足場型学習がセキュリティに強い開発者を育てる理由
技術ニュースを数分間閲覧するだけで、脅威環境がいかに危険になりつつあるかがすぐに明らかになります。毎日、重大な侵害、新たな脆弱性、またはサイバー攻撃者や犯罪者による活発な悪用の脅威に関する報告が寄せられているようです。そして、ほぼすべての業界指標とレポートには、サイバー脅威の数が増加し続けていることが示されており、ほとんどの専門家がこの傾向が今後何年にもわたって続くと予測しています。
こうした新たな脅威に立ち向かうのは、ITセキュリティ担当者の最前線で、人員不足と人材不足が深刻化しています。高給で、どの企業や組織にとっても必要不可欠な存在であるにもかかわらず、セキュリティ担当者が不足していることは決してありません。最近の調査によると、戦略国際問題研究所(CSIS)が実施した調査では、IT意思決定者の82%が、組織がサイバーセキュリティスキルの不足に苦しんでいると答え、71%がその不足が組織に直接的かつ測定可能な損害をもたらしたと回答しました。報告書によると、米国だけでも、約94万人しか雇用されていない分野で、52万件以上のサイバーセキュリティ関連の求人が空いていることが明らかになりました。
世界中で、現在約350万件のサイバーセキュリティ関連の仕事が未充足です。つまり、トップレベルの専門家を雇用し維持するために多額の費用を支払っても構わないと考えている組織でさえ、適切な候補者を見つけるのに苦労しているということです。平均すると、サイバーセキュリティのポジションを埋めるのに要する時間は、他の職種よりも約21%長くなります。
開発者支援があまりにも長い間無視されてきた
過去のブログ多数で書き留めました。サイバーセキュリティ防御におけるこれらの重大なギャップを埋めるために開発者を活用できるということです。ただ、従来、開発者はサイバーセキュリティに関するトレーニングを受けていませんでした。彼らの職務遂行能力は、ほとんどすべて導入までのスピードと時間に基づいていました。セキュリティは、さらに先のアプリケーションセキュリティチームの仕事でした。
残念ながら、単に方針を変えて、開発者に急にアプリケーションやプログラムにセキュリティを追加し始めるよう頼むだけの問題ではありません。たとえ開発者が進んでそうした変更を行おうとしても、調査の結果、その多くがそうであることが明らかになったとしても、それを実現するためにはやはりトレーニングが必要です。また、上層部からの励ましや支援も必要ですが、有意義な学習が可能になることが、最初の、そして多くの場合最大の障害となります。
世界中で何百万もの高給で安全性の高いITセキュリティ職が空いているのには理由があります。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。比較的技術に精通した開発者であっても、サイバーセキュリティを教えようとしても、定型的なトレーニングを効率的に行うことはできません。そのトレーニングは、すぐに実施され、記憶に残らず、プラスの影響も最小限に抑えられます。特に、すでに過大な負担がかかっているスケジュールにこれらの要件が追加された場合はなおさらです。
足場を作って高台にたどり着こう
従来の方法でサイバーセキュリティスキルを教えることは、地面から足を離さずに超高層ビルを建てようとするようなものです。学生にはサイバーセキュリティのような複雑な分野の多くの高レベルの概念を習得するのに必要な基礎がないため、それは不可能です。これを補うために、「足場学習」という概念を活用することができます。
スキルアップに足場型のアプローチ、つまり「階層化」アプローチを使用する場合、大きなトピックは通常、個別の学習経験や概念に分解されます。これにより、学生は適切な演習と指導を通じて各概念を習得し、各要素に必要なすべてのサポートを受けることができます。建物の高さが高くなるにつれて物理的な足場が構築されるのと同じように、新しく高度な概念は既に習得されている概念の上に重ねられます。こうすることで、学生は支援なしでは習得できないレベルよりも高いレベルの理解とスキルの習得が可能になります。
そして、物理的な足場と同じように、そのサポートは不要になると段階的に取り除かれ、生徒が習熟するにつれて生徒に対する責任も大きくなります。
足場型学習は主に、生徒が支援なしで困難な課題に取り組んだときにイライラしたり、おびえたり、落胆したりしたときに経験する可能性のある否定的な感情や自己認識を減らすために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組む際にも大きな価値があります。開発者を子供のように扱う方法とは程遠く、セキュリティチームでの経験がイライラさせたり落胆させたりするような効果をもたらす可能性がある場合、特に彼らの努力がバグ修正や新たな批判と共に返送される場合には、非常に有用です。
開発者がセキュアコーディングの基礎を理解するためのツールが提供される場合(通常はOWASP トップ10)、セキュリティバグがどのように発生するのか、なぜ危険なのか、本番環境に移行する前に修正する方法を自分で確認できます。そこから、より複雑な脆弱性に取り組み、適切な修正を適用するための実践的な経験を積むことで、知識を広げることができます。レイヤーは少しずつ増えていき、安全でないソフトウェアアーキテクチャや脅威モデリングなどの高度なセキュリティ問題に関しては、これらの飛躍はそれほど恐ろしいものではなく、正確に取り組むことができます。
業界として、開発者にセキュリティの専門家になることを期待すべきではありませんが、組織はより高品質なソフトウェアを作成できるよう、開発者支援のための新たな基準を採用できます。エンジニアリング部門でスキル向上に取り組んでいる組織への付加価値として、各段階または足場の各レベルは、学習を進めるにつれて、サイバーセキュリティの強化に直接つながります。結果を見るためにコースが終了するまで待つ必要はありません。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。セキュリティプログラムを足場に組み込むことで最大限に活用でき、メリットはほぼすぐに明らかになります。改善はほぼ即座に開始され、時間の経過とともに継続的に向上していきます。
私たちと一緒にセキュリティに強い開発者の育成を始めましょう。以下をチェックしてください。
コース
ミッション
開発者トレーニング
...そしてもっと!
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織はより高品質のソフトウェアを作成できるよう、開発者支援のための新たな基準を採用することができます。
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
技術ニュースを数分間閲覧するだけで、脅威環境がいかに危険になりつつあるかがすぐに明らかになります。毎日、重大な侵害、新たな脆弱性、またはサイバー攻撃者や犯罪者による活発な悪用の脅威に関する報告が寄せられているようです。そして、ほぼすべての業界指標とレポートには、サイバー脅威の数が増加し続けていることが示されており、ほとんどの専門家がこの傾向が今後何年にもわたって続くと予測しています。
こうした新たな脅威に立ち向かうのは、ITセキュリティ担当者の最前線で、人員不足と人材不足が深刻化しています。高給で、どの企業や組織にとっても必要不可欠な存在であるにもかかわらず、セキュリティ担当者が不足していることは決してありません。最近の調査によると、戦略国際問題研究所(CSIS)が実施した調査では、IT意思決定者の82%が、組織がサイバーセキュリティスキルの不足に苦しんでいると答え、71%がその不足が組織に直接的かつ測定可能な損害をもたらしたと回答しました。報告書によると、米国だけでも、約94万人しか雇用されていない分野で、52万件以上のサイバーセキュリティ関連の求人が空いていることが明らかになりました。
世界中で、現在約350万件のサイバーセキュリティ関連の仕事が未充足です。つまり、トップレベルの専門家を雇用し維持するために多額の費用を支払っても構わないと考えている組織でさえ、適切な候補者を見つけるのに苦労しているということです。平均すると、サイバーセキュリティのポジションを埋めるのに要する時間は、他の職種よりも約21%長くなります。
開発者支援があまりにも長い間無視されてきた
過去のブログ多数で書き留めました。サイバーセキュリティ防御におけるこれらの重大なギャップを埋めるために開発者を活用できるということです。ただ、従来、開発者はサイバーセキュリティに関するトレーニングを受けていませんでした。彼らの職務遂行能力は、ほとんどすべて導入までのスピードと時間に基づいていました。セキュリティは、さらに先のアプリケーションセキュリティチームの仕事でした。
残念ながら、単に方針を変えて、開発者に急にアプリケーションやプログラムにセキュリティを追加し始めるよう頼むだけの問題ではありません。たとえ開発者が進んでそうした変更を行おうとしても、調査の結果、その多くがそうであることが明らかになったとしても、それを実現するためにはやはりトレーニングが必要です。また、上層部からの励ましや支援も必要ですが、有意義な学習が可能になることが、最初の、そして多くの場合最大の障害となります。
世界中で何百万もの高給で安全性の高いITセキュリティ職が空いているのには理由があります。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。比較的技術に精通した開発者であっても、サイバーセキュリティを教えようとしても、定型的なトレーニングを効率的に行うことはできません。そのトレーニングは、すぐに実施され、記憶に残らず、プラスの影響も最小限に抑えられます。特に、すでに過大な負担がかかっているスケジュールにこれらの要件が追加された場合はなおさらです。
足場を作って高台にたどり着こう
従来の方法でサイバーセキュリティスキルを教えることは、地面から足を離さずに超高層ビルを建てようとするようなものです。学生にはサイバーセキュリティのような複雑な分野の多くの高レベルの概念を習得するのに必要な基礎がないため、それは不可能です。これを補うために、「足場学習」という概念を活用することができます。
スキルアップに足場型のアプローチ、つまり「階層化」アプローチを使用する場合、大きなトピックは通常、個別の学習経験や概念に分解されます。これにより、学生は適切な演習と指導を通じて各概念を習得し、各要素に必要なすべてのサポートを受けることができます。建物の高さが高くなるにつれて物理的な足場が構築されるのと同じように、新しく高度な概念は既に習得されている概念の上に重ねられます。こうすることで、学生は支援なしでは習得できないレベルよりも高いレベルの理解とスキルの習得が可能になります。
そして、物理的な足場と同じように、そのサポートは不要になると段階的に取り除かれ、生徒が習熟するにつれて生徒に対する責任も大きくなります。
足場型学習は主に、生徒が支援なしで困難な課題に取り組んだときにイライラしたり、おびえたり、落胆したりしたときに経験する可能性のある否定的な感情や自己認識を減らすために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組む際にも大きな価値があります。開発者を子供のように扱う方法とは程遠く、セキュリティチームでの経験がイライラさせたり落胆させたりするような効果をもたらす可能性がある場合、特に彼らの努力がバグ修正や新たな批判と共に返送される場合には、非常に有用です。
開発者がセキュアコーディングの基礎を理解するためのツールが提供される場合(通常はOWASP トップ10)、セキュリティバグがどのように発生するのか、なぜ危険なのか、本番環境に移行する前に修正する方法を自分で確認できます。そこから、より複雑な脆弱性に取り組み、適切な修正を適用するための実践的な経験を積むことで、知識を広げることができます。レイヤーは少しずつ増えていき、安全でないソフトウェアアーキテクチャや脅威モデリングなどの高度なセキュリティ問題に関しては、これらの飛躍はそれほど恐ろしいものではなく、正確に取り組むことができます。
業界として、開発者にセキュリティの専門家になることを期待すべきではありませんが、組織はより高品質なソフトウェアを作成できるよう、開発者支援のための新たな基準を採用できます。エンジニアリング部門でスキル向上に取り組んでいる組織への付加価値として、各段階または足場の各レベルは、学習を進めるにつれて、サイバーセキュリティの強化に直接つながります。結果を見るためにコースが終了するまで待つ必要はありません。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。セキュリティプログラムを足場に組み込むことで最大限に活用でき、メリットはほぼすぐに明らかになります。改善はほぼ即座に開始され、時間の経過とともに継続的に向上していきます。
私たちと一緒にセキュリティに強い開発者の育成を始めましょう。以下をチェックしてください。
コース
ミッション
開発者トレーニング
...そしてもっと!
技術ニュースを数分間閲覧するだけで、脅威環境がいかに危険になりつつあるかがすぐに明らかになります。毎日、重大な侵害、新たな脆弱性、またはサイバー攻撃者や犯罪者による活発な悪用の脅威に関する報告が寄せられているようです。そして、ほぼすべての業界指標とレポートには、サイバー脅威の数が増加し続けていることが示されており、ほとんどの専門家がこの傾向が今後何年にもわたって続くと予測しています。
こうした新たな脅威に立ち向かうのは、ITセキュリティ担当者の最前線で、人員不足と人材不足が深刻化しています。高給で、どの企業や組織にとっても必要不可欠な存在であるにもかかわらず、セキュリティ担当者が不足していることは決してありません。最近の調査によると、戦略国際問題研究所(CSIS)が実施した調査では、IT意思決定者の82%が、組織がサイバーセキュリティスキルの不足に苦しんでいると答え、71%がその不足が組織に直接的かつ測定可能な損害をもたらしたと回答しました。報告書によると、米国だけでも、約94万人しか雇用されていない分野で、52万件以上のサイバーセキュリティ関連の求人が空いていることが明らかになりました。
世界中で、現在約350万件のサイバーセキュリティ関連の仕事が未充足です。つまり、トップレベルの専門家を雇用し維持するために多額の費用を支払っても構わないと考えている組織でさえ、適切な候補者を見つけるのに苦労しているということです。平均すると、サイバーセキュリティのポジションを埋めるのに要する時間は、他の職種よりも約21%長くなります。
開発者支援があまりにも長い間無視されてきた
過去のブログ多数で書き留めました。サイバーセキュリティ防御におけるこれらの重大なギャップを埋めるために開発者を活用できるということです。ただ、従来、開発者はサイバーセキュリティに関するトレーニングを受けていませんでした。彼らの職務遂行能力は、ほとんどすべて導入までのスピードと時間に基づいていました。セキュリティは、さらに先のアプリケーションセキュリティチームの仕事でした。
残念ながら、単に方針を変えて、開発者に急にアプリケーションやプログラムにセキュリティを追加し始めるよう頼むだけの問題ではありません。たとえ開発者が進んでそうした変更を行おうとしても、調査の結果、その多くがそうであることが明らかになったとしても、それを実現するためにはやはりトレーニングが必要です。また、上層部からの励ましや支援も必要ですが、有意義な学習が可能になることが、最初の、そして多くの場合最大の障害となります。
世界中で何百万もの高給で安全性の高いITセキュリティ職が空いているのには理由があります。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。比較的技術に精通した開発者であっても、サイバーセキュリティを教えようとしても、定型的なトレーニングを効率的に行うことはできません。そのトレーニングは、すぐに実施され、記憶に残らず、プラスの影響も最小限に抑えられます。特に、すでに過大な負担がかかっているスケジュールにこれらの要件が追加された場合はなおさらです。
足場を作って高台にたどり着こう
従来の方法でサイバーセキュリティスキルを教えることは、地面から足を離さずに超高層ビルを建てようとするようなものです。学生にはサイバーセキュリティのような複雑な分野の多くの高レベルの概念を習得するのに必要な基礎がないため、それは不可能です。これを補うために、「足場学習」という概念を活用することができます。
スキルアップに足場型のアプローチ、つまり「階層化」アプローチを使用する場合、大きなトピックは通常、個別の学習経験や概念に分解されます。これにより、学生は適切な演習と指導を通じて各概念を習得し、各要素に必要なすべてのサポートを受けることができます。建物の高さが高くなるにつれて物理的な足場が構築されるのと同じように、新しく高度な概念は既に習得されている概念の上に重ねられます。こうすることで、学生は支援なしでは習得できないレベルよりも高いレベルの理解とスキルの習得が可能になります。
そして、物理的な足場と同じように、そのサポートは不要になると段階的に取り除かれ、生徒が習熟するにつれて生徒に対する責任も大きくなります。
足場型学習は主に、生徒が支援なしで困難な課題に取り組んだときにイライラしたり、おびえたり、落胆したりしたときに経験する可能性のある否定的な感情や自己認識を減らすために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組む際にも大きな価値があります。開発者を子供のように扱う方法とは程遠く、セキュリティチームでの経験がイライラさせたり落胆させたりするような効果をもたらす可能性がある場合、特に彼らの努力がバグ修正や新たな批判と共に返送される場合には、非常に有用です。
開発者がセキュアコーディングの基礎を理解するためのツールが提供される場合(通常はOWASP トップ10)、セキュリティバグがどのように発生するのか、なぜ危険なのか、本番環境に移行する前に修正する方法を自分で確認できます。そこから、より複雑な脆弱性に取り組み、適切な修正を適用するための実践的な経験を積むことで、知識を広げることができます。レイヤーは少しずつ増えていき、安全でないソフトウェアアーキテクチャや脅威モデリングなどの高度なセキュリティ問題に関しては、これらの飛躍はそれほど恐ろしいものではなく、正確に取り組むことができます。
業界として、開発者にセキュリティの専門家になることを期待すべきではありませんが、組織はより高品質なソフトウェアを作成できるよう、開発者支援のための新たな基準を採用できます。エンジニアリング部門でスキル向上に取り組んでいる組織への付加価値として、各段階または足場の各レベルは、学習を進めるにつれて、サイバーセキュリティの強化に直接つながります。結果を見るためにコースが終了するまで待つ必要はありません。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。セキュリティプログラムを足場に組み込むことで最大限に活用でき、メリットはほぼすぐに明らかになります。改善はほぼ即座に開始され、時間の経過とともに継続的に向上していきます。
私たちと一緒にセキュリティに強い開発者の育成を始めましょう。以下をチェックしてください。
コース
ミッション
開発者トレーニング
...そしてもっと!
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
技術ニュースを数分間閲覧するだけで、脅威環境がいかに危険になりつつあるかがすぐに明らかになります。毎日、重大な侵害、新たな脆弱性、またはサイバー攻撃者や犯罪者による活発な悪用の脅威に関する報告が寄せられているようです。そして、ほぼすべての業界指標とレポートには、サイバー脅威の数が増加し続けていることが示されており、ほとんどの専門家がこの傾向が今後何年にもわたって続くと予測しています。
こうした新たな脅威に立ち向かうのは、ITセキュリティ担当者の最前線で、人員不足と人材不足が深刻化しています。高給で、どの企業や組織にとっても必要不可欠な存在であるにもかかわらず、セキュリティ担当者が不足していることは決してありません。最近の調査によると、戦略国際問題研究所(CSIS)が実施した調査では、IT意思決定者の82%が、組織がサイバーセキュリティスキルの不足に苦しんでいると答え、71%がその不足が組織に直接的かつ測定可能な損害をもたらしたと回答しました。報告書によると、米国だけでも、約94万人しか雇用されていない分野で、52万件以上のサイバーセキュリティ関連の求人が空いていることが明らかになりました。
世界中で、現在約350万件のサイバーセキュリティ関連の仕事が未充足です。つまり、トップレベルの専門家を雇用し維持するために多額の費用を支払っても構わないと考えている組織でさえ、適切な候補者を見つけるのに苦労しているということです。平均すると、サイバーセキュリティのポジションを埋めるのに要する時間は、他の職種よりも約21%長くなります。
開発者支援があまりにも長い間無視されてきた
過去のブログ多数で書き留めました。サイバーセキュリティ防御におけるこれらの重大なギャップを埋めるために開発者を活用できるということです。ただ、従来、開発者はサイバーセキュリティに関するトレーニングを受けていませんでした。彼らの職務遂行能力は、ほとんどすべて導入までのスピードと時間に基づいていました。セキュリティは、さらに先のアプリケーションセキュリティチームの仕事でした。
残念ながら、単に方針を変えて、開発者に急にアプリケーションやプログラムにセキュリティを追加し始めるよう頼むだけの問題ではありません。たとえ開発者が進んでそうした変更を行おうとしても、調査の結果、その多くがそうであることが明らかになったとしても、それを実現するためにはやはりトレーニングが必要です。また、上層部からの励ましや支援も必要ですが、有意義な学習が可能になることが、最初の、そして多くの場合最大の障害となります。
世界中で何百万もの高給で安全性の高いITセキュリティ職が空いているのには理由があります。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。比較的技術に精通した開発者であっても、サイバーセキュリティを教えようとしても、定型的なトレーニングを効率的に行うことはできません。そのトレーニングは、すぐに実施され、記憶に残らず、プラスの影響も最小限に抑えられます。特に、すでに過大な負担がかかっているスケジュールにこれらの要件が追加された場合はなおさらです。
足場を作って高台にたどり着こう
従来の方法でサイバーセキュリティスキルを教えることは、地面から足を離さずに超高層ビルを建てようとするようなものです。学生にはサイバーセキュリティのような複雑な分野の多くの高レベルの概念を習得するのに必要な基礎がないため、それは不可能です。これを補うために、「足場学習」という概念を活用することができます。
スキルアップに足場型のアプローチ、つまり「階層化」アプローチを使用する場合、大きなトピックは通常、個別の学習経験や概念に分解されます。これにより、学生は適切な演習と指導を通じて各概念を習得し、各要素に必要なすべてのサポートを受けることができます。建物の高さが高くなるにつれて物理的な足場が構築されるのと同じように、新しく高度な概念は既に習得されている概念の上に重ねられます。こうすることで、学生は支援なしでは習得できないレベルよりも高いレベルの理解とスキルの習得が可能になります。
そして、物理的な足場と同じように、そのサポートは不要になると段階的に取り除かれ、生徒が習熟するにつれて生徒に対する責任も大きくなります。
足場型学習は主に、生徒が支援なしで困難な課題に取り組んだときにイライラしたり、おびえたり、落胆したりしたときに経験する可能性のある否定的な感情や自己認識を減らすために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組む際にも大きな価値があります。開発者を子供のように扱う方法とは程遠く、セキュリティチームでの経験がイライラさせたり落胆させたりするような効果をもたらす可能性がある場合、特に彼らの努力がバグ修正や新たな批判と共に返送される場合には、非常に有用です。
開発者がセキュアコーディングの基礎を理解するためのツールが提供される場合(通常はOWASP トップ10)、セキュリティバグがどのように発生するのか、なぜ危険なのか、本番環境に移行する前に修正する方法を自分で確認できます。そこから、より複雑な脆弱性に取り組み、適切な修正を適用するための実践的な経験を積むことで、知識を広げることができます。レイヤーは少しずつ増えていき、安全でないソフトウェアアーキテクチャや脅威モデリングなどの高度なセキュリティ問題に関しては、これらの飛躍はそれほど恐ろしいものではなく、正確に取り組むことができます。
業界として、開発者にセキュリティの専門家になることを期待すべきではありませんが、組織はより高品質なソフトウェアを作成できるよう、開発者支援のための新たな基準を採用できます。エンジニアリング部門でスキル向上に取り組んでいる組織への付加価値として、各段階または足場の各レベルは、学習を進めるにつれて、サイバーセキュリティの強化に直接つながります。結果を見るためにコースが終了するまで待つ必要はありません。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。セキュリティプログラムを足場に組み込むことで最大限に活用でき、メリットはほぼすぐに明らかになります。改善はほぼ即座に開始され、時間の経過とともに継続的に向上していきます。
私たちと一緒にセキュリティに強い開発者の育成を始めましょう。以下をチェックしてください。
コース
ミッション
開発者トレーニング
...そしてもっと!
目次
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]
%20(1).avif)
.avif)
