スキャフォールド学習がセキュリティに強い開発者を育成する理由
ほんの数分だけ技術ニュースを閲覧すれば、脅威環境がいかに危険化しているかがすぐにわかるでしょう。主要なセキュリティ侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による積極的な悪用脅威に関する報告が毎日溢れ出ているかのようです。そしてほぼ全ての業界指標や報告書は、サイバー脅威の数がますます危険化していることを示しており、ほとんどの専門家はこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に対応するため、最前線で働くITセキュリティ人材は疲弊し、人手不足に陥っています。高い給与を得て、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、移動可能なセキュリティ人材は決して十分ではありません。戦略・国際問題センターが実施した最近の調査によると、IT意思決定者の82%が組織がサイバーセキュリティ技術不足に苦しんでいると回答し、71%がこうした技術不足により組織に直接的かつ測定可能な損害が発生したと回答しました。報告書によると、米国だけでも約94万人の雇用がある分野において、52万以上のサイバーセキュリティ職が未充足であることが明らかになりました。
世界中で現在、約350万件のサイバーセキュリティ関連職が未充足の状態です。つまり、最高レベルの専門家を採用・維持するために莫大な費用を支払う意思のある組織でさえ、適切な候補者を見つけるのに苦労しています。平均的に、この作業を完了するのにかかる時間は約21%長くなっています。サイバーセキュリティの強化は、他のどの職務よりも高い職位を担うことができるのです。
開発者サポートが長きにわたり軽視されてきました。
以前のブログで述べたように、開発者を活用することでサイバーセキュリティ防御における重要なギャップの一部を補完できるのです。ただ、従来、開発者はサイバーセキュリティに関する教育を受けたことがありませんでした。彼らの業務成果はほぼ完全にデプロイ速度と時間に依存していました。さらに、AppSecチームがセキュリティを担当していました。
残念ながら、単に方向転換し、開発者にアプリケーションやプログラムへのセキュリティを突然追加するよう要求するだけの問題ではありません。こうした変更を喜んで適用し、調査結果では多くの変更が行われているとはいえ、これを実現するには依然として教育が必要です。また、上級管理職の励ましと支援も必要ですが、意味のある学習を可能にすることが第一の、そしてしばしば最大の障壁となります。
世界中で数百万もの高給で高度に安全なITセキュリティ職が未だ埋まっていないのには理由があります。簡単な仕事なら誰もがその分野に飛び込んだでしょう。脅威に対処し、コード内の脆弱性を除去する方法を学ぶのは困難であり、脅威環境は絶えず変化しています。比較的技術に精通した開発者に対しても、サイバーセキュリティを教えようとする試みは時間がかかり、記憶に残らず、プラスの影響もわずかです。 特に、既に過密なスケジュールにこうした要求が追加される場合にはなおさらです。
足場を作って、より高い場所へ登りましょう
従来の方法でサイバーセキュリティ技術を教えることは、地面に足をつけずに超高層ビルを建設するようなものです。学生がサイバーセキュリティのような複雑な分野の多くの高度な概念を習得するために必要な基礎が欠けているため、不可能です。これを補うために、次のような概念を足場学習として採用することができます。
スキャフォールドまたは「階層化された」アプローチを用いてスキルを向上させる際、より大きなテーマは通常、個別の学習経験や概念に分類されます。これにより、生徒は適切な練習と指導を用いて各概念を習得でき、各構成要素に必要なすべての支援を受けられます。建物が高くなるにつれて物理的な足場が組み立てられるように、すでに習得した概念の上に、より新しくより高度な概念が層を成して積み上げられます。この方法により、生徒は自力で習得できるレベルを超える理解力と技能の習得を達成できます。
物理的な支えと同様に、こうした支援も必要がなくなれば徐々に取り除かれ、生徒が次第に熟練するにつれて、生徒に対する責任も大きくなります。
スキャフォールド学習は、主に学生が支援なしで困難な課題に挑戦する際に生じる挫折感や恐怖心、落胆といった否定的な感情や自己認識を軽減するために用いられます。しかし、現代のサイバーセキュリティのように非常に難しい概念を扱う場合にも有用です。開発者を幼い子供のように扱うことなど決してなく、セキュリティチームでの経験が挫折や落胆という同じ結果をもたらす可能性があるなら、それは非常に大きな助けとなります。 特にバグ修正や新たな批判によって彼らの努力が否定される時にはなおさらです。
開発者にセキュリティコーディングの基本を理解できるツールが提供される場合(一般的にOWASPトップ10から始める)、 セキュリティバグがどのように発生し、なぜ危険なのか、本番環境に入る前にこれを解決する方法を直接確認できます。これにより、より複雑な脆弱性を解決し、適切な修正を適用する実践的な経験を積み、知識を広げることができます。スキルレベルは段階的に成長し、安全でないソフトウェアアーキテクチャや脅威モデリングといった高度なセキュリティ課題においても、こうした飛躍はそれほど脅威ではなく、精密に解決できるようになります。
業界は開発者がセキュリティの専門家になることを期待すべきではありません。しかし組織は、開発者を支援するための新たな基準を採用することで、より高品質なソフトウェアを生産できるようになります。熟練したエンジニアリング部門を擁する組織にとっては追加の利点として、各段階や各レベルでの足場作りは、学習しながら直接サイバーセキュリティの改善へとつながります。教育課程が終わるまで待つ必要なく、結果を確認できるのです。
サイバーセキュリティを学ぶことは困難であり、適切な支援と指導なしにこれを完全に習得することはほぼ不可能です。スキャフォールド学習とセキュリティプログラムを活用すれば、その利点をほぼ即座に確認できるため、セキュリティプログラムを最大限に活用できます。改善はほぼ即座に始まり、時間の経過とともに持続的に向上していくでしょう。
当社と共に強力なセキュリティ開発者の育成を始めましょう。ご確認ください。
教育コース
ミッション
開発者教育
...その他多数!
業界では、開発者がセキュリティの専門家になることを期待すべきではありません。しかし、組織は開発者を支援するための新たな基準を採用することで、より高品質なソフトウェアを生産できるようになります。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
ほんの数分だけ技術ニュースを閲覧すれば、脅威環境がいかに危険化しているかがすぐにわかるでしょう。主要なセキュリティ侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による積極的な悪用脅威に関する報告が毎日溢れ出ているかのようです。そしてほぼ全ての業界指標や報告書は、サイバー脅威の数がますます危険化していることを示しており、ほとんどの専門家はこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に対応するため、最前線で働くITセキュリティ人材は疲弊し、人手不足に陥っています。高い給与を得て、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、移動可能なセキュリティ人材は決して十分ではありません。戦略・国際問題センターが実施した最近の調査によると、IT意思決定者の82%が組織がサイバーセキュリティ技術不足に苦しんでいると回答し、71%がこうした技術不足により組織に直接的かつ測定可能な損害が発生したと回答しました。報告書によると、米国だけでも約94万人の雇用がある分野において、52万以上のサイバーセキュリティ職が未充足であることが明らかになりました。
世界中で現在、約350万件のサイバーセキュリティ関連職が未充足の状態です。つまり、最高レベルの専門家を採用・維持するために莫大な費用を支払う意思のある組織でさえ、適切な候補者を見つけるのに苦労しています。平均的に、この作業を完了するのにかかる時間は約21%長くなっています。サイバーセキュリティの強化は、他のどの職務よりも高い職位を担うことができるのです。
開発者サポートが長きにわたり軽視されてきました。
以前のブログで述べたように、開発者を活用することでサイバーセキュリティ防御における重要なギャップの一部を補完できるのです。ただ、従来、開発者はサイバーセキュリティに関する教育を受けたことがありませんでした。彼らの業務成果はほぼ完全にデプロイ速度と時間に依存していました。さらに、AppSecチームがセキュリティを担当していました。
残念ながら、単に方向転換し、開発者にアプリケーションやプログラムへのセキュリティを突然追加するよう要求するだけの問題ではありません。こうした変更を喜んで適用し、調査結果では多くの変更が行われているとはいえ、これを実現するには依然として教育が必要です。また、上級管理職の励ましと支援も必要ですが、意味のある学習を可能にすることが第一の、そしてしばしば最大の障壁となります。
世界中で数百万もの高給で高度に安全なITセキュリティ職が未だ埋まっていないのには理由があります。簡単な仕事なら誰もがその分野に飛び込んだでしょう。脅威に対処し、コード内の脆弱性を除去する方法を学ぶのは困難であり、脅威環境は絶えず変化しています。比較的技術に精通した開発者に対しても、サイバーセキュリティを教えようとする試みは時間がかかり、記憶に残らず、プラスの影響もわずかです。 特に、既に過密なスケジュールにこうした要求が追加される場合にはなおさらです。
足場を作って、より高い場所へ登りましょう
従来の方法でサイバーセキュリティ技術を教えることは、地面に足をつけずに超高層ビルを建設するようなものです。学生がサイバーセキュリティのような複雑な分野の多くの高度な概念を習得するために必要な基礎が欠けているため、不可能です。これを補うために、次のような概念を足場学習として採用することができます。
スキャフォールドまたは「階層化された」アプローチを用いてスキルを向上させる際、より大きなテーマは通常、個別の学習経験や概念に分類されます。これにより、生徒は適切な練習と指導を用いて各概念を習得でき、各構成要素に必要なすべての支援を受けられます。建物が高くなるにつれて物理的な足場が組み立てられるように、すでに習得した概念の上に、より新しくより高度な概念が層を成して積み上げられます。この方法により、生徒は自力で習得できるレベルを超える理解力と技能の習得を達成できます。
物理的な支えと同様に、こうした支援も必要がなくなれば徐々に取り除かれ、生徒が次第に熟練するにつれて、生徒に対する責任も大きくなります。
スキャフォールド学習は、主に学生が支援なしで困難な課題に挑戦する際に生じる挫折感や恐怖心、落胆といった否定的な感情や自己認識を軽減するために用いられます。しかし、現代のサイバーセキュリティのように非常に難しい概念を扱う場合にも有用です。開発者を幼い子供のように扱うことなど決してなく、セキュリティチームでの経験が挫折や落胆という同じ結果をもたらす可能性があるなら、それは非常に大きな助けとなります。 特にバグ修正や新たな批判によって彼らの努力が否定される時にはなおさらです。
開発者にセキュリティコーディングの基本を理解できるツールが提供される場合(一般的にOWASPトップ10から始める)、 セキュリティバグがどのように発生し、なぜ危険なのか、本番環境に入る前にこれを解決する方法を直接確認できます。これにより、より複雑な脆弱性を解決し、適切な修正を適用する実践的な経験を積み、知識を広げることができます。スキルレベルは段階的に成長し、安全でないソフトウェアアーキテクチャや脅威モデリングといった高度なセキュリティ課題においても、こうした飛躍はそれほど脅威ではなく、精密に解決できるようになります。
業界は開発者がセキュリティの専門家になることを期待すべきではありません。しかし組織は、開発者を支援するための新たな基準を採用することで、より高品質なソフトウェアを生産できるようになります。熟練したエンジニアリング部門を擁する組織にとっては追加の利点として、各段階や各レベルでの足場作りは、学習しながら直接サイバーセキュリティの改善へとつながります。教育課程が終わるまで待つ必要なく、結果を確認できるのです。
サイバーセキュリティを学ぶことは困難であり、適切な支援と指導なしにこれを完全に習得することはほぼ不可能です。スキャフォールド学習とセキュリティプログラムを活用すれば、その利点をほぼ即座に確認できるため、セキュリティプログラムを最大限に活用できます。改善はほぼ即座に始まり、時間の経過とともに持続的に向上していくでしょう。
当社と共に強力なセキュリティ開発者の育成を始めましょう。ご確認ください。
教育コース
ミッション
開発者教育
...その他多数!
ほんの数分だけ技術ニュースを閲覧すれば、脅威環境がいかに危険化しているかがすぐにわかるでしょう。主要なセキュリティ侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による積極的な悪用脅威に関する報告が毎日溢れ出ているかのようです。そしてほぼ全ての業界指標や報告書は、サイバー脅威の数がますます危険化していることを示しており、ほとんどの専門家はこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に対応するため、最前線で働くITセキュリティ人材は疲弊し、人手不足に陥っています。高い給与を得て、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、移動可能なセキュリティ人材は決して十分ではありません。戦略・国際問題センターが実施した最近の調査によると、IT意思決定者の82%が組織がサイバーセキュリティ技術不足に苦しんでいると回答し、71%がこうした技術不足により組織に直接的かつ測定可能な損害が発生したと回答しました。報告書によると、米国だけでも約94万人の雇用がある分野において、52万以上のサイバーセキュリティ職が未充足であることが明らかになりました。
世界中で現在、約350万件のサイバーセキュリティ関連職が未充足の状態です。つまり、最高レベルの専門家を採用・維持するために莫大な費用を支払う意思のある組織でさえ、適切な候補者を見つけるのに苦労しています。平均的に、この作業を完了するのにかかる時間は約21%長くなっています。サイバーセキュリティの強化は、他のどの職務よりも高い職位を担うことができるのです。
開発者サポートが長きにわたり軽視されてきました。
以前のブログで述べたように、開発者を活用することでサイバーセキュリティ防御における重要なギャップの一部を補完できるのです。ただ、従来、開発者はサイバーセキュリティに関する教育を受けたことがありませんでした。彼らの業務成果はほぼ完全にデプロイ速度と時間に依存していました。さらに、AppSecチームがセキュリティを担当していました。
残念ながら、単に方向転換し、開発者にアプリケーションやプログラムへのセキュリティを突然追加するよう要求するだけの問題ではありません。こうした変更を喜んで適用し、調査結果では多くの変更が行われているとはいえ、これを実現するには依然として教育が必要です。また、上級管理職の励ましと支援も必要ですが、意味のある学習を可能にすることが第一の、そしてしばしば最大の障壁となります。
世界中で数百万もの高給で高度に安全なITセキュリティ職が未だ埋まっていないのには理由があります。簡単な仕事なら誰もがその分野に飛び込んだでしょう。脅威に対処し、コード内の脆弱性を除去する方法を学ぶのは困難であり、脅威環境は絶えず変化しています。比較的技術に精通した開発者に対しても、サイバーセキュリティを教えようとする試みは時間がかかり、記憶に残らず、プラスの影響もわずかです。 特に、既に過密なスケジュールにこうした要求が追加される場合にはなおさらです。
足場を作って、より高い場所へ登りましょう
従来の方法でサイバーセキュリティ技術を教えることは、地面に足をつけずに超高層ビルを建設するようなものです。学生がサイバーセキュリティのような複雑な分野の多くの高度な概念を習得するために必要な基礎が欠けているため、不可能です。これを補うために、次のような概念を足場学習として採用することができます。
スキャフォールドまたは「階層化された」アプローチを用いてスキルを向上させる際、より大きなテーマは通常、個別の学習経験や概念に分類されます。これにより、生徒は適切な練習と指導を用いて各概念を習得でき、各構成要素に必要なすべての支援を受けられます。建物が高くなるにつれて物理的な足場が組み立てられるように、すでに習得した概念の上に、より新しくより高度な概念が層を成して積み上げられます。この方法により、生徒は自力で習得できるレベルを超える理解力と技能の習得を達成できます。
物理的な支えと同様に、こうした支援も必要がなくなれば徐々に取り除かれ、生徒が次第に熟練するにつれて、生徒に対する責任も大きくなります。
スキャフォールド学習は、主に学生が支援なしで困難な課題に挑戦する際に生じる挫折感や恐怖心、落胆といった否定的な感情や自己認識を軽減するために用いられます。しかし、現代のサイバーセキュリティのように非常に難しい概念を扱う場合にも有用です。開発者を幼い子供のように扱うことなど決してなく、セキュリティチームでの経験が挫折や落胆という同じ結果をもたらす可能性があるなら、それは非常に大きな助けとなります。 特にバグ修正や新たな批判によって彼らの努力が否定される時にはなおさらです。
開発者にセキュリティコーディングの基本を理解できるツールが提供される場合(一般的にOWASPトップ10から始める)、 セキュリティバグがどのように発生し、なぜ危険なのか、本番環境に入る前にこれを解決する方法を直接確認できます。これにより、より複雑な脆弱性を解決し、適切な修正を適用する実践的な経験を積み、知識を広げることができます。スキルレベルは段階的に成長し、安全でないソフトウェアアーキテクチャや脅威モデリングといった高度なセキュリティ課題においても、こうした飛躍はそれほど脅威ではなく、精密に解決できるようになります。
業界は開発者がセキュリティの専門家になることを期待すべきではありません。しかし組織は、開発者を支援するための新たな基準を採用することで、より高品質なソフトウェアを生産できるようになります。熟練したエンジニアリング部門を擁する組織にとっては追加の利点として、各段階や各レベルでの足場作りは、学習しながら直接サイバーセキュリティの改善へとつながります。教育課程が終わるまで待つ必要なく、結果を確認できるのです。
サイバーセキュリティを学ぶことは困難であり、適切な支援と指導なしにこれを完全に習得することはほぼ不可能です。スキャフォールド学習とセキュリティプログラムを活用すれば、その利点をほぼ即座に確認できるため、セキュリティプログラムを最大限に活用できます。改善はほぼ即座に始まり、時間の経過とともに持続的に向上していくでしょう。
当社と共に強力なセキュリティ開発者の育成を始めましょう。ご確認ください。
教育コース
ミッション
開発者教育
...その他多数!
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
ほんの数分だけ技術ニュースを閲覧すれば、脅威環境がいかに危険化しているかがすぐにわかるでしょう。主要なセキュリティ侵害、新たな脆弱性、あるいはサイバー攻撃者や犯罪者による積極的な悪用脅威に関する報告が毎日溢れ出ているかのようです。そしてほぼ全ての業界指標や報告書は、サイバー脅威の数がますます危険化していることを示しており、ほとんどの専門家はこの傾向が今後数年間も続くと予測しています。
これらの新たな脅威に対応するため、最前線で働くITセキュリティ人材は疲弊し、人手不足に陥っています。高い給与を得て、あらゆる企業や組織にとってほぼ不可欠な存在であるにもかかわらず、移動可能なセキュリティ人材は決して十分ではありません。戦略・国際問題センターが実施した最近の調査によると、IT意思決定者の82%が組織がサイバーセキュリティ技術不足に苦しんでいると回答し、71%がこうした技術不足により組織に直接的かつ測定可能な損害が発生したと回答しました。報告書によると、米国だけでも約94万人の雇用がある分野において、52万以上のサイバーセキュリティ職が未充足であることが明らかになりました。
世界中で現在、約350万件のサイバーセキュリティ関連職が未充足の状態です。つまり、最高レベルの専門家を採用・維持するために莫大な費用を支払う意思のある組織でさえ、適切な候補者を見つけるのに苦労しています。平均的に、この作業を完了するのにかかる時間は約21%長くなっています。サイバーセキュリティの強化は、他のどの職務よりも高い職位を担うことができるのです。
開発者サポートが長きにわたり軽視されてきました。
以前のブログで述べたように、開発者を活用することでサイバーセキュリティ防御における重要なギャップの一部を補完できるのです。ただ、従来、開発者はサイバーセキュリティに関する教育を受けたことがありませんでした。彼らの業務成果はほぼ完全にデプロイ速度と時間に依存していました。さらに、AppSecチームがセキュリティを担当していました。
残念ながら、単に方向転換し、開発者にアプリケーションやプログラムへのセキュリティを突然追加するよう要求するだけの問題ではありません。こうした変更を喜んで適用し、調査結果では多くの変更が行われているとはいえ、これを実現するには依然として教育が必要です。また、上級管理職の励ましと支援も必要ですが、意味のある学習を可能にすることが第一の、そしてしばしば最大の障壁となります。
世界中で数百万もの高給で高度に安全なITセキュリティ職が未だ埋まっていないのには理由があります。簡単な仕事なら誰もがその分野に飛び込んだでしょう。脅威に対処し、コード内の脆弱性を除去する方法を学ぶのは困難であり、脅威環境は絶えず変化しています。比較的技術に精通した開発者に対しても、サイバーセキュリティを教えようとする試みは時間がかかり、記憶に残らず、プラスの影響もわずかです。 特に、既に過密なスケジュールにこうした要求が追加される場合にはなおさらです。
足場を作って、より高い場所へ登りましょう
従来の方法でサイバーセキュリティ技術を教えることは、地面に足をつけずに超高層ビルを建設するようなものです。学生がサイバーセキュリティのような複雑な分野の多くの高度な概念を習得するために必要な基礎が欠けているため、不可能です。これを補うために、次のような概念を足場学習として採用することができます。
スキャフォールドまたは「階層化された」アプローチを用いてスキルを向上させる際、より大きなテーマは通常、個別の学習経験や概念に分類されます。これにより、生徒は適切な練習と指導を用いて各概念を習得でき、各構成要素に必要なすべての支援を受けられます。建物が高くなるにつれて物理的な足場が組み立てられるように、すでに習得した概念の上に、より新しくより高度な概念が層を成して積み上げられます。この方法により、生徒は自力で習得できるレベルを超える理解力と技能の習得を達成できます。
物理的な支えと同様に、こうした支援も必要がなくなれば徐々に取り除かれ、生徒が次第に熟練するにつれて、生徒に対する責任も大きくなります。
スキャフォールド学習は、主に学生が支援なしで困難な課題に挑戦する際に生じる挫折感や恐怖心、落胆といった否定的な感情や自己認識を軽減するために用いられます。しかし、現代のサイバーセキュリティのように非常に難しい概念を扱う場合にも有用です。開発者を幼い子供のように扱うことなど決してなく、セキュリティチームでの経験が挫折や落胆という同じ結果をもたらす可能性があるなら、それは非常に大きな助けとなります。 特にバグ修正や新たな批判によって彼らの努力が否定される時にはなおさらです。
開発者にセキュリティコーディングの基本を理解できるツールが提供される場合(一般的にOWASPトップ10から始める)、 セキュリティバグがどのように発生し、なぜ危険なのか、本番環境に入る前にこれを解決する方法を直接確認できます。これにより、より複雑な脆弱性を解決し、適切な修正を適用する実践的な経験を積み、知識を広げることができます。スキルレベルは段階的に成長し、安全でないソフトウェアアーキテクチャや脅威モデリングといった高度なセキュリティ課題においても、こうした飛躍はそれほど脅威ではなく、精密に解決できるようになります。
業界は開発者がセキュリティの専門家になることを期待すべきではありません。しかし組織は、開発者を支援するための新たな基準を採用することで、より高品質なソフトウェアを生産できるようになります。熟練したエンジニアリング部門を擁する組織にとっては追加の利点として、各段階や各レベルでの足場作りは、学習しながら直接サイバーセキュリティの改善へとつながります。教育課程が終わるまで待つ必要なく、結果を確認できるのです。
サイバーセキュリティを学ぶことは困難であり、適切な支援と指導なしにこれを完全に習得することはほぼ不可能です。スキャフォールド学習とセキュリティプログラムを活用すれば、その利点をほぼ即座に確認できるため、セキュリティプログラムを最大限に活用できます。改善はほぼ即座に始まり、時間の経過とともに持続的に向上していくでしょう。
当社と共に強力なセキュリティ開発者の育成を始めましょう。ご確認ください。
教育コース
ミッション
開発者教育
...その他多数!
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約ダウンロード
%20(1).avif)
.avif)
