足場学習が開発者の安全性を強化する理由
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険なものになっているかをすぐに理解できるでしょう。毎日のように、大規模な侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による深刻な悪用脅威の報告が相次いでいます。 そして業界のほぼ全ての指標や報告書が、サイバー脅威の数がますます危険な水準に達していることを示しており、ほとんどの専門家がこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に直面し、ITセキュリティの最前線で働く担当者は疲弊し、人員不足に陥っている。給与水準は高いにもかかわらず、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、セキュリティ要員は常に不足している。 戦略国際問題研究所(CSIS)の最近の調査では、IT意思決定者の82%が自組織でサイバーセキュリティ人材不足に直面していると回答し、71%がこの不足が組織に直接的かつ測定可能な損害をもたらしたと述べた。 米国だけでも、サイバーセキュリティ分野では94万人の雇用がある一方で、52万人以上の求人が埋まっていないと報告書は指摘している。
世界では現在、約350万件のサイバーセキュリティ関連職が未充足状態にある。これは、高額な報酬を支払ってでも優秀な人材を採用・定着させようとする組織でさえ、適切な候補者を見つけるのに苦労していることを意味する。 平均的に、サイバーセキュリティ職の採用には他の職種よりも約21%多くの時間を要し、仮に採用できたとしても同様の傾向が見られる。
開発者の活性化は長きにわたり無視されてきた
多くの過去のブログ記事で指摘してきたように、開発者はサイバーセキュリティ防御におけるこうした重大な欠陥の一部を補うよう求められることがあります。問題は、従来、開発者がサイバーセキュリティに関する訓練を受けたことがほとんどなかった点です。彼らの業務評価はほぼ完全に、開発速度とリリースまでの期間に基づいていました。セキュリティは、より下流に位置するAppSecチームに委ねられていたのです。
残念ながら、単にギアを切り替えて開発者にアプリケーションやプログラムのセキュリティ強化を突然求めれば済む話ではありません。 たとえ彼らがこうした変更を行う用意があるとしても(調査によれば多くの開発者がその意思を持っている)、それを実現するには依然としてトレーニングが必要です。また、経営陣からの励ましや支援も必要ですが、有意義な学習の機会を得られるかどうかが最初の障壁であり、しばしば最も重要な障壁となります。
世界中で高給かつ高度なセキュリティを要する数百万のITセキュリティ職が空席のままなのは、当然のことです。もし簡単な仕事なら、誰もがこの分野に飛びつくでしょう。脅威と戦い、コードの脆弱性を排除する技術を習得するのは困難であり、脅威の状況は絶えず変化しています。 サイバーセキュリティを教えること——たとえ比較的技術に精通した開発者であっても——は、陳腐化しやすく記憶に残らない静的なトレーニングでは効果的に達成できません。特に既に過密なスケジュールに追加される場合、そのプラスの影響はごくわずかでしょう。
より高い場所へ到達するための足場を組み立ててください
伝統的な手法でサイバーセキュリティのスキルを教えることは、足を地面から離さずに超高層ビルを建設しようとするようなものだ。それは不可能である。なぜなら学生には、サイバーセキュリティのような複雑な分野における数多くの高度な概念を習得するために必要な基礎が欠けているからだ。これを補うために、段階的学習の概念を活用することができる。
段階的または「階層的」なスキル向上アプローチを採用する場合、より一般的な主題は通常、個別の学習体験や概念に分割されます。これにより、学生は適切な演習と指導を通じて各概念を習得できるようになり、各構成要素に必要な支援がすべて提供されます。 より新しく高度な概念は、既に習得した概念の上に積み上げられていきます。これは、建物が立ち上がるにつれて物理的な足場が組み立てられていく過程に似ています。この方法により、学生は支援なしでは習得できないような、より高いレベルの理解と技能習得を達成することが可能になります。
物理的な足場と同様に、この支援も不要になれば徐々に撤去され、学生の習熟度が高まるにつれて彼らに対する責任はより大きなものとなる。
足場学習は主に、生徒が支援なしに困難な課題に取り組む際に感じる挫折感、威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。 しかし、現代のサイバーセキュリティのような極めて難しい概念に取り組む際にも非常に有用です。開発者を子供扱いする方法とは程遠く、セキュリティチームとの経験が同様に苛立たしく落胆させる効果をもたらす可能性がある場合に極めて有用です。特に、彼らの努力がバグ修正や新たな批判で報われる場合に顕著です。
開発者がセキュアコーディングの基本原則を理解するためのツール(通常はOWASP Top 10から始める)を手にすると、セキュリティバグがどのように発生するか、なぜ危険なのか、そして本番環境へ移行する前にどのように修正すべきかを自ら確認できるようになります。 そこから、より複雑な脆弱性への取り組みや適切な修正の適用に関する実践的な経験を積むことで、知識を深めることができます。 層は徐々に拡大し、ソフトウェアの非安全なアーキテクチャや脅威モデリングといった高度なセキュリティ問題に直面した際にも、これらの進歩はそれほど威圧的に感じられず、正確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありません。しかし、組織は新たな基準を採用することで、開発者がより高品質なソフトウェアを生産するのを支援できます。 さらに、エンジニアリング部門がスキル向上に取り組んでいる組織においては、プロセスの各段階、あるいは足場の各レベルが、学習の進捗に伴い直接的にサイバーセキュリティの強化につながる。コース終了を待たずとも、成果を実感できるのだ。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。体系的な学習を伴うセキュリティプログラムを導入すれば、その効果を最大限に引き出せ、その利点はほぼ即座に明らかになります。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していくでしょう。
コース
Missions
開発者向けトレーニング...その他多数!
業界として、開発者がセキュリティの専門家になることを期待すべきではありません。しかし、組織は新たな基準を採用することで、開発者がより高品質なソフトウェアを生産するのを支援できます。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険なものになっているかをすぐに理解できるでしょう。毎日のように、大規模な侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による深刻な悪用脅威の報告が相次いでいます。 そして業界のほぼ全ての指標や報告書が、サイバー脅威の数がますます危険な水準に達していることを示しており、ほとんどの専門家がこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に直面し、ITセキュリティの最前線で働く担当者は疲弊し、人員不足に陥っている。給与水準は高いにもかかわらず、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、セキュリティ要員は常に不足している。 戦略国際問題研究所(CSIS)の最近の調査では、IT意思決定者の82%が自組織でサイバーセキュリティ人材不足に直面していると回答し、71%がこの不足が組織に直接的かつ測定可能な損害をもたらしたと述べた。 米国だけでも、サイバーセキュリティ分野では94万人の雇用がある一方で、52万人以上の求人が埋まっていないと報告書は指摘している。
世界では現在、約350万件のサイバーセキュリティ関連職が未充足状態にある。これは、高額な報酬を支払ってでも優秀な人材を採用・定着させようとする組織でさえ、適切な候補者を見つけるのに苦労していることを意味する。 平均的に、サイバーセキュリティ職の採用には他の職種よりも約21%多くの時間を要し、仮に採用できたとしても同様の傾向が見られる。
開発者の活性化は長きにわたり無視されてきた
多くの過去のブログ記事で指摘してきたように、開発者はサイバーセキュリティ防御におけるこうした重大な欠陥の一部を補うよう求められることがあります。問題は、従来、開発者がサイバーセキュリティに関する訓練を受けたことがほとんどなかった点です。彼らの業務評価はほぼ完全に、開発速度とリリースまでの期間に基づいていました。セキュリティは、より下流に位置するAppSecチームに委ねられていたのです。
残念ながら、単にギアを切り替えて開発者にアプリケーションやプログラムのセキュリティ強化を突然求めれば済む話ではありません。 たとえ彼らがこうした変更を行う用意があるとしても(調査によれば多くの開発者がその意思を持っている)、それを実現するには依然としてトレーニングが必要です。また、経営陣からの励ましや支援も必要ですが、有意義な学習の機会を得られるかどうかが最初の障壁であり、しばしば最も重要な障壁となります。
世界中で高給かつ高度なセキュリティを要する数百万のITセキュリティ職が空席のままなのは、当然のことです。もし簡単な仕事なら、誰もがこの分野に飛びつくでしょう。脅威と戦い、コードの脆弱性を排除する技術を習得するのは困難であり、脅威の状況は絶えず変化しています。 サイバーセキュリティを教えること——たとえ比較的技術に精通した開発者であっても——は、陳腐化しやすく記憶に残らない静的なトレーニングでは効果的に達成できません。特に既に過密なスケジュールに追加される場合、そのプラスの影響はごくわずかでしょう。
より高い場所へ到達するための足場を組み立ててください
伝統的な手法でサイバーセキュリティのスキルを教えることは、足を地面から離さずに超高層ビルを建設しようとするようなものだ。それは不可能である。なぜなら学生には、サイバーセキュリティのような複雑な分野における数多くの高度な概念を習得するために必要な基礎が欠けているからだ。これを補うために、段階的学習の概念を活用することができる。
段階的または「階層的」なスキル向上アプローチを採用する場合、より一般的な主題は通常、個別の学習体験や概念に分割されます。これにより、学生は適切な演習と指導を通じて各概念を習得できるようになり、各構成要素に必要な支援がすべて提供されます。 より新しく高度な概念は、既に習得した概念の上に積み上げられていきます。これは、建物が立ち上がるにつれて物理的な足場が組み立てられていく過程に似ています。この方法により、学生は支援なしでは習得できないような、より高いレベルの理解と技能習得を達成することが可能になります。
物理的な足場と同様に、この支援も不要になれば徐々に撤去され、学生の習熟度が高まるにつれて彼らに対する責任はより大きなものとなる。
足場学習は主に、生徒が支援なしに困難な課題に取り組む際に感じる挫折感、威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。 しかし、現代のサイバーセキュリティのような極めて難しい概念に取り組む際にも非常に有用です。開発者を子供扱いする方法とは程遠く、セキュリティチームとの経験が同様に苛立たしく落胆させる効果をもたらす可能性がある場合に極めて有用です。特に、彼らの努力がバグ修正や新たな批判で報われる場合に顕著です。
開発者がセキュアコーディングの基本原則を理解するためのツール(通常はOWASP Top 10から始める)を手にすると、セキュリティバグがどのように発生するか、なぜ危険なのか、そして本番環境へ移行する前にどのように修正すべきかを自ら確認できるようになります。 そこから、より複雑な脆弱性への取り組みや適切な修正の適用に関する実践的な経験を積むことで、知識を深めることができます。 層は徐々に拡大し、ソフトウェアの非安全なアーキテクチャや脅威モデリングといった高度なセキュリティ問題に直面した際にも、これらの進歩はそれほど威圧的に感じられず、正確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありません。しかし、組織は新たな基準を採用することで、開発者がより高品質なソフトウェアを生産するのを支援できます。 さらに、エンジニアリング部門がスキル向上に取り組んでいる組織においては、プロセスの各段階、あるいは足場の各レベルが、学習の進捗に伴い直接的にサイバーセキュリティの強化につながる。コース終了を待たずとも、成果を実感できるのだ。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。体系的な学習を伴うセキュリティプログラムを導入すれば、その効果を最大限に引き出せ、その利点はほぼ即座に明らかになります。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していくでしょう。
コース
Missions
開発者向けトレーニング...その他多数!
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険なものになっているかをすぐに理解できるでしょう。毎日のように、大規模な侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による深刻な悪用脅威の報告が相次いでいます。 そして業界のほぼ全ての指標や報告書が、サイバー脅威の数がますます危険な水準に達していることを示しており、ほとんどの専門家がこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に直面し、ITセキュリティの最前線で働く担当者は疲弊し、人員不足に陥っている。給与水準は高いにもかかわらず、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、セキュリティ要員は常に不足している。 戦略国際問題研究所(CSIS)の最近の調査では、IT意思決定者の82%が自組織でサイバーセキュリティ人材不足に直面していると回答し、71%がこの不足が組織に直接的かつ測定可能な損害をもたらしたと述べた。 米国だけでも、サイバーセキュリティ分野では94万人の雇用がある一方で、52万人以上の求人が埋まっていないと報告書は指摘している。
世界では現在、約350万件のサイバーセキュリティ関連職が未充足状態にある。これは、高額な報酬を支払ってでも優秀な人材を採用・定着させようとする組織でさえ、適切な候補者を見つけるのに苦労していることを意味する。 平均的に、サイバーセキュリティ職の採用には他の職種よりも約21%多くの時間を要し、仮に採用できたとしても同様の傾向が見られる。
開発者の活性化は長きにわたり無視されてきた
多くの過去のブログ記事で指摘してきたように、開発者はサイバーセキュリティ防御におけるこうした重大な欠陥の一部を補うよう求められることがあります。問題は、従来、開発者がサイバーセキュリティに関する訓練を受けたことがほとんどなかった点です。彼らの業務評価はほぼ完全に、開発速度とリリースまでの期間に基づいていました。セキュリティは、より下流に位置するAppSecチームに委ねられていたのです。
残念ながら、単にギアを切り替えて開発者にアプリケーションやプログラムのセキュリティ強化を突然求めれば済む話ではありません。 たとえ彼らがこうした変更を行う用意があるとしても(調査によれば多くの開発者がその意思を持っている)、それを実現するには依然としてトレーニングが必要です。また、経営陣からの励ましや支援も必要ですが、有意義な学習の機会を得られるかどうかが最初の障壁であり、しばしば最も重要な障壁となります。
世界中で高給かつ高度なセキュリティを要する数百万のITセキュリティ職が空席のままなのは、当然のことです。もし簡単な仕事なら、誰もがこの分野に飛びつくでしょう。脅威と戦い、コードの脆弱性を排除する技術を習得するのは困難であり、脅威の状況は絶えず変化しています。 サイバーセキュリティを教えること——たとえ比較的技術に精通した開発者であっても——は、陳腐化しやすく記憶に残らない静的なトレーニングでは効果的に達成できません。特に既に過密なスケジュールに追加される場合、そのプラスの影響はごくわずかでしょう。
より高い場所へ到達するための足場を組み立ててください
伝統的な手法でサイバーセキュリティのスキルを教えることは、足を地面から離さずに超高層ビルを建設しようとするようなものだ。それは不可能である。なぜなら学生には、サイバーセキュリティのような複雑な分野における数多くの高度な概念を習得するために必要な基礎が欠けているからだ。これを補うために、段階的学習の概念を活用することができる。
段階的または「階層的」なスキル向上アプローチを採用する場合、より一般的な主題は通常、個別の学習体験や概念に分割されます。これにより、学生は適切な演習と指導を通じて各概念を習得できるようになり、各構成要素に必要な支援がすべて提供されます。 より新しく高度な概念は、既に習得した概念の上に積み上げられていきます。これは、建物が立ち上がるにつれて物理的な足場が組み立てられていく過程に似ています。この方法により、学生は支援なしでは習得できないような、より高いレベルの理解と技能習得を達成することが可能になります。
物理的な足場と同様に、この支援も不要になれば徐々に撤去され、学生の習熟度が高まるにつれて彼らに対する責任はより大きなものとなる。
足場学習は主に、生徒が支援なしに困難な課題に取り組む際に感じる挫折感、威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。 しかし、現代のサイバーセキュリティのような極めて難しい概念に取り組む際にも非常に有用です。開発者を子供扱いする方法とは程遠く、セキュリティチームとの経験が同様に苛立たしく落胆させる効果をもたらす可能性がある場合に極めて有用です。特に、彼らの努力がバグ修正や新たな批判で報われる場合に顕著です。
開発者がセキュアコーディングの基本原則を理解するためのツール(通常はOWASP Top 10から始める)を手にすると、セキュリティバグがどのように発生するか、なぜ危険なのか、そして本番環境へ移行する前にどのように修正すべきかを自ら確認できるようになります。 そこから、より複雑な脆弱性への取り組みや適切な修正の適用に関する実践的な経験を積むことで、知識を深めることができます。 層は徐々に拡大し、ソフトウェアの非安全なアーキテクチャや脅威モデリングといった高度なセキュリティ問題に直面した際にも、これらの進歩はそれほど威圧的に感じられず、正確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありません。しかし、組織は新たな基準を採用することで、開発者がより高品質なソフトウェアを生産するのを支援できます。 さらに、エンジニアリング部門がスキル向上に取り組んでいる組織においては、プロセスの各段階、あるいは足場の各レベルが、学習の進捗に伴い直接的にサイバーセキュリティの強化につながる。コース終了を待たずとも、成果を実感できるのだ。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。体系的な学習を伴うセキュリティプログラムを導入すれば、その効果を最大限に引き出せ、その利点はほぼ即座に明らかになります。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していくでしょう。
コース
Missions
開発者向けトレーニング...その他多数!
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険なものになっているかをすぐに理解できるでしょう。毎日のように、大規模な侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による深刻な悪用脅威の報告が相次いでいます。 そして業界のほぼ全ての指標や報告書が、サイバー脅威の数がますます危険な水準に達していることを示しており、ほとんどの専門家がこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に直面し、ITセキュリティの最前線で働く担当者は疲弊し、人員不足に陥っている。給与水準は高いにもかかわらず、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、セキュリティ要員は常に不足している。 戦略国際問題研究所(CSIS)の最近の調査では、IT意思決定者の82%が自組織でサイバーセキュリティ人材不足に直面していると回答し、71%がこの不足が組織に直接的かつ測定可能な損害をもたらしたと述べた。 米国だけでも、サイバーセキュリティ分野では94万人の雇用がある一方で、52万人以上の求人が埋まっていないと報告書は指摘している。
世界では現在、約350万件のサイバーセキュリティ関連職が未充足状態にある。これは、高額な報酬を支払ってでも優秀な人材を採用・定着させようとする組織でさえ、適切な候補者を見つけるのに苦労していることを意味する。 平均的に、サイバーセキュリティ職の採用には他の職種よりも約21%多くの時間を要し、仮に採用できたとしても同様の傾向が見られる。
開発者の活性化は長きにわたり無視されてきた
多くの過去のブログ記事で指摘してきたように、開発者はサイバーセキュリティ防御におけるこうした重大な欠陥の一部を補うよう求められることがあります。問題は、従来、開発者がサイバーセキュリティに関する訓練を受けたことがほとんどなかった点です。彼らの業務評価はほぼ完全に、開発速度とリリースまでの期間に基づいていました。セキュリティは、より下流に位置するAppSecチームに委ねられていたのです。
残念ながら、単にギアを切り替えて開発者にアプリケーションやプログラムのセキュリティ強化を突然求めれば済む話ではありません。 たとえ彼らがこうした変更を行う用意があるとしても(調査によれば多くの開発者がその意思を持っている)、それを実現するには依然としてトレーニングが必要です。また、経営陣からの励ましや支援も必要ですが、有意義な学習の機会を得られるかどうかが最初の障壁であり、しばしば最も重要な障壁となります。
世界中で高給かつ高度なセキュリティを要する数百万のITセキュリティ職が空席のままなのは、当然のことです。もし簡単な仕事なら、誰もがこの分野に飛びつくでしょう。脅威と戦い、コードの脆弱性を排除する技術を習得するのは困難であり、脅威の状況は絶えず変化しています。 サイバーセキュリティを教えること——たとえ比較的技術に精通した開発者であっても——は、陳腐化しやすく記憶に残らない静的なトレーニングでは効果的に達成できません。特に既に過密なスケジュールに追加される場合、そのプラスの影響はごくわずかでしょう。
より高い場所へ到達するための足場を組み立ててください
伝統的な手法でサイバーセキュリティのスキルを教えることは、足を地面から離さずに超高層ビルを建設しようとするようなものだ。それは不可能である。なぜなら学生には、サイバーセキュリティのような複雑な分野における数多くの高度な概念を習得するために必要な基礎が欠けているからだ。これを補うために、段階的学習の概念を活用することができる。
段階的または「階層的」なスキル向上アプローチを採用する場合、より一般的な主題は通常、個別の学習体験や概念に分割されます。これにより、学生は適切な演習と指導を通じて各概念を習得できるようになり、各構成要素に必要な支援がすべて提供されます。 より新しく高度な概念は、既に習得した概念の上に積み上げられていきます。これは、建物が立ち上がるにつれて物理的な足場が組み立てられていく過程に似ています。この方法により、学生は支援なしでは習得できないような、より高いレベルの理解と技能習得を達成することが可能になります。
物理的な足場と同様に、この支援も不要になれば徐々に撤去され、学生の習熟度が高まるにつれて彼らに対する責任はより大きなものとなる。
足場学習は主に、生徒が支援なしに困難な課題に取り組む際に感じる挫折感、威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。 しかし、現代のサイバーセキュリティのような極めて難しい概念に取り組む際にも非常に有用です。開発者を子供扱いする方法とは程遠く、セキュリティチームとの経験が同様に苛立たしく落胆させる効果をもたらす可能性がある場合に極めて有用です。特に、彼らの努力がバグ修正や新たな批判で報われる場合に顕著です。
開発者がセキュアコーディングの基本原則を理解するためのツール(通常はOWASP Top 10から始める)を手にすると、セキュリティバグがどのように発生するか、なぜ危険なのか、そして本番環境へ移行する前にどのように修正すべきかを自ら確認できるようになります。 そこから、より複雑な脆弱性への取り組みや適切な修正の適用に関する実践的な経験を積むことで、知識を深めることができます。 層は徐々に拡大し、ソフトウェアの非安全なアーキテクチャや脅威モデリングといった高度なセキュリティ問題に直面した際にも、これらの進歩はそれほど威圧的に感じられず、正確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありません。しかし、組織は新たな基準を採用することで、開発者がより高品質なソフトウェアを生産するのを支援できます。 さらに、エンジニアリング部門がスキル向上に取り組んでいる組織においては、プロセスの各段階、あるいは足場の各レベルが、学習の進捗に伴い直接的にサイバーセキュリティの強化につながる。コース終了を待たずとも、成果を実感できるのだ。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。体系的な学習を伴うセキュリティプログラムを導入すれば、その効果を最大限に引き出せ、その利点はほぼ即座に明らかになります。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していくでしょう。
コース
Missions
開発者向けトレーニング...その他多数!
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
