状況に応じた実践的な学習:セキュリティ向上のために脳を鍛える強力な方法
ごめんなさい、悪い知らせを伝えなくちゃ。
従来のトレーニングは終わりました。
まあ、そうではありません... しかし、おそらくそうあるべきです。新しいことを学んだり、コンプライアンス上のタスクにチェックを入れたり、再トレーニングを受けたりするために、大勢の人を教室に留めておくことは、教育を受ける上で最も効果のない方法の1つであることが研究で何度も示されています。そして、企業研修に関して言えば、こうした統計は改善されません。ハーバード・ビジネス・レビュー 研究を公開しました 大企業の新入社員を対象としたクラスルームトレーニングの有効性について、この学習方法には平均して 8ヶ月から12ヶ月 新入社員にスピード感と生産性を向上させます。それは 非常に その人のスキルを十分に活用するのに長い時間がかかる(そしてあなたが新入社員の場合は慣れるのに長い時間がかかる)。最近では、ほとんどの場所にはそのような時間がありません。必然的に手抜きがされ、人々が必要なトレーニングを受けられなくなり、企業はもっと早く得ることができたはずの多くの価値を失います。
多くの場所が、企業のベストプラクティスや新しい取り組みに最善を尽くすために、今でも教室、乾いた教科書、気が遠くなるようなビデオトレーニングに頼っていることに本当に驚かされます。特に、はるかに優れた、より魅力的で価値のある学習方法、つまりコンテクストトレーニングがある場合はなおさらです。結局のところ、私たち人間は、新しいアイデアやプロセスを実際に体験することで、情報を保持するのがはるかに上手になります。
さて、開発者に関して言えば... 私たちは特別な集団です。私自身の開発者としての経験からすると、従来のトレーニングでは私の世界が炎上するわけではありません。開発者は創造的で機知に富んだ問題解決者である傾向があり、教室で講義を受けたり、新しい情報を学ぼうとするときに話しているヘッドが延々と続くビデオの前に座ったりするよりも、むしろツールを使いたいと思っています。特にセキュリティトレーニングを見ると、現在の状況には明らかな相違点があるようです。開発者はコードの一般的な脆弱性に対処できず、AppSecのプロフェッショナルは、簡単に修正できる同じ問題に何度も直面すると頭を悩ませています。これらのチーム間の関係は緊張しており、開発者は安全な開発のベスト・プラクティスに従い続けるための適切なツールやトレーニングを受けていません。彼らの主な目的は機能構築ですが、どの企業でもサイバーリスクが急速に高まっているため、セキュリティ知識を無視したり優先順位を下げたりするわけにはいきません。
そして最高の部分は?開発者がセキュリティを意識していれば、これらの一般的な脆弱性は消え始めます。後期段階のバグの修正コストとともに、リスクも軽減されます (そして、AppSecはほんの一握りで抜け落ちることがなくなります)。
では、コンテクスチュアル・トレーニングに開発者を参加させるとは具体的にはどのようなものなのでしょうか。
現実世界の例は途方もなく強力です。
私たち全員がYouTubeで動画を見て運転を学ばなければならないと想像してみてください。車がどのように機能するかという大まかなアイデアや、道路を走らせるために始まる一連の出来事は理解できますが、車に乗って実際に試すまでは、上手に運転することを学ぶことは事実上不可能です。
コンテクストトレーニングは、教えられていることをすべて生徒が主導権を握ることができるため、非常に貴重です。何かについて現実世界の背景を知っていれば、学習ははるかに魅力的で有意義なものになります。
安全なコーディングを見ると、誰でもビデオを見て SQL インジェクションの基本を理解できますが、期限が迫り、機能の提供が優先されるようになると、実際に問題を解決するという核心は忘れられがちです。しかし、トレーニングの一環として実際のコード例を見直し、インジェクションを特定して修正することができれば、 遠く 一方的な情報を保持しようとするよりも、開発者の本来の仕事に向いています。また、開発者が普段書いているものと似たコードを見つけたら、立ち上がって注意を向けるようになるという点も、開発者にとってより親しみやすいことです。
で セキュア・コード・ウォリアー プラットフォームでは、安全なコードトレーニングをゲーム化し、複数の言語とフレームワークでさまざまな課題を提供しています。このシステムはリピートプレイを促すだけでなく、最も重要なのは、状況に応じた学習に適した環境を提供するように即座にカスタマイズできることです。
最も役立つときに知識を提供する
コンテクスト学習理論によると、効果的な学習は、学生が新しい情報や知識を、自分にとって理解しやすい方法で、個々の基準の範囲内で処理した場合にのみ発生します。
開発者がバグ報奨金プログラム、SASTツール、またはバグ追跡ソフトウェアからセキュリティ脆弱性のリストを受け取ったとします。これらの脆弱性にこれまで遭遇したことがなければ、困惑したり、圧倒されたりするかもしれません。さらに悪いことに、ほとんどのレポートはアプリケーションセキュリティの専門家を対象としており、開発者向けではありません。レポートの情報は解析が難しく、開発者には直接当てはまらない一般的なアドバイスが含まれていることがよくあります。
最近、バグ報奨金プログラム、SASTツール、バグ追跡ソフトウェア、ペネトレーションテストレポートからの脆弱性に関するハンズオントレーニングに直接ディープリンクする機能が追加されました。開発者はすぐに基本を理解し、特定のフレームワークに適したコーディングレシピを学ぶことができます。
このような方法で学習することで、開発者はコンセプトに関する知識やトレーニングを最も適切なタイミングで受けられるようになり、その情報を長期的に保持する傾向がはるかに高まります。
結果がより早く、混乱が少なく、キャンパーが幸せになります。
どんなトレーニングでも、一般的なことを仕事に応用しようとするよりも、日常のアクティビティをすぐに把握する方がはるかに強力です。「学習モード」で過ごす時間が減り、さらに悪いことに、何かの答えが必要なときに、すでに「学んだ」ことをやり直さなければなりません。
コンテクスチュアル・トレーニングの原則の1つは、知識に基づいてトレーニングの各要素が前の要素に追加されることです。これにより、参加者に習熟への道筋を与える段階的なプロセスが可能になります。繰り返しになりますが、これは私たちのプラットフォームでサポートしているもので、空手道場で見られるようなベルトシステムを使用しています。全員が白帯から始め、その後、必要な時間をかけてトレーニングとトーナメントへの参加を重ねた後、誰もが欲しがる黒帯、つまり「セキュリティチャンピオン」レベルに進みます。これは、現実世界での価値と実用性を備えた楽しいアプローチです。
優秀な人材を確保し、セキュリティ意識を高めたいとお考えですか?彼らに成功するためのツールを提供しましょう。
残念なことに、現在、セキュリティ意識の高い開発者とアプリケーション・セキュリティ・スペシャリストは、希少な (しかし不可欠な) リソースです。また、それらを維持するのが非常に難しいことでも知られています。
サイブラリー 2018年に3100人のITおよびセキュリティ専門家を対象に調査を実施したところ、貴重な従業員を維持するための重要な要素はトレーニングへの投資であることが明らかになりました。彼らの調査結果によると、社内のセキュリティスキルを育成するためのツールとトレーニングを提供する企業は、提供していない企業よりもセキュリティ専門家を 60% 多く維持でき、回答者のなんと65%が、トレーニングは実践的なものにしたいと考えていました。かなりすてきですね。
しかし、調査結果からも、かなり憂慮すべきことが明らかになりました。回答者の 80% が、サイバー脅威から組織を守る準備が十分に整っていないと感じています。こうした脅威はなくならず、高まる費用のかかるデータ侵害や攻撃のリスクに対処するための適切なトレーニングが、これまで以上に必要とされています。偏見があるかもしれませんが、Secure Code Warriorのプラットフォームは、ポジティブなセキュリティ文化を醸成し、開発者が好む状況に応じたトレーニングでスキルアップとサポートを行い、組織を悪者から守るために必要なツールになるかもしれません。 デモをリクエストする さらに詳しくお見せします。
多くの場所が、新しい取り組みで最善を尽くすために、まだ教室、乾いた教科書、気が遠くなるようなビデオトレーニングに頼っているのは本当に驚きです。特に、はるかに優れた、より魅力的で価値のある学習方法、つまりコンテクストトレーニングがある場合はなおさらです。
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
ごめんなさい、悪い知らせを伝えなくちゃ。
従来のトレーニングは終わりました。
まあ、そうではありません... しかし、おそらくそうあるべきです。新しいことを学んだり、コンプライアンス上のタスクにチェックを入れたり、再トレーニングを受けたりするために、大勢の人を教室に留めておくことは、教育を受ける上で最も効果のない方法の1つであることが研究で何度も示されています。そして、企業研修に関して言えば、こうした統計は改善されません。ハーバード・ビジネス・レビュー 研究を公開しました 大企業の新入社員を対象としたクラスルームトレーニングの有効性について、この学習方法には平均して 8ヶ月から12ヶ月 新入社員にスピード感と生産性を向上させます。それは 非常に その人のスキルを十分に活用するのに長い時間がかかる(そしてあなたが新入社員の場合は慣れるのに長い時間がかかる)。最近では、ほとんどの場所にはそのような時間がありません。必然的に手抜きがされ、人々が必要なトレーニングを受けられなくなり、企業はもっと早く得ることができたはずの多くの価値を失います。
多くの場所が、企業のベストプラクティスや新しい取り組みに最善を尽くすために、今でも教室、乾いた教科書、気が遠くなるようなビデオトレーニングに頼っていることに本当に驚かされます。特に、はるかに優れた、より魅力的で価値のある学習方法、つまりコンテクストトレーニングがある場合はなおさらです。結局のところ、私たち人間は、新しいアイデアやプロセスを実際に体験することで、情報を保持するのがはるかに上手になります。
さて、開発者に関して言えば... 私たちは特別な集団です。私自身の開発者としての経験からすると、従来のトレーニングでは私の世界が炎上するわけではありません。開発者は創造的で機知に富んだ問題解決者である傾向があり、教室で講義を受けたり、新しい情報を学ぼうとするときに話しているヘッドが延々と続くビデオの前に座ったりするよりも、むしろツールを使いたいと思っています。特にセキュリティトレーニングを見ると、現在の状況には明らかな相違点があるようです。開発者はコードの一般的な脆弱性に対処できず、AppSecのプロフェッショナルは、簡単に修正できる同じ問題に何度も直面すると頭を悩ませています。これらのチーム間の関係は緊張しており、開発者は安全な開発のベスト・プラクティスに従い続けるための適切なツールやトレーニングを受けていません。彼らの主な目的は機能構築ですが、どの企業でもサイバーリスクが急速に高まっているため、セキュリティ知識を無視したり優先順位を下げたりするわけにはいきません。
そして最高の部分は?開発者がセキュリティを意識していれば、これらの一般的な脆弱性は消え始めます。後期段階のバグの修正コストとともに、リスクも軽減されます (そして、AppSecはほんの一握りで抜け落ちることがなくなります)。
では、コンテクスチュアル・トレーニングに開発者を参加させるとは具体的にはどのようなものなのでしょうか。
現実世界の例は途方もなく強力です。
私たち全員がYouTubeで動画を見て運転を学ばなければならないと想像してみてください。車がどのように機能するかという大まかなアイデアや、道路を走らせるために始まる一連の出来事は理解できますが、車に乗って実際に試すまでは、上手に運転することを学ぶことは事実上不可能です。
コンテクストトレーニングは、教えられていることをすべて生徒が主導権を握ることができるため、非常に貴重です。何かについて現実世界の背景を知っていれば、学習ははるかに魅力的で有意義なものになります。
安全なコーディングを見ると、誰でもビデオを見て SQL インジェクションの基本を理解できますが、期限が迫り、機能の提供が優先されるようになると、実際に問題を解決するという核心は忘れられがちです。しかし、トレーニングの一環として実際のコード例を見直し、インジェクションを特定して修正することができれば、 遠く 一方的な情報を保持しようとするよりも、開発者の本来の仕事に向いています。また、開発者が普段書いているものと似たコードを見つけたら、立ち上がって注意を向けるようになるという点も、開発者にとってより親しみやすいことです。
で セキュア・コード・ウォリアー プラットフォームでは、安全なコードトレーニングをゲーム化し、複数の言語とフレームワークでさまざまな課題を提供しています。このシステムはリピートプレイを促すだけでなく、最も重要なのは、状況に応じた学習に適した環境を提供するように即座にカスタマイズできることです。
最も役立つときに知識を提供する
コンテクスト学習理論によると、効果的な学習は、学生が新しい情報や知識を、自分にとって理解しやすい方法で、個々の基準の範囲内で処理した場合にのみ発生します。
開発者がバグ報奨金プログラム、SASTツール、またはバグ追跡ソフトウェアからセキュリティ脆弱性のリストを受け取ったとします。これらの脆弱性にこれまで遭遇したことがなければ、困惑したり、圧倒されたりするかもしれません。さらに悪いことに、ほとんどのレポートはアプリケーションセキュリティの専門家を対象としており、開発者向けではありません。レポートの情報は解析が難しく、開発者には直接当てはまらない一般的なアドバイスが含まれていることがよくあります。
最近、バグ報奨金プログラム、SASTツール、バグ追跡ソフトウェア、ペネトレーションテストレポートからの脆弱性に関するハンズオントレーニングに直接ディープリンクする機能が追加されました。開発者はすぐに基本を理解し、特定のフレームワークに適したコーディングレシピを学ぶことができます。
このような方法で学習することで、開発者はコンセプトに関する知識やトレーニングを最も適切なタイミングで受けられるようになり、その情報を長期的に保持する傾向がはるかに高まります。
結果がより早く、混乱が少なく、キャンパーが幸せになります。
どんなトレーニングでも、一般的なことを仕事に応用しようとするよりも、日常のアクティビティをすぐに把握する方がはるかに強力です。「学習モード」で過ごす時間が減り、さらに悪いことに、何かの答えが必要なときに、すでに「学んだ」ことをやり直さなければなりません。
コンテクスチュアル・トレーニングの原則の1つは、知識に基づいてトレーニングの各要素が前の要素に追加されることです。これにより、参加者に習熟への道筋を与える段階的なプロセスが可能になります。繰り返しになりますが、これは私たちのプラットフォームでサポートしているもので、空手道場で見られるようなベルトシステムを使用しています。全員が白帯から始め、その後、必要な時間をかけてトレーニングとトーナメントへの参加を重ねた後、誰もが欲しがる黒帯、つまり「セキュリティチャンピオン」レベルに進みます。これは、現実世界での価値と実用性を備えた楽しいアプローチです。
優秀な人材を確保し、セキュリティ意識を高めたいとお考えですか?彼らに成功するためのツールを提供しましょう。
残念なことに、現在、セキュリティ意識の高い開発者とアプリケーション・セキュリティ・スペシャリストは、希少な (しかし不可欠な) リソースです。また、それらを維持するのが非常に難しいことでも知られています。
サイブラリー 2018年に3100人のITおよびセキュリティ専門家を対象に調査を実施したところ、貴重な従業員を維持するための重要な要素はトレーニングへの投資であることが明らかになりました。彼らの調査結果によると、社内のセキュリティスキルを育成するためのツールとトレーニングを提供する企業は、提供していない企業よりもセキュリティ専門家を 60% 多く維持でき、回答者のなんと65%が、トレーニングは実践的なものにしたいと考えていました。かなりすてきですね。
しかし、調査結果からも、かなり憂慮すべきことが明らかになりました。回答者の 80% が、サイバー脅威から組織を守る準備が十分に整っていないと感じています。こうした脅威はなくならず、高まる費用のかかるデータ侵害や攻撃のリスクに対処するための適切なトレーニングが、これまで以上に必要とされています。偏見があるかもしれませんが、Secure Code Warriorのプラットフォームは、ポジティブなセキュリティ文化を醸成し、開発者が好む状況に応じたトレーニングでスキルアップとサポートを行い、組織を悪者から守るために必要なツールになるかもしれません。 デモをリクエストする さらに詳しくお見せします。
ごめんなさい、悪い知らせを伝えなくちゃ。
従来のトレーニングは終わりました。
まあ、そうではありません... しかし、おそらくそうあるべきです。新しいことを学んだり、コンプライアンス上のタスクにチェックを入れたり、再トレーニングを受けたりするために、大勢の人を教室に留めておくことは、教育を受ける上で最も効果のない方法の1つであることが研究で何度も示されています。そして、企業研修に関して言えば、こうした統計は改善されません。ハーバード・ビジネス・レビュー 研究を公開しました 大企業の新入社員を対象としたクラスルームトレーニングの有効性について、この学習方法には平均して 8ヶ月から12ヶ月 新入社員にスピード感と生産性を向上させます。それは 非常に その人のスキルを十分に活用するのに長い時間がかかる(そしてあなたが新入社員の場合は慣れるのに長い時間がかかる)。最近では、ほとんどの場所にはそのような時間がありません。必然的に手抜きがされ、人々が必要なトレーニングを受けられなくなり、企業はもっと早く得ることができたはずの多くの価値を失います。
多くの場所が、企業のベストプラクティスや新しい取り組みに最善を尽くすために、今でも教室、乾いた教科書、気が遠くなるようなビデオトレーニングに頼っていることに本当に驚かされます。特に、はるかに優れた、より魅力的で価値のある学習方法、つまりコンテクストトレーニングがある場合はなおさらです。結局のところ、私たち人間は、新しいアイデアやプロセスを実際に体験することで、情報を保持するのがはるかに上手になります。
さて、開発者に関して言えば... 私たちは特別な集団です。私自身の開発者としての経験からすると、従来のトレーニングでは私の世界が炎上するわけではありません。開発者は創造的で機知に富んだ問題解決者である傾向があり、教室で講義を受けたり、新しい情報を学ぼうとするときに話しているヘッドが延々と続くビデオの前に座ったりするよりも、むしろツールを使いたいと思っています。特にセキュリティトレーニングを見ると、現在の状況には明らかな相違点があるようです。開発者はコードの一般的な脆弱性に対処できず、AppSecのプロフェッショナルは、簡単に修正できる同じ問題に何度も直面すると頭を悩ませています。これらのチーム間の関係は緊張しており、開発者は安全な開発のベスト・プラクティスに従い続けるための適切なツールやトレーニングを受けていません。彼らの主な目的は機能構築ですが、どの企業でもサイバーリスクが急速に高まっているため、セキュリティ知識を無視したり優先順位を下げたりするわけにはいきません。
そして最高の部分は?開発者がセキュリティを意識していれば、これらの一般的な脆弱性は消え始めます。後期段階のバグの修正コストとともに、リスクも軽減されます (そして、AppSecはほんの一握りで抜け落ちることがなくなります)。
では、コンテクスチュアル・トレーニングに開発者を参加させるとは具体的にはどのようなものなのでしょうか。
現実世界の例は途方もなく強力です。
私たち全員がYouTubeで動画を見て運転を学ばなければならないと想像してみてください。車がどのように機能するかという大まかなアイデアや、道路を走らせるために始まる一連の出来事は理解できますが、車に乗って実際に試すまでは、上手に運転することを学ぶことは事実上不可能です。
コンテクストトレーニングは、教えられていることをすべて生徒が主導権を握ることができるため、非常に貴重です。何かについて現実世界の背景を知っていれば、学習ははるかに魅力的で有意義なものになります。
安全なコーディングを見ると、誰でもビデオを見て SQL インジェクションの基本を理解できますが、期限が迫り、機能の提供が優先されるようになると、実際に問題を解決するという核心は忘れられがちです。しかし、トレーニングの一環として実際のコード例を見直し、インジェクションを特定して修正することができれば、 遠く 一方的な情報を保持しようとするよりも、開発者の本来の仕事に向いています。また、開発者が普段書いているものと似たコードを見つけたら、立ち上がって注意を向けるようになるという点も、開発者にとってより親しみやすいことです。
で セキュア・コード・ウォリアー プラットフォームでは、安全なコードトレーニングをゲーム化し、複数の言語とフレームワークでさまざまな課題を提供しています。このシステムはリピートプレイを促すだけでなく、最も重要なのは、状況に応じた学習に適した環境を提供するように即座にカスタマイズできることです。
最も役立つときに知識を提供する
コンテクスト学習理論によると、効果的な学習は、学生が新しい情報や知識を、自分にとって理解しやすい方法で、個々の基準の範囲内で処理した場合にのみ発生します。
開発者がバグ報奨金プログラム、SASTツール、またはバグ追跡ソフトウェアからセキュリティ脆弱性のリストを受け取ったとします。これらの脆弱性にこれまで遭遇したことがなければ、困惑したり、圧倒されたりするかもしれません。さらに悪いことに、ほとんどのレポートはアプリケーションセキュリティの専門家を対象としており、開発者向けではありません。レポートの情報は解析が難しく、開発者には直接当てはまらない一般的なアドバイスが含まれていることがよくあります。
最近、バグ報奨金プログラム、SASTツール、バグ追跡ソフトウェア、ペネトレーションテストレポートからの脆弱性に関するハンズオントレーニングに直接ディープリンクする機能が追加されました。開発者はすぐに基本を理解し、特定のフレームワークに適したコーディングレシピを学ぶことができます。
このような方法で学習することで、開発者はコンセプトに関する知識やトレーニングを最も適切なタイミングで受けられるようになり、その情報を長期的に保持する傾向がはるかに高まります。
結果がより早く、混乱が少なく、キャンパーが幸せになります。
どんなトレーニングでも、一般的なことを仕事に応用しようとするよりも、日常のアクティビティをすぐに把握する方がはるかに強力です。「学習モード」で過ごす時間が減り、さらに悪いことに、何かの答えが必要なときに、すでに「学んだ」ことをやり直さなければなりません。
コンテクスチュアル・トレーニングの原則の1つは、知識に基づいてトレーニングの各要素が前の要素に追加されることです。これにより、参加者に習熟への道筋を与える段階的なプロセスが可能になります。繰り返しになりますが、これは私たちのプラットフォームでサポートしているもので、空手道場で見られるようなベルトシステムを使用しています。全員が白帯から始め、その後、必要な時間をかけてトレーニングとトーナメントへの参加を重ねた後、誰もが欲しがる黒帯、つまり「セキュリティチャンピオン」レベルに進みます。これは、現実世界での価値と実用性を備えた楽しいアプローチです。
優秀な人材を確保し、セキュリティ意識を高めたいとお考えですか?彼らに成功するためのツールを提供しましょう。
残念なことに、現在、セキュリティ意識の高い開発者とアプリケーション・セキュリティ・スペシャリストは、希少な (しかし不可欠な) リソースです。また、それらを維持するのが非常に難しいことでも知られています。
サイブラリー 2018年に3100人のITおよびセキュリティ専門家を対象に調査を実施したところ、貴重な従業員を維持するための重要な要素はトレーニングへの投資であることが明らかになりました。彼らの調査結果によると、社内のセキュリティスキルを育成するためのツールとトレーニングを提供する企業は、提供していない企業よりもセキュリティ専門家を 60% 多く維持でき、回答者のなんと65%が、トレーニングは実践的なものにしたいと考えていました。かなりすてきですね。
しかし、調査結果からも、かなり憂慮すべきことが明らかになりました。回答者の 80% が、サイバー脅威から組織を守る準備が十分に整っていないと感じています。こうした脅威はなくならず、高まる費用のかかるデータ侵害や攻撃のリスクに対処するための適切なトレーニングが、これまで以上に必要とされています。偏見があるかもしれませんが、Secure Code Warriorのプラットフォームは、ポジティブなセキュリティ文化を醸成し、開発者が好む状況に応じたトレーニングでスキルアップとサポートを行い、組織を悪者から守るために必要なツールになるかもしれません。 デモをリクエストする さらに詳しくお見せします。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
ごめんなさい、悪い知らせを伝えなくちゃ。
従来のトレーニングは終わりました。
まあ、そうではありません... しかし、おそらくそうあるべきです。新しいことを学んだり、コンプライアンス上のタスクにチェックを入れたり、再トレーニングを受けたりするために、大勢の人を教室に留めておくことは、教育を受ける上で最も効果のない方法の1つであることが研究で何度も示されています。そして、企業研修に関して言えば、こうした統計は改善されません。ハーバード・ビジネス・レビュー 研究を公開しました 大企業の新入社員を対象としたクラスルームトレーニングの有効性について、この学習方法には平均して 8ヶ月から12ヶ月 新入社員にスピード感と生産性を向上させます。それは 非常に その人のスキルを十分に活用するのに長い時間がかかる(そしてあなたが新入社員の場合は慣れるのに長い時間がかかる)。最近では、ほとんどの場所にはそのような時間がありません。必然的に手抜きがされ、人々が必要なトレーニングを受けられなくなり、企業はもっと早く得ることができたはずの多くの価値を失います。
多くの場所が、企業のベストプラクティスや新しい取り組みに最善を尽くすために、今でも教室、乾いた教科書、気が遠くなるようなビデオトレーニングに頼っていることに本当に驚かされます。特に、はるかに優れた、より魅力的で価値のある学習方法、つまりコンテクストトレーニングがある場合はなおさらです。結局のところ、私たち人間は、新しいアイデアやプロセスを実際に体験することで、情報を保持するのがはるかに上手になります。
さて、開発者に関して言えば... 私たちは特別な集団です。私自身の開発者としての経験からすると、従来のトレーニングでは私の世界が炎上するわけではありません。開発者は創造的で機知に富んだ問題解決者である傾向があり、教室で講義を受けたり、新しい情報を学ぼうとするときに話しているヘッドが延々と続くビデオの前に座ったりするよりも、むしろツールを使いたいと思っています。特にセキュリティトレーニングを見ると、現在の状況には明らかな相違点があるようです。開発者はコードの一般的な脆弱性に対処できず、AppSecのプロフェッショナルは、簡単に修正できる同じ問題に何度も直面すると頭を悩ませています。これらのチーム間の関係は緊張しており、開発者は安全な開発のベスト・プラクティスに従い続けるための適切なツールやトレーニングを受けていません。彼らの主な目的は機能構築ですが、どの企業でもサイバーリスクが急速に高まっているため、セキュリティ知識を無視したり優先順位を下げたりするわけにはいきません。
そして最高の部分は?開発者がセキュリティを意識していれば、これらの一般的な脆弱性は消え始めます。後期段階のバグの修正コストとともに、リスクも軽減されます (そして、AppSecはほんの一握りで抜け落ちることがなくなります)。
では、コンテクスチュアル・トレーニングに開発者を参加させるとは具体的にはどのようなものなのでしょうか。
現実世界の例は途方もなく強力です。
私たち全員がYouTubeで動画を見て運転を学ばなければならないと想像してみてください。車がどのように機能するかという大まかなアイデアや、道路を走らせるために始まる一連の出来事は理解できますが、車に乗って実際に試すまでは、上手に運転することを学ぶことは事実上不可能です。
コンテクストトレーニングは、教えられていることをすべて生徒が主導権を握ることができるため、非常に貴重です。何かについて現実世界の背景を知っていれば、学習ははるかに魅力的で有意義なものになります。
安全なコーディングを見ると、誰でもビデオを見て SQL インジェクションの基本を理解できますが、期限が迫り、機能の提供が優先されるようになると、実際に問題を解決するという核心は忘れられがちです。しかし、トレーニングの一環として実際のコード例を見直し、インジェクションを特定して修正することができれば、 遠く 一方的な情報を保持しようとするよりも、開発者の本来の仕事に向いています。また、開発者が普段書いているものと似たコードを見つけたら、立ち上がって注意を向けるようになるという点も、開発者にとってより親しみやすいことです。
で セキュア・コード・ウォリアー プラットフォームでは、安全なコードトレーニングをゲーム化し、複数の言語とフレームワークでさまざまな課題を提供しています。このシステムはリピートプレイを促すだけでなく、最も重要なのは、状況に応じた学習に適した環境を提供するように即座にカスタマイズできることです。
最も役立つときに知識を提供する
コンテクスト学習理論によると、効果的な学習は、学生が新しい情報や知識を、自分にとって理解しやすい方法で、個々の基準の範囲内で処理した場合にのみ発生します。
開発者がバグ報奨金プログラム、SASTツール、またはバグ追跡ソフトウェアからセキュリティ脆弱性のリストを受け取ったとします。これらの脆弱性にこれまで遭遇したことがなければ、困惑したり、圧倒されたりするかもしれません。さらに悪いことに、ほとんどのレポートはアプリケーションセキュリティの専門家を対象としており、開発者向けではありません。レポートの情報は解析が難しく、開発者には直接当てはまらない一般的なアドバイスが含まれていることがよくあります。
最近、バグ報奨金プログラム、SASTツール、バグ追跡ソフトウェア、ペネトレーションテストレポートからの脆弱性に関するハンズオントレーニングに直接ディープリンクする機能が追加されました。開発者はすぐに基本を理解し、特定のフレームワークに適したコーディングレシピを学ぶことができます。
このような方法で学習することで、開発者はコンセプトに関する知識やトレーニングを最も適切なタイミングで受けられるようになり、その情報を長期的に保持する傾向がはるかに高まります。
結果がより早く、混乱が少なく、キャンパーが幸せになります。
どんなトレーニングでも、一般的なことを仕事に応用しようとするよりも、日常のアクティビティをすぐに把握する方がはるかに強力です。「学習モード」で過ごす時間が減り、さらに悪いことに、何かの答えが必要なときに、すでに「学んだ」ことをやり直さなければなりません。
コンテクスチュアル・トレーニングの原則の1つは、知識に基づいてトレーニングの各要素が前の要素に追加されることです。これにより、参加者に習熟への道筋を与える段階的なプロセスが可能になります。繰り返しになりますが、これは私たちのプラットフォームでサポートしているもので、空手道場で見られるようなベルトシステムを使用しています。全員が白帯から始め、その後、必要な時間をかけてトレーニングとトーナメントへの参加を重ねた後、誰もが欲しがる黒帯、つまり「セキュリティチャンピオン」レベルに進みます。これは、現実世界での価値と実用性を備えた楽しいアプローチです。
優秀な人材を確保し、セキュリティ意識を高めたいとお考えですか?彼らに成功するためのツールを提供しましょう。
残念なことに、現在、セキュリティ意識の高い開発者とアプリケーション・セキュリティ・スペシャリストは、希少な (しかし不可欠な) リソースです。また、それらを維持するのが非常に難しいことでも知られています。
サイブラリー 2018年に3100人のITおよびセキュリティ専門家を対象に調査を実施したところ、貴重な従業員を維持するための重要な要素はトレーニングへの投資であることが明らかになりました。彼らの調査結果によると、社内のセキュリティスキルを育成するためのツールとトレーニングを提供する企業は、提供していない企業よりもセキュリティ専門家を 60% 多く維持でき、回答者のなんと65%が、トレーニングは実践的なものにしたいと考えていました。かなりすてきですね。
しかし、調査結果からも、かなり憂慮すべきことが明らかになりました。回答者の 80% が、サイバー脅威から組織を守る準備が十分に整っていないと感じています。こうした脅威はなくならず、高まる費用のかかるデータ侵害や攻撃のリスクに対処するための適切なトレーニングが、これまで以上に必要とされています。偏見があるかもしれませんが、Secure Code Warriorのプラットフォームは、ポジティブなセキュリティ文化を醸成し、開発者が好む状況に応じたトレーニングでスキルアップとサポートを行い、組織を悪者から守るために必要なツールになるかもしれません。 デモをリクエストする さらに詳しくお見せします。
%20(1).avif)
.avif)
