なぜ枠組み学習が安全意識の高い開発者を育成するのか
技術ニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険なものになっているかがすぐに明らかになります。深刻な侵害、新たなセキュリティホール、あるいはサイバー攻撃者や犯罪者による活発な悪用の深刻な危険性に関する報告が、毎日のように報じられているようです。 そしてほぼ全ての業界指標や報告書が、サイバー脅威の危険な増加傾向を示しており、ほとんどの専門家はこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に対して、疲弊し人員不足のITセキュリティ担当者が最前線に配置されている。彼らは高給を得ており、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、すべての組織に対応できる十分なセキュリティ要員は常に不足している。 戦略国際問題研究所(CSIS)の最新調査によると、IT意思決定者の82%が自社のサイバーセキュリティスキル不足を認めており、71%がその不足が企業に直接的かつ測定可能な損害をもたらしたと回答している。 米国だけでも、同報告書は、約94万人の従業員しか雇用されていない分野において、52万人以上のサイバーセキュリティ関連職が未充足であると指摘している。
現在、世界中で約350万のサイバーセキュリティ関連職が未充足状態にある。これは、高給を支払ってでも優秀な人材を採用・確保しようとする企業でさえ、適切な候補者を見つけるのに苦労していることを意味する。平均して、サイバーセキュリティ職の採用には他の職種よりも約21%長くかかり、場合によっては全く埋まらないこともある。
開発者による活性化が長らく無視されてきた
これまで多くのブログ記事で指摘してきたように、開発者を巻き込むことでサイバーセキュリティ防御におけるこうした重大な欠陥を埋めることが可能です。問題は、開発者が従来、サイバーセキュリティ分野の訓練を全く受けてこなかった点にあります。彼らの業務成果は、ほぼ完全に開発速度とリリースまでの時間によって評価されてきました。一方、セキュリティはアプリケーションセキュリティ(AppSec)チームの責任範囲とされてきたのです。
残念ながら、単にギアを切り替えて開発者に突然アプリケーションやプログラムの安全強化を求めれば済む話ではありません。たとえ彼らが変更を加える意思があり、調査でも多くの開発者がそうしていることが判明したとしても、それを実現するには訓練が必要です。経営陣からの励ましや支援も必要ですが、効果的な学習こそが最初の、そして往々にして最大の障壁となるのです。
世界中で何百万もの高給で高セキュリティなITセキュリティ職が依然として空席であるのには理由がある。もし簡単な仕事なら、誰もがこの分野に飛びつくだろう。脅威に対抗し、コードの脆弱性を排除する方法を学ぶのは困難であり、脅威の状況は絶えず変化している。 技術に精通した開発者でさえ、サイバーセキュリティを習得させる試みは、静的な研修では効率的に行えません。こうした研修は短時間で終了し、記憶に残らず、特に既に過密なスケジュールに追加される場合、最小限の効果しか期待できません。
足場を組んで、より高い場所へ到達する
サイバーセキュリティのスキルを従来の手法で教えることは、地面から足を離さずに超高層ビルを建設しようとするようなものだ。これは不可能である。なぜなら学生たちは、サイバーセキュリティのような複雑な専門分野の多くの上位概念を習得するために必要な基礎知識を持っていないからだ。これを補うために、「足場を使った学習」という概念が採用できる。
継続教育において骨組みや「多層的」アプローチが採用される場合、大規模なテーマは通常、個別の学習体験や概念に分割されます。これにより、学生が適切な演習と指導を通じて各概念を習得できるよう保証され、各構成要素に必要な支援が包括的に提供されます。 より新しく高度な概念は、既に習得した概念の上に積み重ねられます。これは、建物が高くなるにつれて物理的な足場が構築されるのと同様です。これにより、学生は支援なしでは達成できないより高いレベルの理解と技能を獲得できるようになります。
物理的な足場と同様に、この支えも不要になれば段階的に取り除かれるため、生徒たちは次第に能力を高めるにつれてより多くの責任を担うようになる。
足場学習は主に、生徒が困難な課題を助けなしに解決する際に、挫折感や威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。 しかし、現代のサイバーセキュリティのような極めて困難な概念に取り組む際にも、非常に価値がある。開発者を子供扱いするどころか、セキュリティチームとの経験が同様の効果——特にバグ修正とさらなる批判によって彼らの努力が後退させられる場合——をもたらす可能性がある点で、極めて有益である。
開発者に安全なコーディングの基礎を理解できるツール(通常はOWASP Top 10から始まる)を提供すれば、彼らは自らセキュリティ上の脆弱性がどのように発生し、なぜ危険なのか、そして本番環境に展開される前にどのように修正できるのかを把握できます。 そこから、より複雑な脆弱性に対処し、適切な修正手法を実践的に学ぶことで知識を拡張できます。段階的にレベルが向上するため、不安全なソフトウェアアーキテクチャや脅威モデルの作成といった高度なセキュリティ課題に直面した際、その飛躍はそれほど脅威に感じられず、的確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、企業は開発者を支援する新たな基準を導入し、より高品質なソフトウェアの開発を促進できます。技術スキルを持つ企業が継続的に学習する上での追加的な利点として、この道のりの各段階や学習過程における各レベルが、直接的にサイバーセキュリティの向上につながります。 コース終了を待たずとも、成果はすぐに現れます。
サイバーセキュリティについて学ぶことは難しく、適切な支援と指導なしでは習得はほぼ不可能です。学習支援機能を備えたセキュリティプログラムを導入することで、その効果を最大限に引き出すことができ、その利点はほぼ即座に明らかになります。改善はほぼ即座に始まり、時間の経過とともにさらに向上していきます。
私たちと共に、セキュリティ意識の高い開発者を育成しましょう。ご覧ください:
トレーニングコース
ミッション
開発者向けトレーニング
...その他多数!
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、企業は開発者を支援する新たな基準を導入し、より高品質なソフトウェアを開発できるようにすることができます。
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
技術ニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険なものになっているかがすぐに明らかになります。深刻な侵害、新たなセキュリティホール、あるいはサイバー攻撃者や犯罪者による活発な悪用の深刻な危険性に関する報告が、毎日のように報じられているようです。 そしてほぼ全ての業界指標や報告書が、サイバー脅威の危険な増加傾向を示しており、ほとんどの専門家はこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に対して、疲弊し人員不足のITセキュリティ担当者が最前線に配置されている。彼らは高給を得ており、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、すべての組織に対応できる十分なセキュリティ要員は常に不足している。 戦略国際問題研究所(CSIS)の最新調査によると、IT意思決定者の82%が自社のサイバーセキュリティスキル不足を認めており、71%がその不足が企業に直接的かつ測定可能な損害をもたらしたと回答している。 米国だけでも、同報告書は、約94万人の従業員しか雇用されていない分野において、52万人以上のサイバーセキュリティ関連職が未充足であると指摘している。
現在、世界中で約350万のサイバーセキュリティ関連職が未充足状態にある。これは、高給を支払ってでも優秀な人材を採用・確保しようとする企業でさえ、適切な候補者を見つけるのに苦労していることを意味する。平均して、サイバーセキュリティ職の採用には他の職種よりも約21%長くかかり、場合によっては全く埋まらないこともある。
開発者による活性化が長らく無視されてきた
これまで多くのブログ記事で指摘してきたように、開発者を巻き込むことでサイバーセキュリティ防御におけるこうした重大な欠陥を埋めることが可能です。問題は、開発者が従来、サイバーセキュリティ分野の訓練を全く受けてこなかった点にあります。彼らの業務成果は、ほぼ完全に開発速度とリリースまでの時間によって評価されてきました。一方、セキュリティはアプリケーションセキュリティ(AppSec)チームの責任範囲とされてきたのです。
残念ながら、単にギアを切り替えて開発者に突然アプリケーションやプログラムの安全強化を求めれば済む話ではありません。たとえ彼らが変更を加える意思があり、調査でも多くの開発者がそうしていることが判明したとしても、それを実現するには訓練が必要です。経営陣からの励ましや支援も必要ですが、効果的な学習こそが最初の、そして往々にして最大の障壁となるのです。
世界中で何百万もの高給で高セキュリティなITセキュリティ職が依然として空席であるのには理由がある。もし簡単な仕事なら、誰もがこの分野に飛びつくだろう。脅威に対抗し、コードの脆弱性を排除する方法を学ぶのは困難であり、脅威の状況は絶えず変化している。 技術に精通した開発者でさえ、サイバーセキュリティを習得させる試みは、静的な研修では効率的に行えません。こうした研修は短時間で終了し、記憶に残らず、特に既に過密なスケジュールに追加される場合、最小限の効果しか期待できません。
足場を組んで、より高い場所へ到達する
サイバーセキュリティのスキルを従来の手法で教えることは、地面から足を離さずに超高層ビルを建設しようとするようなものだ。これは不可能である。なぜなら学生たちは、サイバーセキュリティのような複雑な専門分野の多くの上位概念を習得するために必要な基礎知識を持っていないからだ。これを補うために、「足場を使った学習」という概念が採用できる。
継続教育において骨組みや「多層的」アプローチが採用される場合、大規模なテーマは通常、個別の学習体験や概念に分割されます。これにより、学生が適切な演習と指導を通じて各概念を習得できるよう保証され、各構成要素に必要な支援が包括的に提供されます。 より新しく高度な概念は、既に習得した概念の上に積み重ねられます。これは、建物が高くなるにつれて物理的な足場が構築されるのと同様です。これにより、学生は支援なしでは達成できないより高いレベルの理解と技能を獲得できるようになります。
物理的な足場と同様に、この支えも不要になれば段階的に取り除かれるため、生徒たちは次第に能力を高めるにつれてより多くの責任を担うようになる。
足場学習は主に、生徒が困難な課題を助けなしに解決する際に、挫折感や威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。 しかし、現代のサイバーセキュリティのような極めて困難な概念に取り組む際にも、非常に価値がある。開発者を子供扱いするどころか、セキュリティチームとの経験が同様の効果——特にバグ修正とさらなる批判によって彼らの努力が後退させられる場合——をもたらす可能性がある点で、極めて有益である。
開発者に安全なコーディングの基礎を理解できるツール(通常はOWASP Top 10から始まる)を提供すれば、彼らは自らセキュリティ上の脆弱性がどのように発生し、なぜ危険なのか、そして本番環境に展開される前にどのように修正できるのかを把握できます。 そこから、より複雑な脆弱性に対処し、適切な修正手法を実践的に学ぶことで知識を拡張できます。段階的にレベルが向上するため、不安全なソフトウェアアーキテクチャや脅威モデルの作成といった高度なセキュリティ課題に直面した際、その飛躍はそれほど脅威に感じられず、的確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、企業は開発者を支援する新たな基準を導入し、より高品質なソフトウェアの開発を促進できます。技術スキルを持つ企業が継続的に学習する上での追加的な利点として、この道のりの各段階や学習過程における各レベルが、直接的にサイバーセキュリティの向上につながります。 コース終了を待たずとも、成果はすぐに現れます。
サイバーセキュリティについて学ぶことは難しく、適切な支援と指導なしでは習得はほぼ不可能です。学習支援機能を備えたセキュリティプログラムを導入することで、その効果を最大限に引き出すことができ、その利点はほぼ即座に明らかになります。改善はほぼ即座に始まり、時間の経過とともにさらに向上していきます。
私たちと共に、セキュリティ意識の高い開発者を育成しましょう。ご覧ください:
トレーニングコース
ミッション
開発者向けトレーニング
...その他多数!
技術ニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険なものになっているかがすぐに明らかになります。深刻な侵害、新たなセキュリティホール、あるいはサイバー攻撃者や犯罪者による活発な悪用の深刻な危険性に関する報告が、毎日のように報じられているようです。 そしてほぼ全ての業界指標や報告書が、サイバー脅威の危険な増加傾向を示しており、ほとんどの専門家はこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に対して、疲弊し人員不足のITセキュリティ担当者が最前線に配置されている。彼らは高給を得ており、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、すべての組織に対応できる十分なセキュリティ要員は常に不足している。 戦略国際問題研究所(CSIS)の最新調査によると、IT意思決定者の82%が自社のサイバーセキュリティスキル不足を認めており、71%がその不足が企業に直接的かつ測定可能な損害をもたらしたと回答している。 米国だけでも、同報告書は、約94万人の従業員しか雇用されていない分野において、52万人以上のサイバーセキュリティ関連職が未充足であると指摘している。
現在、世界中で約350万のサイバーセキュリティ関連職が未充足状態にある。これは、高給を支払ってでも優秀な人材を採用・確保しようとする企業でさえ、適切な候補者を見つけるのに苦労していることを意味する。平均して、サイバーセキュリティ職の採用には他の職種よりも約21%長くかかり、場合によっては全く埋まらないこともある。
開発者による活性化が長らく無視されてきた
これまで多くのブログ記事で指摘してきたように、開発者を巻き込むことでサイバーセキュリティ防御におけるこうした重大な欠陥を埋めることが可能です。問題は、開発者が従来、サイバーセキュリティ分野の訓練を全く受けてこなかった点にあります。彼らの業務成果は、ほぼ完全に開発速度とリリースまでの時間によって評価されてきました。一方、セキュリティはアプリケーションセキュリティ(AppSec)チームの責任範囲とされてきたのです。
残念ながら、単にギアを切り替えて開発者に突然アプリケーションやプログラムの安全強化を求めれば済む話ではありません。たとえ彼らが変更を加える意思があり、調査でも多くの開発者がそうしていることが判明したとしても、それを実現するには訓練が必要です。経営陣からの励ましや支援も必要ですが、効果的な学習こそが最初の、そして往々にして最大の障壁となるのです。
世界中で何百万もの高給で高セキュリティなITセキュリティ職が依然として空席であるのには理由がある。もし簡単な仕事なら、誰もがこの分野に飛びつくだろう。脅威に対抗し、コードの脆弱性を排除する方法を学ぶのは困難であり、脅威の状況は絶えず変化している。 技術に精通した開発者でさえ、サイバーセキュリティを習得させる試みは、静的な研修では効率的に行えません。こうした研修は短時間で終了し、記憶に残らず、特に既に過密なスケジュールに追加される場合、最小限の効果しか期待できません。
足場を組んで、より高い場所へ到達する
サイバーセキュリティのスキルを従来の手法で教えることは、地面から足を離さずに超高層ビルを建設しようとするようなものだ。これは不可能である。なぜなら学生たちは、サイバーセキュリティのような複雑な専門分野の多くの上位概念を習得するために必要な基礎知識を持っていないからだ。これを補うために、「足場を使った学習」という概念が採用できる。
継続教育において骨組みや「多層的」アプローチが採用される場合、大規模なテーマは通常、個別の学習体験や概念に分割されます。これにより、学生が適切な演習と指導を通じて各概念を習得できるよう保証され、各構成要素に必要な支援が包括的に提供されます。 より新しく高度な概念は、既に習得した概念の上に積み重ねられます。これは、建物が高くなるにつれて物理的な足場が構築されるのと同様です。これにより、学生は支援なしでは達成できないより高いレベルの理解と技能を獲得できるようになります。
物理的な足場と同様に、この支えも不要になれば段階的に取り除かれるため、生徒たちは次第に能力を高めるにつれてより多くの責任を担うようになる。
足場学習は主に、生徒が困難な課題を助けなしに解決する際に、挫折感や威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。 しかし、現代のサイバーセキュリティのような極めて困難な概念に取り組む際にも、非常に価値がある。開発者を子供扱いするどころか、セキュリティチームとの経験が同様の効果——特にバグ修正とさらなる批判によって彼らの努力が後退させられる場合——をもたらす可能性がある点で、極めて有益である。
開発者に安全なコーディングの基礎を理解できるツール(通常はOWASP Top 10から始まる)を提供すれば、彼らは自らセキュリティ上の脆弱性がどのように発生し、なぜ危険なのか、そして本番環境に展開される前にどのように修正できるのかを把握できます。 そこから、より複雑な脆弱性に対処し、適切な修正手法を実践的に学ぶことで知識を拡張できます。段階的にレベルが向上するため、不安全なソフトウェアアーキテクチャや脅威モデルの作成といった高度なセキュリティ課題に直面した際、その飛躍はそれほど脅威に感じられず、的確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、企業は開発者を支援する新たな基準を導入し、より高品質なソフトウェアの開発を促進できます。技術スキルを持つ企業が継続的に学習する上での追加的な利点として、この道のりの各段階や学習過程における各レベルが、直接的にサイバーセキュリティの向上につながります。 コース終了を待たずとも、成果はすぐに現れます。
サイバーセキュリティについて学ぶことは難しく、適切な支援と指導なしでは習得はほぼ不可能です。学習支援機能を備えたセキュリティプログラムを導入することで、その効果を最大限に引き出すことができ、その利点はほぼ即座に明らかになります。改善はほぼ即座に始まり、時間の経過とともにさらに向上していきます。
私たちと共に、セキュリティ意識の高い開発者を育成しましょう。ご覧ください:
トレーニングコース
ミッション
開発者向けトレーニング
...その他多数!
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung in der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und verfügt über mehr als 10 Patente. Wenn er nicht an seinem Schreibtisch ist, war Matias als Ausbilder für fortgeschrittene Schulungen zur Anwendungssicherheit tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat an der Universität Gent in Computertechnik promoviert, wo er Anwendungssicherheit durch Programmverschleierung studierte, um das Innenleben einer Anwendung zu verbergen.
技術ニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険なものになっているかがすぐに明らかになります。深刻な侵害、新たなセキュリティホール、あるいはサイバー攻撃者や犯罪者による活発な悪用の深刻な危険性に関する報告が、毎日のように報じられているようです。 そしてほぼ全ての業界指標や報告書が、サイバー脅威の危険な増加傾向を示しており、ほとんどの専門家はこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に対して、疲弊し人員不足のITセキュリティ担当者が最前線に配置されている。彼らは高給を得ており、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、すべての組織に対応できる十分なセキュリティ要員は常に不足している。 戦略国際問題研究所(CSIS)の最新調査によると、IT意思決定者の82%が自社のサイバーセキュリティスキル不足を認めており、71%がその不足が企業に直接的かつ測定可能な損害をもたらしたと回答している。 米国だけでも、同報告書は、約94万人の従業員しか雇用されていない分野において、52万人以上のサイバーセキュリティ関連職が未充足であると指摘している。
現在、世界中で約350万のサイバーセキュリティ関連職が未充足状態にある。これは、高給を支払ってでも優秀な人材を採用・確保しようとする企業でさえ、適切な候補者を見つけるのに苦労していることを意味する。平均して、サイバーセキュリティ職の採用には他の職種よりも約21%長くかかり、場合によっては全く埋まらないこともある。
開発者による活性化が長らく無視されてきた
これまで多くのブログ記事で指摘してきたように、開発者を巻き込むことでサイバーセキュリティ防御におけるこうした重大な欠陥を埋めることが可能です。問題は、開発者が従来、サイバーセキュリティ分野の訓練を全く受けてこなかった点にあります。彼らの業務成果は、ほぼ完全に開発速度とリリースまでの時間によって評価されてきました。一方、セキュリティはアプリケーションセキュリティ(AppSec)チームの責任範囲とされてきたのです。
残念ながら、単にギアを切り替えて開発者に突然アプリケーションやプログラムの安全強化を求めれば済む話ではありません。たとえ彼らが変更を加える意思があり、調査でも多くの開発者がそうしていることが判明したとしても、それを実現するには訓練が必要です。経営陣からの励ましや支援も必要ですが、効果的な学習こそが最初の、そして往々にして最大の障壁となるのです。
世界中で何百万もの高給で高セキュリティなITセキュリティ職が依然として空席であるのには理由がある。もし簡単な仕事なら、誰もがこの分野に飛びつくだろう。脅威に対抗し、コードの脆弱性を排除する方法を学ぶのは困難であり、脅威の状況は絶えず変化している。 技術に精通した開発者でさえ、サイバーセキュリティを習得させる試みは、静的な研修では効率的に行えません。こうした研修は短時間で終了し、記憶に残らず、特に既に過密なスケジュールに追加される場合、最小限の効果しか期待できません。
足場を組んで、より高い場所へ到達する
サイバーセキュリティのスキルを従来の手法で教えることは、地面から足を離さずに超高層ビルを建設しようとするようなものだ。これは不可能である。なぜなら学生たちは、サイバーセキュリティのような複雑な専門分野の多くの上位概念を習得するために必要な基礎知識を持っていないからだ。これを補うために、「足場を使った学習」という概念が採用できる。
継続教育において骨組みや「多層的」アプローチが採用される場合、大規模なテーマは通常、個別の学習体験や概念に分割されます。これにより、学生が適切な演習と指導を通じて各概念を習得できるよう保証され、各構成要素に必要な支援が包括的に提供されます。 より新しく高度な概念は、既に習得した概念の上に積み重ねられます。これは、建物が高くなるにつれて物理的な足場が構築されるのと同様です。これにより、学生は支援なしでは達成できないより高いレベルの理解と技能を獲得できるようになります。
物理的な足場と同様に、この支えも不要になれば段階的に取り除かれるため、生徒たちは次第に能力を高めるにつれてより多くの責任を担うようになる。
足場学習は主に、生徒が困難な課題を助けなしに解決する際に、挫折感や威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。 しかし、現代のサイバーセキュリティのような極めて困難な概念に取り組む際にも、非常に価値がある。開発者を子供扱いするどころか、セキュリティチームとの経験が同様の効果——特にバグ修正とさらなる批判によって彼らの努力が後退させられる場合——をもたらす可能性がある点で、極めて有益である。
開発者に安全なコーディングの基礎を理解できるツール(通常はOWASP Top 10から始まる)を提供すれば、彼らは自らセキュリティ上の脆弱性がどのように発生し、なぜ危険なのか、そして本番環境に展開される前にどのように修正できるのかを把握できます。 そこから、より複雑な脆弱性に対処し、適切な修正手法を実践的に学ぶことで知識を拡張できます。段階的にレベルが向上するため、不安全なソフトウェアアーキテクチャや脅威モデルの作成といった高度なセキュリティ課題に直面した際、その飛躍はそれほど脅威に感じられず、的確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、企業は開発者を支援する新たな基準を導入し、より高品質なソフトウェアの開発を促進できます。技術スキルを持つ企業が継続的に学習する上での追加的な利点として、この道のりの各段階や学習過程における各レベルが、直接的にサイバーセキュリティの向上につながります。 コース終了を待たずとも、成果はすぐに現れます。
サイバーセキュリティについて学ぶことは難しく、適切な支援と指導なしでは習得はほぼ不可能です。学習支援機能を備えたセキュリティプログラムを導入することで、その効果を最大限に引き出すことができ、その利点はほぼ即座に明らかになります。改善はほぼ即座に始まり、時間の経過とともにさらに向上していきます。
私たちと共に、セキュリティ意識の高い開発者を育成しましょう。ご覧ください:
トレーニングコース
ミッション
開発者向けトレーニング
...その他多数!
目次
Matias Madou, Ph.D. ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent in Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen. Später kam er zu Fortify in den USA, wo er feststellte, dass es nicht ausreichte, ausschließlich Codeprobleme zu erkennen, ohne Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, die Sicherheitslast verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht als Teil von Team Awesome an seinem Schreibtisch sitzt, steht er gerne auf der Bühne und präsentiert auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード入門リソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
