成功基準を決定する際には、プログラムの主要な利害関係者を考慮してください。経営陣のスポンサーとそのビジネス目標を把握することで、部門横断的な導入促進につながります。
ブログ
ハビリタドール1:定義され測定可能な成功基準
成功を導く10の要素への深い探求を、基本となる第一の促進要因「明確かつ測定可能な成功基準」から始めます。安全なコーディングプログラムを旅に例えるなら、最初の、そして最も重要な一歩は、正確にどこへ向かうのかを知ることです。これが第一の促進要因の本質です。
成功基準を事業成果と結びつける
安全なコーディングプログラムの成功には、事業成果と密接に関連する明確な目標の存在が不可欠です。エンエイブラー1は主要な問いに答えます:「我々の安全なコーディングプログラムで解決しようとしている問題や弱点は、具体的に測定可能な形で何なのか?」
おそらく御社はコンプライアンス要件を満たすため、あるいはセキュリティ侵害やサイバー攻撃を回避するために取り組んでいることでしょう。あるいは、組織として正しい方向から始め、開発者に最初から安全なコーディングを習得させることで、コスト削減と手戻り時間の短縮を目指しているのかもしれません。
動機や組織の現状、選択するセキュリティ研修プラットフォームに関わらず、プログラムの長期的な成功は、明確に定義され事業目標と連動した目標設定に大きく依存します。これにより受け入れを促進し、持続的な成功を保証できるのです。
成功を具体的で測定可能なものにする
これらの目標は、その性質上、貴組織に固有のものであるべきです。とはいえ、以下の典型的な事業目標を確認し、それらがどのように追加のアイデアのヒントとなるか考えてみてください:
リスク低減:開発者リスクを軽減し、コーディング上の欠陥によって生じる脆弱性を削減します。これにはリスクの特定とアプリケーションの攻撃対象領域の縮小が含まれます。
プログラムはしばしば、脆弱性密度や脆弱性注入率の低減・回避といった指標を目標とする。
運用速度:製品提供速度を最大化し、開発者のフラストレーションと離職率を低減し、手戻り作業に費やす時間を削減します。セキュアコーディング研修は、ソフトウェア開発ライフサイクルの後半で発見されるバグのあるコードの手戻り作業という時間的損失を回避する手助けとなるため、開発者にとって大きなインセンティブとなります。
プログラムはしばしば、開発者の脆弱性修正平均時間(MTTR)の短縮を目標とする。
規制コンプライアンス:外部コンプライアンスを達成する。例えば、PCI-DSS(支払いシステムに携わる全開発者への研修を義務付ける)などの基準への準拠。
人材と信頼:開発者組織内におけるセキュリティと脆弱性への関与と認識を高めつつ、顧客の信頼を維持・構築する。一部の企業では、セキュリティ対応開発者が市場での差別化確立に寄与する。
プログラムでは、開発者に対する最低限のスキル要件を設定したり、専門的なセキュリティチャンピオンプログラムを創設したりすることが多い。
共同成功計画における成功の記録
成功基準を定義したら、次のステップはそれらを共同成功計画に文書化することです。この計画は、CSMトレーニングプラットフォームなどの外部サポートを含む、プログラムのすべての主要な利害関係者と共有される学際的なモデルです。
成功計画には以下が含まれます:
- 価値推進要因:これには、コードの安全性の向上に関連する高レベルのビジネス目標と、プログラムの「なぜ」への対応が含まれます。
- 現状:これは「現在の位置」を定義します(例:現在の安全なコーディングスキルや既存のトレーニングプログラム)。
- 将来の理想状態:次に、「どこに到達したいのか?」を文書化し、安全なコーディングスキルのギャップをどのように埋めるかを確立する。
- KPI/指標:これらは成功を示す指標であり、プログラムの実施に伴い現状と将来の目標との差が縮まりつつあることを証明するものです。
まず1~2つの具体的な指標から始め、必要に応じて後で拡大することをお勧めします。これらのKPI/指標はS.M.A.R.T.原則(具体的、測定可能、達成可能、関連性があり、期限付き)を満たす必要があります。 追跡が容易で曖昧な解釈の余地がないことが求められます。計画を実行に移すには、全関係者が責任を果たす必要があり、経営陣と価値や投資対効果を定期的に確認する合意された頻度で進捗をレビューする必要があります。
これらの基準を明示的に定義し測定することで、セキュアコーディングプログラムは単なるコストセンターから、検証可能な重要なビジネス成果の推進力へと変貌します。これはプログラムの成熟度を達成するための必要不可欠な第一歩です。
次に、ハビリテーター2:上級リーダーの支援に 焦点を当て、 安全なコーディングプログラムの成功した実施においてリーダーシップが果たす重要な役割を分析します。
追加のご質問はございますか?お客様はアカウントチームまたはsupport@securecodewarrior.com までお問い合わせください。見込みのお客様は、こちらからお問い合わせいただくことで、営業チームメンバーとご相談いただけます。
リソースを参照
リソースを参照
Enabler 1は、10回シリーズ「成功の推進要因」の第一弾として、セキュアコーディングをリスク低減や長期的なプログラム成熟度達成のスピードといったビジネス成果と結びつける方法を示します。
もっと知りたいですか?
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する共有する:
著者
SCWのカリキュラム&オンボーディングマネージャーであるケイトリン・トリニダードは、6年以上の経験を持つカスタマーサクセス専門家であり、プログラムのベストプラクティスと技術的なノウハウを通じて顧客を支援しています。
共有する:
成功を導く10の要素への深い探求を、基本となる第一の促進要因「明確かつ測定可能な成功基準」から始めます。安全なコーディングプログラムを旅に例えるなら、最初の、そして最も重要な一歩は、正確にどこへ向かうのかを知ることです。これが第一の促進要因の本質です。
成功基準を事業成果と結びつける
安全なコーディングプログラムの成功には、事業成果と密接に関連する明確な目標の存在が不可欠です。エンエイブラー1は主要な問いに答えます:「我々の安全なコーディングプログラムで解決しようとしている問題や弱点は、具体的に測定可能な形で何なのか?」
おそらく御社はコンプライアンス要件を満たすため、あるいはセキュリティ侵害やサイバー攻撃を回避するために取り組んでいることでしょう。あるいは、組織として正しい方向から始め、開発者に最初から安全なコーディングを習得させることで、コスト削減と手戻り時間の短縮を目指しているのかもしれません。
動機や組織の現状、選択するセキュリティ研修プラットフォームに関わらず、プログラムの長期的な成功は、明確に定義され事業目標と連動した目標設定に大きく依存します。これにより受け入れを促進し、持続的な成功を保証できるのです。
成功基準を決定する際には、プログラムの主要な利害関係者を考慮してください。経営陣のスポンサーとそのビジネス目標を把握することで、部門横断的な導入促進につながります。
成功を具体的で測定可能なものにする
これらの目標は、その性質上、貴組織に固有のものであるべきです。とはいえ、以下の典型的な事業目標を確認し、それらがどのように追加のアイデアのヒントとなるか考えてみてください:
リスク低減:開発者リスクを軽減し、コーディング上の欠陥によって生じる脆弱性を削減します。これにはリスクの特定とアプリケーションの攻撃対象領域の縮小が含まれます。
プログラムはしばしば、脆弱性密度や脆弱性注入率の低減・回避といった指標を目標とする。
運用速度:製品提供速度を最大化し、開発者のフラストレーションと離職率を低減し、手戻り作業に費やす時間を削減します。セキュアコーディング研修は、ソフトウェア開発ライフサイクルの後半で発見されるバグのあるコードの手戻り作業という時間的損失を回避する手助けとなるため、開発者にとって大きなインセンティブとなります。
プログラムはしばしば、開発者の脆弱性修正平均時間(MTTR)の短縮を目標とする。
規制コンプライアンス:外部コンプライアンスを達成する。例えば、PCI-DSS(支払いシステムに携わる全開発者への研修を義務付ける)などの基準への準拠。
人材と信頼:開発者組織内におけるセキュリティと脆弱性への関与と認識を高めつつ、顧客の信頼を維持・構築する。一部の企業では、セキュリティ対応開発者が市場での差別化確立に寄与する。
プログラムでは、開発者に対する最低限のスキル要件を設定したり、専門的なセキュリティチャンピオンプログラムを創設したりすることが多い。
共同成功計画における成功の記録
成功基準を定義したら、次のステップはそれらを共同成功計画に文書化することです。この計画は、CSMトレーニングプラットフォームなどの外部サポートを含む、プログラムのすべての主要な利害関係者と共有される学際的なモデルです。
成功計画には以下が含まれます:
- 価値推進要因:これには、コードの安全性の向上に関連する高レベルのビジネス目標と、プログラムの「なぜ」への対応が含まれます。
- 現状:これは「現在の位置」を定義します(例:現在の安全なコーディングスキルや既存のトレーニングプログラム)。
- 将来の理想状態:次に、「どこに到達したいのか?」を文書化し、安全なコーディングスキルのギャップをどのように埋めるかを確立する。
- KPI/指標:これらは成功を示す指標であり、プログラムの実施に伴い現状と将来の目標との差が縮まりつつあることを証明するものです。
まず1~2つの具体的な指標から始め、必要に応じて後で拡大することをお勧めします。これらのKPI/指標はS.M.A.R.T.原則(具体的、測定可能、達成可能、関連性があり、期限付き)を満たす必要があります。 追跡が容易で曖昧な解釈の余地がないことが求められます。計画を実行に移すには、全関係者が責任を果たす必要があり、経営陣と価値や投資対効果を定期的に確認する合意された頻度で進捗をレビューする必要があります。
これらの基準を明示的に定義し測定することで、セキュアコーディングプログラムは単なるコストセンターから、検証可能な重要なビジネス成果の推進力へと変貌します。これはプログラムの成熟度を達成するための必要不可欠な第一歩です。
次に、ハビリテーター2:上級リーダーの支援に 焦点を当て、 安全なコーディングプログラムの成功した実施においてリーダーシップが果たす重要な役割を分析します。
追加のご質問はございますか?お客様はアカウントチームまたはsupport@securecodewarrior.com までお問い合わせください。見込みのお客様は、こちらからお問い合わせいただくことで、営業チームメンバーとご相談いただけます。
リソースを参照
リソースを参照
成功を導く10の要素への深い探求を、基本となる第一の促進要因「明確かつ測定可能な成功基準」から始めます。安全なコーディングプログラムを旅に例えるなら、最初の、そして最も重要な一歩は、正確にどこへ向かうのかを知ることです。これが第一の促進要因の本質です。
成功基準を事業成果と結びつける
安全なコーディングプログラムの成功には、事業成果と密接に関連する明確な目標の存在が不可欠です。エンエイブラー1は主要な問いに答えます:「我々の安全なコーディングプログラムで解決しようとしている問題や弱点は、具体的に測定可能な形で何なのか?」
おそらく御社はコンプライアンス要件を満たすため、あるいはセキュリティ侵害やサイバー攻撃を回避するために取り組んでいることでしょう。あるいは、組織として正しい方向から始め、開発者に最初から安全なコーディングを習得させることで、コスト削減と手戻り時間の短縮を目指しているのかもしれません。
動機や組織の現状、選択するセキュリティ研修プラットフォームに関わらず、プログラムの長期的な成功は、明確に定義され事業目標と連動した目標設定に大きく依存します。これにより受け入れを促進し、持続的な成功を保証できるのです。
成功基準を決定する際には、プログラムの主要な利害関係者を考慮してください。経営陣のスポンサーとそのビジネス目標を把握することで、部門横断的な導入促進につながります。
成功を具体的で測定可能なものにする
これらの目標は、その性質上、貴組織に固有のものであるべきです。とはいえ、以下の典型的な事業目標を確認し、それらがどのように追加のアイデアのヒントとなるか考えてみてください:
リスク低減:開発者リスクを軽減し、コーディング上の欠陥によって生じる脆弱性を削減します。これにはリスクの特定とアプリケーションの攻撃対象領域の縮小が含まれます。
プログラムはしばしば、脆弱性密度や脆弱性注入率の低減・回避といった指標を目標とする。
運用速度:製品提供速度を最大化し、開発者のフラストレーションと離職率を低減し、手戻り作業に費やす時間を削減します。セキュアコーディング研修は、ソフトウェア開発ライフサイクルの後半で発見されるバグのあるコードの手戻り作業という時間的損失を回避する手助けとなるため、開発者にとって大きなインセンティブとなります。
プログラムはしばしば、開発者の脆弱性修正平均時間(MTTR)の短縮を目標とする。
規制コンプライアンス:外部コンプライアンスを達成する。例えば、PCI-DSS(支払いシステムに携わる全開発者への研修を義務付ける)などの基準への準拠。
人材と信頼:開発者組織内におけるセキュリティと脆弱性への関与と認識を高めつつ、顧客の信頼を維持・構築する。一部の企業では、セキュリティ対応開発者が市場での差別化確立に寄与する。
プログラムでは、開発者に対する最低限のスキル要件を設定したり、専門的なセキュリティチャンピオンプログラムを創設したりすることが多い。
共同成功計画における成功の記録
成功基準を定義したら、次のステップはそれらを共同成功計画に文書化することです。この計画は、CSMトレーニングプラットフォームなどの外部サポートを含む、プログラムのすべての主要な利害関係者と共有される学際的なモデルです。
成功計画には以下が含まれます:
- 価値推進要因:これには、コードの安全性の向上に関連する高レベルのビジネス目標と、プログラムの「なぜ」への対応が含まれます。
- 現状:これは「現在の位置」を定義します(例:現在の安全なコーディングスキルや既存のトレーニングプログラム)。
- 将来の理想状態:次に、「どこに到達したいのか?」を文書化し、安全なコーディングスキルのギャップをどのように埋めるかを確立する。
- KPI/指標:これらは成功を示す指標であり、プログラムの実施に伴い現状と将来の目標との差が縮まりつつあることを証明するものです。
まず1~2つの具体的な指標から始め、必要に応じて後で拡大することをお勧めします。これらのKPI/指標はS.M.A.R.T.原則(具体的、測定可能、達成可能、関連性があり、期限付き)を満たす必要があります。 追跡が容易で曖昧な解釈の余地がないことが求められます。計画を実行に移すには、全関係者が責任を果たす必要があり、経営陣と価値や投資対効果を定期的に確認する合意された頻度で進捗をレビューする必要があります。
これらの基準を明示的に定義し測定することで、セキュアコーディングプログラムは単なるコストセンターから、検証可能な重要なビジネス成果の推進力へと変貌します。これはプログラムの成熟度を達成するための必要不可欠な第一歩です。
次に、ハビリテーター2:上級リーダーの支援に 焦点を当て、 安全なコーディングプログラムの成功した実施においてリーダーシップが果たす重要な役割を分析します。
追加のご質問はございますか?お客様はアカウントチームまたはsupport@securecodewarrior.com までお問い合わせください。見込みのお客様は、こちらからお問い合わせいただくことで、営業チームメンバーとご相談いただけます。
始める
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約するリソースを参照
共有する:
著者
SCWのカリキュラム&オンボーディングマネージャーであるケイトリン・トリニダードは、6年以上の経験を持つカスタマーサクセス専門家であり、プログラムのベストプラクティスと技術的なノウハウを通じて顧客を支援しています。
共有する:
成功を導く10の要素への深い探求を、基本となる第一の促進要因「明確かつ測定可能な成功基準」から始めます。安全なコーディングプログラムを旅に例えるなら、最初の、そして最も重要な一歩は、正確にどこへ向かうのかを知ることです。これが第一の促進要因の本質です。
成功基準を事業成果と結びつける
安全なコーディングプログラムの成功には、事業成果と密接に関連する明確な目標の存在が不可欠です。エンエイブラー1は主要な問いに答えます:「我々の安全なコーディングプログラムで解決しようとしている問題や弱点は、具体的に測定可能な形で何なのか?」
おそらく御社はコンプライアンス要件を満たすため、あるいはセキュリティ侵害やサイバー攻撃を回避するために取り組んでいることでしょう。あるいは、組織として正しい方向から始め、開発者に最初から安全なコーディングを習得させることで、コスト削減と手戻り時間の短縮を目指しているのかもしれません。
動機や組織の現状、選択するセキュリティ研修プラットフォームに関わらず、プログラムの長期的な成功は、明確に定義され事業目標と連動した目標設定に大きく依存します。これにより受け入れを促進し、持続的な成功を保証できるのです。
成功基準を決定する際には、プログラムの主要な利害関係者を考慮してください。経営陣のスポンサーとそのビジネス目標を把握することで、部門横断的な導入促進につながります。
成功を具体的で測定可能なものにする
これらの目標は、その性質上、貴組織に固有のものであるべきです。とはいえ、以下の典型的な事業目標を確認し、それらがどのように追加のアイデアのヒントとなるか考えてみてください:
リスク低減:開発者リスクを軽減し、コーディング上の欠陥によって生じる脆弱性を削減します。これにはリスクの特定とアプリケーションの攻撃対象領域の縮小が含まれます。
プログラムはしばしば、脆弱性密度や脆弱性注入率の低減・回避といった指標を目標とする。
運用速度:製品提供速度を最大化し、開発者のフラストレーションと離職率を低減し、手戻り作業に費やす時間を削減します。セキュアコーディング研修は、ソフトウェア開発ライフサイクルの後半で発見されるバグのあるコードの手戻り作業という時間的損失を回避する手助けとなるため、開発者にとって大きなインセンティブとなります。
プログラムはしばしば、開発者の脆弱性修正平均時間(MTTR)の短縮を目標とする。
規制コンプライアンス:外部コンプライアンスを達成する。例えば、PCI-DSS(支払いシステムに携わる全開発者への研修を義務付ける)などの基準への準拠。
人材と信頼:開発者組織内におけるセキュリティと脆弱性への関与と認識を高めつつ、顧客の信頼を維持・構築する。一部の企業では、セキュリティ対応開発者が市場での差別化確立に寄与する。
プログラムでは、開発者に対する最低限のスキル要件を設定したり、専門的なセキュリティチャンピオンプログラムを創設したりすることが多い。
共同成功計画における成功の記録
成功基準を定義したら、次のステップはそれらを共同成功計画に文書化することです。この計画は、CSMトレーニングプラットフォームなどの外部サポートを含む、プログラムのすべての主要な利害関係者と共有される学際的なモデルです。
成功計画には以下が含まれます:
- 価値推進要因:これには、コードの安全性の向上に関連する高レベルのビジネス目標と、プログラムの「なぜ」への対応が含まれます。
- 現状:これは「現在の位置」を定義します(例:現在の安全なコーディングスキルや既存のトレーニングプログラム)。
- 将来の理想状態:次に、「どこに到達したいのか?」を文書化し、安全なコーディングスキルのギャップをどのように埋めるかを確立する。
- KPI/指標:これらは成功を示す指標であり、プログラムの実施に伴い現状と将来の目標との差が縮まりつつあることを証明するものです。
まず1~2つの具体的な指標から始め、必要に応じて後で拡大することをお勧めします。これらのKPI/指標はS.M.A.R.T.原則(具体的、測定可能、達成可能、関連性があり、期限付き)を満たす必要があります。 追跡が容易で曖昧な解釈の余地がないことが求められます。計画を実行に移すには、全関係者が責任を果たす必要があり、経営陣と価値や投資対効果を定期的に確認する合意された頻度で進捗をレビューする必要があります。
これらの基準を明示的に定義し測定することで、セキュアコーディングプログラムは単なるコストセンターから、検証可能な重要なビジネス成果の推進力へと変貌します。これはプログラムの成熟度を達成するための必要不可欠な第一歩です。
次に、ハビリテーター2:上級リーダーの支援に 焦点を当て、 安全なコーディングプログラムの成功した実施においてリーダーシップが果たす重要な役割を分析します。
追加のご質問はございますか?お客様はアカウントチームまたはsupport@securecodewarrior.com までお問い合わせください。見込みのお客様は、こちらからお問い合わせいただくことで、営業チームメンバーとご相談いただけます。
リソースセンター
始めるためのリソース
その他の投稿
%20(1).avif)
.avif)
リソースセンター
始めるためのリソース
その他の投稿
.avif)