足場学習が開発者の安全性を強化する理由
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険なものになっているかをすぐに理解できるでしょう。毎日のように、大規模な侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による深刻な悪用脅威の報告が相次いでいます。 そして業界のほぼ全ての指標や報告書が、サイバー脅威の数がますます危険な水準に達していることを示しており、ほとんどの専門家がこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に直面し、ITセキュリティの最前線で働く担当者は疲弊し、人員不足に陥っている。給与水準は高いにもかかわらず、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、セキュリティ要員は常に不足している。 戦略国際問題研究所(CSIS)の最近の調査では、IT意思決定者の82%が自組織でサイバーセキュリティ人材不足に直面していると回答し、71%がこの不足が組織に直接的かつ測定可能な損害をもたらしたと述べた。 米国だけでも、サイバーセキュリティ分野では94万人の雇用がある一方で、52万人以上の求人が埋まっていないと報告書は指摘している。
世界では現在、約350万件のサイバーセキュリティ関連職が未充足状態にある。これは、高額な報酬を支払ってでも優秀な人材を採用・定着させようとする組織でさえ、適切な候補者を見つけるのに苦労していることを意味する。 平均的に、サイバーセキュリティ職の採用には他の職種よりも約21%多くの時間を要し、仮に採用できたとしても同様の傾向が見られる。
開発者の活性化は長きにわたり無視されてきた
多くの過去のブログ記事で指摘してきたように、開発者はサイバーセキュリティ防御におけるこうした重大な欠陥の一部を補うよう求められることがあります。問題は、従来、開発者がサイバーセキュリティに関する訓練を受けたことがほとんどなかった点です。彼らの業務評価はほぼ完全に、開発速度とリリースまでの期間に基づいていました。セキュリティは、より下流に位置するAppSecチームに委ねられていたのです。
残念ながら、単にギアを切り替えて開発者にアプリケーションやプログラムのセキュリティ強化を突然求めれば済む話ではありません。 たとえ彼らがこうした変更を行う用意があるとしても(調査によれば多くの開発者がその意思を持っている)、それを実現するには依然としてトレーニングが必要です。また、経営陣からの励ましや支援も必要ですが、有意義な学習の機会を得られるかどうかが最初の障壁であり、しばしば最も重要な障壁となります。
世界中で高給かつ高度なセキュリティを要する数百万のITセキュリティ職が空席のままなのは、当然のことです。もし簡単な仕事なら、誰もがこの分野に飛びつくでしょう。脅威と戦い、コードの脆弱性を排除する技術を習得するのは困難であり、脅威の状況は絶えず変化しています。 サイバーセキュリティを教えること——たとえ比較的技術に精通した開発者であっても——は、陳腐化しやすく記憶に残らない静的なトレーニングでは効果的に達成できません。特に既に過密なスケジュールに追加される場合、そのプラスの影響はごくわずかでしょう。
より高い場所へ到達するための足場を組み立ててください
伝統的な手法でサイバーセキュリティのスキルを教えることは、足を地面から離さずに超高層ビルを建設しようとするようなものだ。それは不可能である。なぜなら学生には、サイバーセキュリティのような複雑な分野における数多くの高度な概念を習得するために必要な基礎が欠けているからだ。これを補うために、段階的学習の概念を活用することができる。
段階的または「階層的」なスキル向上アプローチを採用する場合、より一般的な主題は通常、個別の学習体験や概念に分割されます。これにより、学生は適切な演習と指導を通じて各概念を習得できるようになり、各構成要素に必要な支援がすべて提供されます。 より新しく高度な概念は、既に習得した概念の上に積み上げられていきます。これは、建物が立ち上がるにつれて物理的な足場が組み立てられていく過程に似ています。この方法により、学生は支援なしでは習得できないような、より高いレベルの理解と技能習得を達成することが可能になります。
物理的な足場と同様に、この支援も不要になれば徐々に撤去され、学生の習熟度が高まるにつれて彼らに対する責任はより大きなものとなる。
足場学習は主に、生徒が支援なしに困難な課題に取り組む際に感じる挫折感、威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。 しかし、現代のサイバーセキュリティのような極めて難しい概念に取り組む際にも非常に有用です。開発者を子供扱いする方法とは程遠く、セキュリティチームとの経験が同様に苛立たしく落胆させる効果をもたらす可能性がある場合に極めて有用です。特に、彼らの努力がバグ修正や新たな批判で報われる場合に顕著です。
開発者がセキュアコーディングの基本原則を理解するためのツール(通常はOWASP Top 10から始める)を手にすると、セキュリティバグがどのように発生するか、なぜ危険なのか、そして本番環境へ移行する前にどのように修正すべきかを自ら確認できるようになります。 そこから、より複雑な脆弱性への取り組みや適切な修正の適用に関する実践的な経験を積むことで、知識を深めることができます。 層は徐々に拡大し、ソフトウェアの非安全なアーキテクチャや脅威モデリングといった高度なセキュリティ問題に直面した際にも、これらの進歩はそれほど威圧的に感じられず、正確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありません。しかし、組織は新たな基準を採用することで、開発者がより高品質なソフトウェアを生産するのを支援できます。 さらに、エンジニアリング部門がスキル向上に取り組んでいる組織においては、プロセスの各段階、あるいは足場の各レベルが、学習の進捗に伴い直接的にサイバーセキュリティの強化につながる。コース終了を待たずとも、成果を実感できるのだ。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。体系的な学習を伴うセキュリティプログラムを導入すれば、その効果を最大限に引き出せ、その利点はほぼ即座に明らかになります。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していくでしょう。
コース
Missions
開発者向けトレーニング...その他多数!
業界として、開発者がセキュリティの専門家になることを期待すべきではありません。しかし、組織は新たな基準を採用することで、開発者がより高品質なソフトウェアを生産するのを支援できます。
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険なものになっているかをすぐに理解できるでしょう。毎日のように、大規模な侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による深刻な悪用脅威の報告が相次いでいます。 そして業界のほぼ全ての指標や報告書が、サイバー脅威の数がますます危険な水準に達していることを示しており、ほとんどの専門家がこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に直面し、ITセキュリティの最前線で働く担当者は疲弊し、人員不足に陥っている。給与水準は高いにもかかわらず、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、セキュリティ要員は常に不足している。 戦略国際問題研究所(CSIS)の最近の調査では、IT意思決定者の82%が自組織でサイバーセキュリティ人材不足に直面していると回答し、71%がこの不足が組織に直接的かつ測定可能な損害をもたらしたと述べた。 米国だけでも、サイバーセキュリティ分野では94万人の雇用がある一方で、52万人以上の求人が埋まっていないと報告書は指摘している。
世界では現在、約350万件のサイバーセキュリティ関連職が未充足状態にある。これは、高額な報酬を支払ってでも優秀な人材を採用・定着させようとする組織でさえ、適切な候補者を見つけるのに苦労していることを意味する。 平均的に、サイバーセキュリティ職の採用には他の職種よりも約21%多くの時間を要し、仮に採用できたとしても同様の傾向が見られる。
開発者の活性化は長きにわたり無視されてきた
多くの過去のブログ記事で指摘してきたように、開発者はサイバーセキュリティ防御におけるこうした重大な欠陥の一部を補うよう求められることがあります。問題は、従来、開発者がサイバーセキュリティに関する訓練を受けたことがほとんどなかった点です。彼らの業務評価はほぼ完全に、開発速度とリリースまでの期間に基づいていました。セキュリティは、より下流に位置するAppSecチームに委ねられていたのです。
残念ながら、単にギアを切り替えて開発者にアプリケーションやプログラムのセキュリティ強化を突然求めれば済む話ではありません。 たとえ彼らがこうした変更を行う用意があるとしても(調査によれば多くの開発者がその意思を持っている)、それを実現するには依然としてトレーニングが必要です。また、経営陣からの励ましや支援も必要ですが、有意義な学習の機会を得られるかどうかが最初の障壁であり、しばしば最も重要な障壁となります。
世界中で高給かつ高度なセキュリティを要する数百万のITセキュリティ職が空席のままなのは、当然のことです。もし簡単な仕事なら、誰もがこの分野に飛びつくでしょう。脅威と戦い、コードの脆弱性を排除する技術を習得するのは困難であり、脅威の状況は絶えず変化しています。 サイバーセキュリティを教えること——たとえ比較的技術に精通した開発者であっても——は、陳腐化しやすく記憶に残らない静的なトレーニングでは効果的に達成できません。特に既に過密なスケジュールに追加される場合、そのプラスの影響はごくわずかでしょう。
より高い場所へ到達するための足場を組み立ててください
伝統的な手法でサイバーセキュリティのスキルを教えることは、足を地面から離さずに超高層ビルを建設しようとするようなものだ。それは不可能である。なぜなら学生には、サイバーセキュリティのような複雑な分野における数多くの高度な概念を習得するために必要な基礎が欠けているからだ。これを補うために、段階的学習の概念を活用することができる。
段階的または「階層的」なスキル向上アプローチを採用する場合、より一般的な主題は通常、個別の学習体験や概念に分割されます。これにより、学生は適切な演習と指導を通じて各概念を習得できるようになり、各構成要素に必要な支援がすべて提供されます。 より新しく高度な概念は、既に習得した概念の上に積み上げられていきます。これは、建物が立ち上がるにつれて物理的な足場が組み立てられていく過程に似ています。この方法により、学生は支援なしでは習得できないような、より高いレベルの理解と技能習得を達成することが可能になります。
物理的な足場と同様に、この支援も不要になれば徐々に撤去され、学生の習熟度が高まるにつれて彼らに対する責任はより大きなものとなる。
足場学習は主に、生徒が支援なしに困難な課題に取り組む際に感じる挫折感、威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。 しかし、現代のサイバーセキュリティのような極めて難しい概念に取り組む際にも非常に有用です。開発者を子供扱いする方法とは程遠く、セキュリティチームとの経験が同様に苛立たしく落胆させる効果をもたらす可能性がある場合に極めて有用です。特に、彼らの努力がバグ修正や新たな批判で報われる場合に顕著です。
開発者がセキュアコーディングの基本原則を理解するためのツール(通常はOWASP Top 10から始める)を手にすると、セキュリティバグがどのように発生するか、なぜ危険なのか、そして本番環境へ移行する前にどのように修正すべきかを自ら確認できるようになります。 そこから、より複雑な脆弱性への取り組みや適切な修正の適用に関する実践的な経験を積むことで、知識を深めることができます。 層は徐々に拡大し、ソフトウェアの非安全なアーキテクチャや脅威モデリングといった高度なセキュリティ問題に直面した際にも、これらの進歩はそれほど威圧的に感じられず、正確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありません。しかし、組織は新たな基準を採用することで、開発者がより高品質なソフトウェアを生産するのを支援できます。 さらに、エンジニアリング部門がスキル向上に取り組んでいる組織においては、プロセスの各段階、あるいは足場の各レベルが、学習の進捗に伴い直接的にサイバーセキュリティの強化につながる。コース終了を待たずとも、成果を実感できるのだ。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。体系的な学習を伴うセキュリティプログラムを導入すれば、その効果を最大限に引き出せ、その利点はほぼ即座に明らかになります。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していくでしょう。
コース
Missions
開発者向けトレーニング...その他多数!
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険なものになっているかをすぐに理解できるでしょう。毎日のように、大規模な侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による深刻な悪用脅威の報告が相次いでいます。 そして業界のほぼ全ての指標や報告書が、サイバー脅威の数がますます危険な水準に達していることを示しており、ほとんどの専門家がこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に直面し、ITセキュリティの最前線で働く担当者は疲弊し、人員不足に陥っている。給与水準は高いにもかかわらず、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、セキュリティ要員は常に不足している。 戦略国際問題研究所(CSIS)の最近の調査では、IT意思決定者の82%が自組織でサイバーセキュリティ人材不足に直面していると回答し、71%がこの不足が組織に直接的かつ測定可能な損害をもたらしたと述べた。 米国だけでも、サイバーセキュリティ分野では94万人の雇用がある一方で、52万人以上の求人が埋まっていないと報告書は指摘している。
世界では現在、約350万件のサイバーセキュリティ関連職が未充足状態にある。これは、高額な報酬を支払ってでも優秀な人材を採用・定着させようとする組織でさえ、適切な候補者を見つけるのに苦労していることを意味する。 平均的に、サイバーセキュリティ職の採用には他の職種よりも約21%多くの時間を要し、仮に採用できたとしても同様の傾向が見られる。
開発者の活性化は長きにわたり無視されてきた
多くの過去のブログ記事で指摘してきたように、開発者はサイバーセキュリティ防御におけるこうした重大な欠陥の一部を補うよう求められることがあります。問題は、従来、開発者がサイバーセキュリティに関する訓練を受けたことがほとんどなかった点です。彼らの業務評価はほぼ完全に、開発速度とリリースまでの期間に基づいていました。セキュリティは、より下流に位置するAppSecチームに委ねられていたのです。
残念ながら、単にギアを切り替えて開発者にアプリケーションやプログラムのセキュリティ強化を突然求めれば済む話ではありません。 たとえ彼らがこうした変更を行う用意があるとしても(調査によれば多くの開発者がその意思を持っている)、それを実現するには依然としてトレーニングが必要です。また、経営陣からの励ましや支援も必要ですが、有意義な学習の機会を得られるかどうかが最初の障壁であり、しばしば最も重要な障壁となります。
世界中で高給かつ高度なセキュリティを要する数百万のITセキュリティ職が空席のままなのは、当然のことです。もし簡単な仕事なら、誰もがこの分野に飛びつくでしょう。脅威と戦い、コードの脆弱性を排除する技術を習得するのは困難であり、脅威の状況は絶えず変化しています。 サイバーセキュリティを教えること——たとえ比較的技術に精通した開発者であっても——は、陳腐化しやすく記憶に残らない静的なトレーニングでは効果的に達成できません。特に既に過密なスケジュールに追加される場合、そのプラスの影響はごくわずかでしょう。
より高い場所へ到達するための足場を組み立ててください
伝統的な手法でサイバーセキュリティのスキルを教えることは、足を地面から離さずに超高層ビルを建設しようとするようなものだ。それは不可能である。なぜなら学生には、サイバーセキュリティのような複雑な分野における数多くの高度な概念を習得するために必要な基礎が欠けているからだ。これを補うために、段階的学習の概念を活用することができる。
段階的または「階層的」なスキル向上アプローチを採用する場合、より一般的な主題は通常、個別の学習体験や概念に分割されます。これにより、学生は適切な演習と指導を通じて各概念を習得できるようになり、各構成要素に必要な支援がすべて提供されます。 より新しく高度な概念は、既に習得した概念の上に積み上げられていきます。これは、建物が立ち上がるにつれて物理的な足場が組み立てられていく過程に似ています。この方法により、学生は支援なしでは習得できないような、より高いレベルの理解と技能習得を達成することが可能になります。
物理的な足場と同様に、この支援も不要になれば徐々に撤去され、学生の習熟度が高まるにつれて彼らに対する責任はより大きなものとなる。
足場学習は主に、生徒が支援なしに困難な課題に取り組む際に感じる挫折感、威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。 しかし、現代のサイバーセキュリティのような極めて難しい概念に取り組む際にも非常に有用です。開発者を子供扱いする方法とは程遠く、セキュリティチームとの経験が同様に苛立たしく落胆させる効果をもたらす可能性がある場合に極めて有用です。特に、彼らの努力がバグ修正や新たな批判で報われる場合に顕著です。
開発者がセキュアコーディングの基本原則を理解するためのツール(通常はOWASP Top 10から始める)を手にすると、セキュリティバグがどのように発生するか、なぜ危険なのか、そして本番環境へ移行する前にどのように修正すべきかを自ら確認できるようになります。 そこから、より複雑な脆弱性への取り組みや適切な修正の適用に関する実践的な経験を積むことで、知識を深めることができます。 層は徐々に拡大し、ソフトウェアの非安全なアーキテクチャや脅威モデリングといった高度なセキュリティ問題に直面した際にも、これらの進歩はそれほど威圧的に感じられず、正確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありません。しかし、組織は新たな基準を採用することで、開発者がより高品質なソフトウェアを生産するのを支援できます。 さらに、エンジニアリング部門がスキル向上に取り組んでいる組織においては、プロセスの各段階、あるいは足場の各レベルが、学習の進捗に伴い直接的にサイバーセキュリティの強化につながる。コース終了を待たずとも、成果を実感できるのだ。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。体系的な学習を伴うセキュリティプログラムを導入すれば、その効果を最大限に引き出せ、その利点はほぼ即座に明らかになります。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していくでしょう。
コース
Missions
開発者向けトレーニング...その他多数!
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique en matière de sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont abouti à des produits commerciaux et possède plus de 10 brevets à son actif. Lorsqu'il n'est pas à son bureau, Matias a enseigné des cours de formation avancée sur la sécurité des applications et prend régulièrement la parole lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en génie informatique de l'université de Gand, où il a étudié la sécurité des applications par le biais de l'obfuscation de programmes pour masquer le fonctionnement interne d'une application.
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の状況がいかに危険なものになっているかをすぐに理解できるでしょう。毎日のように、大規模な侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による深刻な悪用脅威の報告が相次いでいます。 そして業界のほぼ全ての指標や報告書が、サイバー脅威の数がますます危険な水準に達していることを示しており、ほとんどの専門家がこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に直面し、ITセキュリティの最前線で働く担当者は疲弊し、人員不足に陥っている。給与水準は高いにもかかわらず、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、セキュリティ要員は常に不足している。 戦略国際問題研究所(CSIS)の最近の調査では、IT意思決定者の82%が自組織でサイバーセキュリティ人材不足に直面していると回答し、71%がこの不足が組織に直接的かつ測定可能な損害をもたらしたと述べた。 米国だけでも、サイバーセキュリティ分野では94万人の雇用がある一方で、52万人以上の求人が埋まっていないと報告書は指摘している。
世界では現在、約350万件のサイバーセキュリティ関連職が未充足状態にある。これは、高額な報酬を支払ってでも優秀な人材を採用・定着させようとする組織でさえ、適切な候補者を見つけるのに苦労していることを意味する。 平均的に、サイバーセキュリティ職の採用には他の職種よりも約21%多くの時間を要し、仮に採用できたとしても同様の傾向が見られる。
開発者の活性化は長きにわたり無視されてきた
多くの過去のブログ記事で指摘してきたように、開発者はサイバーセキュリティ防御におけるこうした重大な欠陥の一部を補うよう求められることがあります。問題は、従来、開発者がサイバーセキュリティに関する訓練を受けたことがほとんどなかった点です。彼らの業務評価はほぼ完全に、開発速度とリリースまでの期間に基づいていました。セキュリティは、より下流に位置するAppSecチームに委ねられていたのです。
残念ながら、単にギアを切り替えて開発者にアプリケーションやプログラムのセキュリティ強化を突然求めれば済む話ではありません。 たとえ彼らがこうした変更を行う用意があるとしても(調査によれば多くの開発者がその意思を持っている)、それを実現するには依然としてトレーニングが必要です。また、経営陣からの励ましや支援も必要ですが、有意義な学習の機会を得られるかどうかが最初の障壁であり、しばしば最も重要な障壁となります。
世界中で高給かつ高度なセキュリティを要する数百万のITセキュリティ職が空席のままなのは、当然のことです。もし簡単な仕事なら、誰もがこの分野に飛びつくでしょう。脅威と戦い、コードの脆弱性を排除する技術を習得するのは困難であり、脅威の状況は絶えず変化しています。 サイバーセキュリティを教えること——たとえ比較的技術に精通した開発者であっても——は、陳腐化しやすく記憶に残らない静的なトレーニングでは効果的に達成できません。特に既に過密なスケジュールに追加される場合、そのプラスの影響はごくわずかでしょう。
より高い場所へ到達するための足場を組み立ててください
伝統的な手法でサイバーセキュリティのスキルを教えることは、足を地面から離さずに超高層ビルを建設しようとするようなものだ。それは不可能である。なぜなら学生には、サイバーセキュリティのような複雑な分野における数多くの高度な概念を習得するために必要な基礎が欠けているからだ。これを補うために、段階的学習の概念を活用することができる。
段階的または「階層的」なスキル向上アプローチを採用する場合、より一般的な主題は通常、個別の学習体験や概念に分割されます。これにより、学生は適切な演習と指導を通じて各概念を習得できるようになり、各構成要素に必要な支援がすべて提供されます。 より新しく高度な概念は、既に習得した概念の上に積み上げられていきます。これは、建物が立ち上がるにつれて物理的な足場が組み立てられていく過程に似ています。この方法により、学生は支援なしでは習得できないような、より高いレベルの理解と技能習得を達成することが可能になります。
物理的な足場と同様に、この支援も不要になれば徐々に撤去され、学生の習熟度が高まるにつれて彼らに対する責任はより大きなものとなる。
足場学習は主に、生徒が支援なしに困難な課題に取り組む際に感じる挫折感、威圧感、落胆といったネガティブな感情や自己認識を軽減するために用いられる。 しかし、現代のサイバーセキュリティのような極めて難しい概念に取り組む際にも非常に有用です。開発者を子供扱いする方法とは程遠く、セキュリティチームとの経験が同様に苛立たしく落胆させる効果をもたらす可能性がある場合に極めて有用です。特に、彼らの努力がバグ修正や新たな批判で報われる場合に顕著です。
開発者がセキュアコーディングの基本原則を理解するためのツール(通常はOWASP Top 10から始める)を手にすると、セキュリティバグがどのように発生するか、なぜ危険なのか、そして本番環境へ移行する前にどのように修正すべきかを自ら確認できるようになります。 そこから、より複雑な脆弱性への取り組みや適切な修正の適用に関する実践的な経験を積むことで、知識を深めることができます。 層は徐々に拡大し、ソフトウェアの非安全なアーキテクチャや脅威モデリングといった高度なセキュリティ問題に直面した際にも、これらの進歩はそれほど威圧的に感じられず、正確に対処できるようになります。
業界として、開発者がセキュリティの専門家になることを期待すべきではありません。しかし、組織は新たな基準を採用することで、開発者がより高品質なソフトウェアを生産するのを支援できます。 さらに、エンジニアリング部門がスキル向上に取り組んでいる組織においては、プロセスの各段階、あるいは足場の各レベルが、学習の進捗に伴い直接的にサイバーセキュリティの強化につながる。コース終了を待たずとも、成果を実感できるのだ。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。体系的な学習を伴うセキュリティプログラムを導入すれば、その効果を最大限に引き出せ、その利点はほぼ即座に明らかになります。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していくでしょう。
コース
Missions
開発者向けトレーニング...その他多数!
目次
Matias Madou, Ph.D. est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter uniquement les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau au sein de Team Awesome, il aime être sur scène pour faire des présentations lors de conférences telles que RSA Conference, BlackHat et DefCon.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロードはじめの一歩を踏み出すためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
