セキュアコードトレーニングがうまくいかない理由(そしてその対策

2021年04月08日掲載
でSecure Code Warrior
ケーススタディ

セキュアコードトレーニングがうまくいかない理由(そしてその対策

2021年04月08日掲載
でSecure Code Warrior
リソースを見る
リソースを見る

つまらない、つまらない、つまらない!」。セキュアコードのトレーニングについて言及されると、開発者からはこのような声が聞かれます。Secure Code Warrior では、もっと良い方法があるはずだと考え、Evans Data Corp.の協力を得て、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者の意識について一次調査を行いました(ホワイトペーパーはこちらからダウンロードできます)。 こちら).

もうすぐ発売されるShifting from reaction to prevention:The changing face of application security」では、開発者に現行のセキュアコードトレーニングの主な問題点を尋ねたところ、その答えが明らかになりました。

開発者を挫折させるトレーニング

現在、企業が提供しているセキュアコードのトレーニングは役に立たない。
現在、企業が提供しているセキュアコードのトレーニングは、実践的ではなく、業務に即したものではないと考えられています。

調査対象となった開発者の40%は、安全なコーディングが漠然と教えられていると感じていました。また、別の40%の開発者は、トレーニングが理論的すぎたり、業務に関連していなかったり、十分に「実践的」ではないと感じていました。また、30%の開発者は、日常的に使用している言語やフレームワークに関するトレーニングが不足していると回答しています。これは、現在の安全なコードのトレーニングが、文脈的に無関係であり、開発者が日常的に行っていることとは意味のない関係にあるということを物語っているので、深刻です。 

多くの開発者にとって、主な課題は、効果的でもなく、セキュリティを最優先に考えるきっかけにもならない、退屈で手のかからない作業中に眠らないことです。

漠然としたトレーニングでは、開発者は実験室と実世界の間の認知的なリンクを作ることができません。

開発者がセキュアコードトレーニングに求める3つのこと。 

  1. 開発者は、より実践的で、日常業務に即したトレーニングを求めているという意見が圧倒的に多い。 
  2. 65%の開発者が、言語固有の脆弱性やOWASP Top 10について、より多くのトレーニングが必要だと回答しています。 
  3. 調査対象となった開発者の75%は、体系的なOJTを希望しています。 

開発者を引き上げるトレーニング

OJTでは、開発者はある程度の経験と既存の知識を持っています。そのため、「足場のある」学習が必要となります。これは、開発者がすでに知っていることを土台にして、構造化されたトレーニング、つまり足場を組んだトレーニングです。足場付きの教育は、それまでの経験を活性化し、強化すると同時に、一口サイズの新しいスキルを構築し続けます。そのため、現場での学習に最適な手段と言えます。

定着力のあるスキルを身につける

開発者向けのセキュリティトレーニングでは、開発者は理論に基づいた静的な学習よりも、実際にやってみることで学ぶ方法を好むことがわかっています。その意味で、関連性の高い、文脈に沿った環境で安全なコーディングを学ぶことは重要です。Secure Code Warrior は、安全なコーディングに変革をもたらすものとして、開発者が実社会で直面する課題を模した、関連するプログラミング言語やフレームワークの文脈に沿った実践的な教育を提供しています。学習コンテンツには、5,500以上の課題が含まれており、重要なOWASPトップ10、OWASPモバイルトップ10、OWASP APIセキュリティトップ10、CWE/SANSトップ25を含む147種類以上の異なる脆弱性をカバーするmissions 。 

あなたのチームや、安全なコードをより早く提供する能力への潜在的な影響を確認したい場合は デモを予約する今すぐご連絡ください。


リソースを見る
リソースを見る

著者

Secure Code Warrior

Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

セキュアコードトレーニングがうまくいかない理由(そしてその対策

2021年04月08日掲載
BySecure Code Warrior

つまらない、つまらない、つまらない!」。セキュアコードのトレーニングについて言及されると、開発者からはこのような声が聞かれます。Secure Code Warrior では、もっと良い方法があるはずだと考え、Evans Data Corp.の協力を得て、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者の意識について一次調査を行いました(ホワイトペーパーはこちらからダウンロードできます)。 こちら).

もうすぐ発売されるShifting from reaction to prevention:The changing face of application security」では、開発者に現行のセキュアコードトレーニングの主な問題点を尋ねたところ、その答えが明らかになりました。

開発者を挫折させるトレーニング

現在、企業が提供しているセキュアコードのトレーニングは役に立たない。
現在、企業が提供しているセキュアコードのトレーニングは、実践的ではなく、業務に即したものではないと考えられています。

調査対象となった開発者の40%は、安全なコーディングが漠然と教えられていると感じていました。また、別の40%の開発者は、トレーニングが理論的すぎたり、業務に関連していなかったり、十分に「実践的」ではないと感じていました。また、30%の開発者は、日常的に使用している言語やフレームワークに関するトレーニングが不足していると回答しています。これは、現在の安全なコードのトレーニングが、文脈的に無関係であり、開発者が日常的に行っていることとは意味のない関係にあるということを物語っているので、深刻です。 

多くの開発者にとって、主な課題は、効果的でもなく、セキュリティを最優先に考えるきっかけにもならない、退屈で手のかからない作業中に眠らないことです。

漠然としたトレーニングでは、開発者は実験室と実世界の間の認知的なリンクを作ることができません。

開発者がセキュアコードトレーニングに求める3つのこと。 

  1. 開発者は、より実践的で、日常業務に即したトレーニングを求めているという意見が圧倒的に多い。 
  2. 65%の開発者が、言語固有の脆弱性やOWASP Top 10について、より多くのトレーニングが必要だと回答しています。 
  3. 調査対象となった開発者の75%は、体系的なOJTを希望しています。 

開発者を引き上げるトレーニング

OJTでは、開発者はある程度の経験と既存の知識を持っています。そのため、「足場のある」学習が必要となります。これは、開発者がすでに知っていることを土台にして、構造化されたトレーニング、つまり足場を組んだトレーニングです。足場付きの教育は、それまでの経験を活性化し、強化すると同時に、一口サイズの新しいスキルを構築し続けます。そのため、現場での学習に最適な手段と言えます。

定着力のあるスキルを身につける

開発者向けのセキュリティトレーニングでは、開発者は理論に基づいた静的な学習よりも、実際にやってみることで学ぶ方法を好むことがわかっています。その意味で、関連性の高い、文脈に沿った環境で安全なコーディングを学ぶことは重要です。Secure Code Warrior は、安全なコーディングに変革をもたらすものとして、開発者が実社会で直面する課題を模した、関連するプログラミング言語やフレームワークの文脈に沿った実践的な教育を提供しています。学習コンテンツには、5,500以上の課題が含まれており、重要なOWASPトップ10、OWASPモバイルトップ10、OWASP APIセキュリティトップ10、CWE/SANSトップ25を含む147種類以上の異なる脆弱性をカバーするmissions 。 

あなたのチームや、安全なコードをより早く提供する能力への潜在的な影響を確認したい場合は デモを予約する今すぐご連絡ください。


弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。