開発者向けセキュリティトレーニングを効果的に展開する方法:5つの重要な教訓

2017年10月04日発行
ピーテル・ダンヒョウ著
ケーススタディ

開発者向けセキュリティトレーニングを効果的に展開する方法:5つの重要な教訓

2017年10月04日発行
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

なぜ、ある開発者のアプリケーション・セキュリティ・トレーニング・プログラムは、他のプログラムよりも良い結果をもたらすのでしょうか?

SANSのトレーナーとしての10年以上の経験と、Secure Code Warrior (SCW)を設立して構築したこの3年間で、トレーニングプログラムが最高の結果を生むために時間とリソースを投資することの価値を実感しました。

販売開始から1年で、当社は1万人以上の開発者をセキュアコードトレーニングに参加させましたが、最も効果的な展開をした開発者の間で、いくつかの傾向があることに気づきました。彼らの結果は心温まるものでした。素晴らしいエンゲージメント、セキュリティ意識の向上、そして高額になる前にセキュリティの弱点を早期に発見することによるプログラムの強いROIです。

認めたくはありませんが、「労力をかけない」アプローチで、トレーニングへのリンクを記載したメールを送ってプログラムを展開しようとした人も少なからずいたようです。驚くことではありませんが、これではうまくいかず、私たちはこれらの展開を修正しなければなりませんでした。

ここでは、私たちを含めた開発者向けセキュリティトレーニングプログラムの参加レベル、インパクト、成功率を大幅に向上させる5つの重要な教訓を紹介します。

1.インパクトのあるプログラムにするには、キックオフに楽しさを入れる

キックオフの日に特別なイベントを用意したり、プログラムに映画やゲームなどのテーマを与えることで、最初からの盛り上がりや参加率に大きな違いが生まれます。ある大企業のお客様は、人気テレビシリーズをテーマにしたファンタジーなプログラムを作り、Tシャツやバッジ、ステッカーなどを用意して、開発者にとって見逃せない体験となるようなトレーニングプログラムにしました。また、スター・ウォーズをテーマにしたイベントを5月4日に開催しました。ちょっとした遊び心があれば、社員のモチベーションも上がりますし、短時間での重要な開発者向けセキュア・コード・スキル・トレーニングも、やらなければならない仕事の一つではなく、仕事の合間に行うような感覚になります。マイルストーン1は達成されました。私たちは社員の注目を集め、彼らはこのプログラムについて知っています。

2.適切な開発者のセキュリティトレーニングチャンピオンを見つける(ヒント:セキュリティスキルよりもコミュニケーションスキルが必要です

各スクラムチームに適切なセキュリティチャンピオンを見つけられるかどうかは、特に大規模な組織において、プログラムを継続的に成功させるために重要である。私の経験では、高度に熟練したセキュリティや開発者の専門家が、高度に発達した人間力やコミュニケーション・スキルを持っているとは限らない。プログラムに継続的な効果をもたらす最高のセキュリティ・チャンピオンは、セキュリティに情熱を持ち、強力な人間力、影響力、コミュニケーション・スキルを持つ人である。性格やコミュニケーション能力を考慮して、賢く選んでください。

3.スキルを評価するクールな報酬を用意する

一般的に、開発者を含むすべてのコンピュータオタクは、自分の知性やスキルを認められたいと思っています。自分のスキルを認めてもらうために、特別なステータスシールやマニアックなガジェット、特別なバッジ、カスタムプリントのTシャツなどをプレゼントすれば、彼らはそれを誇りを持って身につけたり飾ったりするでしょう。トレーニングプログラムの中で何か重要なことを成し遂げた人がいたら、その人を評価し、露出させる方法を考えることが大切です。あるお客様は、Secure Code Warrior チャンピオンの写真を定期的に撮影し、その写真とCISOからのメッセージを社員向けのニュースレターに掲載するという素晴らしい取り組みをされています。

4.開発者をセキュリティの専門家にしようとしないこと

開発者が安全なコードを書けるようにすることで、開発者をセキュリティ・プログラムの「第一防衛ライン」にしたいと考えていますが、だからといって、開発者をビジネスにおける最も詳細なセキュリティの専門家にする必要はありませんし、新しいセキュリティの脆弱性やデータ侵害の事例を継続的に紹介する必要もありません。セキュリティは重要ですが、彼らの主な目的は、優れた製品やサービスを構築し、ビジネスのペースに従うことです。あまりにも多くのセキュリティを盛り込みすぎると、彼らの関心を引いてしまう危険性があります。主な教訓としては、基本的なセキュリティ衛生を理解し、安全なコーディングを行うためのツールを提供する必要がありますが、会社のセキュリティ専門家になる必要はありません。

5.トレーニングを測定するのではなく、インパクトを測定する

開発者が何時間のトレーニングを受けたか、何本のビデオを見たかではなく、各チームでプログラムを開始する前に、コード解析、バグバウンティ、あるいは古典的な脆弱性テストを通じて、開発ライフサイクルの中で発見された脆弱性の数を測定してください。 トレーニングプログラムが機能していれば、発見される脆弱性の数は減少するでしょう。次に測定すべきことは、脆弱性を修正するのにかかる時間です。開発者が脆弱性を修正するのに1ヶ月かかる場合、彼らがその方法を理解していないことを明確に示していますが、1時間で修正できる場合は、彼らがスキルを習得していることを示しています。これらの2つの指標は、賢い企業が開発者向けのセキュアコーディングトレーニングの効果を測るために採用しているものです。

開発者向けセキュリティトレーニングを効果的に展開するための5つの重要な教訓。

  1. インパクトのあるプログラムにするためには、キックオフに楽しさを盛り込む必要があります。
  2. 開発者に適したセキュリティ・トレーニング・チャンピオンを見つける(ヒント:セキュリティ・スキルよりもコミュニケーション・スキルが必要!)。
  3. スキルを評価するクールなリワードを用意
  4. 開発者をセキュリティの専門家にしようとするな
  5. トレーニングを測るのではなく、インパクトを測る
リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

開発者向けセキュリティトレーニングを効果的に展開する方法:5つの重要な教訓

2017年10月04日発行
Pieter Danhieux著

なぜ、ある開発者のアプリケーション・セキュリティ・トレーニング・プログラムは、他のプログラムよりも良い結果をもたらすのでしょうか?

SANSのトレーナーとしての10年以上の経験と、Secure Code Warrior (SCW)を設立して構築したこの3年間で、トレーニングプログラムが最高の結果を生むために時間とリソースを投資することの価値を実感しました。

販売開始から1年で、当社は1万人以上の開発者をセキュアコードトレーニングに参加させましたが、最も効果的な展開をした開発者の間で、いくつかの傾向があることに気づきました。彼らの結果は心温まるものでした。素晴らしいエンゲージメント、セキュリティ意識の向上、そして高額になる前にセキュリティの弱点を早期に発見することによるプログラムの強いROIです。

認めたくはありませんが、「労力をかけない」アプローチで、トレーニングへのリンクを記載したメールを送ってプログラムを展開しようとした人も少なからずいたようです。驚くことではありませんが、これではうまくいかず、私たちはこれらの展開を修正しなければなりませんでした。

ここでは、私たちを含めた開発者向けセキュリティトレーニングプログラムの参加レベル、インパクト、成功率を大幅に向上させる5つの重要な教訓を紹介します。

1.インパクトのあるプログラムにするには、キックオフに楽しさを入れる

キックオフの日に特別なイベントを用意したり、プログラムに映画やゲームなどのテーマを与えることで、最初からの盛り上がりや参加率に大きな違いが生まれます。ある大企業のお客様は、人気テレビシリーズをテーマにしたファンタジーなプログラムを作り、Tシャツやバッジ、ステッカーなどを用意して、開発者にとって見逃せない体験となるようなトレーニングプログラムにしました。また、スター・ウォーズをテーマにしたイベントを5月4日に開催しました。ちょっとした遊び心があれば、社員のモチベーションも上がりますし、短時間での重要な開発者向けセキュア・コード・スキル・トレーニングも、やらなければならない仕事の一つではなく、仕事の合間に行うような感覚になります。マイルストーン1は達成されました。私たちは社員の注目を集め、彼らはこのプログラムについて知っています。

2.適切な開発者のセキュリティトレーニングチャンピオンを見つける(ヒント:セキュリティスキルよりもコミュニケーションスキルが必要です

各スクラムチームに適切なセキュリティチャンピオンを見つけられるかどうかは、特に大規模な組織において、プログラムを継続的に成功させるために重要である。私の経験では、高度に熟練したセキュリティや開発者の専門家が、高度に発達した人間力やコミュニケーション・スキルを持っているとは限らない。プログラムに継続的な効果をもたらす最高のセキュリティ・チャンピオンは、セキュリティに情熱を持ち、強力な人間力、影響力、コミュニケーション・スキルを持つ人である。性格やコミュニケーション能力を考慮して、賢く選んでください。

3.スキルを評価するクールな報酬を用意する

一般的に、開発者を含むすべてのコンピュータオタクは、自分の知性やスキルを認められたいと思っています。自分のスキルを認めてもらうために、特別なステータスシールやマニアックなガジェット、特別なバッジ、カスタムプリントのTシャツなどをプレゼントすれば、彼らはそれを誇りを持って身につけたり飾ったりするでしょう。トレーニングプログラムの中で何か重要なことを成し遂げた人がいたら、その人を評価し、露出させる方法を考えることが大切です。あるお客様は、Secure Code Warrior チャンピオンの写真を定期的に撮影し、その写真とCISOからのメッセージを社員向けのニュースレターに掲載するという素晴らしい取り組みをされています。

4.開発者をセキュリティの専門家にしようとしないこと

開発者が安全なコードを書けるようにすることで、開発者をセキュリティ・プログラムの「第一防衛ライン」にしたいと考えていますが、だからといって、開発者をビジネスにおける最も詳細なセキュリティの専門家にする必要はありませんし、新しいセキュリティの脆弱性やデータ侵害の事例を継続的に紹介する必要もありません。セキュリティは重要ですが、彼らの主な目的は、優れた製品やサービスを構築し、ビジネスのペースに従うことです。あまりにも多くのセキュリティを盛り込みすぎると、彼らの関心を引いてしまう危険性があります。主な教訓としては、基本的なセキュリティ衛生を理解し、安全なコーディングを行うためのツールを提供する必要がありますが、会社のセキュリティ専門家になる必要はありません。

5.トレーニングを測定するのではなく、インパクトを測定する

開発者が何時間のトレーニングを受けたか、何本のビデオを見たかではなく、各チームでプログラムを開始する前に、コード解析、バグバウンティ、あるいは古典的な脆弱性テストを通じて、開発ライフサイクルの中で発見された脆弱性の数を測定してください。 トレーニングプログラムが機能していれば、発見される脆弱性の数は減少するでしょう。次に測定すべきことは、脆弱性を修正するのにかかる時間です。開発者が脆弱性を修正するのに1ヶ月かかる場合、彼らがその方法を理解していないことを明確に示していますが、1時間で修正できる場合は、彼らがスキルを習得していることを示しています。これらの2つの指標は、賢い企業が開発者向けのセキュアコーディングトレーニングの効果を測るために採用しているものです。

開発者向けセキュリティトレーニングを効果的に展開するための5つの重要な教訓。

  1. インパクトのあるプログラムにするためには、キックオフに楽しさを盛り込む必要があります。
  2. 開発者に適したセキュリティ・トレーニング・チャンピオンを見つける(ヒント:セキュリティ・スキルよりもコミュニケーション・スキルが必要!)。
  3. スキルを評価するクールなリワードを用意
  4. 開発者をセキュリティの専門家にしようとするな
  5. トレーニングを測るのではなく、インパクトを測る

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。