Video-Transkript

Traditionelle Ausbildung zum sicheren Programmieren bringt Ihre Entwickler zum Gähnen. Richtig?

Mit dem agilen Lernansatz von Secure Code Warriors lernen Entwickler schnell mit kurzen Mikrobursts hochrelevanter Just-in-Time-Schulungen.

Coding Labs, unsere simulierte IDE-Lernerfahrung, verändert das Spiel Mit Coding Labs lernen Ihre Entwickler in einer vollständig interaktiven IDE-Umgebung, die im Browser ausgeführt wird.

Entwickler schreiben Code und beheben reale Sicherheitslücken.

Coding Labs fordert sie automatisch mit kontextbezogenem Feedback in Echtzeit auf, das sie benötigen. Dieser praktische Lernansatz in der simulierten IDE hält sie bei der Stange und ist für ihre tägliche Arbeit viel relevanter. Das Ergebnis sind messbare Produktivitätssteigerungen in Form von Risikominderung, Vermeidung kostspieliger Nacharbeiten und schnellerer Behebung von Sicherheitslücken.

Coding Labs unterscheidet sich erheblich von anderen Bildungsangeboten im Bereich Sicherheit. Es ist nicht erforderlich, dass Entwickler neue virtuelle Maschinen entwickeln.

Es bietet praktische Schulungen mit der Benutzeroberfläche, die Entwickler kennen und lieben.

Es bringt die Entwickler mit vorgeschlagenen Codefragmenten und schrittweisen Antworten voran, die auf die Fehler des Entwicklers zugeschnitten sind.

Und es bewahrt Entwickler vor ineffektiven Schulungen und Compliance-orientierten Anlässen. Aus diesem Grund verzeichnen Secure Code Warrior-Kunden zwei- bis dreimal messbare Produktivitätszuwächse in Bezug auf die Reduzierung von Risiken, die Vermeidung kostspieliger Nacharbeiten und die schnellere Behebung von Sicherheitslücken.

Buchen Sie noch heute eine Demo, um Coding Labs in Aktion zu sehen.

‍

ティア1金融機関が革新的なセキュリティ認証体験をいかに創出したか

ゲームは、安全基準の遵守に関して開発者の心をつかむ手段となり得るだろうか？

数百万の顧客、信頼できるグローバル金融機関としての長い歴史、そしてイノベーションへの取り組みとデジタル変革への対応を背景に、このティア1銀行顧客は、自社における真にユニークなトレーニング体験Secure Code Warrior を活用しました。

同社は技術教育のための社内イニシアチブを立ち上げ、機械学習やサイバーセキュリティを含む複数の分野において、数千人の従業員が実践的で最先端のスキルを習得することを支援することを目的としています。

金融サービス業界は現在、急速かつ根本的な変革期にあり、多くの企業が新技術の急速な発展に対応するためサービス提供内容を変更しています。 本質的には、金融を中核とする本格的なテクノロジー企業へと進化を遂げつつあります。当社の顧客が採用したアプローチは、この潮流に追随するだけでなく、他社の大半を上回る優れた（そしてより賢明な）成果を上げることを可能にしました。彼らは重要な新興分野における最新動向を把握するため、自社従業員への多大な投資を行っており、その結果、フィンテックの革新と専門知識の最先端に位置づけられています。

このプログラムを成功裏に実施するため、当社のお客様とチーム全体は、開発者がセキュアコーディングに精通し、高度なサイバーセキュリティ意識を持つことの必要性を認識しました。セキュリティ意識向上担当者は、チームを積極的に巻き込み、初期段階からセキュリティへの関心を高めることに努めました。

挑戦

当社のクライアントのセキュリティ意識管理責任者は、長年セキュリティ業界に携わってきたため、大企業から中小企業に至るまでオンラインアプリケーションの爆発的な普及やデジタルチームの急速な増加を最前線で目の当たりにしてきました。 彼は、このような急拡大の後には専門知識が必然的に孤立化することを直接経験しており、結局のところ、これは多くのセキュリティチームや開発チームにとって問題となっていました。「オンライン導入の初期段階では、開発者はセキュリティについて考え、それをソフトウェアのビルドに適用していました。 しかし、環境がますます分断されるにつれ、例えばあるチームがOSを開発し、それをセキュリティチームに分析のために送ると、多くの場合、修正すべき問題を示す赤いマークや指摘が山ほど返ってくる。セキュリティは確かに強化されるが、その成果や知見はブラックホールに消え、同じ問題が繰り返し発生する」と彼は語った。

彼は自身の職務において頻繁に目にする安全上の問題について語る際、「従業員の課題」に言及した。

ソフトウェアエンジニアは機能開発のために報酬を得ており、セキュリティはアジャイル開発の大きな障害と見なされることがある。彼らは自身の優先事項に忙殺され、セキュリティ面は他者の責任と捉える傾向がある。 極端な例では、「まだ何も起きていないのに、なぜソフトウェア保護にそこまで気を使う必要があるのか？なぜ開発サイクルを妨げるのか？」と考える者もいます。デジタル化が進む現代社会では、この認識を変える必要があります。セキュリティ対策は厄介者扱いされるべきではなく、ソフトウェアセキュリティの責任を共有することの重要性を明確に示さねばなりません。

デジタルライフを推進する開発への依存度が高まる中、彼は壁に書かれた文字を見た。社会全体がハッカーにとって格好の標的となり、善良な者たちにとってますます不公平な戦場となっているのだ。開発者はセキュリティを真剣に受け止め、強い関心を持ち、自社（そして実際、あらゆる信頼できるテクノロジー企業において）の第一防衛ラインとなる必要があった。

そこで彼は、伝統的なトレーニングを根本から変えようと試みた。

実施

セキュリティ意識管理者は、ソフトウェア品質における新たな基準を確立するという当社顧客の全体的な理念を推進してきました。 特に、ソフトウェアに内在するセキュリティレベルが、その総合的な品質と製品寿命の指標となるという考え方を推進しました。現在の視点では、セキュリティはほとんどの場合、品質基準と密接に結びついておらず、ましてや一般的なユーザーインターフェース、速度、保守性といった要素がソフトウェア評価で考慮されるのと同じ方法で扱われることはありません。

「セキュリティは、高いソフトウェア品質のための譲れない前提条件とならなければならない」と彼は述べた。「セキュリティは信頼性と相関関係にあり、これは多くの企業、特に急速に変化しデジタル化するビジネスモデルを持つ企業にとって大きな課題となっている」

セキュリティ上の脆弱性を修正するコストは、最初から安全に記述されていた場合と比較して最大30倍にもなるため、開発チームに「持続可能なセキュリティ文化を定着させる」ことが重要な目標となっている。 結局のところ、特定のセキュリティ脆弱性はスキャンツールでは検出できず、それらに対処する最も効率的な解決策は、セキュリティ意識の高い開発チームである。

セキュリティ意識向上担当マネージャーは、開発者を「獲得」し、増大するセキュリティ問題に対処できるよう準備させるために、今でも頻繁に利用されている他の研修形態に関する自身の経験を説明した。「開発者が大量の理論的な作業を通じてセキュリティを学ばなければならない場合、あるいはさらに悪いことに： 「チェックを入れて終わり」式の稀なコンプライアンス研修では、実践的な学習や時間的投資が持続的な効果を得るには不十分です。私はより効果的な解決策を適用することでこれを変える決意でした」と彼は語った。

高い関与の利点

経験豊富なセキュリティ意識向上マネージャーとそのチームの助言に基づき、当社のお客様はカスタム設計の認証プログラムを導入しました。このプログラムにおいて、Secure Code Warrior不可欠な構成要素となっています。

開発者トレーニングにおけるより効果的で魅力的なソリューションの探求が、彼らを早期にゲーミフィケーションの活用へと導き、独自の体系化された包括的なカリキュラムによってその可能性と潜在力を最大限に引き出しました。

「高い意欲を持って研修を文化の一部とし、生徒たちが学びを継続するために戻ってくるようにすることが重要でした。このシステムは、知識、スキル、そして安全に対する価値感を育むための意識的な取り組みであり、最終的には彼らが日常的に使用する実際のソースコードを扱うことにつながります」と彼は述べた。

当社の顧客は、ソリューションが包括的であることを確認し、業界標準のセキュリティ基準と内部ガイドラインの両方をカバーしたため、迅速にトレーニングを実施することができ、これにより企業内のソフトウェアセキュリティに好影響を与えました。

結果

当社の顧客向け認定プログラムは、成功を収めつつも絶えず進化を続ける研修形式であり、内部技術教育機関など将来を見据えた取り組みに最適です。 この没入型コースは、非常に楽しくインタラクティブでインセンティブ付きの形式で提供されるため、すべての受講生が知識を定着させる最高の機会を得られると同時に、セキュリティを真に最優先とする文化と思考様式を育むことを支援します。 ゲーミフィケーションが学習を魅力的にする一方で、プログラムの実用的な核心は維持されています。開発者に、アプリケーション内の高リスクなセキュリティ脆弱性を特定し防止するために必要なスキルを習得させることです。

重要なのは、この研修が義務ではなく、開発者側にある程度の自発性が求められた点である。インセンティブや報酬によって後押しされたことは間違いないが、チーム全体によるプログラムの受け入れは、チームからの支援が高まり、プロセスへの理解が深まった結果であった。

重要なスキルの継続的な向上に加え、このプログラムは開発チームとアプリセキュリティチーム間の連携不足を解消し、双方の認識を一致させ、共通言語を確立し、相互理解を促進する役割も果たします。

このプログラムは単なるコンプライアンスのチェックボックスとは程遠く、貴重な人材とそのキャリアを継続的に支援するための基本要件へと発展しました。世界で最も成長著しい分野の一つであるサイバーセキュリティにおいて、測定可能な継続教育を提供します。ソフトウェアセキュリティの向上における基準となるのは、まさにこのような研修プログラムなのです。

クイックファクト

• 学生たちから前例のない反響があり、認定を修了した者たちが指導者になる意向を示しています。この草の根レベルの啓蒙活動は、口コミの拡散、受容、そして一般的な安全意識の向上にとって重要な要素です。
• 当社の顧客は現在、社内の2500人以上の開発者向けにプログラムを導入中であり、すでに90%以上がシステム上で活動しています。
• この研修は、従業員の一般的なキャリア開発を支援し、絶えず変化する技術分野で自身のスキルを活用するために必要な知識を確実に身につけさせるために活用されます。

Compliance ist das Ergebnis guter Sicherheit, nicht umgekehrt. Wenn Entwickler aktiv lernen und die Konzepte in ihrer täglichen Arbeit anwenden, wird Sicherheit in der Unternehmenskultur ganzheitlich wachsen.

Erfahren Sie, wie Netskope die Flexibilität der Inhalte und des interaktiven, praktischen Lernansatzes von Secure Code Warrior nutzte, um einen programmatischen Ansatz für entwicklergestützte Sicherheit zu entwickeln und gleichzeitig die Compliance-Anforderungen der Branche zu erfüllen.

Zum Auftakt des Monats zur Sensibilisierung für Cybersicherheit behandelt dieses Webinar:

• Die wichtigsten Geschäftstreiber von Netskope und wie sie einen Geschäftsszenario für SCW und agiles Secure Code Learning entwickelt haben
• Welche Maßnahmen wurden ergriffen, um das Programm auf die Beine zu stellen, und was waren ihre Ziele?
• Wie man mit Entwicklern zusammenarbeitet und deren Engagement als Erfolgsfaktor misst
• Wie das Warrior-Programm von Netskope die Teilnahme an der Schulung von SCW über einen Zeitraum von zwei Jahren verdoppelte