成功基準を決定する際には、プログラムの主要な利害関係者を考慮してください。経営陣のスポンサーとそのビジネス目標を把握することで、部門横断的な導入促進につながります。
ブログ
イネーブラー1: 定義済みで測定可能な成功基準
深く掘り下げ始めます成功を実現する10の要因という基本的な ステップはイネーブラー1: 定義済みで測定可能な成功基準。セキュア・コーディング・プログラムが旅のようなものだとすれば、最初の、そして最も重要なステップは、自分がどこに向かっているのかを正確に知ることです。これが最初のイネーブラーの本質です。
成功基準をビジネス成果に結びつける
成功するセキュア・コーディング・プログラムを構築するには、ビジネス成果と密接に関連する明確な目標が必要です。イネーブラー1は、「セキュア・コーディング・プログラムで解決しようとしている問題や課題は、非常に具体的かつ測定可能な言葉で言えば、何か」という核となる質問に答えます。
おそらく貴組織は、コンプライアンス要件やセキュリティ侵害・サイバー攻撃の回避を求めていることでしょう。あるいは、組織としてゼロから始め、再加工にかかるコストと時間を削減し、開発者が最初から安全にコーディングできるようトレーニングすることを求めているかもしれません。
モチベーション、組織の現状、または選択したセキュリティトレーニングプラットフォームに関わらず、プログラムの長期的な成功は、賛同を得て永続的な成功を確実にするために、ビジネス目標と結びつけられた明確な目標を持つことに大きく依存します。
成功を具体的かつ測定可能なものにする
これらの目標は、その性質上、組織固有のものでなければなりません。とはいえ、以下の典型的なビジネス目標を見直し、それらがどのようにして新たなアイデアを生み出すかを検討してください。
リスク低減:開発者リスクを軽減し、コーディング上の欠陥によって生じる脆弱性を削減します。これにはリスクの特定とアプリケーションの攻撃対象領域の縮小が含まれます。
プログラムはしばしば、脆弱性密度や脆弱性注入率の低減・回避といった指標を目標とする。
運用速度:製品提供速度を最大化し、開発者のフラストレーションと離職率を低減し、手戻り作業に費やす時間を削減します。セキュアコーディング研修は、ソフトウェア開発ライフサイクルの後半で発見されるバグのあるコードの手戻り作業という時間的損失を回避する手助けとなるため、開発者にとって大きなインセンティブとなります。
プログラムはしばしば、開発者の脆弱性修正平均時間(MTTR)の短縮を目標とする。
規制コンプライアンス:外部コンプライアンスを達成する。例えば、PCI-DSS(支払いシステムに携わる全開発者への研修を義務付ける)などの基準への準拠。
人材と信頼:開発者組織内におけるセキュリティと脆弱性への関与と認識を高めつつ、顧客の信頼を維持・構築する。一部の企業では、セキュリティ対応開発者が市場での差別化確立に寄与する。
プログラムでは、開発者に対する最低限のスキル要件を設定したり、専門的なセキュリティチャンピオンプログラムを創設したりすることが多い。
共同成功計画における成功の文書化
達成基準を定義したら、次のステップはその基準を文書化することです。共同成功計画。この計画は、トレーニングプラットフォームやCSMなどの外部サポートを含め、プログラムの主要な利害関係者と部門を超えて共有された設計図です。
サクセスプランには以下が含まれます。
- バリュードライバー: これらには、コードセキュリティの向上とプログラムの「理由」への回答に関する大まかなビジネス目標が含まれます。
- 現在の状態: これにより「私たちは今どこにいるのか?」が明確になります。(例:現在のセキュアコーディングスキルや既存のトレーニングプログラム)。
- 望ましい状態: 次に、「私たちはどこになりたいのか?」を記録します。そして、セキュアコーディングスキルのギャップをどのように埋めるかを明らかにしてください。
- KPI / 主要業績評価指標: これらは成功を示す指標であり、プログラムの展開とともに現在の状態と将来の状態のギャップが縮まりつつあることを示しています。
まず1つか2つの特定の指標から始めることをお勧めします。必要に応じて後で拡張します。これらのKPI/対策は、S.M.A.R.T. の原則(具体的、測定可能、達成可能、関連性、期限付き)に従わなければなりません。追跡しやすく、解釈の余地がないものでなければなりません。計画を実行に移すには、あらゆる側面からの説明責任が必要であり、リーダーとともに価値とROIを定期的かつ合意された頻度で検討する必要があります。
これらの基準を明示的に定義し測定することで、セキュアコーディングプログラムは単なるコストセンターから、重要なビジネス成果を検証可能な形で推進する原動力へと移行します。これは、プログラムを成熟させるために必要な第一歩です。
次に、詳しく説明します。イネーブラー2:シニア・リーダーシップ・スポンサーシップ。セキュア・コーディング・プログラムの 展開を成功させる上で、リーダーシップが果たす重要な役割について議論します。
他に質問はありますか?お客様はアカウントチームに連絡するか、support@securecodewarrior.comまでお問い合わせください。見込み顧客は、当社にご連絡いただくことで営業チームのメンバーと話すことができます。こちらからお問い合わせください。
リソースを表示
リソースを表示
Enabler 1は、10部構成のEnablers of Successシリーズの第1部であり、安全なコーディングをリスク削減やスピードなどのビジネス成果に結び付け、プログラムを長期的に成熟させる方法を紹介しています。
もっと興味がありますか?
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約シェア:
著者
SCWのカリキュラム&オンボーディングマネージャーであるケイトリン・トリニダードは、6年以上の経験を持つカスタマーサクセス専門家であり、プログラムのベストプラクティスと技術的なノウハウを通じて顧客を支援しています。
シェア:
深く掘り下げ始めます成功を実現する10の要因という基本的な ステップはイネーブラー1: 定義済みで測定可能な成功基準。セキュア・コーディング・プログラムが旅のようなものだとすれば、最初の、そして最も重要なステップは、自分がどこに向かっているのかを正確に知ることです。これが最初のイネーブラーの本質です。
成功基準をビジネス成果に結びつける
成功するセキュア・コーディング・プログラムを構築するには、ビジネス成果と密接に関連する明確な目標が必要です。イネーブラー1は、「セキュア・コーディング・プログラムで解決しようとしている問題や課題は、非常に具体的かつ測定可能な言葉で言えば、何か」という核となる質問に答えます。
おそらく貴組織は、コンプライアンス要件やセキュリティ侵害・サイバー攻撃の回避を求めていることでしょう。あるいは、組織としてゼロから始め、再加工にかかるコストと時間を削減し、開発者が最初から安全にコーディングできるようトレーニングすることを求めているかもしれません。
モチベーション、組織の現状、または選択したセキュリティトレーニングプラットフォームに関わらず、プログラムの長期的な成功は、賛同を得て永続的な成功を確実にするために、ビジネス目標と結びつけられた明確な目標を持つことに大きく依存します。
成功基準を決定する際には、プログラムの主要な利害関係者を考慮してください。経営陣のスポンサーとそのビジネス目標を把握することで、部門横断的な導入促進につながります。
成功を具体的かつ測定可能なものにする
これらの目標は、その性質上、組織固有のものでなければなりません。とはいえ、以下の典型的なビジネス目標を見直し、それらがどのようにして新たなアイデアを生み出すかを検討してください。
リスク低減:開発者リスクを軽減し、コーディング上の欠陥によって生じる脆弱性を削減します。これにはリスクの特定とアプリケーションの攻撃対象領域の縮小が含まれます。
プログラムはしばしば、脆弱性密度や脆弱性注入率の低減・回避といった指標を目標とする。
運用速度:製品提供速度を最大化し、開発者のフラストレーションと離職率を低減し、手戻り作業に費やす時間を削減します。セキュアコーディング研修は、ソフトウェア開発ライフサイクルの後半で発見されるバグのあるコードの手戻り作業という時間的損失を回避する手助けとなるため、開発者にとって大きなインセンティブとなります。
プログラムはしばしば、開発者の脆弱性修正平均時間(MTTR)の短縮を目標とする。
規制コンプライアンス:外部コンプライアンスを達成する。例えば、PCI-DSS(支払いシステムに携わる全開発者への研修を義務付ける)などの基準への準拠。
人材と信頼:開発者組織内におけるセキュリティと脆弱性への関与と認識を高めつつ、顧客の信頼を維持・構築する。一部の企業では、セキュリティ対応開発者が市場での差別化確立に寄与する。
プログラムでは、開発者に対する最低限のスキル要件を設定したり、専門的なセキュリティチャンピオンプログラムを創設したりすることが多い。
共同成功計画における成功の文書化
達成基準を定義したら、次のステップはその基準を文書化することです。共同成功計画。この計画は、トレーニングプラットフォームやCSMなどの外部サポートを含め、プログラムの主要な利害関係者と部門を超えて共有された設計図です。
サクセスプランには以下が含まれます。
- バリュードライバー: これらには、コードセキュリティの向上とプログラムの「理由」への回答に関する大まかなビジネス目標が含まれます。
- 現在の状態: これにより「私たちは今どこにいるのか?」が明確になります。(例:現在のセキュアコーディングスキルや既存のトレーニングプログラム)。
- 望ましい状態: 次に、「私たちはどこになりたいのか?」を記録します。そして、セキュアコーディングスキルのギャップをどのように埋めるかを明らかにしてください。
- KPI / 主要業績評価指標: これらは成功を示す指標であり、プログラムの展開とともに現在の状態と将来の状態のギャップが縮まりつつあることを示しています。
まず1つか2つの特定の指標から始めることをお勧めします。必要に応じて後で拡張します。これらのKPI/対策は、S.M.A.R.T. の原則(具体的、測定可能、達成可能、関連性、期限付き)に従わなければなりません。追跡しやすく、解釈の余地がないものでなければなりません。計画を実行に移すには、あらゆる側面からの説明責任が必要であり、リーダーとともに価値とROIを定期的かつ合意された頻度で検討する必要があります。
これらの基準を明示的に定義し測定することで、セキュアコーディングプログラムは単なるコストセンターから、重要なビジネス成果を検証可能な形で推進する原動力へと移行します。これは、プログラムを成熟させるために必要な第一歩です。
次に、詳しく説明します。イネーブラー2:シニア・リーダーシップ・スポンサーシップ。セキュア・コーディング・プログラムの 展開を成功させる上で、リーダーシップが果たす重要な役割について議論します。
他に質問はありますか?お客様はアカウントチームに連絡するか、support@securecodewarrior.comまでお問い合わせください。見込み顧客は、当社にご連絡いただくことで営業チームのメンバーと話すことができます。こちらからお問い合わせください。
リソースを表示
リソースを表示
深く掘り下げ始めます成功を実現する10の要因という基本的な ステップはイネーブラー1: 定義済みで測定可能な成功基準。セキュア・コーディング・プログラムが旅のようなものだとすれば、最初の、そして最も重要なステップは、自分がどこに向かっているのかを正確に知ることです。これが最初のイネーブラーの本質です。
成功基準をビジネス成果に結びつける
成功するセキュア・コーディング・プログラムを構築するには、ビジネス成果と密接に関連する明確な目標が必要です。イネーブラー1は、「セキュア・コーディング・プログラムで解決しようとしている問題や課題は、非常に具体的かつ測定可能な言葉で言えば、何か」という核となる質問に答えます。
おそらく貴組織は、コンプライアンス要件やセキュリティ侵害・サイバー攻撃の回避を求めていることでしょう。あるいは、組織としてゼロから始め、再加工にかかるコストと時間を削減し、開発者が最初から安全にコーディングできるようトレーニングすることを求めているかもしれません。
モチベーション、組織の現状、または選択したセキュリティトレーニングプラットフォームに関わらず、プログラムの長期的な成功は、賛同を得て永続的な成功を確実にするために、ビジネス目標と結びつけられた明確な目標を持つことに大きく依存します。
成功基準を決定する際には、プログラムの主要な利害関係者を考慮してください。経営陣のスポンサーとそのビジネス目標を把握することで、部門横断的な導入促進につながります。
成功を具体的かつ測定可能なものにする
これらの目標は、その性質上、組織固有のものでなければなりません。とはいえ、以下の典型的なビジネス目標を見直し、それらがどのようにして新たなアイデアを生み出すかを検討してください。
リスク低減:開発者リスクを軽減し、コーディング上の欠陥によって生じる脆弱性を削減します。これにはリスクの特定とアプリケーションの攻撃対象領域の縮小が含まれます。
プログラムはしばしば、脆弱性密度や脆弱性注入率の低減・回避といった指標を目標とする。
運用速度:製品提供速度を最大化し、開発者のフラストレーションと離職率を低減し、手戻り作業に費やす時間を削減します。セキュアコーディング研修は、ソフトウェア開発ライフサイクルの後半で発見されるバグのあるコードの手戻り作業という時間的損失を回避する手助けとなるため、開発者にとって大きなインセンティブとなります。
プログラムはしばしば、開発者の脆弱性修正平均時間(MTTR)の短縮を目標とする。
規制コンプライアンス:外部コンプライアンスを達成する。例えば、PCI-DSS(支払いシステムに携わる全開発者への研修を義務付ける)などの基準への準拠。
人材と信頼:開発者組織内におけるセキュリティと脆弱性への関与と認識を高めつつ、顧客の信頼を維持・構築する。一部の企業では、セキュリティ対応開発者が市場での差別化確立に寄与する。
プログラムでは、開発者に対する最低限のスキル要件を設定したり、専門的なセキュリティチャンピオンプログラムを創設したりすることが多い。
共同成功計画における成功の文書化
達成基準を定義したら、次のステップはその基準を文書化することです。共同成功計画。この計画は、トレーニングプラットフォームやCSMなどの外部サポートを含め、プログラムの主要な利害関係者と部門を超えて共有された設計図です。
サクセスプランには以下が含まれます。
- バリュードライバー: これらには、コードセキュリティの向上とプログラムの「理由」への回答に関する大まかなビジネス目標が含まれます。
- 現在の状態: これにより「私たちは今どこにいるのか?」が明確になります。(例:現在のセキュアコーディングスキルや既存のトレーニングプログラム)。
- 望ましい状態: 次に、「私たちはどこになりたいのか?」を記録します。そして、セキュアコーディングスキルのギャップをどのように埋めるかを明らかにしてください。
- KPI / 主要業績評価指標: これらは成功を示す指標であり、プログラムの展開とともに現在の状態と将来の状態のギャップが縮まりつつあることを示しています。
まず1つか2つの特定の指標から始めることをお勧めします。必要に応じて後で拡張します。これらのKPI/対策は、S.M.A.R.T. の原則(具体的、測定可能、達成可能、関連性、期限付き)に従わなければなりません。追跡しやすく、解釈の余地がないものでなければなりません。計画を実行に移すには、あらゆる側面からの説明責任が必要であり、リーダーとともに価値とROIを定期的かつ合意された頻度で検討する必要があります。
これらの基準を明示的に定義し測定することで、セキュアコーディングプログラムは単なるコストセンターから、重要なビジネス成果を検証可能な形で推進する原動力へと移行します。これは、プログラムを成熟させるために必要な第一歩です。
次に、詳しく説明します。イネーブラー2:シニア・リーダーシップ・スポンサーシップ。セキュア・コーディング・プログラムの 展開を成功させる上で、リーダーシップが果たす重要な役割について議論します。
他に質問はありますか?お客様はアカウントチームに連絡するか、support@securecodewarrior.comまでお問い合わせください。見込み顧客は、当社にご連絡いただくことで営業チームのメンバーと話すことができます。こちらからお問い合わせください。
始めよう
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約リソースを表示
シェア:
著者
SCWのカリキュラム&オンボーディングマネージャーであるケイトリン・トリニダードは、6年以上の経験を持つカスタマーサクセス専門家であり、プログラムのベストプラクティスと技術的なノウハウを通じて顧客を支援しています。
シェア:
深く掘り下げ始めます成功を実現する10の要因という基本的な ステップはイネーブラー1: 定義済みで測定可能な成功基準。セキュア・コーディング・プログラムが旅のようなものだとすれば、最初の、そして最も重要なステップは、自分がどこに向かっているのかを正確に知ることです。これが最初のイネーブラーの本質です。
成功基準をビジネス成果に結びつける
成功するセキュア・コーディング・プログラムを構築するには、ビジネス成果と密接に関連する明確な目標が必要です。イネーブラー1は、「セキュア・コーディング・プログラムで解決しようとしている問題や課題は、非常に具体的かつ測定可能な言葉で言えば、何か」という核となる質問に答えます。
おそらく貴組織は、コンプライアンス要件やセキュリティ侵害・サイバー攻撃の回避を求めていることでしょう。あるいは、組織としてゼロから始め、再加工にかかるコストと時間を削減し、開発者が最初から安全にコーディングできるようトレーニングすることを求めているかもしれません。
モチベーション、組織の現状、または選択したセキュリティトレーニングプラットフォームに関わらず、プログラムの長期的な成功は、賛同を得て永続的な成功を確実にするために、ビジネス目標と結びつけられた明確な目標を持つことに大きく依存します。
成功基準を決定する際には、プログラムの主要な利害関係者を考慮してください。経営陣のスポンサーとそのビジネス目標を把握することで、部門横断的な導入促進につながります。
成功を具体的かつ測定可能なものにする
これらの目標は、その性質上、組織固有のものでなければなりません。とはいえ、以下の典型的なビジネス目標を見直し、それらがどのようにして新たなアイデアを生み出すかを検討してください。
リスク低減:開発者リスクを軽減し、コーディング上の欠陥によって生じる脆弱性を削減します。これにはリスクの特定とアプリケーションの攻撃対象領域の縮小が含まれます。
プログラムはしばしば、脆弱性密度や脆弱性注入率の低減・回避といった指標を目標とする。
運用速度:製品提供速度を最大化し、開発者のフラストレーションと離職率を低減し、手戻り作業に費やす時間を削減します。セキュアコーディング研修は、ソフトウェア開発ライフサイクルの後半で発見されるバグのあるコードの手戻り作業という時間的損失を回避する手助けとなるため、開発者にとって大きなインセンティブとなります。
プログラムはしばしば、開発者の脆弱性修正平均時間(MTTR)の短縮を目標とする。
規制コンプライアンス:外部コンプライアンスを達成する。例えば、PCI-DSS(支払いシステムに携わる全開発者への研修を義務付ける)などの基準への準拠。
人材と信頼:開発者組織内におけるセキュリティと脆弱性への関与と認識を高めつつ、顧客の信頼を維持・構築する。一部の企業では、セキュリティ対応開発者が市場での差別化確立に寄与する。
プログラムでは、開発者に対する最低限のスキル要件を設定したり、専門的なセキュリティチャンピオンプログラムを創設したりすることが多い。
共同成功計画における成功の文書化
達成基準を定義したら、次のステップはその基準を文書化することです。共同成功計画。この計画は、トレーニングプラットフォームやCSMなどの外部サポートを含め、プログラムの主要な利害関係者と部門を超えて共有された設計図です。
サクセスプランには以下が含まれます。
- バリュードライバー: これらには、コードセキュリティの向上とプログラムの「理由」への回答に関する大まかなビジネス目標が含まれます。
- 現在の状態: これにより「私たちは今どこにいるのか?」が明確になります。(例:現在のセキュアコーディングスキルや既存のトレーニングプログラム)。
- 望ましい状態: 次に、「私たちはどこになりたいのか?」を記録します。そして、セキュアコーディングスキルのギャップをどのように埋めるかを明らかにしてください。
- KPI / 主要業績評価指標: これらは成功を示す指標であり、プログラムの展開とともに現在の状態と将来の状態のギャップが縮まりつつあることを示しています。
まず1つか2つの特定の指標から始めることをお勧めします。必要に応じて後で拡張します。これらのKPI/対策は、S.M.A.R.T. の原則(具体的、測定可能、達成可能、関連性、期限付き)に従わなければなりません。追跡しやすく、解釈の余地がないものでなければなりません。計画を実行に移すには、あらゆる側面からの説明責任が必要であり、リーダーとともに価値とROIを定期的かつ合意された頻度で検討する必要があります。
これらの基準を明示的に定義し測定することで、セキュアコーディングプログラムは単なるコストセンターから、重要なビジネス成果を検証可能な形で推進する原動力へと移行します。これは、プログラムを成熟させるために必要な第一歩です。
次に、詳しく説明します。イネーブラー2:シニア・リーダーシップ・スポンサーシップ。セキュア・コーディング・プログラムの 展開を成功させる上で、リーダーシップが果たす重要な役割について議論します。
他に質問はありますか?お客様はアカウントチームに連絡するか、support@securecodewarrior.comまでお問い合わせください。見込み顧客は、当社にご連絡いただくことで営業チームのメンバーと話すことができます。こちらからお問い合わせください。
リソースハブ
始めるためのリソース
その他の投稿
%20(1).avif)
.avif)
リソースハブ
始めるためのリソース
その他の投稿
.avif)