開発者にセキュリティ意識を持ってコーディングしてほしいですか?開発者に教育を提供してください。
ソフトウェア開発ライフサイクル(SDLC)は一見無害に見える。これは一つのプロセスであり、私たちソフトウェア担当者は皆が力を合わせて魔法のようなことを成し遂げ、社会に欠かせないデジタル製品を世に送り出すのだ。
ただし、ソフトウェア開発プロジェクトに参加した経験があれば、それは征服すべきクエストと倒すべきドラゴンがいる困難なプロジェクトであることを理解できるでしょう。しばらくは楽しいものの、バーンアウトは現実です。ソフトウェアへの需要により、私たちは皆、最高の時期に光速で作業しています。特に開発チームはなおさらです。
さて、彼らに必ずやらなければならない別の作業が与えられたと想像してみてください。それは、彼らが関わるプロジェクト要素のセキュリティに対する責任です。これにより、最悪の場合、一部の個人にとってはカードハウスのように崩れ落ちる可能性もあります。 しかしより現実的なシナリオは、優先順位が明確でないため、より差し迫った問題が優先されることです。そして、ほとんどの開発者が安全なコーディングを教育されていない場合(特に管理者がセキュリティを優先しない場合)、頻繁なデータ漏洩、欠陥のあるアプリのリリース、膨大なバグコードによって、セキュリティ専門家たちの離反が限界点に達するのは驚くべきことではありません。
開発者にはAppSecの支援者が必要です。
上記のシナリオを見ると、コーディングプロセスにおいてセキュリティが「難しすぎる」カテゴリーに分類され、セキュリティチームに解決を委ねられる理由が理解できます。競合する締め切りが多すぎる上、十分な教育もなく、他のすべての業務を進めながらセキュリティに気を配る理由が全くないのです。しかし、この現状を維持するにはコードへの需要があまりにも大きいのです。超一流の開発者が同僚より抜きん出て、新しい技術を学び、何よりも安全なコードを作成できるチャンスがまさにここにあるのです。
しかし、ソフトウェアのセキュリティ管理は開発者の役割ではないことを覚えておく必要があります。これは依然としてAppSecチームの領域です(セキュリティに精通した開発者と協力することで、一般的なバグを繰り返し修正する代わりに、より多くの余裕を確保できます)。適切に機能するDevSecOpsプロセスでは、チーム全員がセキュリティ責任を分担するために必要な支援とツールを備えている必要があります。適切な種類のトレーニングが最良です。適切なツールセットとトレーニングのバランスを取るには、開発者と緊密に連携し、インスピレーションを与え、前向きな変化を主導しようとするAppSec専門家の洞察力が不可欠です。
破壊的なトレーニングは効果的というより煩わしいものであり、開発者に不快感を与えることは効果的ではありません。シンプルな知識に焦点を当てたIDEや課題管理ツールとの統合ソリューションが一つの代替案であり、必要なまさにその瞬間に正しい情報をユーザーに提供します。
動作原理は以下の通りです。
「万一に備えて」ではなく、適時に適切な場所で。
状況に応じた実践学習は間違いなく最も効果的な訓練方法であり、一口サイズの塊が最適なタイミングで提供されます。これを「ジャストインタイム(JIT)」教育とも呼び、セキュリティコーディングを学ぶ開発者にとって非常に有用です。
トヨタのリーン生産方式の原則であるJIT教育は、状況に応じて最も重要なタイミングで必要に応じて活性化されるよう設計されています。開発者が不適切な権限を持つように見える内容を書き込んだばかりですか?小さなバックドアが開いて攻撃者がリモートでコードを実行できるとしたらどうでしょう?開発者がConfluenceで文書を探したり、研修で扱った内容をググったりする代わりに、必要な時にすぐに知識にアクセスできれば、ずっと記憶に残りやすいでしょう。
ジャストインタイム(Just-in-Time)は「万一に備えた」学習とは正反対です。後者は知識を伝達するより一般的な方法ではありますが、効率的とは言えません。開発者がセキュリティコーディングのベストプラクティスをより容易に活用できるようにし、現在取り組んでいる主要な目標に集中し続けながら、キャリアを積むことで得られるメリットを確認する必要があります。
開発者に教育を追いかけさせないでください。
私たちはすでに労働時間が長すぎることを認識しています。では、開発者が教室に駆け込んだり、コンテキスト切り替えを経て静的な理論ベースの教育にアクセスするために5段階の手順を踏む場合、どのようなインセンティブが必要でしょうか?
データ侵害を引き起こす脆弱性の量がどれほど多くても、ほとんどの組織が何をやってもあまり効果的ではないというのが一般的な見解です。Verizonの2020年データ侵害調査報告書には次のように明記されています。データ侵害の43%はウェブ脆弱性が原因である可能性があります。開発者は効果的な教育を受けていません。 高等教育や職場内スキル向上策の一環として提供されるものでもない。ではSQLインジェクションやパストラッキングといった古典的な脆弱性はどうか。これらは重大なデータ損失に悪用されることはなく、サイバーセキュリティ技術の不足も制御不能な状態にはならないだろう。
開発者が教育を受け、セキュリティについて学んでいる現在の環境であることを理解しながらも、結果が芳しくないことに驚いたのはなぜでしょうか?Jira、GitHub、IDEといった実際に作業する空間でアクセス可能な、よりシームレスで統合され、邪魔にならない教育体験を提供することは、開発者と組織の双方にプラスの影響を与えられます。業界はもはや贅沢品ではなく、環境を進化させ、セキュリティ意識をはるかに容易にすることだけが必要なのです。
開発ワークフローを保護する準備はできていますか?
セキュリティに精通した開発者は、コード作成段階から組織に提供できる技術と保護機能によって高く評価されます。セキュリティはもはやオプションではありません。特にGDPR罰金、PCI-DSS準拠規制、NISTガバナンス...そして数百万ドル規模の集団訴訟であるEquifax事件で訴えられる可能性が高まっているためです。
統合されたアプローチは、妨げの少ない学習を通じて開発者の関心を引く触媒となり得ます。深層学習のための道筋を整備し、セキュリティ専門家を育成し、世界中のデータを安全に保護するために必要な共同責任を全体的に促進できます。
統合ツールのダウンロード(JiraとGitHub)について、ご意見をお聞かせください。
私たちはすでに労働時間が長すぎることを認識しています。では、開発者が教室に駆け込んだり、コンテキスト切り替えを経て静的な理論ベースの教育にアクセスするために5段階の手順を踏む場合、どのようなインセンティブが必要でしょうか?
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
ソフトウェア開発ライフサイクル(SDLC)は一見無害に見える。これは一つのプロセスであり、私たちソフトウェア担当者は皆が力を合わせて魔法のようなことを成し遂げ、社会に欠かせないデジタル製品を世に送り出すのだ。
ただし、ソフトウェア開発プロジェクトに参加した経験があれば、それは征服すべきクエストと倒すべきドラゴンがいる困難なプロジェクトであることを理解できるでしょう。しばらくは楽しいものの、バーンアウトは現実です。ソフトウェアへの需要により、私たちは皆、最高の時期に光速で作業しています。特に開発チームはなおさらです。
さて、彼らに必ずやらなければならない別の作業が与えられたと想像してみてください。それは、彼らが関わるプロジェクト要素のセキュリティに対する責任です。これにより、最悪の場合、一部の個人にとってはカードハウスのように崩れ落ちる可能性もあります。 しかしより現実的なシナリオは、優先順位が明確でないため、より差し迫った問題が優先されることです。そして、ほとんどの開発者が安全なコーディングを教育されていない場合(特に管理者がセキュリティを優先しない場合)、頻繁なデータ漏洩、欠陥のあるアプリのリリース、膨大なバグコードによって、セキュリティ専門家たちの離反が限界点に達するのは驚くべきことではありません。
開発者にはAppSecの支援者が必要です。
上記のシナリオを見ると、コーディングプロセスにおいてセキュリティが「難しすぎる」カテゴリーに分類され、セキュリティチームに解決を委ねられる理由が理解できます。競合する締め切りが多すぎる上、十分な教育もなく、他のすべての業務を進めながらセキュリティに気を配る理由が全くないのです。しかし、この現状を維持するにはコードへの需要があまりにも大きいのです。超一流の開発者が同僚より抜きん出て、新しい技術を学び、何よりも安全なコードを作成できるチャンスがまさにここにあるのです。
しかし、ソフトウェアのセキュリティ管理は開発者の役割ではないことを覚えておく必要があります。これは依然としてAppSecチームの領域です(セキュリティに精通した開発者と協力することで、一般的なバグを繰り返し修正する代わりに、より多くの余裕を確保できます)。適切に機能するDevSecOpsプロセスでは、チーム全員がセキュリティ責任を分担するために必要な支援とツールを備えている必要があります。適切な種類のトレーニングが最良です。適切なツールセットとトレーニングのバランスを取るには、開発者と緊密に連携し、インスピレーションを与え、前向きな変化を主導しようとするAppSec専門家の洞察力が不可欠です。
破壊的なトレーニングは効果的というより煩わしいものであり、開発者に不快感を与えることは効果的ではありません。シンプルな知識に焦点を当てたIDEや課題管理ツールとの統合ソリューションが一つの代替案であり、必要なまさにその瞬間に正しい情報をユーザーに提供します。
動作原理は以下の通りです。
「万一に備えて」ではなく、適時に適切な場所で。
状況に応じた実践学習は間違いなく最も効果的な訓練方法であり、一口サイズの塊が最適なタイミングで提供されます。これを「ジャストインタイム(JIT)」教育とも呼び、セキュリティコーディングを学ぶ開発者にとって非常に有用です。
トヨタのリーン生産方式の原則であるJIT教育は、状況に応じて最も重要なタイミングで必要に応じて活性化されるよう設計されています。開発者が不適切な権限を持つように見える内容を書き込んだばかりですか?小さなバックドアが開いて攻撃者がリモートでコードを実行できるとしたらどうでしょう?開発者がConfluenceで文書を探したり、研修で扱った内容をググったりする代わりに、必要な時にすぐに知識にアクセスできれば、ずっと記憶に残りやすいでしょう。
ジャストインタイム(Just-in-Time)は「万一に備えた」学習とは正反対です。後者は知識を伝達するより一般的な方法ではありますが、効率的とは言えません。開発者がセキュリティコーディングのベストプラクティスをより容易に活用できるようにし、現在取り組んでいる主要な目標に集中し続けながら、キャリアを積むことで得られるメリットを確認する必要があります。
開発者に教育を追いかけさせないでください。
私たちはすでに労働時間が長すぎることを認識しています。では、開発者が教室に駆け込んだり、コンテキスト切り替えを経て静的な理論ベースの教育にアクセスするために5段階の手順を踏む場合、どのようなインセンティブが必要でしょうか?
データ侵害を引き起こす脆弱性の量がどれほど多くても、ほとんどの組織が何をやってもあまり効果的ではないというのが一般的な見解です。Verizonの2020年データ侵害調査報告書には次のように明記されています。データ侵害の43%はウェブ脆弱性が原因である可能性があります。開発者は効果的な教育を受けていません。 高等教育や職場内スキル向上策の一環として提供されるものでもない。ではSQLインジェクションやパストラッキングといった古典的な脆弱性はどうか。これらは重大なデータ損失に悪用されることはなく、サイバーセキュリティ技術の不足も制御不能な状態にはならないだろう。
開発者が教育を受け、セキュリティについて学んでいる現在の環境であることを理解しながらも、結果が芳しくないことに驚いたのはなぜでしょうか?Jira、GitHub、IDEといった実際に作業する空間でアクセス可能な、よりシームレスで統合され、邪魔にならない教育体験を提供することは、開発者と組織の双方にプラスの影響を与えられます。業界はもはや贅沢品ではなく、環境を進化させ、セキュリティ意識をはるかに容易にすることだけが必要なのです。
開発ワークフローを保護する準備はできていますか?
セキュリティに精通した開発者は、コード作成段階から組織に提供できる技術と保護機能によって高く評価されます。セキュリティはもはやオプションではありません。特にGDPR罰金、PCI-DSS準拠規制、NISTガバナンス...そして数百万ドル規模の集団訴訟であるEquifax事件で訴えられる可能性が高まっているためです。
統合されたアプローチは、妨げの少ない学習を通じて開発者の関心を引く触媒となり得ます。深層学習のための道筋を整備し、セキュリティ専門家を育成し、世界中のデータを安全に保護するために必要な共同責任を全体的に促進できます。
統合ツールのダウンロード(JiraとGitHub)について、ご意見をお聞かせください。
ソフトウェア開発ライフサイクル(SDLC)は一見無害に見える。これは一つのプロセスであり、私たちソフトウェア担当者は皆が力を合わせて魔法のようなことを成し遂げ、社会に欠かせないデジタル製品を世に送り出すのだ。
ただし、ソフトウェア開発プロジェクトに参加した経験があれば、それは征服すべきクエストと倒すべきドラゴンがいる困難なプロジェクトであることを理解できるでしょう。しばらくは楽しいものの、バーンアウトは現実です。ソフトウェアへの需要により、私たちは皆、最高の時期に光速で作業しています。特に開発チームはなおさらです。
さて、彼らに必ずやらなければならない別の作業が与えられたと想像してみてください。それは、彼らが関わるプロジェクト要素のセキュリティに対する責任です。これにより、最悪の場合、一部の個人にとってはカードハウスのように崩れ落ちる可能性もあります。 しかしより現実的なシナリオは、優先順位が明確でないため、より差し迫った問題が優先されることです。そして、ほとんどの開発者が安全なコーディングを教育されていない場合(特に管理者がセキュリティを優先しない場合)、頻繁なデータ漏洩、欠陥のあるアプリのリリース、膨大なバグコードによって、セキュリティ専門家たちの離反が限界点に達するのは驚くべきことではありません。
開発者にはAppSecの支援者が必要です。
上記のシナリオを見ると、コーディングプロセスにおいてセキュリティが「難しすぎる」カテゴリーに分類され、セキュリティチームに解決を委ねられる理由が理解できます。競合する締め切りが多すぎる上、十分な教育もなく、他のすべての業務を進めながらセキュリティに気を配る理由が全くないのです。しかし、この現状を維持するにはコードへの需要があまりにも大きいのです。超一流の開発者が同僚より抜きん出て、新しい技術を学び、何よりも安全なコードを作成できるチャンスがまさにここにあるのです。
しかし、ソフトウェアのセキュリティ管理は開発者の役割ではないことを覚えておく必要があります。これは依然としてAppSecチームの領域です(セキュリティに精通した開発者と協力することで、一般的なバグを繰り返し修正する代わりに、より多くの余裕を確保できます)。適切に機能するDevSecOpsプロセスでは、チーム全員がセキュリティ責任を分担するために必要な支援とツールを備えている必要があります。適切な種類のトレーニングが最良です。適切なツールセットとトレーニングのバランスを取るには、開発者と緊密に連携し、インスピレーションを与え、前向きな変化を主導しようとするAppSec専門家の洞察力が不可欠です。
破壊的なトレーニングは効果的というより煩わしいものであり、開発者に不快感を与えることは効果的ではありません。シンプルな知識に焦点を当てたIDEや課題管理ツールとの統合ソリューションが一つの代替案であり、必要なまさにその瞬間に正しい情報をユーザーに提供します。
動作原理は以下の通りです。
「万一に備えて」ではなく、適時に適切な場所で。
状況に応じた実践学習は間違いなく最も効果的な訓練方法であり、一口サイズの塊が最適なタイミングで提供されます。これを「ジャストインタイム(JIT)」教育とも呼び、セキュリティコーディングを学ぶ開発者にとって非常に有用です。
トヨタのリーン生産方式の原則であるJIT教育は、状況に応じて最も重要なタイミングで必要に応じて活性化されるよう設計されています。開発者が不適切な権限を持つように見える内容を書き込んだばかりですか?小さなバックドアが開いて攻撃者がリモートでコードを実行できるとしたらどうでしょう?開発者がConfluenceで文書を探したり、研修で扱った内容をググったりする代わりに、必要な時にすぐに知識にアクセスできれば、ずっと記憶に残りやすいでしょう。
ジャストインタイム(Just-in-Time)は「万一に備えた」学習とは正反対です。後者は知識を伝達するより一般的な方法ではありますが、効率的とは言えません。開発者がセキュリティコーディングのベストプラクティスをより容易に活用できるようにし、現在取り組んでいる主要な目標に集中し続けながら、キャリアを積むことで得られるメリットを確認する必要があります。
開発者に教育を追いかけさせないでください。
私たちはすでに労働時間が長すぎることを認識しています。では、開発者が教室に駆け込んだり、コンテキスト切り替えを経て静的な理論ベースの教育にアクセスするために5段階の手順を踏む場合、どのようなインセンティブが必要でしょうか?
データ侵害を引き起こす脆弱性の量がどれほど多くても、ほとんどの組織が何をやってもあまり効果的ではないというのが一般的な見解です。Verizonの2020年データ侵害調査報告書には次のように明記されています。データ侵害の43%はウェブ脆弱性が原因である可能性があります。開発者は効果的な教育を受けていません。 高等教育や職場内スキル向上策の一環として提供されるものでもない。ではSQLインジェクションやパストラッキングといった古典的な脆弱性はどうか。これらは重大なデータ損失に悪用されることはなく、サイバーセキュリティ技術の不足も制御不能な状態にはならないだろう。
開発者が教育を受け、セキュリティについて学んでいる現在の環境であることを理解しながらも、結果が芳しくないことに驚いたのはなぜでしょうか?Jira、GitHub、IDEといった実際に作業する空間でアクセス可能な、よりシームレスで統合され、邪魔にならない教育体験を提供することは、開発者と組織の双方にプラスの影響を与えられます。業界はもはや贅沢品ではなく、環境を進化させ、セキュリティ意識をはるかに容易にすることだけが必要なのです。
開発ワークフローを保護する準備はできていますか?
セキュリティに精通した開発者は、コード作成段階から組織に提供できる技術と保護機能によって高く評価されます。セキュリティはもはやオプションではありません。特にGDPR罰金、PCI-DSS準拠規制、NISTガバナンス...そして数百万ドル規模の集団訴訟であるEquifax事件で訴えられる可能性が高まっているためです。
統合されたアプローチは、妨げの少ない学習を通じて開発者の関心を引く触媒となり得ます。深層学習のための道筋を整備し、セキュリティ専門家を育成し、世界中のデータを安全に保護するために必要な共同責任を全体的に促進できます。
統合ツールのダウンロード(JiraとGitHub)について、ご意見をお聞かせください。
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
ソフトウェア開発ライフサイクル(SDLC)は一見無害に見える。これは一つのプロセスであり、私たちソフトウェア担当者は皆が力を合わせて魔法のようなことを成し遂げ、社会に欠かせないデジタル製品を世に送り出すのだ。
ただし、ソフトウェア開発プロジェクトに参加した経験があれば、それは征服すべきクエストと倒すべきドラゴンがいる困難なプロジェクトであることを理解できるでしょう。しばらくは楽しいものの、バーンアウトは現実です。ソフトウェアへの需要により、私たちは皆、最高の時期に光速で作業しています。特に開発チームはなおさらです。
さて、彼らに必ずやらなければならない別の作業が与えられたと想像してみてください。それは、彼らが関わるプロジェクト要素のセキュリティに対する責任です。これにより、最悪の場合、一部の個人にとってはカードハウスのように崩れ落ちる可能性もあります。 しかしより現実的なシナリオは、優先順位が明確でないため、より差し迫った問題が優先されることです。そして、ほとんどの開発者が安全なコーディングを教育されていない場合(特に管理者がセキュリティを優先しない場合)、頻繁なデータ漏洩、欠陥のあるアプリのリリース、膨大なバグコードによって、セキュリティ専門家たちの離反が限界点に達するのは驚くべきことではありません。
開発者にはAppSecの支援者が必要です。
上記のシナリオを見ると、コーディングプロセスにおいてセキュリティが「難しすぎる」カテゴリーに分類され、セキュリティチームに解決を委ねられる理由が理解できます。競合する締め切りが多すぎる上、十分な教育もなく、他のすべての業務を進めながらセキュリティに気を配る理由が全くないのです。しかし、この現状を維持するにはコードへの需要があまりにも大きいのです。超一流の開発者が同僚より抜きん出て、新しい技術を学び、何よりも安全なコードを作成できるチャンスがまさにここにあるのです。
しかし、ソフトウェアのセキュリティ管理は開発者の役割ではないことを覚えておく必要があります。これは依然としてAppSecチームの領域です(セキュリティに精通した開発者と協力することで、一般的なバグを繰り返し修正する代わりに、より多くの余裕を確保できます)。適切に機能するDevSecOpsプロセスでは、チーム全員がセキュリティ責任を分担するために必要な支援とツールを備えている必要があります。適切な種類のトレーニングが最良です。適切なツールセットとトレーニングのバランスを取るには、開発者と緊密に連携し、インスピレーションを与え、前向きな変化を主導しようとするAppSec専門家の洞察力が不可欠です。
破壊的なトレーニングは効果的というより煩わしいものであり、開発者に不快感を与えることは効果的ではありません。シンプルな知識に焦点を当てたIDEや課題管理ツールとの統合ソリューションが一つの代替案であり、必要なまさにその瞬間に正しい情報をユーザーに提供します。
動作原理は以下の通りです。
「万一に備えて」ではなく、適時に適切な場所で。
状況に応じた実践学習は間違いなく最も効果的な訓練方法であり、一口サイズの塊が最適なタイミングで提供されます。これを「ジャストインタイム(JIT)」教育とも呼び、セキュリティコーディングを学ぶ開発者にとって非常に有用です。
トヨタのリーン生産方式の原則であるJIT教育は、状況に応じて最も重要なタイミングで必要に応じて活性化されるよう設計されています。開発者が不適切な権限を持つように見える内容を書き込んだばかりですか?小さなバックドアが開いて攻撃者がリモートでコードを実行できるとしたらどうでしょう?開発者がConfluenceで文書を探したり、研修で扱った内容をググったりする代わりに、必要な時にすぐに知識にアクセスできれば、ずっと記憶に残りやすいでしょう。
ジャストインタイム(Just-in-Time)は「万一に備えた」学習とは正反対です。後者は知識を伝達するより一般的な方法ではありますが、効率的とは言えません。開発者がセキュリティコーディングのベストプラクティスをより容易に活用できるようにし、現在取り組んでいる主要な目標に集中し続けながら、キャリアを積むことで得られるメリットを確認する必要があります。
開発者に教育を追いかけさせないでください。
私たちはすでに労働時間が長すぎることを認識しています。では、開発者が教室に駆け込んだり、コンテキスト切り替えを経て静的な理論ベースの教育にアクセスするために5段階の手順を踏む場合、どのようなインセンティブが必要でしょうか?
データ侵害を引き起こす脆弱性の量がどれほど多くても、ほとんどの組織が何をやってもあまり効果的ではないというのが一般的な見解です。Verizonの2020年データ侵害調査報告書には次のように明記されています。データ侵害の43%はウェブ脆弱性が原因である可能性があります。開発者は効果的な教育を受けていません。 高等教育や職場内スキル向上策の一環として提供されるものでもない。ではSQLインジェクションやパストラッキングといった古典的な脆弱性はどうか。これらは重大なデータ損失に悪用されることはなく、サイバーセキュリティ技術の不足も制御不能な状態にはならないだろう。
開発者が教育を受け、セキュリティについて学んでいる現在の環境であることを理解しながらも、結果が芳しくないことに驚いたのはなぜでしょうか?Jira、GitHub、IDEといった実際に作業する空間でアクセス可能な、よりシームレスで統合され、邪魔にならない教育体験を提供することは、開発者と組織の双方にプラスの影響を与えられます。業界はもはや贅沢品ではなく、環境を進化させ、セキュリティ意識をはるかに容易にすることだけが必要なのです。
開発ワークフローを保護する準備はできていますか?
セキュリティに精通した開発者は、コード作成段階から組織に提供できる技術と保護機能によって高く評価されます。セキュリティはもはやオプションではありません。特にGDPR罰金、PCI-DSS準拠規制、NISTガバナンス...そして数百万ドル規模の集団訴訟であるEquifax事件で訴えられる可能性が高まっているためです。
統合されたアプローチは、妨げの少ない学習を通じて開発者の関心を引く触媒となり得ます。深層学習のための道筋を整備し、セキュリティ専門家を育成し、世界中のデータを安全に保護するために必要な共同責任を全体的に促進できます。
統合ツールのダウンロード(JiraとGitHub)について、ご意見をお聞かせください。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約ダウンロード
%20(1).avif)
.avif)
