申し訳ありませんが、悪い知らせをお伝えしなければなりません。
伝統的なトレーニングは死んだ。
まあ、そうではないのですが...でも、おそらくそうすべきでしょう。何度も何度も、何か新しいことを学んだり、コンプライアンス上の課題をクリアしたり、再教育を受けたりするために、大勢の人を教室に押し込むことは、人が教育を受ける上で最も効果的でない方法のひとつであることが研究によって示されてきました。そして、企業研修に関しては、この統計は改善されません。ハーバード・ビジネス・レビュー』誌は、大企業の新入社員に対するクラスルームトレーニングの効果に関する研究を発表し、この学習方法が新入社員をスピードアップさせ、生産性を高めるまでに平均8〜12カ月かかることを明らかにした。これは、人のスキルを十分に活用するのに非常に長い時間です(新入社員であれば、快適に過ごすのにも長い時間がかかります)。最近では、ほとんどの企業にそのような時間はありません。必然的に、手抜きをしたり、必要なトレーニングを受けられなかったり、企業はもっと早くに得られたはずの多くの価値を失ってしまいます。
多くの企業では、会社のベストプラクティスや新しい取り組みを優秀な人材に理解してもらうために、いまだに教室や乾いたテキスト、退屈なビデオトレーニングに頼っていることには、本当に頭が下がります。特に、もっと良い方法、もっと魅力的な方法、そしてもっと価値のある方法があるというのに。私たち人間は、新しいアイデアやプロセスを実際に体験することで、情報をよりよく記憶することができるのです。
さて、開発者といえば...私たちは特別な存在です。私自身の開発者としての経験からすると、従来のトレーニングは私の世界を刺激するものではありません。開発者は、創造的で機知に富んだ問題解決者であり、新しい情報を学ぼうとするときに、教室で講義を受けたり、しゃべっている人のビデオを延々と見たりするよりも、ツールを使うことを好む傾向があります。開発者はコードに含まれる一般的な脆弱性に対処できず、AppSecの専門家は簡単に修正できる同じ問題に何度も直面して泣いているのです。これらのチーム間の関係は緊迫しており、開発者には、安全な開発のベストプラクティスに従事するための適切なツールやトレーニングが与えられていません。彼らの主な目的は機能構築ですが、すべての企業でサイバーリスクが急速に増加している今、私たちにはこれ以上、セキュリティの知識を無視したり、優先順位を下げたりする余裕はありません。
そして何よりも素晴らしいのは開発者がセキュリティを意識すれば、一般的な脆弱性は消えていきます。後発のバグを修正するためのコストとともに、リスクも減少します。
では、コンテクスト・トレーニングで開発者を惹きつけるとは、具体的にどのようなことなのでしょうか。
実例はとんでもない威力を発揮します。
もし私たちがYouTubeのビデオを見て運転を学ばなければならないとしたらどうでしょう。車がどのように動くのか、どのような流れで道を進むのかなど、大まかなことはわかりますが、実際に車に乗って試してみないと、うまく運転できるようになるのは事実上不可能です。
文脈に沿ったトレーニングは、教えられることに対して生徒が運転席に座ることができるという点で、非常に価値があります。何かを学ぶときに現実世界の状況があれば、学習ははるかに魅力的で意味のあるものになります。
安全なコーディングを考えると、誰でもビデオを見てSQLインジェクションの基本を理解することができますが、締め切りが迫っていたり、機能の提供を優先したりすると、実際に問題を解決するための細かい作業は忘れられがちです。しかし、トレーニングの一環として、実際のコード例を確認し、インジェクションを特定して修正することができれば、一方的な情報を記憶するよりも、開発者の日常業務にはるかに近いものとなります。また、開発者にとっても、自分が普段書いているコードと似たようなものを見れば、立ち上がって注意を払うようになります。
プラットフォーム上で Secure Code Warriorこのプラットフォームでは、セキュアなコードトレーニングをゲーム化し、複数の言語とフレームワークでさまざまな課題を提供しています。このシステムは繰り返しプレイすることを可能にし、最も重要なことは、真の文脈的学習のための適切な環境を提供するために即座にカスタマイズできることです。
最も有用な時に知識を提供する
文脈学習理論によると、効果的な学習は、学生が新しい情報や知識を、それぞれの参照枠の中で理解できるように処理したときにのみ起こるとされています。
開発者が、バグバウンティプログラム、SASTツール、あるいはバグトラッキングソフトウェアから、セキュリティ脆弱性のリストを受け取ったとします。これまでにこれらの脆弱性に出会ったことがなければ、開発者は当惑し、圧倒されるかもしれません。さらに悪いことに、ほとんどのレポートはアプリケーションセキュリティの専門家向けに作成されており、開発者向けではありません。レポートに記載されている情報は解析が難しく、開発者には直接適用できない一般的なアドバイスが含まれていることが多いのです。
最近では、バグバウンティプログラム、SASTツール、バグトラッキングソフトウェア、ペネトレーションテストのレポートなどから、脆弱性に関するハンズオントレーニングに直接ディープリンクする機能を追加しました。開発者は、すぐに基本を理解し、特定のフレームワークのための優れたコーディングレシピを学ぶことができます。
このようにして学習することで、開発者は最も適切なタイミングでコンセプトに関する知識やトレーニングを受けることができ、その情報を長期的に維持することができるようになります。
より早い結果、より少ない混乱、より幸せなキャンパー。
どんなトレーニングでも、一般的なものを仕事に応用しようとするよりも、日々の活動に即したもののほうがはるかに効果的です。勉強モード」で過ごす時間が減りますし、最悪の場合、何か答えが必要なときに、すでに「学んだ」ことに立ち返らなければならないこともありません。
コンテクスチュアル・トレーニングの原則の一つは、知識を積み重ねることで、トレーニングの各要素が前の要素に追加され、参加者に習得への道筋を与える段階的なプロセスを可能にすることです。これもまた、私たちのプラットフォームでサポートしていることのひとつです。誰もが最初は白帯からスタートし、必要な時間のトレーニングとtournament の参加を経て、憧れの黒帯、つまり「セキュリティ・チャンピオン」のレベルに到達します。これは、実際の価値と実用性を備えた楽しいアプローチです。
優秀な人材を確保し、セキュリティ意識を持ち続けたいと思いませんか?そのためには、成功するためのツールを提供しましょう。
残念なことに、現在、セキュリティに精通した開発者やアプリケーションセキュリティの専門家は、希少価値の高い(しかし重要な)リソースとなっています。また、彼らを確保するのが難しいことでも知られています。
Cybrary社は、2018年に3100人のIT・セキュリティ専門家を対象とした調査を実施し、価値ある社員を維持するための重要な要素は、彼らのトレーニングに投資することであることを明らかにしました。その調査結果によると、社内のセキュリティスキルを育成するためのツールやトレーニングを提供している企業は、そうでない企業に比べてセキュリティのプロを60%以上維持することができ、なんと65%の回答者がそのトレーニングがハンズオンであることを好んでいたのです。すばらしいことですね。
しかし、今回の調査結果では、かなり憂慮すべき事実も明らかになりました。回答者の80%が、サイバー脅威から組織を守るための十分な準備ができていないと感じているのです。このような脅威がなくなることはありません。そして、コストのかかるデータ漏洩や攻撃のリスクが高まっていることに対処するために、適切なトレーニングがこれまで以上に必要とされています。私は偏見を持っているかもしれませんが、Secure Code Warrior のプラットフォームは、積極的なセキュリティ文化に火をつけ、開発者が好む文脈に沿ったトレーニングで開発者をスキルアップさせ、サポートし、組織を悪者から守るために必要なツールとなるでしょう。デモをリクエストしていただければ、より詳しくご説明いたします。