の危険性が報告されているように思えます。また、ほとんどすべての業界指標や報告書は、ますます危険な数のサイバー脅威を示しており、ほとんどの専門家はこの傾向が今後数年間続くと予測しています。
このような新たな脅威に立ち向かうのは、ITセキュリティの最前線で働く人たちです。高額な給与を受け取り、企業や組織にとって不可欠な存在であるにもかかわらず、セキュリティ人材は決して十分ではありません。Center for Strategic and International Studiesが実施した最近の調査では、ITの意思決定者の82%が、自分の組織はサイバーセキュリティのスキル不足に悩まされていると回答し、71%が、その不足によって組織に直接的かつ測定可能な損害が発生したと答えています。米国だけを見ても、約94万人しか雇用されていない分野で、52万人以上の未充足のサイバーセキュリティの仕事があると指摘しています。
全世界では現在、約350万件のサイバーセキュリティ関連の未充足の仕事があり、巨額の費用を投じてトップレベルのプロフェッショナルを雇用し、維持しようとする組織でさえ、適切な候補者を探すのに苦労しているということです。また、サイバーセキュリティ関連の求人は、他の職種に比べて、採用できたとしても平均して約21%の時間がかかります。
デベロッパー・イネーブルメントはあまりにも長い間無視されてきた
以前のブログでは、サイバーセキュリティ対策の重要なギャップを埋めるために、開発者を活用できることを紹介しました。しかし、従来、開発者はサイバーセキュリティに関するトレーニングを受けたことがありませんでした。彼らの仕事ぶりは、ほとんどの場合、デプロイまでのスピードと時間に基づいていました。セキュリティは、その先にあるAppSecチームの仕事でした。
残念ながら、開発者にいきなりアプリケーションやプログラムにセキュリティを追加してくださいというだけではありません。たとえ開発者がそのような変更を望んでいたとしても、多くの開発者がそのような変更を望んでいることが調査で明らかになっていますが、それを実現するためにはトレーニングが必要なのです。上層部からの励ましやサポートも必要ですが、意味のある学習ができるかどうかが、最初の、そして多くの場合最大の障害となります。
高給で安全性の高いITセキュリティのポジションが、世界中で何百万人も埋まっていないのには理由があります。簡単な仕事であれば、誰もがその分野に飛び込んでいるはずです。脅威に対抗し、コード内の脆弱性を排除する方法を学ぶのは難しく、脅威の状況は常に変化しています。サイバーセキュリティを教えようとしても、比較的技術に精通した開発者であっても、すぐに期限が切れて記憶に残らないような静的なトレーニングでは効率的に行うことができず、特に、すでに過密なスケジュールにこれらの要件が追加された場合には、プラスの影響は最小限にとどまるでしょう。
足場を組んで高みを目指す
従来の方法でサイバーセキュリティのスキルを教えることは、地面から足を一歩も踏み出さずに超高層ビルを建てようとするようなものです。なぜなら、サイバーセキュリティのような複雑な分野の多くの高度な概念を習得するために必要な基礎が、学生にはないからです。それを補うために、足場のある学習というコンセプトを採用することができます。
スキャフォールド(階層化)されたアップスキリングのアプローチでは、大きなテーマを個別の学習体験やコンセプトに分解します。これにより、生徒はそれぞれのコンセプトを適切な演習や指導によって習得することができ、各構成要素に必要なすべてのサポートを受けることができます。建物の高さを増すための足場のように、すでに習得した概念の上に、さらに新しい高度な概念を重ねていきます。このようにして、生徒は、支援なしでは習得できない、より高いレベルの理解とスキルの習得を達成することができるのです。
物理的な足場と同じように、そのサポートは必要がなくなれば段階的に取り除かれ、生徒の習熟度に応じてより多くの責任を負うことになります。
足場を使った学習は、主に、生徒が支援なしで難しい課題に挑戦する際に、イライラしたり、怖気づいたり、落胆したりしたときに、ネガティブな感情や自己認識を軽減するために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組む際にも、この方法は大きな価値を持ちます。開発者を子供のように扱うのではなく、セキュリティチームとの経験が、イライラしたり落胆したりするのと同じ効果をもたらすのであれば、それは非常に有益なことです。特に、彼らのハードワークがバグ修正されて送り返され、新たな批判を受けたときには。
開発者は、安全なコーディングの基本を理解するためのツール(通常、OWASP トップ 10 から始まります)を与えられると、どのようにしてセキュリティバグが発生するのか、なぜ危険なのか、そして本番環境になる前にどのように修正するのかを自分の目で確認することができます。そこから、より複雑な脆弱性に取り組み、適切な修正方法を適用するための実践的な経験を積むことで、知識を拡大していくことができます。そうして少しずつ層が厚くなり、安全でないソフトウェアアーキテクチャや脅威のモデル化など、高度なセキュリティ問題に取り組む際には、これらの飛躍がそれほど怖くなくなり、正確に取り組むことができるようになります。
業界としては、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織は開発者の能力を高めるための新しい基準を採用することで、より質の高いソフトウェアを生み出すことができます。さらに、エンジニアがスキルアップしている組織にとっては、各ステップや各レベルの足場が、学習する際のサイバーセキュリティの向上に直結します。コースが終了するまで結果を待つ必要はありません。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導がなければ習得することはほぼ不可能です。足場のある学習方法を採用したセキュリティプログラムを導入すれば、すぐに効果が現れ、最大限に活用することができます。向上はすぐに始まり、時間の経過とともに継続的に改善されていきます。
セキュリティに強い開発者の構築を私たちと一緒に始めてみませんか。
Courses
Missions
Developer training
... and more!
業界としては、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織は開発者のイネーブルメントのための新しい基準を採用することで、より高品質のソフトウェアを生み出すことができます。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
テクノロジー関連のニュースをほんの数分見ただけで、脅威の状況がいかに危険なものになっているかがすぐにわかります。毎日のように、大規模な侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による積極的な悪用の危険性が報告されているように思えます。また、ほとんどすべての業界指標や報告書は、ますます危険な数のサイバー脅威を示しており、ほとんどの専門家はこの傾向が今後数年間続くと予測しています。
このような新たな脅威に立ち向かうのは、ITセキュリティの最前線で働く人たちです。高額な給与を受け取り、企業や組織にとって不可欠な存在であるにもかかわらず、セキュリティ人材は決して十分ではありません。Center for Strategic and International Studiesが実施した最近の調査では、ITの意思決定者の82%が、自分の組織はサイバーセキュリティのスキル不足に悩まされていると回答し、71%が、その不足によって組織に直接的かつ測定可能な損害が発生したと答えています。米国だけを見ても、約94万人しか雇用されていない分野で、52万人以上の未充足のサイバーセキュリティの仕事があると指摘しています。
全世界では現在、約350万件のサイバーセキュリティ関連の未充足の仕事があり、巨額の費用を投じてトップレベルのプロフェッショナルを雇用し、維持しようとする組織でさえ、適切な候補者を探すのに苦労しているということです。また、サイバーセキュリティ関連の求人は、他の職種に比べて、採用できたとしても平均して約21%の時間がかかります。
デベロッパー・イネーブルメントはあまりにも長い間無視されてきた
以前のブログでは、サイバーセキュリティ対策の重要なギャップを埋めるために、開発者を活用できることを紹介しました。しかし、従来、開発者はサイバーセキュリティに関するトレーニングを受けたことがありませんでした。彼らの仕事ぶりは、ほとんどの場合、デプロイまでのスピードと時間に基づいていました。セキュリティは、その先にあるAppSecチームの仕事でした。
残念ながら、開発者にいきなりアプリケーションやプログラムにセキュリティを追加してくださいというだけではありません。たとえ開発者がそのような変更を望んでいたとしても、多くの開発者がそのような変更を望んでいることが調査で明らかになっていますが、それを実現するためにはトレーニングが必要なのです。上層部からの励ましやサポートも必要ですが、意味のある学習ができるかどうかが、最初の、そして多くの場合最大の障害となります。
高給で安全性の高いITセキュリティのポジションが、世界中で何百万人も埋まっていないのには理由があります。簡単な仕事であれば、誰もがその分野に飛び込んでいるはずです。脅威に対抗し、コード内の脆弱性を排除する方法を学ぶのは難しく、脅威の状況は常に変化しています。サイバーセキュリティを教えようとしても、比較的技術に精通した開発者であっても、すぐに期限が切れて記憶に残らないような静的なトレーニングでは効率的に行うことができず、特に、すでに過密なスケジュールにこれらの要件が追加された場合には、プラスの影響は最小限にとどまるでしょう。
足場を組んで高みを目指す
従来の方法でサイバーセキュリティのスキルを教えることは、地面から足を一歩も踏み出さずに超高層ビルを建てようとするようなものです。なぜなら、サイバーセキュリティのような複雑な分野の多くの高度な概念を習得するために必要な基礎が、学生にはないからです。それを補うために、足場のある学習というコンセプトを採用することができます。
スキャフォールド(階層化)されたアップスキリングのアプローチでは、大きなテーマを個別の学習体験やコンセプトに分解します。これにより、生徒はそれぞれのコンセプトを適切な演習や指導によって習得することができ、各構成要素に必要なすべてのサポートを受けることができます。建物の高さを増すための足場のように、すでに習得した概念の上に、さらに新しい高度な概念を重ねていきます。このようにして、生徒は、支援なしでは習得できない、より高いレベルの理解とスキルの習得を達成することができるのです。
物理的な足場と同じように、そのサポートは必要がなくなれば段階的に取り除かれ、生徒の習熟度に応じてより多くの責任を負うことになります。
足場を使った学習は、主に、生徒が支援なしで難しい課題に挑戦する際に、イライラしたり、怖気づいたり、落胆したりしたときに、ネガティブな感情や自己認識を軽減するために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組む際にも、この方法は大きな価値を持ちます。開発者を子供のように扱うのではなく、セキュリティチームとの経験が、イライラしたり落胆したりするのと同じ効果をもたらすのであれば、それは非常に有益なことです。特に、彼らのハードワークがバグ修正されて送り返され、新たな批判を受けたときには。
開発者は、安全なコーディングの基本を理解するためのツール(通常、OWASP トップ 10 から始まります)を与えられると、どのようにしてセキュリティバグが発生するのか、なぜ危険なのか、そして本番環境になる前にどのように修正するのかを自分の目で確認することができます。そこから、より複雑な脆弱性に取り組み、適切な修正方法を適用するための実践的な経験を積むことで、知識を拡大していくことができます。そうして少しずつ層が厚くなり、安全でないソフトウェアアーキテクチャや脅威のモデル化など、高度なセキュリティ問題に取り組む際には、これらの飛躍がそれほど怖くなくなり、正確に取り組むことができるようになります。
業界としては、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織は開発者の能力を高めるための新しい基準を採用することで、より質の高いソフトウェアを生み出すことができます。さらに、エンジニアがスキルアップしている組織にとっては、各ステップや各レベルの足場が、学習する際のサイバーセキュリティの向上に直結します。コースが終了するまで結果を待つ必要はありません。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導がなければ習得することはほぼ不可能です。足場のある学習方法を採用したセキュリティプログラムを導入すれば、すぐに効果が現れ、最大限に活用することができます。向上はすぐに始まり、時間の経過とともに継続的に改善されていきます。
セキュリティに強い開発者の構築を私たちと一緒に始めてみませんか。
Courses
Missions
Developer training
... and more!
テクノロジー関連のニュースをほんの数分見ただけで、脅威の状況がいかに危険なものになっているかがすぐにわかります。毎日のように、大規模な侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による積極的な悪用の危険性が報告されているように思えます。また、ほとんどすべての業界指標や報告書は、ますます危険な数のサイバー脅威を示しており、ほとんどの専門家はこの傾向が今後数年間続くと予測しています。
このような新たな脅威に立ち向かうのは、ITセキュリティの最前線で働く人たちです。高額な給与を受け取り、企業や組織にとって不可欠な存在であるにもかかわらず、セキュリティ人材は決して十分ではありません。Center for Strategic and International Studiesが実施した最近の調査では、ITの意思決定者の82%が、自分の組織はサイバーセキュリティのスキル不足に悩まされていると回答し、71%が、その不足によって組織に直接的かつ測定可能な損害が発生したと答えています。米国だけを見ても、約94万人しか雇用されていない分野で、52万人以上の未充足のサイバーセキュリティの仕事があると指摘しています。
全世界では現在、約350万件のサイバーセキュリティ関連の未充足の仕事があり、巨額の費用を投じてトップレベルのプロフェッショナルを雇用し、維持しようとする組織でさえ、適切な候補者を探すのに苦労しているということです。また、サイバーセキュリティ関連の求人は、他の職種に比べて、採用できたとしても平均して約21%の時間がかかります。
デベロッパー・イネーブルメントはあまりにも長い間無視されてきた
以前のブログでは、サイバーセキュリティ対策の重要なギャップを埋めるために、開発者を活用できることを紹介しました。しかし、従来、開発者はサイバーセキュリティに関するトレーニングを受けたことがありませんでした。彼らの仕事ぶりは、ほとんどの場合、デプロイまでのスピードと時間に基づいていました。セキュリティは、その先にあるAppSecチームの仕事でした。
残念ながら、開発者にいきなりアプリケーションやプログラムにセキュリティを追加してくださいというだけではありません。たとえ開発者がそのような変更を望んでいたとしても、多くの開発者がそのような変更を望んでいることが調査で明らかになっていますが、それを実現するためにはトレーニングが必要なのです。上層部からの励ましやサポートも必要ですが、意味のある学習ができるかどうかが、最初の、そして多くの場合最大の障害となります。
高給で安全性の高いITセキュリティのポジションが、世界中で何百万人も埋まっていないのには理由があります。簡単な仕事であれば、誰もがその分野に飛び込んでいるはずです。脅威に対抗し、コード内の脆弱性を排除する方法を学ぶのは難しく、脅威の状況は常に変化しています。サイバーセキュリティを教えようとしても、比較的技術に精通した開発者であっても、すぐに期限が切れて記憶に残らないような静的なトレーニングでは効率的に行うことができず、特に、すでに過密なスケジュールにこれらの要件が追加された場合には、プラスの影響は最小限にとどまるでしょう。
足場を組んで高みを目指す
従来の方法でサイバーセキュリティのスキルを教えることは、地面から足を一歩も踏み出さずに超高層ビルを建てようとするようなものです。なぜなら、サイバーセキュリティのような複雑な分野の多くの高度な概念を習得するために必要な基礎が、学生にはないからです。それを補うために、足場のある学習というコンセプトを採用することができます。
スキャフォールド(階層化)されたアップスキリングのアプローチでは、大きなテーマを個別の学習体験やコンセプトに分解します。これにより、生徒はそれぞれのコンセプトを適切な演習や指導によって習得することができ、各構成要素に必要なすべてのサポートを受けることができます。建物の高さを増すための足場のように、すでに習得した概念の上に、さらに新しい高度な概念を重ねていきます。このようにして、生徒は、支援なしでは習得できない、より高いレベルの理解とスキルの習得を達成することができるのです。
物理的な足場と同じように、そのサポートは必要がなくなれば段階的に取り除かれ、生徒の習熟度に応じてより多くの責任を負うことになります。
足場を使った学習は、主に、生徒が支援なしで難しい課題に挑戦する際に、イライラしたり、怖気づいたり、落胆したりしたときに、ネガティブな感情や自己認識を軽減するために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組む際にも、この方法は大きな価値を持ちます。開発者を子供のように扱うのではなく、セキュリティチームとの経験が、イライラしたり落胆したりするのと同じ効果をもたらすのであれば、それは非常に有益なことです。特に、彼らのハードワークがバグ修正されて送り返され、新たな批判を受けたときには。
開発者は、安全なコーディングの基本を理解するためのツール(通常、OWASP トップ 10 から始まります)を与えられると、どのようにしてセキュリティバグが発生するのか、なぜ危険なのか、そして本番環境になる前にどのように修正するのかを自分の目で確認することができます。そこから、より複雑な脆弱性に取り組み、適切な修正方法を適用するための実践的な経験を積むことで、知識を拡大していくことができます。そうして少しずつ層が厚くなり、安全でないソフトウェアアーキテクチャや脅威のモデル化など、高度なセキュリティ問題に取り組む際には、これらの飛躍がそれほど怖くなくなり、正確に取り組むことができるようになります。
業界としては、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織は開発者の能力を高めるための新しい基準を採用することで、より質の高いソフトウェアを生み出すことができます。さらに、エンジニアがスキルアップしている組織にとっては、各ステップや各レベルの足場が、学習する際のサイバーセキュリティの向上に直結します。コースが終了するまで結果を待つ必要はありません。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導がなければ習得することはほぼ不可能です。足場のある学習方法を採用したセキュリティプログラムを導入すれば、すぐに効果が現れ、最大限に活用することができます。向上はすぐに始まり、時間の経過とともに継続的に改善されていきます。
セキュリティに強い開発者の構築を私たちと一緒に始めてみませんか。
Courses
Missions
Developer training
... and more!
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
テクノロジー関連のニュースをほんの数分見ただけで、脅威の状況がいかに危険なものになっているかがすぐにわかります。毎日のように、大規模な侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による積極的な悪用の危険性が報告されているように思えます。また、ほとんどすべての業界指標や報告書は、ますます危険な数のサイバー脅威を示しており、ほとんどの専門家はこの傾向が今後数年間続くと予測しています。
このような新たな脅威に立ち向かうのは、ITセキュリティの最前線で働く人たちです。高額な給与を受け取り、企業や組織にとって不可欠な存在であるにもかかわらず、セキュリティ人材は決して十分ではありません。Center for Strategic and International Studiesが実施した最近の調査では、ITの意思決定者の82%が、自分の組織はサイバーセキュリティのスキル不足に悩まされていると回答し、71%が、その不足によって組織に直接的かつ測定可能な損害が発生したと答えています。米国だけを見ても、約94万人しか雇用されていない分野で、52万人以上の未充足のサイバーセキュリティの仕事があると指摘しています。
全世界では現在、約350万件のサイバーセキュリティ関連の未充足の仕事があり、巨額の費用を投じてトップレベルのプロフェッショナルを雇用し、維持しようとする組織でさえ、適切な候補者を探すのに苦労しているということです。また、サイバーセキュリティ関連の求人は、他の職種に比べて、採用できたとしても平均して約21%の時間がかかります。
デベロッパー・イネーブルメントはあまりにも長い間無視されてきた
以前のブログでは、サイバーセキュリティ対策の重要なギャップを埋めるために、開発者を活用できることを紹介しました。しかし、従来、開発者はサイバーセキュリティに関するトレーニングを受けたことがありませんでした。彼らの仕事ぶりは、ほとんどの場合、デプロイまでのスピードと時間に基づいていました。セキュリティは、その先にあるAppSecチームの仕事でした。
残念ながら、開発者にいきなりアプリケーションやプログラムにセキュリティを追加してくださいというだけではありません。たとえ開発者がそのような変更を望んでいたとしても、多くの開発者がそのような変更を望んでいることが調査で明らかになっていますが、それを実現するためにはトレーニングが必要なのです。上層部からの励ましやサポートも必要ですが、意味のある学習ができるかどうかが、最初の、そして多くの場合最大の障害となります。
高給で安全性の高いITセキュリティのポジションが、世界中で何百万人も埋まっていないのには理由があります。簡単な仕事であれば、誰もがその分野に飛び込んでいるはずです。脅威に対抗し、コード内の脆弱性を排除する方法を学ぶのは難しく、脅威の状況は常に変化しています。サイバーセキュリティを教えようとしても、比較的技術に精通した開発者であっても、すぐに期限が切れて記憶に残らないような静的なトレーニングでは効率的に行うことができず、特に、すでに過密なスケジュールにこれらの要件が追加された場合には、プラスの影響は最小限にとどまるでしょう。
足場を組んで高みを目指す
従来の方法でサイバーセキュリティのスキルを教えることは、地面から足を一歩も踏み出さずに超高層ビルを建てようとするようなものです。なぜなら、サイバーセキュリティのような複雑な分野の多くの高度な概念を習得するために必要な基礎が、学生にはないからです。それを補うために、足場のある学習というコンセプトを採用することができます。
スキャフォールド(階層化)されたアップスキリングのアプローチでは、大きなテーマを個別の学習体験やコンセプトに分解します。これにより、生徒はそれぞれのコンセプトを適切な演習や指導によって習得することができ、各構成要素に必要なすべてのサポートを受けることができます。建物の高さを増すための足場のように、すでに習得した概念の上に、さらに新しい高度な概念を重ねていきます。このようにして、生徒は、支援なしでは習得できない、より高いレベルの理解とスキルの習得を達成することができるのです。
物理的な足場と同じように、そのサポートは必要がなくなれば段階的に取り除かれ、生徒の習熟度に応じてより多くの責任を負うことになります。
足場を使った学習は、主に、生徒が支援なしで難しい課題に挑戦する際に、イライラしたり、怖気づいたり、落胆したりしたときに、ネガティブな感情や自己認識を軽減するために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組む際にも、この方法は大きな価値を持ちます。開発者を子供のように扱うのではなく、セキュリティチームとの経験が、イライラしたり落胆したりするのと同じ効果をもたらすのであれば、それは非常に有益なことです。特に、彼らのハードワークがバグ修正されて送り返され、新たな批判を受けたときには。
開発者は、安全なコーディングの基本を理解するためのツール(通常、OWASP トップ 10 から始まります)を与えられると、どのようにしてセキュリティバグが発生するのか、なぜ危険なのか、そして本番環境になる前にどのように修正するのかを自分の目で確認することができます。そこから、より複雑な脆弱性に取り組み、適切な修正方法を適用するための実践的な経験を積むことで、知識を拡大していくことができます。そうして少しずつ層が厚くなり、安全でないソフトウェアアーキテクチャや脅威のモデル化など、高度なセキュリティ問題に取り組む際には、これらの飛躍がそれほど怖くなくなり、正確に取り組むことができるようになります。
業界としては、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織は開発者の能力を高めるための新しい基準を採用することで、より質の高いソフトウェアを生み出すことができます。さらに、エンジニアがスキルアップしている組織にとっては、各ステップや各レベルの足場が、学習する際のサイバーセキュリティの向上に直結します。コースが終了するまで結果を待つ必要はありません。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導がなければ習得することはほぼ不可能です。足場のある学習方法を採用したセキュリティプログラムを導入すれば、すぐに効果が現れ、最大限に活用することができます。向上はすぐに始まり、時間の経過とともに継続的に改善されていきます。
セキュリティに強い開発者の構築を私たちと一緒に始めてみませんか。
Courses
Missions
Developer training
... and more!
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード始めるためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
.png)
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
