開発者にセキュリティを考慮したプログラミングをさせたいですか?研修をご提供いたします。
ソフトウェア開発ライフサイクル(SDLC)は一見無害に見える。それはプロセスであり、プログラマーたちは協力して魔法を起こし、社会が生きられないほど必要とするデジタルの恩恵を届けるのだ。
ただし…ソフトウェア開発プロジェクトに関わったことがあるなら、それが通常は挑戦であり、多くのミッションを制覇し、ドラゴンを倒す必要があることを知っているだろう。しばらくは楽しいが、疲労は現実のものだ。ソフトウェアへの需要は、特に開発チームにとって、最良の場合でも光速で働かせる。
さて、もう一つの必須タスクが課せられる場面を想像してみてください。それは、自身が関わるプロジェクト要素のセキュリティに対する責任です。最悪の場合、この責任が原因で何人かの担当者の手元で砂上の楼閣が崩れ落ちる可能性もありますが、より現実的なシナリオは、セキュリティが優先事項とならず、より緊急とみなされる問題が優先され、手抜きが行われることです。 そして、ほとんどの開発者は安全なプログラミングの訓練を受けていない(特に管理者がセキュリティを優先しない場合)ため、頻繁なデータ漏洩、欠陥のあるアプリケーションのリリース、そして欠陥コードの洪水に耐えかねて限界に達したセキュリティ専門家たちの大量離脱が見られるのも不思議ではありません。
開発者はAppSecの擁護者を必要としています。
前述の状況を分析すると、コーディングプロセスにおいてセキュリティが「難しすぎる」というカテゴリーに分類され、セキュリティチームに任される理由が理解できる。 矛盾する期限が多すぎる、十分なトレーニングがない、そして他の課題に追われる中でセキュリティを気にかける余裕などない。しかし現状を続けるには、コードへの需要が単純に大きすぎる。ここでエリート開発者は仲間と差別化を図り、新たなスキルを習得し、そして何より重要なのは、より安全なコードを生み出せるのだ。
ただし、ソフトウェアのセキュリティ管理は開発者だけの責任ではなく、依然としてAppSecチームの領域であることを忘れてはならない(セキュリティを重視する開発者と協力すれば、AppSecチームはよくあるエラーを繰り返し修正する代わりに、より余裕を持って活動できる)。機能するDevSecOpsプロセスには、チーム全員がセキュリティ責任を共有するために必要な支援とツールが不可欠であり、適切なトレーニングが極めて重要です。適切なツール群とトレーニングのバランスを取るには、開発者と緊密に連携し、彼らを鼓舞して前向きな変化を促す意欲を持つAppSec専門家のビジョンが求められます。
破壊的なトレーニングは効果的というより煩わしく、開発者を遠ざけるものは機能しない。代替案として、小規模な知識に焦点を当て、必要な瞬間に適切な情報を提供する、IDEや課題追跡システムと統合されたソリューションの利用が挙げられる。
これが実際の動作です:
ちょうどいいタイミングで、決して「万一に備えて」ではない。
実践的かつ文脈に沿った学習は、断然最も効果的なトレーニング方法です。なぜなら、理解が最も深まるタイミングで、ちょうど良い量の知識が提供されるからです。これは「ジャスト・イン・タイム(JiT)」トレーニングとも呼ばれ、安全にプログラミングを学ぶ開発者にとって非常に有用です。
トヨタのリーン生産方式の原則に端を発するiITトレーニングは、最も重要な場面で、状況に応じて必要な知識を即座に活用できるよう設計されています。 開発者が誤った権限設定のコードを書いた場合、攻撃者がリモートでコードを実行できるバックドアが生まれる可能性があります。コンフルエンスのドキュメントを検索したり、研修で触れた内容をGoogleで調べたりするよりも、必要な瞬間に知識にアクセスできれば、はるかに効果的です。
ジャストインタイム学習は「万一に備えた」学習の対極にある。後者は知識伝達の最も一般的な方法ではあるが、単に非効率的である。開発者がセキュアプログラミングのベストプラクティスに関心を持ち、専門スキル向上の利点を認識できるように支援すべきだ。ただし、彼らが現在取り組んでいる主要目標への集中を損なうことなく。
開発者に研修を受けさせるのをやめてください。
仕事の日にはやるべきことが多すぎるのは周知の事実だ。では、開発者たちが教室に通ったり環境を変えたりして、5つの手順を踏んで静的な理論に基づくトレーニングを受けるインセンティブはどこにあるのだろうか?
一般的な見解では、データ漏洩を引き起こす脆弱性の多さを考慮すると、大多数の組織の対策はあまり効果的ではない。ベライゾンの2020年データ侵害調査報告書は、データ漏洩の43%がウェブ脆弱性に起因すると特定している。 開発者は効果的な訓練を受けていない。高等教育においても、職場でのスキル向上策の一環としても同様である。もし適切な訓練が行われていれば、SQLインジェクションや古典的なパストラッキングといった一般的な脆弱性が大量のデータ取得に悪用されることもなく、サイバーセキュリティ人材の不足が制御不能な状態に陥ることもなかっただろう。
では、開発者がトレーニングを受け、セキュリティに慣れる現在の環境がこうであるなら、なぜ悪い結果に驚くのでしょうか? 開発者と組織の双方にとって(プラスの)効果をもたらす可能性がある。Jira、GitHub、IDEといった実際の作業環境からアクセス可能な、よりシームレスで統合され、煩わしさの少ないトレーニング体験を保証することで。業界は単に前進し、セキュリティ意識向上の取り組みをはるかに容易にする必要がある。もはや贅沢品ではない環境において。
開発ワークフローを保護する準備はできていますか?
セキュリティを重視する開発者は、その技術力とコード作成段階から組織に提供できる保護によって高く評価される。 セキュリティはもはやオプションではない。特に、GDPR(一般データ保護規則)による罰金、PCI-DSS(ペイメントカード業界データセキュリティ基準)のコンプライアンス要件、NIST(米国国立標準技術研究所)のガバナンス...そしてエクイファックスのような数億ドル規模の集団訴訟で訴えられる可能性を考慮すればなおさらである。
統合的なアプローチは、開発者を巻き込むための触媒となり得る。学習の障壁を低くし、より詳細なコースを提供したり、セキュリティ擁護者を育成したり、世界中のデータを健全かつ安全に保つために必要な責任分担を促す道筋を築くことができる。
今すぐJiraとGitHubの統合ツールをダウンロードし、ご意見をお聞かせください。
仕事の日にはやるべきことが多すぎるのは周知の事実だ。では、開発者たちが教室に通ったり環境を変えたりして、5つの手順を踏んで静的な理論に基づくトレーニングを受けるインセンティブはどこにあるのだろうか?
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
ソフトウェア開発ライフサイクル(SDLC)は一見無害に見える。それはプロセスであり、プログラマーたちは協力して魔法を起こし、社会が生きられないほど必要とするデジタルの恩恵を届けるのだ。
ただし…ソフトウェア開発プロジェクトに関わったことがあるなら、それが通常は挑戦であり、多くのミッションを制覇し、ドラゴンを倒す必要があることを知っているだろう。しばらくは楽しいが、疲労は現実のものだ。ソフトウェアへの需要は、特に開発チームにとって、最良の場合でも光速で働かせる。
さて、もう一つの必須タスクが課せられる場面を想像してみてください。それは、自身が関わるプロジェクト要素のセキュリティに対する責任です。最悪の場合、この責任が原因で何人かの担当者の手元で砂上の楼閣が崩れ落ちる可能性もありますが、より現実的なシナリオは、セキュリティが優先事項とならず、より緊急とみなされる問題が優先され、手抜きが行われることです。 そして、ほとんどの開発者は安全なプログラミングの訓練を受けていない(特に管理者がセキュリティを優先しない場合)ため、頻繁なデータ漏洩、欠陥のあるアプリケーションのリリース、そして欠陥コードの洪水に耐えかねて限界に達したセキュリティ専門家たちの大量離脱が見られるのも不思議ではありません。
開発者はAppSecの擁護者を必要としています。
前述の状況を分析すると、コーディングプロセスにおいてセキュリティが「難しすぎる」というカテゴリーに分類され、セキュリティチームに任される理由が理解できる。 矛盾する期限が多すぎる、十分なトレーニングがない、そして他の課題に追われる中でセキュリティを気にかける余裕などない。しかし現状を続けるには、コードへの需要が単純に大きすぎる。ここでエリート開発者は仲間と差別化を図り、新たなスキルを習得し、そして何より重要なのは、より安全なコードを生み出せるのだ。
ただし、ソフトウェアのセキュリティ管理は開発者だけの責任ではなく、依然としてAppSecチームの領域であることを忘れてはならない(セキュリティを重視する開発者と協力すれば、AppSecチームはよくあるエラーを繰り返し修正する代わりに、より余裕を持って活動できる)。機能するDevSecOpsプロセスには、チーム全員がセキュリティ責任を共有するために必要な支援とツールが不可欠であり、適切なトレーニングが極めて重要です。適切なツール群とトレーニングのバランスを取るには、開発者と緊密に連携し、彼らを鼓舞して前向きな変化を促す意欲を持つAppSec専門家のビジョンが求められます。
破壊的なトレーニングは効果的というより煩わしく、開発者を遠ざけるものは機能しない。代替案として、小規模な知識に焦点を当て、必要な瞬間に適切な情報を提供する、IDEや課題追跡システムと統合されたソリューションの利用が挙げられる。
これが実際の動作です:
ちょうどいいタイミングで、決して「万一に備えて」ではない。
実践的かつ文脈に沿った学習は、断然最も効果的なトレーニング方法です。なぜなら、理解が最も深まるタイミングで、ちょうど良い量の知識が提供されるからです。これは「ジャスト・イン・タイム(JiT)」トレーニングとも呼ばれ、安全にプログラミングを学ぶ開発者にとって非常に有用です。
トヨタのリーン生産方式の原則に端を発するiITトレーニングは、最も重要な場面で、状況に応じて必要な知識を即座に活用できるよう設計されています。 開発者が誤った権限設定のコードを書いた場合、攻撃者がリモートでコードを実行できるバックドアが生まれる可能性があります。コンフルエンスのドキュメントを検索したり、研修で触れた内容をGoogleで調べたりするよりも、必要な瞬間に知識にアクセスできれば、はるかに効果的です。
ジャストインタイム学習は「万一に備えた」学習の対極にある。後者は知識伝達の最も一般的な方法ではあるが、単に非効率的である。開発者がセキュアプログラミングのベストプラクティスに関心を持ち、専門スキル向上の利点を認識できるように支援すべきだ。ただし、彼らが現在取り組んでいる主要目標への集中を損なうことなく。
開発者に研修を受けさせるのをやめてください。
仕事の日にはやるべきことが多すぎるのは周知の事実だ。では、開発者たちが教室に通ったり環境を変えたりして、5つの手順を踏んで静的な理論に基づくトレーニングを受けるインセンティブはどこにあるのだろうか?
一般的な見解では、データ漏洩を引き起こす脆弱性の多さを考慮すると、大多数の組織の対策はあまり効果的ではない。ベライゾンの2020年データ侵害調査報告書は、データ漏洩の43%がウェブ脆弱性に起因すると特定している。 開発者は効果的な訓練を受けていない。高等教育においても、職場でのスキル向上策の一環としても同様である。もし適切な訓練が行われていれば、SQLインジェクションや古典的なパストラッキングといった一般的な脆弱性が大量のデータ取得に悪用されることもなく、サイバーセキュリティ人材の不足が制御不能な状態に陥ることもなかっただろう。
では、開発者がトレーニングを受け、セキュリティに慣れる現在の環境がこうであるなら、なぜ悪い結果に驚くのでしょうか? 開発者と組織の双方にとって(プラスの)効果をもたらす可能性がある。Jira、GitHub、IDEといった実際の作業環境からアクセス可能な、よりシームレスで統合され、煩わしさの少ないトレーニング体験を保証することで。業界は単に前進し、セキュリティ意識向上の取り組みをはるかに容易にする必要がある。もはや贅沢品ではない環境において。
開発ワークフローを保護する準備はできていますか?
セキュリティを重視する開発者は、その技術力とコード作成段階から組織に提供できる保護によって高く評価される。 セキュリティはもはやオプションではない。特に、GDPR(一般データ保護規則)による罰金、PCI-DSS(ペイメントカード業界データセキュリティ基準)のコンプライアンス要件、NIST(米国国立標準技術研究所)のガバナンス...そしてエクイファックスのような数億ドル規模の集団訴訟で訴えられる可能性を考慮すればなおさらである。
統合的なアプローチは、開発者を巻き込むための触媒となり得る。学習の障壁を低くし、より詳細なコースを提供したり、セキュリティ擁護者を育成したり、世界中のデータを健全かつ安全に保つために必要な責任分担を促す道筋を築くことができる。
今すぐJiraとGitHubの統合ツールをダウンロードし、ご意見をお聞かせください。
ソフトウェア開発ライフサイクル(SDLC)は一見無害に見える。それはプロセスであり、プログラマーたちは協力して魔法を起こし、社会が生きられないほど必要とするデジタルの恩恵を届けるのだ。
ただし…ソフトウェア開発プロジェクトに関わったことがあるなら、それが通常は挑戦であり、多くのミッションを制覇し、ドラゴンを倒す必要があることを知っているだろう。しばらくは楽しいが、疲労は現実のものだ。ソフトウェアへの需要は、特に開発チームにとって、最良の場合でも光速で働かせる。
さて、もう一つの必須タスクが課せられる場面を想像してみてください。それは、自身が関わるプロジェクト要素のセキュリティに対する責任です。最悪の場合、この責任が原因で何人かの担当者の手元で砂上の楼閣が崩れ落ちる可能性もありますが、より現実的なシナリオは、セキュリティが優先事項とならず、より緊急とみなされる問題が優先され、手抜きが行われることです。 そして、ほとんどの開発者は安全なプログラミングの訓練を受けていない(特に管理者がセキュリティを優先しない場合)ため、頻繁なデータ漏洩、欠陥のあるアプリケーションのリリース、そして欠陥コードの洪水に耐えかねて限界に達したセキュリティ専門家たちの大量離脱が見られるのも不思議ではありません。
開発者はAppSecの擁護者を必要としています。
前述の状況を分析すると、コーディングプロセスにおいてセキュリティが「難しすぎる」というカテゴリーに分類され、セキュリティチームに任される理由が理解できる。 矛盾する期限が多すぎる、十分なトレーニングがない、そして他の課題に追われる中でセキュリティを気にかける余裕などない。しかし現状を続けるには、コードへの需要が単純に大きすぎる。ここでエリート開発者は仲間と差別化を図り、新たなスキルを習得し、そして何より重要なのは、より安全なコードを生み出せるのだ。
ただし、ソフトウェアのセキュリティ管理は開発者だけの責任ではなく、依然としてAppSecチームの領域であることを忘れてはならない(セキュリティを重視する開発者と協力すれば、AppSecチームはよくあるエラーを繰り返し修正する代わりに、より余裕を持って活動できる)。機能するDevSecOpsプロセスには、チーム全員がセキュリティ責任を共有するために必要な支援とツールが不可欠であり、適切なトレーニングが極めて重要です。適切なツール群とトレーニングのバランスを取るには、開発者と緊密に連携し、彼らを鼓舞して前向きな変化を促す意欲を持つAppSec専門家のビジョンが求められます。
破壊的なトレーニングは効果的というより煩わしく、開発者を遠ざけるものは機能しない。代替案として、小規模な知識に焦点を当て、必要な瞬間に適切な情報を提供する、IDEや課題追跡システムと統合されたソリューションの利用が挙げられる。
これが実際の動作です:
ちょうどいいタイミングで、決して「万一に備えて」ではない。
実践的かつ文脈に沿った学習は、断然最も効果的なトレーニング方法です。なぜなら、理解が最も深まるタイミングで、ちょうど良い量の知識が提供されるからです。これは「ジャスト・イン・タイム(JiT)」トレーニングとも呼ばれ、安全にプログラミングを学ぶ開発者にとって非常に有用です。
トヨタのリーン生産方式の原則に端を発するiITトレーニングは、最も重要な場面で、状況に応じて必要な知識を即座に活用できるよう設計されています。 開発者が誤った権限設定のコードを書いた場合、攻撃者がリモートでコードを実行できるバックドアが生まれる可能性があります。コンフルエンスのドキュメントを検索したり、研修で触れた内容をGoogleで調べたりするよりも、必要な瞬間に知識にアクセスできれば、はるかに効果的です。
ジャストインタイム学習は「万一に備えた」学習の対極にある。後者は知識伝達の最も一般的な方法ではあるが、単に非効率的である。開発者がセキュアプログラミングのベストプラクティスに関心を持ち、専門スキル向上の利点を認識できるように支援すべきだ。ただし、彼らが現在取り組んでいる主要目標への集中を損なうことなく。
開発者に研修を受けさせるのをやめてください。
仕事の日にはやるべきことが多すぎるのは周知の事実だ。では、開発者たちが教室に通ったり環境を変えたりして、5つの手順を踏んで静的な理論に基づくトレーニングを受けるインセンティブはどこにあるのだろうか?
一般的な見解では、データ漏洩を引き起こす脆弱性の多さを考慮すると、大多数の組織の対策はあまり効果的ではない。ベライゾンの2020年データ侵害調査報告書は、データ漏洩の43%がウェブ脆弱性に起因すると特定している。 開発者は効果的な訓練を受けていない。高等教育においても、職場でのスキル向上策の一環としても同様である。もし適切な訓練が行われていれば、SQLインジェクションや古典的なパストラッキングといった一般的な脆弱性が大量のデータ取得に悪用されることもなく、サイバーセキュリティ人材の不足が制御不能な状態に陥ることもなかっただろう。
では、開発者がトレーニングを受け、セキュリティに慣れる現在の環境がこうであるなら、なぜ悪い結果に驚くのでしょうか? 開発者と組織の双方にとって(プラスの)効果をもたらす可能性がある。Jira、GitHub、IDEといった実際の作業環境からアクセス可能な、よりシームレスで統合され、煩わしさの少ないトレーニング体験を保証することで。業界は単に前進し、セキュリティ意識向上の取り組みをはるかに容易にする必要がある。もはや贅沢品ではない環境において。
開発ワークフローを保護する準備はできていますか?
セキュリティを重視する開発者は、その技術力とコード作成段階から組織に提供できる保護によって高く評価される。 セキュリティはもはやオプションではない。特に、GDPR(一般データ保護規則)による罰金、PCI-DSS(ペイメントカード業界データセキュリティ基準)のコンプライアンス要件、NIST(米国国立標準技術研究所)のガバナンス...そしてエクイファックスのような数億ドル規模の集団訴訟で訴えられる可能性を考慮すればなおさらである。
統合的なアプローチは、開発者を巻き込むための触媒となり得る。学習の障壁を低くし、より詳細なコースを提供したり、セキュリティ擁護者を育成したり、世界中のデータを健全かつ安全に保つために必要な責任分担を促す道筋を築くことができる。
今すぐJiraとGitHubの統合ツールをダウンロードし、ご意見をお聞かせください。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
ソフトウェア開発ライフサイクル(SDLC)は一見無害に見える。それはプロセスであり、プログラマーたちは協力して魔法を起こし、社会が生きられないほど必要とするデジタルの恩恵を届けるのだ。
ただし…ソフトウェア開発プロジェクトに関わったことがあるなら、それが通常は挑戦であり、多くのミッションを制覇し、ドラゴンを倒す必要があることを知っているだろう。しばらくは楽しいが、疲労は現実のものだ。ソフトウェアへの需要は、特に開発チームにとって、最良の場合でも光速で働かせる。
さて、もう一つの必須タスクが課せられる場面を想像してみてください。それは、自身が関わるプロジェクト要素のセキュリティに対する責任です。最悪の場合、この責任が原因で何人かの担当者の手元で砂上の楼閣が崩れ落ちる可能性もありますが、より現実的なシナリオは、セキュリティが優先事項とならず、より緊急とみなされる問題が優先され、手抜きが行われることです。 そして、ほとんどの開発者は安全なプログラミングの訓練を受けていない(特に管理者がセキュリティを優先しない場合)ため、頻繁なデータ漏洩、欠陥のあるアプリケーションのリリース、そして欠陥コードの洪水に耐えかねて限界に達したセキュリティ専門家たちの大量離脱が見られるのも不思議ではありません。
開発者はAppSecの擁護者を必要としています。
前述の状況を分析すると、コーディングプロセスにおいてセキュリティが「難しすぎる」というカテゴリーに分類され、セキュリティチームに任される理由が理解できる。 矛盾する期限が多すぎる、十分なトレーニングがない、そして他の課題に追われる中でセキュリティを気にかける余裕などない。しかし現状を続けるには、コードへの需要が単純に大きすぎる。ここでエリート開発者は仲間と差別化を図り、新たなスキルを習得し、そして何より重要なのは、より安全なコードを生み出せるのだ。
ただし、ソフトウェアのセキュリティ管理は開発者だけの責任ではなく、依然としてAppSecチームの領域であることを忘れてはならない(セキュリティを重視する開発者と協力すれば、AppSecチームはよくあるエラーを繰り返し修正する代わりに、より余裕を持って活動できる)。機能するDevSecOpsプロセスには、チーム全員がセキュリティ責任を共有するために必要な支援とツールが不可欠であり、適切なトレーニングが極めて重要です。適切なツール群とトレーニングのバランスを取るには、開発者と緊密に連携し、彼らを鼓舞して前向きな変化を促す意欲を持つAppSec専門家のビジョンが求められます。
破壊的なトレーニングは効果的というより煩わしく、開発者を遠ざけるものは機能しない。代替案として、小規模な知識に焦点を当て、必要な瞬間に適切な情報を提供する、IDEや課題追跡システムと統合されたソリューションの利用が挙げられる。
これが実際の動作です:
ちょうどいいタイミングで、決して「万一に備えて」ではない。
実践的かつ文脈に沿った学習は、断然最も効果的なトレーニング方法です。なぜなら、理解が最も深まるタイミングで、ちょうど良い量の知識が提供されるからです。これは「ジャスト・イン・タイム(JiT)」トレーニングとも呼ばれ、安全にプログラミングを学ぶ開発者にとって非常に有用です。
トヨタのリーン生産方式の原則に端を発するiITトレーニングは、最も重要な場面で、状況に応じて必要な知識を即座に活用できるよう設計されています。 開発者が誤った権限設定のコードを書いた場合、攻撃者がリモートでコードを実行できるバックドアが生まれる可能性があります。コンフルエンスのドキュメントを検索したり、研修で触れた内容をGoogleで調べたりするよりも、必要な瞬間に知識にアクセスできれば、はるかに効果的です。
ジャストインタイム学習は「万一に備えた」学習の対極にある。後者は知識伝達の最も一般的な方法ではあるが、単に非効率的である。開発者がセキュアプログラミングのベストプラクティスに関心を持ち、専門スキル向上の利点を認識できるように支援すべきだ。ただし、彼らが現在取り組んでいる主要目標への集中を損なうことなく。
開発者に研修を受けさせるのをやめてください。
仕事の日にはやるべきことが多すぎるのは周知の事実だ。では、開発者たちが教室に通ったり環境を変えたりして、5つの手順を踏んで静的な理論に基づくトレーニングを受けるインセンティブはどこにあるのだろうか?
一般的な見解では、データ漏洩を引き起こす脆弱性の多さを考慮すると、大多数の組織の対策はあまり効果的ではない。ベライゾンの2020年データ侵害調査報告書は、データ漏洩の43%がウェブ脆弱性に起因すると特定している。 開発者は効果的な訓練を受けていない。高等教育においても、職場でのスキル向上策の一環としても同様である。もし適切な訓練が行われていれば、SQLインジェクションや古典的なパストラッキングといった一般的な脆弱性が大量のデータ取得に悪用されることもなく、サイバーセキュリティ人材の不足が制御不能な状態に陥ることもなかっただろう。
では、開発者がトレーニングを受け、セキュリティに慣れる現在の環境がこうであるなら、なぜ悪い結果に驚くのでしょうか? 開発者と組織の双方にとって(プラスの)効果をもたらす可能性がある。Jira、GitHub、IDEといった実際の作業環境からアクセス可能な、よりシームレスで統合され、煩わしさの少ないトレーニング体験を保証することで。業界は単に前進し、セキュリティ意識向上の取り組みをはるかに容易にする必要がある。もはや贅沢品ではない環境において。
開発ワークフローを保護する準備はできていますか?
セキュリティを重視する開発者は、その技術力とコード作成段階から組織に提供できる保護によって高く評価される。 セキュリティはもはやオプションではない。特に、GDPR(一般データ保護規則)による罰金、PCI-DSS(ペイメントカード業界データセキュリティ基準)のコンプライアンス要件、NIST(米国国立標準技術研究所)のガバナンス...そしてエクイファックスのような数億ドル規模の集団訴訟で訴えられる可能性を考慮すればなおさらである。
統合的なアプローチは、開発者を巻き込むための触媒となり得る。学習の障壁を低くし、より詳細なコースを提供したり、セキュリティ擁護者を育成したり、世界中のデータを健全かつ安全に保つために必要な責任分担を促す道筋を築くことができる。
今すぐJiraとGitHubの統合ツールをダウンロードし、ご意見をお聞かせください。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
