セキュアコーディングトレーニングに投資するよう上司を説得する方法
開発者であれ、QAであれ、エンジニアリング・リードであれ、あるいはAppSecの専門家であれ、何らかの形でソフトウェアを扱っていれば、セキュリティは仕事の一部であることは間違いありません。ソフトウェアの脆弱性を指摘するのはセキュリティチームの仕事ですし、そもそも欠陥のないコードを書くように最善を尽くすのは開発者の仕事です。しかし、これらの仕事をできる限り効率的かつ効果的に行うためには、アプリケーションが実行されるコードから始めて、すべての関係者がセキュリティの脅威に対して協力することが重要です。
しかし、セキュアコーディングを効果的に学び、その知識を維持することは、本質的に難しいことのように思われがちです。適切なツールがあれば、その必要はありません。しかし、適切なトレーニングに投資することをステークホルダーや上司に納得させるのは、必ずしも容易ではありません。トレーニングは、コンプライアンス上の問題を解決するためだけに選択されることが多く、開発者の日常業務とは無関係であることが多いのです。しかし、もし開発者がリアルタイムで、自分が日常的に使用している言語やフレームワークを使って、楽しみながらセキュリティについて学ぶことができたらどうでしょうか?そして、その上、さらに組織は同時に業界標準に準拠することができます。
私たちはあなたを応援します。ここでは、開発者に焦点を当てたセキュリティ・コーディング・トレーニング・プログラムに賛同してもらうために、組織内の同僚、リーダー、最終的な意思決定者から忠誠心を得るための戦略を紹介します。
ソフトウェアの脆弱性を最初から回避することで、計り知れないほどの時間と費用を節約できる
繰り返されるセキュリティ問題の発見、報告、修正に多くの時間を費やしていませんか?それはあなただけではありません。
次のようなシナリオを想像してみてください。AppSecが脆弱性を発見して開発に報告すると、開発者は関連するトレーニングレッスンに参加し、その欠陥を修正する方法だけでなく、将来同じ過ちを犯さないようにする方法を学びます。その結果はどうなると思いますか?その開発者は、関連性のあるそのレッスンを覚えている可能性が高く、同じミスを繰り返す可能性は低くなります。つまり、あなたがセキュリティチームで働いている場合、その開発者が知らずに再びその脆弱性を作る可能性が1人減り、同じ開発者が戻って再び修正しなければならない可能性が1人減るということです。
お客様であるContrast Security社のビデオでは、同社の開発チームにとってリアルタイムのトレーニングがいかに強力であるかが紹介されています。
もし、すべての開発者が定期的なセキュアコードトレーニングに参加し、セキュリティ問題をリアルタイムで学べるツールを手に入れたとしたら、素晴らしいソフトウェアを作成したり、セキュリティプログラムに取り組んだりするために取り戻せる時間は計り知れないものになるでしょう。このようなツールに投資することは、あなたの組織にとってかなり良いことだと思いませんか?
もし、あなたがセキュリティのスキルアップのために使いたいと思う素晴らしいツールを見つけたら、次のようなことが考えられます。 Secure Code Warriorこれは、あなたの組織内のCISOやCTOに売り込むための素晴らしい議論です。
権限を与えられた開発者は、より良い結果をもたらし、彼らはより幸せになります。
経営陣にとって、時間とお金はもちろん重要ですが、仕事の満足度も重要です。満足度の高い社員は、より良い結果をもたらし、仕事を長く続け、ポジティブな職場環境に貢献します。だからこそ、キャリア形成やトレーニングは、コストではなく投資なのです。そして、そのトレーニングが実際に楽しく、関連性のあることを教えてくれるとしたら?それこそが、成功への金字塔なのです。
素晴らしいことに、開発者は自分の仕事にとってセキュリティがいかに重要であるかを知っているため、一般的にセキュリティを学ぶことに高いモチベーションを持っています。私たちは、Evans Data Corporationとの共同研究で、世界中の開発者を対象に調査を行い、開発者がセキュリティを学びたい理由を明らかにしました。
- 生産性や効率性が向上する
- 好奇心旺盛で、個人的に興味を持って学んでいる
- 安全でないコードに起因する問題を回避したい。
- キャリアアップの可能性があると理解している
- 人的資源をより効率的に活用することができる
唯一の問題は、ほとんどの安全なコーディングトレーニングが彼らを失望させていることです。日々の仕事とは関係がなく、正直言って退屈なのです。これらの特徴は、情報の保持と実際の学習という点で、通常は良い結果をもたらさない。しかし、learning platform が開発者中心で、楽しく、魅力的で、仕事に関連したものであれば、実際に結果を出すことができ、安全なコードを書きたいと思う力のある個人を生み出すことができるのです。開発責任者であれ、CISOやCTOであれ、あなたの上司が、開発者が安全なコードを書くことに興味を持ち、そのためのスキルを持つことを望まないわけがありません。
セキュリティへの理解がエンジニア全体のレベルアップにつながる
エンジニアは、ソフトウェアがどのように攻撃されやすいかを理解すると、そのことを念頭に置いて仕事をするようになります。
それだけでなく、質の低いコードにはソフトウェアの脆弱性が含まれている可能性が高く、開発者が知らず知らずのうちにそのコードに脆弱性を混入させてしまうこともあります。なぜか?なぜなら、開発者の仕事の多くは、コードを読み、変更することだからです。コードが不完全に構成されていたり、お粗末なロジックが使われていたりすると、それらの作業に時間がかかり、何かを変更して誤って重大なセキュリティバグを混入させてしまうことになるのです。
セキュリティへの理解があり、問題を回避する方法がわかっていれば、コードの全体的な品質や、偶然に簡単にバグが発生しないような書き方についても真剣に考えるようになります。セキュリティトレーニングはWin-Winの関係です。開発者は、安全なコーディングについて学ぶだけでなく、その間に優れたエンジニアになることができるのです。
数には力がある
セキュアコーディング(learning platform )を採用するためにリーダーから賛同を得るためのもう一つの優れた戦術は、同僚に協力してもらうことです。セキュリティの知識を高めることに関心のある開発者が多ければ多いほど、経営陣やC-suiteに投資をするよう説得することが容易になります。
では、どうすればいいのでしょうか?ほとんどの開発者が、セキュリティを向上させる必要性を理解し、学びたいと思っていることを考えると、それほど難しいことではないはずです。secure code warrior の開発者向けショーケースを見て、私たちの製品を少しだけ見て、安全なコーディングスキルを試してみることもできます。安全でないコードがもたらす影響を目の当たりにし、セキュリティを学ぶことが楽しいことだと知れば、もっと学びたいという気持ちになるでしょう。
適切なツールを採用した後は、健全な競争によって開発者の意欲を高めるのがよいでしょう。まずは、tournament でトレーニングプログラムを開始してみてください。
Nelnetが社内にセキュリティ文化を築くためにtournaments を使ってどのように工夫したかをご覧ください。
継続的なセキュリティトレーニングが望ましい企業文化を促進する
トレーニングが退屈なものである必要はありませんし、そうあるべきだと思います。講義には費用がかかり、特に分散したチームでは開催するのが難しく、そこから多くのことを得られる可能性が低いことはわかっています。しかし、企業は開発者にセキュアコーディングのトレーニングを提供し続けており、それは毎年のコンプライアンスのためにボックスをチェックするだけのものです。現状を維持するだけではもはや十分ではありません。今こそ、開発マネージャとAppSecが協力して、継続的で魅力的な学習を促進するトレーニングツールを導入し、ゲームをステップアップする時です。そのためには、まず意思決定者を納得させることから始めなければなりません。
実践的なトレーニングを継続的に行う必要があるのには、さまざまな理由があります。サイバーセキュリティの脅威は常に進化しているため、その脅威に対抗するためのトレーニングも継続的に行われるのは当然のことなのです。それだけでなく、前述したように、リアルタイムに学ぶことで、学んだことをより定着させることができます。セキュリティを考慮したコーディングを行うことは困難です。なぜなら、開発者が約1年前に文脈を無視してスライドショーから学んだことを思い出すことを期待するのは現実的ではないからです。しかし、あるソフトウェアの脆弱性が報告された瞬間に、その脆弱性を回避する方法を学び、同時にゲームをしているような気分になれるとしたら、それは全く新しいゲームになるでしょう。
実践的で適切なトレーニングが実施されると、セキュリティは企業文化の一部となり、もはや後回しにされることはありません。ソフトウェア開発のライフサイクルの最初から、開発プロセスに組み込まれているのです。
あなたは何を待っているのでしょうか?組織内のセキュリティを向上させ、企業や顧客の重要なデータを保護するための旅を始めましょう。開発者や上司の協力を得て、組織内の安全なコーディングを次のレベルに引き上げる。最初からセキュリティについて考えることで、何度も同じような脆弱性を経験することはありません。
もっとリソースが必要ですか?
Secure Code Warrior
Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
セキュアコーディングトレーニングに投資するよう上司を説得する方法
開発者であれ、QAであれ、エンジニアリング・リードであれ、あるいはAppSecの専門家であれ、何らかの形でソフトウェアを扱っていれば、セキュリティは仕事の一部であることは間違いありません。ソフトウェアの脆弱性を指摘するのはセキュリティチームの仕事ですし、そもそも欠陥のないコードを書くように最善を尽くすのは開発者の仕事です。しかし、これらの仕事をできる限り効率的かつ効果的に行うためには、アプリケーションが実行されるコードから始めて、すべての関係者がセキュリティの脅威に対して協力することが重要です。
しかし、セキュアコーディングを効果的に学び、その知識を維持することは、本質的に難しいことのように思われがちです。適切なツールがあれば、その必要はありません。しかし、適切なトレーニングに投資することをステークホルダーや上司に納得させるのは、必ずしも容易ではありません。トレーニングは、コンプライアンス上の問題を解決するためだけに選択されることが多く、開発者の日常業務とは無関係であることが多いのです。しかし、もし開発者がリアルタイムで、自分が日常的に使用している言語やフレームワークを使って、楽しみながらセキュリティについて学ぶことができたらどうでしょうか?そして、その上、さらに組織は同時に業界標準に準拠することができます。
私たちはあなたを応援します。ここでは、開発者に焦点を当てたセキュリティ・コーディング・トレーニング・プログラムに賛同してもらうために、組織内の同僚、リーダー、最終的な意思決定者から忠誠心を得るための戦略を紹介します。
ソフトウェアの脆弱性を最初から回避することで、計り知れないほどの時間と費用を節約できる
繰り返されるセキュリティ問題の発見、報告、修正に多くの時間を費やしていませんか?それはあなただけではありません。
次のようなシナリオを想像してみてください。AppSecが脆弱性を発見して開発に報告すると、開発者は関連するトレーニングレッスンに参加し、その欠陥を修正する方法だけでなく、将来同じ過ちを犯さないようにする方法を学びます。その結果はどうなると思いますか?その開発者は、関連性のあるそのレッスンを覚えている可能性が高く、同じミスを繰り返す可能性は低くなります。つまり、あなたがセキュリティチームで働いている場合、その開発者が知らずに再びその脆弱性を作る可能性が1人減り、同じ開発者が戻って再び修正しなければならない可能性が1人減るということです。
お客様であるContrast Security社のビデオでは、同社の開発チームにとってリアルタイムのトレーニングがいかに強力であるかが紹介されています。
もし、すべての開発者が定期的なセキュアコードトレーニングに参加し、セキュリティ問題をリアルタイムで学べるツールを手に入れたとしたら、素晴らしいソフトウェアを作成したり、セキュリティプログラムに取り組んだりするために取り戻せる時間は計り知れないものになるでしょう。このようなツールに投資することは、あなたの組織にとってかなり良いことだと思いませんか?
もし、あなたがセキュリティのスキルアップのために使いたいと思う素晴らしいツールを見つけたら、次のようなことが考えられます。 Secure Code Warriorこれは、あなたの組織内のCISOやCTOに売り込むための素晴らしい議論です。
権限を与えられた開発者は、より良い結果をもたらし、彼らはより幸せになります。
経営陣にとって、時間とお金はもちろん重要ですが、仕事の満足度も重要です。満足度の高い社員は、より良い結果をもたらし、仕事を長く続け、ポジティブな職場環境に貢献します。だからこそ、キャリア形成やトレーニングは、コストではなく投資なのです。そして、そのトレーニングが実際に楽しく、関連性のあることを教えてくれるとしたら?それこそが、成功への金字塔なのです。
素晴らしいことに、開発者は自分の仕事にとってセキュリティがいかに重要であるかを知っているため、一般的にセキュリティを学ぶことに高いモチベーションを持っています。私たちは、Evans Data Corporationとの共同研究で、世界中の開発者を対象に調査を行い、開発者がセキュリティを学びたい理由を明らかにしました。
- 生産性や効率性が向上する
- 好奇心旺盛で、個人的に興味を持って学んでいる
- 安全でないコードに起因する問題を回避したい。
- キャリアアップの可能性があると理解している
- 人的資源をより効率的に活用することができる
唯一の問題は、ほとんどの安全なコーディングトレーニングが彼らを失望させていることです。日々の仕事とは関係がなく、正直言って退屈なのです。これらの特徴は、情報の保持と実際の学習という点で、通常は良い結果をもたらさない。しかし、learning platform が開発者中心で、楽しく、魅力的で、仕事に関連したものであれば、実際に結果を出すことができ、安全なコードを書きたいと思う力のある個人を生み出すことができるのです。開発責任者であれ、CISOやCTOであれ、あなたの上司が、開発者が安全なコードを書くことに興味を持ち、そのためのスキルを持つことを望まないわけがありません。
セキュリティへの理解がエンジニア全体のレベルアップにつながる
エンジニアは、ソフトウェアがどのように攻撃されやすいかを理解すると、そのことを念頭に置いて仕事をするようになります。
それだけでなく、質の低いコードにはソフトウェアの脆弱性が含まれている可能性が高く、開発者が知らず知らずのうちにそのコードに脆弱性を混入させてしまうこともあります。なぜか?なぜなら、開発者の仕事の多くは、コードを読み、変更することだからです。コードが不完全に構成されていたり、お粗末なロジックが使われていたりすると、それらの作業に時間がかかり、何かを変更して誤って重大なセキュリティバグを混入させてしまうことになるのです。
セキュリティへの理解があり、問題を回避する方法がわかっていれば、コードの全体的な品質や、偶然に簡単にバグが発生しないような書き方についても真剣に考えるようになります。セキュリティトレーニングはWin-Winの関係です。開発者は、安全なコーディングについて学ぶだけでなく、その間に優れたエンジニアになることができるのです。
数には力がある
セキュアコーディング(learning platform )を採用するためにリーダーから賛同を得るためのもう一つの優れた戦術は、同僚に協力してもらうことです。セキュリティの知識を高めることに関心のある開発者が多ければ多いほど、経営陣やC-suiteに投資をするよう説得することが容易になります。
では、どうすればいいのでしょうか?ほとんどの開発者が、セキュリティを向上させる必要性を理解し、学びたいと思っていることを考えると、それほど難しいことではないはずです。secure code warrior の開発者向けショーケースを見て、私たちの製品を少しだけ見て、安全なコーディングスキルを試してみることもできます。安全でないコードがもたらす影響を目の当たりにし、セキュリティを学ぶことが楽しいことだと知れば、もっと学びたいという気持ちになるでしょう。
適切なツールを採用した後は、健全な競争によって開発者の意欲を高めるのがよいでしょう。まずは、tournament でトレーニングプログラムを開始してみてください。
Nelnetが社内にセキュリティ文化を築くためにtournaments を使ってどのように工夫したかをご覧ください。
継続的なセキュリティトレーニングが望ましい企業文化を促進する
トレーニングが退屈なものである必要はありませんし、そうあるべきだと思います。講義には費用がかかり、特に分散したチームでは開催するのが難しく、そこから多くのことを得られる可能性が低いことはわかっています。しかし、企業は開発者にセキュアコーディングのトレーニングを提供し続けており、それは毎年のコンプライアンスのためにボックスをチェックするだけのものです。現状を維持するだけではもはや十分ではありません。今こそ、開発マネージャとAppSecが協力して、継続的で魅力的な学習を促進するトレーニングツールを導入し、ゲームをステップアップする時です。そのためには、まず意思決定者を納得させることから始めなければなりません。
実践的なトレーニングを継続的に行う必要があるのには、さまざまな理由があります。サイバーセキュリティの脅威は常に進化しているため、その脅威に対抗するためのトレーニングも継続的に行われるのは当然のことなのです。それだけでなく、前述したように、リアルタイムに学ぶことで、学んだことをより定着させることができます。セキュリティを考慮したコーディングを行うことは困難です。なぜなら、開発者が約1年前に文脈を無視してスライドショーから学んだことを思い出すことを期待するのは現実的ではないからです。しかし、あるソフトウェアの脆弱性が報告された瞬間に、その脆弱性を回避する方法を学び、同時にゲームをしているような気分になれるとしたら、それは全く新しいゲームになるでしょう。
実践的で適切なトレーニングが実施されると、セキュリティは企業文化の一部となり、もはや後回しにされることはありません。ソフトウェア開発のライフサイクルの最初から、開発プロセスに組み込まれているのです。
あなたは何を待っているのでしょうか?組織内のセキュリティを向上させ、企業や顧客の重要なデータを保護するための旅を始めましょう。開発者や上司の協力を得て、組織内の安全なコーディングを次のレベルに引き上げる。最初からセキュリティについて考えることで、何度も同じような脆弱性を経験することはありません。
