開発者にはセキュアコーディングを学ぶ動機があるのに...なぜそうしないのか?
.png)
.png)
セキュアコーディングについて学ぶ際、開発者の主な動機は何でしょうか。また、アプリケーションセキュリティプログラムの設計と実装を成功させるために、それらをどのように活用できるでしょうか。2020年、Secure Code Warrior は、Evans Data Corp.と協力して、開発者のセキュアコーディングに対する態度、セキュアコードの実践、およびセキュリティ運用に関する一次調査を実施しました(ホワイトペーパーをダウンロードする こちら).
調査によると、開発者は安全なコードトレーニングに価値を見出していると言います。また、開発マネージャーの80%が、セキュア・コーディングのスキルを持つ開発者を採用する可能性が高いと答えています。では、このようなスキルが求められているにもかかわらず、なぜセキュリティトレーニングを受けた開発者が不足しているのでしょうか。
開発者のモチベーションの低さは、本質的な問題ではないようです。開発者はモチベーションが高く、セキュアコードトレーニングを学ぶモチベーションの源について尋ねたところ、次のように答えてくれました。
- 回答者の35%は、会社関連の懸念から
- 24%が個人的な理由で動機づけられた
- 41%は個人的な動機と会社の動機の両方を持っていました。
そして、もう少し掘り下げてみると、セキュアコードトレーニングを受ける個人的な動機付けのトップ5が見つかりました。
- 生産性・効率性の向上
- 好奇心・個人的な興味
- 安全でないコードに起因する問題の回避
- キャリアアップの可能性
- 人的資源の有効活用
会社を中心とした動機を考えると、開発者は安全なコードの実践を学ぶことで生産性が向上することを理解します。管理者は、安全なコードを実践することで、人的資源をより効率的に利用できるようになると考えます。また、地域によって動機は異なりますが、世界的に見れば、生産性と効率性の向上を求める気持ちは変わらないものです。
とはいえ、開発者が安全なコーディングを学ぼうとするのは、雇用者の要求などの外的要因によるものとは限らない。多くの場合、開発者は自らの意思で決断します。開発者は、自分が作ったものに関心を持ち、自分の仕事に誇りを持っています。それは、開発者が安全なコーディングを学ぶことに魅力を感じる理由のトップ4を見ても明らかです。25%の開発者が「自分の会社のために価値を生み出したい」と答えている一方で、同じ割合で「自分のコードの品質を高めたい」と答えています。他の人にとっては、職場での称賛、知名度、認知度が重要です。70%が、安全なコードが書かれていると、会社から認められると答えています。また、先に述べたように、開発マネージャーの80%は、セキュアなコーディングスキルを持つ開発者を採用する可能性が高いとしています。
開発者はやる気があるのに、なぜもっとエンゲージメントがないのか?
セキュリティスキルの高い開発者がこれほど評価され、学ぶ意欲があるならば、なぜ彼らはこれほど不足しているのでしょうか。
これまで見てきたように、開発者には安全なコーディングスキルを向上させたいという明確な理由がありますが、現在あるセキュリティトレーニングの多くには抵抗があります。また、トレーニングを受けようとする人もほとんどいません。今回の調査に基づき、私たちはその答えは比較的簡単だと考えています。現在提供されているセキュアコーディングのトレーニングは、開発者がそもそもセキュアコーディングに興味を持つような重要な要因に十分に対応していないため、不十分なのです。
それぞれの要素を見てみましょう。
価値と効率を高め、コードの品質を向上させるためには、開発者は、安全なコーディングを日常的なプロセスに組み込むトレーニングが必要です。開発者には、コードを書くときに、最初から脆弱性を特定して修正するスキルが必要です。最大限の関連性と即効性を持たせるためには、開発者が日常的に使用している特定の言語やフレームワークを使ってトレーニングを行う必要があります。
セキュアコーディングに変革をもたらす者として、Secure Code Warrior は、セキュアコーディングを開発者にとってポジティブで魅力的な体験にします。私たちは、開発者が学びたいと思うような方法でトレーニングを提供しなければならないと考えています。そのためには、「ハンズオンで、インタラクティブで、仕事に関連したシミュレーションやチャレンジを行い、参加者が最初からコードにセキュリティ機能を組み込むように仕向ける」ことが必要です。この高度にインタラクティブな開発者中心のトレーニング手法は、開発者の学習意欲をアプリケーション・セキュリティ・プログラムの中心に据えます。このトレーニングがどのように行われるかを知りたい方は、今すぐデモを予約してください。
Secure Code Warrior
Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
開発者にはセキュアコーディングを学ぶ動機があるのに...なぜそうしないのか?
セキュアコーディングについて学ぶ際、開発者の主な動機は何でしょうか。また、アプリケーションセキュリティプログラムの設計と実装を成功させるために、それらをどのように活用できるでしょうか。2020年、Secure Code Warrior は、Evans Data Corp.と協力して、開発者のセキュアコーディングに対する態度、セキュアコードの実践、およびセキュリティ運用に関する一次調査を実施しました(ホワイトペーパーをダウンロードする こちら).
調査によると、開発者は安全なコードトレーニングに価値を見出していると言います。また、開発マネージャーの80%が、セキュア・コーディングのスキルを持つ開発者を採用する可能性が高いと答えています。では、このようなスキルが求められているにもかかわらず、なぜセキュリティトレーニングを受けた開発者が不足しているのでしょうか。
開発者のモチベーションの低さは、本質的な問題ではないようです。開発者はモチベーションが高く、セキュアコードトレーニングを学ぶモチベーションの源について尋ねたところ、次のように答えてくれました。
- 回答者の35%は、会社関連の懸念から
- 24%が個人的な理由で動機づけられた
- 41%は個人的な動機と会社の動機の両方を持っていました。
そして、もう少し掘り下げてみると、セキュアコードトレーニングを受ける個人的な動機付けのトップ5が見つかりました。
- 生産性・効率性の向上
- 好奇心・個人的な興味
- 安全でないコードに起因する問題の回避
- キャリアアップの可能性
- 人的資源の有効活用
会社を中心とした動機を考えると、開発者は安全なコードの実践を学ぶことで生産性が向上することを理解します。管理者は、安全なコードを実践することで、人的資源をより効率的に利用できるようになると考えます。また、地域によって動機は異なりますが、世界的に見れば、生産性と効率性の向上を求める気持ちは変わらないものです。
とはいえ、開発者が安全なコーディングを学ぼうとするのは、雇用者の要求などの外的要因によるものとは限らない。多くの場合、開発者は自らの意思で決断します。開発者は、自分が作ったものに関心を持ち、自分の仕事に誇りを持っています。それは、開発者が安全なコーディングを学ぶことに魅力を感じる理由のトップ4を見ても明らかです。25%の開発者が「自分の会社のために価値を生み出したい」と答えている一方で、同じ割合で「自分のコードの品質を高めたい」と答えています。他の人にとっては、職場での称賛、知名度、認知度が重要です。70%が、安全なコードが書かれていると、会社から認められると答えています。また、先に述べたように、開発マネージャーの80%は、セキュアなコーディングスキルを持つ開発者を採用する可能性が高いとしています。
開発者はやる気があるのに、なぜもっとエンゲージメントがないのか?
セキュリティスキルの高い開発者がこれほど評価され、学ぶ意欲があるならば、なぜ彼らはこれほど不足しているのでしょうか。
これまで見てきたように、開発者には安全なコーディングスキルを向上させたいという明確な理由がありますが、現在あるセキュリティトレーニングの多くには抵抗があります。また、トレーニングを受けようとする人もほとんどいません。今回の調査に基づき、私たちはその答えは比較的簡単だと考えています。現在提供されているセキュアコーディングのトレーニングは、開発者がそもそもセキュアコーディングに興味を持つような重要な要因に十分に対応していないため、不十分なのです。
それぞれの要素を見てみましょう。
価値と効率を高め、コードの品質を向上させるためには、開発者は、安全なコーディングを日常的なプロセスに組み込むトレーニングが必要です。開発者には、コードを書くときに、最初から脆弱性を特定して修正するスキルが必要です。最大限の関連性と即効性を持たせるためには、開発者が日常的に使用している特定の言語やフレームワークを使ってトレーニングを行う必要があります。
セキュアコーディングに変革をもたらす者として、Secure Code Warrior は、セキュアコーディングを開発者にとってポジティブで魅力的な体験にします。私たちは、開発者が学びたいと思うような方法でトレーニングを提供しなければならないと考えています。そのためには、「ハンズオンで、インタラクティブで、仕事に関連したシミュレーションやチャレンジを行い、参加者が最初からコードにセキュリティ機能を組み込むように仕向ける」ことが必要です。この高度にインタラクティブな開発者中心のトレーニング手法は、開発者の学習意欲をアプリケーション・セキュリティ・プログラムの中心に据えます。このトレーニングがどのように行われるかを知りたい方は、今すぐデモを予約してください。
