足場を用いた学習が確固たる自信を持つ開発者を育てる理由
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険になりつつあるかがすぐに明らかになるだろう。サイバー攻撃者や犯罪者による重大な侵害、新たな脆弱性、あるいは深刻な悪用活動に関する報告が毎日のように届いているようだ。 そして業界のほぼ全てのレポートや指標が示すように、サイバー脅威の数はますます危険な水準に達しており、専門家の大半はこの傾向が今後数年間も続くと予測している。
これらの新たな脅威に対処するため、最前線で働くITセキュリティ担当者は疲弊し、人員不足に陥っている。高給でありながら、あらゆる企業や組織にとってほぼ不可欠であるにもかかわらず、十分なセキュリティ要員が確保できない状況が続いている。 戦略国際問題研究所(CSIS)の最近の調査では、IT意思決定者の82%が自組織でサイバーセキュリティスキル不足に直面していると回答し、71%がその不足が組織に直接的かつ測定可能な損害をもたらしたと述べた。 米国だけでも、サイバーセキュリティ分野の未充足職は52万件以上に上り、この分野の従事者はわずか94万人程度と報告されている。
世界中で現在、約350万件のサイバーセキュリティ関連職が空席となっています。これは、高額な報酬を支払ってでも優秀な人材を採用・維持しようとする組織でさえ、適切な候補者を見つけるのに苦労していることを意味します。平均的に、サイバーセキュリティ職の採用には他の職種よりも約21%多くの時間がかかり、場合によっては埋まらないこともあります。
開発者向け機能は長きにわたり軽視されてきた
多くの過去のブログ記事で指摘されているように、サイバーセキュリティ防御における重大な欠陥を補うために開発者を活用する方法は存在します。しかし従来、開発者はサイバーセキュリティに関する教育を一切受けてきませんでした。彼らの業務評価はほぼ完全に実装速度と納期に依存しており、セキュリティ対策は後工程のAppSecチームが担当する課題と位置づけられてきたのです。
残念ながら、単に話題を変えて開発者に突然アプリケーションやプログラムにセキュリティを追加するよう求めるだけでは不十分です。 たとえ彼らがそうした変更を行う意思を持っていても(調査によれば多くの開発者がその意思を持っている)、それを実現するには依然としてトレーニングが必要です。また、経営陣からの後押しと支援も必要ですが、最初の障壁であり、しばしば最大の障壁となるのは、意味のある学習の機会を得られるかどうかです。
世界中で数百万もの高セキュリティで高給なITセキュリティ職が空席のままなのは理由がある。もし簡単な仕事なら、誰もがその分野に殺到するだろう。脅威と戦い、コードの脆弱性を排除する方法を学ぶのは困難であり、脅威の状況は絶えず変化している。 サイバーセキュリティを教える試み——たとえ比較的技術に精通した開発者であっても——急速に陳腐化し記憶に残りにくい静的なトレーニングでは効率的に行えず、特に既に過密なスケジュールに追加される場合、その効果は最小限に留まるでしょう。
より高い場所へ到達するための足場を組み立てる
伝統的な手法でサイバーセキュリティスキルを教えることは、地面から足を離さずに超高層ビルを建設しようとするようなものだ。それは不可能である。なぜなら学生には、サイバーセキュリティのような複雑な分野の高度な概念を習得するための基礎が欠けているからだ。これを補うために、足場を張る学習法という概念を活用できる。
段階的または「階層的」アプローチを用いてスキルを向上させる場合、より広範なテーマは通常、個別の学習経験や概念に分割されます。これにより、生徒は適切な演習と指導を通じて各概念を習得でき、各構成要素に必要な支援がすべて提供されます。 より新しく高度な概念は、既に習得した概念の上に積み上げられます。これは、建物が成長するにつれて物理的な足場が構築されるのと同様です。この方法により、生徒は支援なしでは習得できないより高いレベルの理解と技能習得を達成できます。
物理的な足場と同様に、その支援は不要になると次第に取り除かれ、生徒が知識を蓄えるにつれてより大きな責任が課される。
足場学習は主に、支援なしに困難な課題に取り組む際に生徒が感じる挫折感、威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。しかし、現代のサイバーセキュリティのような極めて難しい概念に取り組む際にも非常に有用である。 開発者を子供扱いする手法とは程遠く、セキュリティチームとの関わりが同様に苛立ちや落胆を招く可能性がある状況では、この手法は極めて有用です。特に、彼らの懸命な努力がバグ修正と新たな批判の嵐で報われるような場合において。
開発者がセキュアコーディングの基礎を理解するためのツール(通常はOWASPトップ10から始める)を入手すると、セキュリティ上の欠陥がどのように発生するか、なぜ危険なのか、本番環境に反映される前にどのように修正すべきかを自ら検証できるようになります。 そこから、より複雑な脆弱性への取り組みや適切な解決策の実践的経験を通じて知識を拡大できます。層は徐々に厚みを増し、ソフトウェアの安全でないアーキテクチャや脅威モデルの作成といった高度なセキュリティ問題に対しても、これらの進歩はそれほど威圧的に感じられず、正確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織は新たな基準を採用し、開発者がより高品質なソフトウェアを生産できるよう育成できます。エンジニアリングに従事しスキル向上を図る組織にとっての追加的な利点として、プロセスの各段階、あるいは足場の各レベルは、学習が進むにつれてサイバーセキュリティの直接的な向上につながります。 コース終了まで待たなくても、成果はすぐに確認できます。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。段階的な学習を組み込んだセキュリティプログラムを導入すれば、その効果を最大限に引き出せます。その利点はほぼ即座に明らかになるからです。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していきます。
当社と共に堅牢なセキュリティを備えた開発者を育成しましょう。詳細は以下をご覧ください:
コース
ミッション
開発者向けトレーニング
...その他多数!
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織は新たな基準を採用し、開発者がより高品質なソフトウェアを生産できるよう育成することができます。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険になりつつあるかがすぐに明らかになるだろう。サイバー攻撃者や犯罪者による重大な侵害、新たな脆弱性、あるいは深刻な悪用活動に関する報告が毎日のように届いているようだ。 そして業界のほぼ全てのレポートや指標が示すように、サイバー脅威の数はますます危険な水準に達しており、専門家の大半はこの傾向が今後数年間も続くと予測している。
これらの新たな脅威に対処するため、最前線で働くITセキュリティ担当者は疲弊し、人員不足に陥っている。高給でありながら、あらゆる企業や組織にとってほぼ不可欠であるにもかかわらず、十分なセキュリティ要員が確保できない状況が続いている。 戦略国際問題研究所(CSIS)の最近の調査では、IT意思決定者の82%が自組織でサイバーセキュリティスキル不足に直面していると回答し、71%がその不足が組織に直接的かつ測定可能な損害をもたらしたと述べた。 米国だけでも、サイバーセキュリティ分野の未充足職は52万件以上に上り、この分野の従事者はわずか94万人程度と報告されている。
世界中で現在、約350万件のサイバーセキュリティ関連職が空席となっています。これは、高額な報酬を支払ってでも優秀な人材を採用・維持しようとする組織でさえ、適切な候補者を見つけるのに苦労していることを意味します。平均的に、サイバーセキュリティ職の採用には他の職種よりも約21%多くの時間がかかり、場合によっては埋まらないこともあります。
開発者向け機能は長きにわたり軽視されてきた
多くの過去のブログ記事で指摘されているように、サイバーセキュリティ防御における重大な欠陥を補うために開発者を活用する方法は存在します。しかし従来、開発者はサイバーセキュリティに関する教育を一切受けてきませんでした。彼らの業務評価はほぼ完全に実装速度と納期に依存しており、セキュリティ対策は後工程のAppSecチームが担当する課題と位置づけられてきたのです。
残念ながら、単に話題を変えて開発者に突然アプリケーションやプログラムにセキュリティを追加するよう求めるだけでは不十分です。 たとえ彼らがそうした変更を行う意思を持っていても(調査によれば多くの開発者がその意思を持っている)、それを実現するには依然としてトレーニングが必要です。また、経営陣からの後押しと支援も必要ですが、最初の障壁であり、しばしば最大の障壁となるのは、意味のある学習の機会を得られるかどうかです。
世界中で数百万もの高セキュリティで高給なITセキュリティ職が空席のままなのは理由がある。もし簡単な仕事なら、誰もがその分野に殺到するだろう。脅威と戦い、コードの脆弱性を排除する方法を学ぶのは困難であり、脅威の状況は絶えず変化している。 サイバーセキュリティを教える試み——たとえ比較的技術に精通した開発者であっても——急速に陳腐化し記憶に残りにくい静的なトレーニングでは効率的に行えず、特に既に過密なスケジュールに追加される場合、その効果は最小限に留まるでしょう。
より高い場所へ到達するための足場を組み立てる
伝統的な手法でサイバーセキュリティスキルを教えることは、地面から足を離さずに超高層ビルを建設しようとするようなものだ。それは不可能である。なぜなら学生には、サイバーセキュリティのような複雑な分野の高度な概念を習得するための基礎が欠けているからだ。これを補うために、足場を張る学習法という概念を活用できる。
段階的または「階層的」アプローチを用いてスキルを向上させる場合、より広範なテーマは通常、個別の学習経験や概念に分割されます。これにより、生徒は適切な演習と指導を通じて各概念を習得でき、各構成要素に必要な支援がすべて提供されます。 より新しく高度な概念は、既に習得した概念の上に積み上げられます。これは、建物が成長するにつれて物理的な足場が構築されるのと同様です。この方法により、生徒は支援なしでは習得できないより高いレベルの理解と技能習得を達成できます。
物理的な足場と同様に、その支援は不要になると次第に取り除かれ、生徒が知識を蓄えるにつれてより大きな責任が課される。
足場学習は主に、支援なしに困難な課題に取り組む際に生徒が感じる挫折感、威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。しかし、現代のサイバーセキュリティのような極めて難しい概念に取り組む際にも非常に有用である。 開発者を子供扱いする手法とは程遠く、セキュリティチームとの関わりが同様に苛立ちや落胆を招く可能性がある状況では、この手法は極めて有用です。特に、彼らの懸命な努力がバグ修正と新たな批判の嵐で報われるような場合において。
開発者がセキュアコーディングの基礎を理解するためのツール(通常はOWASPトップ10から始める)を入手すると、セキュリティ上の欠陥がどのように発生するか、なぜ危険なのか、本番環境に反映される前にどのように修正すべきかを自ら検証できるようになります。 そこから、より複雑な脆弱性への取り組みや適切な解決策の実践的経験を通じて知識を拡大できます。層は徐々に厚みを増し、ソフトウェアの安全でないアーキテクチャや脅威モデルの作成といった高度なセキュリティ問題に対しても、これらの進歩はそれほど威圧的に感じられず、正確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織は新たな基準を採用し、開発者がより高品質なソフトウェアを生産できるよう育成できます。エンジニアリングに従事しスキル向上を図る組織にとっての追加的な利点として、プロセスの各段階、あるいは足場の各レベルは、学習が進むにつれてサイバーセキュリティの直接的な向上につながります。 コース終了まで待たなくても、成果はすぐに確認できます。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。段階的な学習を組み込んだセキュリティプログラムを導入すれば、その効果を最大限に引き出せます。その利点はほぼ即座に明らかになるからです。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していきます。
当社と共に堅牢なセキュリティを備えた開発者を育成しましょう。詳細は以下をご覧ください:
コース
ミッション
開発者向けトレーニング
...その他多数!
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険になりつつあるかがすぐに明らかになるだろう。サイバー攻撃者や犯罪者による重大な侵害、新たな脆弱性、あるいは深刻な悪用活動に関する報告が毎日のように届いているようだ。 そして業界のほぼ全てのレポートや指標が示すように、サイバー脅威の数はますます危険な水準に達しており、専門家の大半はこの傾向が今後数年間も続くと予測している。
これらの新たな脅威に対処するため、最前線で働くITセキュリティ担当者は疲弊し、人員不足に陥っている。高給でありながら、あらゆる企業や組織にとってほぼ不可欠であるにもかかわらず、十分なセキュリティ要員が確保できない状況が続いている。 戦略国際問題研究所(CSIS)の最近の調査では、IT意思決定者の82%が自組織でサイバーセキュリティスキル不足に直面していると回答し、71%がその不足が組織に直接的かつ測定可能な損害をもたらしたと述べた。 米国だけでも、サイバーセキュリティ分野の未充足職は52万件以上に上り、この分野の従事者はわずか94万人程度と報告されている。
世界中で現在、約350万件のサイバーセキュリティ関連職が空席となっています。これは、高額な報酬を支払ってでも優秀な人材を採用・維持しようとする組織でさえ、適切な候補者を見つけるのに苦労していることを意味します。平均的に、サイバーセキュリティ職の採用には他の職種よりも約21%多くの時間がかかり、場合によっては埋まらないこともあります。
開発者向け機能は長きにわたり軽視されてきた
多くの過去のブログ記事で指摘されているように、サイバーセキュリティ防御における重大な欠陥を補うために開発者を活用する方法は存在します。しかし従来、開発者はサイバーセキュリティに関する教育を一切受けてきませんでした。彼らの業務評価はほぼ完全に実装速度と納期に依存しており、セキュリティ対策は後工程のAppSecチームが担当する課題と位置づけられてきたのです。
残念ながら、単に話題を変えて開発者に突然アプリケーションやプログラムにセキュリティを追加するよう求めるだけでは不十分です。 たとえ彼らがそうした変更を行う意思を持っていても(調査によれば多くの開発者がその意思を持っている)、それを実現するには依然としてトレーニングが必要です。また、経営陣からの後押しと支援も必要ですが、最初の障壁であり、しばしば最大の障壁となるのは、意味のある学習の機会を得られるかどうかです。
世界中で数百万もの高セキュリティで高給なITセキュリティ職が空席のままなのは理由がある。もし簡単な仕事なら、誰もがその分野に殺到するだろう。脅威と戦い、コードの脆弱性を排除する方法を学ぶのは困難であり、脅威の状況は絶えず変化している。 サイバーセキュリティを教える試み——たとえ比較的技術に精通した開発者であっても——急速に陳腐化し記憶に残りにくい静的なトレーニングでは効率的に行えず、特に既に過密なスケジュールに追加される場合、その効果は最小限に留まるでしょう。
より高い場所へ到達するための足場を組み立てる
伝統的な手法でサイバーセキュリティスキルを教えることは、地面から足を離さずに超高層ビルを建設しようとするようなものだ。それは不可能である。なぜなら学生には、サイバーセキュリティのような複雑な分野の高度な概念を習得するための基礎が欠けているからだ。これを補うために、足場を張る学習法という概念を活用できる。
段階的または「階層的」アプローチを用いてスキルを向上させる場合、より広範なテーマは通常、個別の学習経験や概念に分割されます。これにより、生徒は適切な演習と指導を通じて各概念を習得でき、各構成要素に必要な支援がすべて提供されます。 より新しく高度な概念は、既に習得した概念の上に積み上げられます。これは、建物が成長するにつれて物理的な足場が構築されるのと同様です。この方法により、生徒は支援なしでは習得できないより高いレベルの理解と技能習得を達成できます。
物理的な足場と同様に、その支援は不要になると次第に取り除かれ、生徒が知識を蓄えるにつれてより大きな責任が課される。
足場学習は主に、支援なしに困難な課題に取り組む際に生徒が感じる挫折感、威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。しかし、現代のサイバーセキュリティのような極めて難しい概念に取り組む際にも非常に有用である。 開発者を子供扱いする手法とは程遠く、セキュリティチームとの関わりが同様に苛立ちや落胆を招く可能性がある状況では、この手法は極めて有用です。特に、彼らの懸命な努力がバグ修正と新たな批判の嵐で報われるような場合において。
開発者がセキュアコーディングの基礎を理解するためのツール(通常はOWASPトップ10から始める)を入手すると、セキュリティ上の欠陥がどのように発生するか、なぜ危険なのか、本番環境に反映される前にどのように修正すべきかを自ら検証できるようになります。 そこから、より複雑な脆弱性への取り組みや適切な解決策の実践的経験を通じて知識を拡大できます。層は徐々に厚みを増し、ソフトウェアの安全でないアーキテクチャや脅威モデルの作成といった高度なセキュリティ問題に対しても、これらの進歩はそれほど威圧的に感じられず、正確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織は新たな基準を採用し、開発者がより高品質なソフトウェアを生産できるよう育成できます。エンジニアリングに従事しスキル向上を図る組織にとっての追加的な利点として、プロセスの各段階、あるいは足場の各レベルは、学習が進むにつれてサイバーセキュリティの直接的な向上につながります。 コース終了まで待たなくても、成果はすぐに確認できます。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。段階的な学習を組み込んだセキュリティプログラムを導入すれば、その効果を最大限に引き出せます。その利点はほぼ即座に明らかになるからです。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していきます。
当社と共に堅牢なセキュリティを備えた開発者を育成しましょう。詳細は以下をご覧ください:
コース
ミッション
開発者向けトレーニング
...その他多数!
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険になりつつあるかがすぐに明らかになるだろう。サイバー攻撃者や犯罪者による重大な侵害、新たな脆弱性、あるいは深刻な悪用活動に関する報告が毎日のように届いているようだ。 そして業界のほぼ全てのレポートや指標が示すように、サイバー脅威の数はますます危険な水準に達しており、専門家の大半はこの傾向が今後数年間も続くと予測している。
これらの新たな脅威に対処するため、最前線で働くITセキュリティ担当者は疲弊し、人員不足に陥っている。高給でありながら、あらゆる企業や組織にとってほぼ不可欠であるにもかかわらず、十分なセキュリティ要員が確保できない状況が続いている。 戦略国際問題研究所(CSIS)の最近の調査では、IT意思決定者の82%が自組織でサイバーセキュリティスキル不足に直面していると回答し、71%がその不足が組織に直接的かつ測定可能な損害をもたらしたと述べた。 米国だけでも、サイバーセキュリティ分野の未充足職は52万件以上に上り、この分野の従事者はわずか94万人程度と報告されている。
世界中で現在、約350万件のサイバーセキュリティ関連職が空席となっています。これは、高額な報酬を支払ってでも優秀な人材を採用・維持しようとする組織でさえ、適切な候補者を見つけるのに苦労していることを意味します。平均的に、サイバーセキュリティ職の採用には他の職種よりも約21%多くの時間がかかり、場合によっては埋まらないこともあります。
開発者向け機能は長きにわたり軽視されてきた
多くの過去のブログ記事で指摘されているように、サイバーセキュリティ防御における重大な欠陥を補うために開発者を活用する方法は存在します。しかし従来、開発者はサイバーセキュリティに関する教育を一切受けてきませんでした。彼らの業務評価はほぼ完全に実装速度と納期に依存しており、セキュリティ対策は後工程のAppSecチームが担当する課題と位置づけられてきたのです。
残念ながら、単に話題を変えて開発者に突然アプリケーションやプログラムにセキュリティを追加するよう求めるだけでは不十分です。 たとえ彼らがそうした変更を行う意思を持っていても(調査によれば多くの開発者がその意思を持っている)、それを実現するには依然としてトレーニングが必要です。また、経営陣からの後押しと支援も必要ですが、最初の障壁であり、しばしば最大の障壁となるのは、意味のある学習の機会を得られるかどうかです。
世界中で数百万もの高セキュリティで高給なITセキュリティ職が空席のままなのは理由がある。もし簡単な仕事なら、誰もがその分野に殺到するだろう。脅威と戦い、コードの脆弱性を排除する方法を学ぶのは困難であり、脅威の状況は絶えず変化している。 サイバーセキュリティを教える試み——たとえ比較的技術に精通した開発者であっても——急速に陳腐化し記憶に残りにくい静的なトレーニングでは効率的に行えず、特に既に過密なスケジュールに追加される場合、その効果は最小限に留まるでしょう。
より高い場所へ到達するための足場を組み立てる
伝統的な手法でサイバーセキュリティスキルを教えることは、地面から足を離さずに超高層ビルを建設しようとするようなものだ。それは不可能である。なぜなら学生には、サイバーセキュリティのような複雑な分野の高度な概念を習得するための基礎が欠けているからだ。これを補うために、足場を張る学習法という概念を活用できる。
段階的または「階層的」アプローチを用いてスキルを向上させる場合、より広範なテーマは通常、個別の学習経験や概念に分割されます。これにより、生徒は適切な演習と指導を通じて各概念を習得でき、各構成要素に必要な支援がすべて提供されます。 より新しく高度な概念は、既に習得した概念の上に積み上げられます。これは、建物が成長するにつれて物理的な足場が構築されるのと同様です。この方法により、生徒は支援なしでは習得できないより高いレベルの理解と技能習得を達成できます。
物理的な足場と同様に、その支援は不要になると次第に取り除かれ、生徒が知識を蓄えるにつれてより大きな責任が課される。
足場学習は主に、支援なしに困難な課題に取り組む際に生徒が感じる挫折感、威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。しかし、現代のサイバーセキュリティのような極めて難しい概念に取り組む際にも非常に有用である。 開発者を子供扱いする手法とは程遠く、セキュリティチームとの関わりが同様に苛立ちや落胆を招く可能性がある状況では、この手法は極めて有用です。特に、彼らの懸命な努力がバグ修正と新たな批判の嵐で報われるような場合において。
開発者がセキュアコーディングの基礎を理解するためのツール(通常はOWASPトップ10から始める)を入手すると、セキュリティ上の欠陥がどのように発生するか、なぜ危険なのか、本番環境に反映される前にどのように修正すべきかを自ら検証できるようになります。 そこから、より複雑な脆弱性への取り組みや適切な解決策の実践的経験を通じて知識を拡大できます。層は徐々に厚みを増し、ソフトウェアの安全でないアーキテクチャや脅威モデルの作成といった高度なセキュリティ問題に対しても、これらの進歩はそれほど威圧的に感じられず、正確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織は新たな基準を採用し、開発者がより高品質なソフトウェアを生産できるよう育成できます。エンジニアリングに従事しスキル向上を図る組織にとっての追加的な利点として、プロセスの各段階、あるいは足場の各レベルは、学習が進むにつれてサイバーセキュリティの直接的な向上につながります。 コース終了まで待たなくても、成果はすぐに確認できます。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。段階的な学習を組み込んだセキュリティプログラムを導入すれば、その効果を最大限に引き出せます。その利点はほぼ即座に明らかになるからです。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していきます。
当社と共に堅牢なセキュリティを備えた開発者を育成しましょう。詳細は以下をご覧ください:
コース
ミッション
開発者向けトレーニング
...その他多数!
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
