アジャイル学習プラットフォーム開発者主導型セキュリティのROI

急速に進化するソフトウェア環境の中で、開発者はセキュア・バイ・デザインの製品に責任を負うようになった。Secure Code Warrior とアクセンチュアの共同レポートである本レポートでは、従来のセキュリティトレーニングにまつわる課題と、開発者のワークフローを混乱させる機会費用について探っている。生産性を向上させながら脆弱性を半減させる、セキュアコードのためのアジャイルlearning platform 。 

このホワイトペーパーでは、Secure Code Warrior とアクセンチュアの専門家がその内容を解説する： 

• アジャイル・ラーニングのROIを、ライセンス、給与、リメディエーション時間などの要素から計算する方法。 
• アクセンチュアがどのようにSecure Code Warrior を統合し、セキュアなコード・トレーニングに変革をもたらし、開発者教育の価値を強調しているかをご覧ください。
• Secure Code Warrior ユーザーは、開発者の生産性が148％向上し、脆弱性の数が減少し、リリース・サイクルが加速され、プロアクティブ・セキュリティが経済的に実行可能になる。

‍

デブリンピックスとは？

Devlympicsは、開発者のセキュアなコードスキルをテストするために、アジャイルlearning platform 、Secure Code Warrior が主催する毎年恒例のグローバルなtournament 。

24時間tournament の間、世界中の開発者が、選択したプログラミング言語で、攻守のコーディング・チャレンジで競い合った。開発者たちは、さまざまなスキルを持つ仲間たちと競い合い、ポイントを獲得してリーダーボードのトップに躍り出る機会を得た。

本レポートでは、Devlympics 2023 の結果の概要に加え、数百人の開発者が挑戦した課題の中から浮き彫りになった強みと機会について深く掘り下げます。さらに、各業界、言語、および開発者が取り組んだ一般的なCWE（Common Weakness Enumerations）の傾向を強調し、あなたのセキュアコード学習を次のレベルに引き上げるのに役立ちます。

デブリンピックと開発者の声Secure Code Warrior

"Secure Code Warrior は、他の参加者と競い合い、技術を向上させるための素晴らしいプラットフォームです。"

"Secure Code Warrior はインタラクティブでコードレビューのようなアプローチを取る" 

"Secure Code Warrior は、興味深い競技を通して自分を鍛えてくれる最高のプラットフォームのひとつだ。"

"エキサイティングで、スリリングで、大好きだった！" 

開発者のお気に入りSecure Code Warrior

イベント終了後、200人以上の参加者にアンケートをとったところ、開発者たちはこのコンペティションが大好きだということが数字で示された。

開発者の関与

Devlympics への開発者の参加は年々増え続けており、2023 年のtournament には 1000 人以上の開発者が参加しました。Devlympicsは、セキュリティの専門家や、さまざまな業界やプログラミング分野の開発者から、世界中の注目を集めました。昨年の2倍の参加者があり、開発者が安全なコーディング方法を学ぶことに熱心になる傾向に注目しています。セキュリティに精通した開発者のコミュニティを拡大することで、Devlympicsは、コードを脆弱性から守るための最初の防衛線としての開発者の価値を強調し続けています。

‍

デブリンピックの参加産業

セキュアなコードはすべての業界にとって重要だが、特定の業界にとっては絶対に欠かせないものだ。銀行・金融サービスや テクノロジーといった業界は、参加した開発者の数で上位を占めた。これは、これらの業界がセキュアコードに継続的に焦点を当て、重視していることの重要性を示しています。

‍

産業界が果たす役割

異なる業界では様々なプログラミング言語が利用されており、6つの異なるカテゴリー（ウェブ、モバイル、フロントエンド、API、クラウド、マッシュアップ）があり、30以上の異なる言語が利用可能であった。これらは、私たちが各業界でトレンドになっていると指摘した言語の一部です。

‍

止まらない、止まらない

デブリンピックに参加したプレイヤーは、平均して約3時間をプラットフォームに費やし、その結果、合計4,152時間のゲームプレイを行った。

リーダーボードの上位にいる開発者の中には、次のレベルに到達した者もいる。最もプレイ時間の長いトップ20のプレイヤーは、tournament で平均14時間プレイしている。 これはもう、献身だ！

‍

フルスタック開発者

デブリンピックでは、開発者の41％が少なくとも2つの異なる言語でプレーし、ほぼ4分の1が3つ以上の言語でプレーしていた。

Stack Overflowによると、2つ以上の言語でプロダクションコードをコミットする開発者は、フルスタック開発者とみなされる。

貴社のトレーニングプログラムでは、開発者がコードをコミットするすべてのテクノロジーでトレーニングを受けていることを保証していますか？63 以上の異なる言語とフレームワークが提供されているSecure Code Warrior プラットフォームなら、すべてをカバーできます。

‍

‍

技術スタックのトレンド

セキュアなコードは、一般にアクセス可能なコードにおいて最も重要である。

あらゆる業界で、開発者はウェブ言語やAPI言語を使っている。

tournament で最もプレイされた個別言語として、Java SpringとDocker Basicが上位を占めた。

‍

‍

‍

セキュリティ・チャンピオンのコミュニティ

今年のデブリンピックには、その大半がすでにSecure Code Warrior ！すべての業界において、Devlympicsのプレーヤーは、そのプラットフォーム上のアセスメントについてSecure Code Warrior が指摘した業界ベンチマークをはるかに上回る成績を収めました。

私たちは、Secure Code Warrior プラットフォーム上で献身的な開発者セキュリティ・チャンピオンのコミュニティを構築し続けているため、この数字は年々有望になり続けると期待しています！

主な脆弱性 - Web & API

Devlympics に参加した開発者は、OWASP トップ 10 カテゴリの「インジェクションの欠陥」と「脆弱なサードパーティ製コンポーネント」において、良好なスキルレベルを示しました。私たちは、これらの脆弱性が OWASP トップ 10 リストから時間の経過とともに減少していくことを楽観視しています。

大量割り当ては依然として大きな問題だ。開発者のスキル・レベルは、この特定の脆弱性に関しては低い部類に入る。この分野の自動化ツールやテストが不足していることを考えると、これは本当に懸念すべきことであり、注意深く監視する必要がある。この分野での教育がさらに進めば、この特定の脆弱性に対処するセキュリティ・チームのプレッシャーも軽減されるだろう。

‍

‍

CWE 最も危険なソフトウェアの弱点トップ25

Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Weaknesses（最も危険なソフトウェアの弱点トップ25）リストは、現在最も一般的で影響力のあるソフトウェアの弱点を毎年開発者に提供しています。

Devlympics では、#1 CWE-787 Memory Corruption、#9 CWE-352 Cross-site Request Forgery、#10 CWE-434 File Upload が最も精度が低かった。 

SWE-89 SQL インジェクション」、「CWE-78 OS コマンドインジェクション」、「CWE-22 パストラバーサル」など、インジェクションに関連する脆弱性は、Devlympics の期間中、最も高いスコアを記録した CWE の一部です。これらの脆弱性は、開発者のスキルが向上するにつれて、CWE トップ 25 や OWASP トップ 10 のような業界のリストから順位を下げていくことが予想されます。

‍

秩序の弱さ

‍

結論

2023年のDevlympicsは、世界中の開発者がtournament に参加しながら取り組み、学んでいることを実証している。その影響は、出場することで感じる誇りだけでなく、実世界のシナリオによって、知識を保持し、実践から応用につなげることが容易になる。

Secure Code Warrior は、業界をリードするセキュアコード・アジャイルlearning platform であり、開発者がセキュアなコードを書くために必要なスキルを身につけることを支援します。

Secure Code Warrior を使えば、開発チームのために Devlympics のような独自のtournamentを運営することができます。チームを集めて、ゲーム化された楽しいコンペティションを行い、ソフトウェアの脆弱性の発見、特定、修正について学びましょう。

‍

成長するコミュニティに参加しよう

私たちのビジョンは、セキュリティに精通した開発者のグローバルコミュニティを鼓舞し、予防的で安全なコーディング文化を受け入れることです。私たちの焦点は、攻撃、脅威、リスクの発生を最小限に抑えることでセキュリティの回復力を強化し、変化を促進し、革新し、加速できるようにすることです。コーチングとメンタリングは、当社の開発者コミュニティに参加する上で不可欠な要素であると考えています！

デブリンピックス2024に登録し、Xでフォローして最新情報を入手してください。

‍

‍

TL;DR

セージは英国の多国籍企業向けソフトウェア会社で、給与、人事、財務のためのシンプルで使いやすいソフトウェアとサービスを企業に提供している。2017年現在、英国第2位のテクノロジー企業であり、世界第3位の企業資源計画ソフトウェアのサプライヤーであり、全世界で600万以上の顧客を持つ中小企業向け最大のサプライヤーである。

状況 

Sage 社は、Secure Code Warrior と連携する以前から、約10 年間にわたりセキュリティ・チャンピオン・ネットワークの概要を説明してきた。セキュリティに特化した開発者の強固なネットワークがあったにもかかわらず、トレーニングは散発的で、 リスク低減に焦点を当てた構成になっていなかった。 

セイジは、柔軟なアプローチで一定期間をかけて関係を構築し、セキュリ ティを定着させることに時間をかけることが重要だと認識していた。Sage 社のプログラムは、その目標をリスク削減とそのプログラムによる重大な影響に結び付けた。特定の事業部門とプログラムを試験的に実施する際には、開発者や上級管理職の賛同を得るために、リスク削減をどのように測定し、それを事業部門にフィードバックするかに重点を置いた。 

アクション

Sage 社の People-Centered Security Lead である Mads Howard 氏は、セキュリティチャンピオンのペルソナを理解するために開発者と協働した。彼女は、各事業部門の開発者に会ってインタビューを実施し、何が彼らのモチベーションになっているのか、どのように学習するのが好きなのか、仕事にはどのような限界があるのかを理解した。彼女と彼女のチームは、開発者やそのチームリーダーとの関係構築に努め、柔軟なアプローチの重要性を強調した。

マッズは関係構築のアプローチを重視している、

"私たちは、開発チームのリーダー、エンジニアリングチームのリーダー、プロダクトマネージャー（スプリントサイクルで教育に費やす時間をコントロールする人々）との関係構築に多くの時間を費やしました"

マッズによれば、それはセキュリティ・チャンピオン・ネットワークの規模を拡大することにも帰結するという、

「セキュリティ・チャンピオン・ネットワークは、このプログラムの重要なコントロールとみなされてきました。ですから、製品がこのプログラムを通過するためには、誰かがセキュリティ・チャンピオンとなり、また彼らにしっかりとしたセキュリティ・トレーニングを提供するという役割を本当に真剣に考えなければなりませんでした" 

Sage社のグローバル・セキュリティ・チームの目標は、複雑な技術環境における 開発者の学習ニーズを考慮したセキュリティ・コントロール・プログラムを導入し、脆弱性管理を支援する既存のセキュリティ・ツールとともに 機能するパートナーを選択することだった。 

教育が成熟したセキュリティ管理プログラムの重要な側面であると見なされることが重要であった。彼らは、以下を通じたリスク削減の測定に重点を置いていた： 

• リスク・スコアの改善
• 脆弱性年齢 脆弱性バックログの削減
• 解像度時間
• クローズドな脆弱性なし v. オープンな脆弱性
• セージが作成したコード（サードパーティ製を除く）1行あたりの問題数

マッズのために、

「ビジネスとしてのセージの次の段階は、開発者のワークフローに組み込まれたセキュアコーディングプログラムによるスキルアップが、測定可能なリスク削減をもたらすことを実証することです。

結果

マッズは、Secure Code Warrior が彼女と彼女のチームに与えてくれたパートナーシップと指導の重要性を強調した、

「正直言って、Secure Code Warrior のサポートがなければ、ここまで到達することはできなかっただろうし、さまざまなレイヤーや開発チームがさまざまなテクノロジーにまたがるという点で、これほど成熟したプログラムを構築することもできなかっただろう。" 

マッズと彼女のチームがインタビューを完了し、開発者の賛同を得ると、彼女はSecure Code Warrior 、より広範なセキュリティ文化プログラムの一部として実装を開始した。 

マッズによれば、結果はこうだ、

「セージには現在、200人を超えるセキュリティチャンピオンが在籍しており、セキュリティチャンピオンが週3.5時間（または自分の時間の10％）をスキル構築に充てていれば、セキュアコーディングプログラムを提唱し、継続的なトレーニングを提唱し、その価値を提唱することができる。 

シニア・リーダーの賛同とリスク削減に関する測定可能な目標によって、マッズは、プラットフォームの利用者数やプレイ時間だけでなく、脆弱性の修正にかかる時間、脆弱性の年齢、そして脆弱性削減に関する全体的な視点を与えるために顧客のために構築された新機能との比較など、成功の測定を開始することができました。あるチームでは、脆弱性の修正にかかる平均時間が82％も短縮され、その影響は非常に大きかった。. 

しかし、それ以上に重要なのは、数値化できないもの、つまりチームの関与、コミットメント、プログラムへの参加意欲である、とハワードは付け加えた。

要点

Sage社の経験は、綿密に計画され実行されたセキュリティ・トレーニングの妥当性、柔軟で統合されたアプローチの重要性を強調している。マッズ氏によると、セキュリティ管理プログラムを成功させ、セキュリティを企業文化に根付かせるためには、開発者に対抗するのではなく、開発者と協力することが重要であることを忘れてはならない。 

• セキュリティ文化の構築は一朝一夕にできるものではない。時間をかけて人間関係を構築し、セキュリティを定着させ、そのためにリソースを割くことが重要である。 
• すべてをリスク低減に結びつけ、セキュアコーディングプログラムの重大な影響に焦点を当てる。
• 開発者と上級管理職の両方から、プログラムがインパクトのあるものであり、成功したものであるとみなされるように、リスク削減をどのように測定し、ビジネスに還元できるかに焦点を当てる。 

セキュリティ・チャンピオンになりたいと考えている開発者に対して、彼女と彼女のチームは次のようなアドバイスもしている： 

• セキュリティに関心のある人たちとネットワークを作り、カンファレンスや講演に参加する。興味のあるトピックについて時間をかけて学ぶ。 
• 組織の文化は一夜にして変わるものではなく、発展し成熟するには時間がかかることを肝に銘じておいてほしい。 

‍

ビデオ記録

従来のセキュアなコード教育は、開発者をあくびさせる。そうだろう？

セキュア・コード・ウォリアーズのアジャイル・ラーニング・アプローチにより、開発者は関連性の高いジャスト・イン・タイムの短いマイクロ・バースト教育で素早く学ぶことができる。

コーディングラボは、IDEをシミュレートした学習体験で、ゲームを変えます。コーディングラボでは、開発者はブラウザで動作する完全にインタラクティブなIDE環境の中で、実際に操作しながら学習します。

開発者はコードを書き、現実世界の脆弱性を修正する。

コーディング・ラボは、彼らが必要とするリアルタイムの文脈に沿ったフィードバックを自動的に促します。シミュレートされたIDE内でのこの実践的な学習アプローチは、彼らの興味を持続させ、日常業務に大きく関連します。その結果、リスクの低減、コストのかかる手戻りの回避、脆弱性の迅速な修正など、測定可能な生産性の向上がもたらされます。

コーディング・ラボは、他のセキュリティ教育とは大きく異なります。開発者が新しい仮想マシンを立ち上げる必要はない。

開発者が知っているUIを使った実践的な教育を提供する。

提案されたコード・スニペットと、開発者のミスに対処するために調整されたステップ・バイ・ステップの回答によって、開発者を前進させる。

また、非効率な授業やコンプライアンス重視の機会から開発者を救うことができる。そのため、secure code warrior の顧客は、リスクの低減、コストのかかる手戻りの回避、脆弱性の迅速な修正という点で、2～3倍の測定可能な生産性向上を実現している。

コーディングラボのデモを今すぐご予約ください。

‍

ビデオ記録

アプリケーションをセキュアに保つことは、日々難しく、高くつく。セキュリティ侵害はかつてないほど蔓延し、コストがかかり、法規制のコンプライアンスは複雑であり続け、セキュアなコード学習に対する従来のアプローチでは、開発者の関心を引き出せず、リスクプロファイルを低減できません。

Secure code warrior は、セキュアなコード教育のためのアジャイルlearning platform 、業界で最も深く最新のセキュリティコンテンツを提供しています。

アジャイル・デリバリー・プラクティスが、作業を小さなレイヤーのスプリントに分割することでソフトウェア開発に革命を起こしたように、Secure code warrior 、アジャイル学習の原則を安全なコード教育に取り入れ、開発者が新しいスキルをより早く内面化して使えるようにしている。

私たちのプラットフォームは、マイクロバーストの学習コンテンツを開発者のワークフローに直接組み込んで配信します。

学習体験は、GitHubやJiraなど、必要な時点で開発者の開発者ツールキットに統合される。

アジャイル学習アプローチにより、SCW は、ガイドライン、ビデオ、ハンズオンチャレンジ、またはブラウザ ID E 学習コーディングラボなど、複数の学習経路を開発者に提供します。インタラクティブなtournaments とリーダーボードは、開発者コミュニティの興奮とエンゲージメントを高め、セキュリティ第一の学習文化を促進します。secure code warrior と当社のアジャイル学習アプローチにより、開発者は新しいスキルをより早く、より効果的に習得することができます。なぜなら、開発者は、フローを中断することなく、すでに毎日使用している開発ツールの中で、実際の日常業務のコンテキストで実践しながら学習するからです。

そのため、secure code warrior の顧客は、多方面にわたって2倍から3倍のビジネス利益を得ている。

Secure code warrior は、セキュアなコード教育のリーダーであり、アジャイル学習の原則に基づいて構築された唯一のプラットフォームです。デモをご予約の上、詳細をご覧ください。

背景

SASEのグローバルリーダーであるNetskopeは、組織がゼロトラスト原則とAI/MLイノベーションを適用してデータを保護し、サイバー脅威から防御するのを支援します。迅速で使いやすいNetskopeプラットフォームは、人、デバイス、データがどこにいても最適化されたアクセスとリアルタイムのセキュリティを提供します。Netskopeは、お客様がリスクを削減し、パフォーマンスを加速し、あらゆるクラウド、ウェブ、プライベートアプリケーションのアクティビティに比類のない可視性を得ることを支援します。Netskopeとその強力なNewEdgeネットワークは、進化する脅威、新たなリスク、テクノロジーのシフト、組織やネットワークの変更、新たな規制要件に対応するために、何千ものお客様から信頼を得ています。

状況

クラウドコンピューティングとA.I.の技術革新のスピードは、ソフトウェア開発ライフサイクルを大幅に加速させている。NetskopeのCISOであるジェームス・ロビンソンは、ほんの一握りの言語のセキュア開発に関するビデオでコンプライアンス目標を満たすという開発者向けトレーニングのやり方は、今日の市場では持続可能ではないことを認識していました。Netskopeの開発者が新しい言語や技術に対応し、かつセキュリティのスキルを維持し続けるには、その急速な普及と組織内の急速な変化が課題となっていました。

Netskopeは、開発者が受ける言語とカバレッジを広げるために、より多くのカスタム接続を作成しようとしましたが、エンゲージメントはまだ非常に低く、すぐにトレーニングは生産性に挑戦し始めました。ジェームズは、より実践的な学習アプローチを通じて、開発者がこのテーマに熱中できるようなアプローチに変えたいと考えていました。

アクション

毎年行われるトレーニングや、その場限りのトレーニングでは、コードスキャナーのようなインフラストラクチャや、Netskope の CI や CD のセキュリティステップに統合できる様々な SAST ツールを総合的に扱うことはできませんでした。Netskope は、開発者のセキュリティへの参加を、分析とテストのプロセスに統合できるようにする必要がありました。これにより、コンプライアンス要件を補足する安全な開発教育のベースラインが提供された。

左シフト

Netskopeが "シフト・レフト "について議論し始めたとき、それは疑問を投げかけた。どこまでシフトする必要があるのか？リーダーシップは、社内で「セルフサービス・アダプション」という名称に変更する決断を下した。これは原則的に、開発者がセキュアなコード教育について積極的に行動できるようにすることだった。と協働することで Secure Code Warriorと連携することで、開発者が未検証のソリューションに迷い込むことがないよう、セキュリティに関するコンテンツを可視化し、開発者がアクセスできるようにするプログラムを構築した。

行動力と価値

からのカスタマイズ可能なコンテンツと無数の実践的な学習アクティビティは、セキュリティ・チームと開発者チームがよりオープンで生産的な会話をする場を提供した。 Secure Code Warriorによって、セキュリティチームと開発者チームの間で、よりオープンで生産的な会話ができるようになりました。開発者は、単にコンプライアンスを達成するだけでなく、その価値を認識するようになり、セキュリティにより深く関与し、興味を持つようになった。また、重大な脆弱性や繰り返し発生する脆弱性に注目し、プログラムを補完する教育コンテンツをさらに作成する機会も広がった。

結果

プログラムを展開した後、Netskopeは開発者からのフィードバックを熱心に収集し、彼らがプラットフォームから最大の価値を得ていることを確認しました。その結果は圧倒的にポジティブなものでした。

ネットスコープのCISOであるジェームス・ロビンソンによれば：

私たちの開発者チームは、Secure Code Warriorのプラットフォームのおかげで、より魅力的なセルフサービスの学習アプローチを採用し、学習経路をより早く開発者の手に届けることで、左遷に成功しました。さらに重要なことに、私たちは次のようにより良い投資効果を得ていると感じています。 投資収益率なぜなら、参加者が増え、これらの取り組みが、もはやチェック・ザ・ボックスのような、コンプライアンスに義務付けられた活動だとは感じられなくなったからです。この副産物として、開発者がセキュリティ・チャンピオンになれるようになりました」。

要点

• 強力なアプリケーション・セキュリティ・チームに投資 しない組織は、コードを通じてより多くのリスクを導入することを許して しまう。その結果、脆弱性を修正し、セキュリティ問題に対処するための時間とコストが浪費される。
• コンプライアンス重視の1年に1回の1時間のトレーニングではなく、関連するコンテンツを通じて毎月2、3回のキー・ラーニングを行うだけで、時間の節約につながるプログラムを活用しよう。 開発者を教育することによって節約された時間は、そもそも導入されるべきではなかった脆弱性を修正するために必要な手戻りを減らすという形で現れる。
• クラウド・ソリューションを大規模にコーディングすることが新たに求められている。 数年前までは、開発者が1つのプログラミング言語を通じてコードの安全性を確保することに全面的に投資することが期待されていた。今日のハイテク市場では、もはやそうではない。企業が構築し追求したいクラウド・インフラやアプリケーションに最適な複数の言語を選択する必要がある。

状況

Workday 社がSecure Code Warrior を使ってアジャイル学習を導入する前は、社内でcourses を利用していました。 は、OWASP トップ 10 脆弱性をいくつかの疑似コード例とともに取り上げた PowerPoint プレゼンテーションの録画で構成されていました。セキュリティ開発者トレーニングのプログラムマネージャーである Alex Uda 氏は、これでは自分のチームとセキュリティチーム全体が Workday の全体的なセキュリティ体制を改善するという目標を達成できないことに気づいた。開発者はすぐにトレーニングに参加しなくなったため、彼らはフィードバックを募集し始めることにしました：

1. より実践的なトレーニングの必要性 
2. より多くの言語に特化したコンテンツの必要性
   

アクション 

アレックスと彼のチームは、開発者と協力して、魅力的で成功するセキュアなコード学習プログラムを作成するために、開発者の賛同を得るための2つの主な優先事項を特定した。

明快さとシンプルさ 

ほとんどの開発者は、セキュリティの知識を持って仕事に就いているわけではない。フラストレーションや時間のかかることは、開発者を回避策やハックに向かわせる。Workday が SCW について指摘したのは、開発者がプロセスを明確に認識し、自分のものとし、ワークフローに組み込むことができるという点です。

行動力と価値 

開発者は、何よりもまず、コードベース／ライフサイクルに影響を与えている何かを、迅速に対処できることを望んでいる。そのためには、開発者はその方法について教育される必要がある。開発者にセキュリティのようなことに興味を持ってもらいたいのであれば、このようなトピックの価値を強調することです。

プログラムの構成に関して、アレックスと彼のチームはまず、セキュリティ・チャンピオンのパイロット・グループからプラットフォームに関するフィードバックを集め、カスタマー・サクセス・マネージャーと協力して彼らの提案を実施した。次にアレックスとチームは、自社のSASTツールとインシデントやセキュリティ・イベントの数に関するさまざまな指標を調べ、現在の環境で最も高いリスクは何か、業界全体で何が起きているかを評価した。彼らはまず、OWASP トップ 10 と、Workday
‍で最も一般的でリスクの高い脆弱性に焦点を当てました。

「SCWのおかげで、開発者たちは積極的にソフトウェア・セキュリティの改善に取り組むことができました。コードを書くことがすべてではなく、成長の機会やキャリアの機会も重要です。Workdayのセキュリティプログラムに対するサポートは、会社全体が連携している分野だからこそ存在するものであり、開発者には学習と開発のための時間が許されていました。週に2時間、一定期間にわたって学習を行うことで、一貫性を持って筋肉を記憶させることができます」
‍。

結果

従来、セキュリティは開発プロセスの最終段階にあると考えがちでした。セキュリティチームと協働することで、Workday の開発者はセキュリティを開発サイクルの重要なコンポーネントと見なすようになりました。彼らはセキュリティ項目を SDLC の早い段階で迅速に対処できるようになり、これがこのプログラムの最大の影響である。ダブリンに本拠を置くあるチームでは、開発者は 4662 件のセキュリティ問題（1 日平均約 31.08 件）を抱えていたのが、約 18 ヶ月の間に 0 件になった。

アレックスは、このプログラムの成長について、「セキュリティ・チャンピオンのトップ・オブ・マインドで始めた後、雪だるま式に増えていった」と説明した。このプログラムとその利点をリーダーシップに浸透させ、会員を増やし続けるうちに、口コミで自然に増えていきました。トレーニングの観点から見ると、私たちの目標は、開発者が安全にコードを開発するために必要なスキルを身につけることです。これは、Workday が成長を続ける中で特に重要なことです。"

要点

アレックスによれば、 「セキュリティの拡張を成功させるためには、ソフトウェア開発の設計段階でセキュリティ・リスクを特定できるよう、開発者がセキュリティの考え方を持つことが不可欠です。 これは、開発者に権限を与え、時間とコスト、そして多少の心痛を節約することを支援するという、当社の左遷イニシアチブに適合しています。セキュアなコード学習がうまくいけばいくほど、スキャンやペンテストの結果で見られる脆弱性は少なくなります。"

開発者にとって、セキュリティについて学ぶときに楽しむことは重要 だ。
SCWは、それがいかにエキサイティングなものであるかを示すのに優れている。もしあなたがセキュリティの学習に参加するのであれば、それを全面的に受け入れてください。開発プロセスの一部であり、キャリアアップの一部であると考えてください。

開発者がセキュリティに興味を持ったら、チームに連絡するよう奨励する。
会話をし、コラボレーションを始める。

セキュリティをブラックボックス化したり、プロジェクトにボルトオンしたりすることは、古臭く、最終的にはソフトウェアに不利益をもたらす。
TDD、アジャイル、リンティングを取り入れるのと同じように、セキュリティを開発プロセスの一部として取り入れることで、顧客に提供するソフトウェアのフローを改善し、品質を向上させることができる。

‍

コンプライアンスは優れたセキュリティの結果であって、その逆ではない。開発者が積極的に学習し、その概念を日々の業務に適用することで、セキュリティは企業文化の中で総合的に成長する。

Netskopeが、Secure Code Warriorのコンテンツの柔軟性とインタラクティブで実践的な学習アプローチを活用して、開発者主導のセキュリティへのプログラム的アプローチをどのように構築し、同時に業界のコンプライアンス要件をどのように満たしたかをご覧ください。

サイバーセキュリティ啓発月間の幕開けとして、このウェビナーでは以下の内容を取り上げます：

• Netskopeの主要なビジネスドライバーと、SCWとアジャイルセキュアコード学習のビジネスケースをどのように構築したか。
• プログラムを軌道に乗せるためにどのような行動が取られたか、そしてその目標は何だったか。
• 開発者と提携し、成功要因としてのエンゲージメントを測定する方法
• NetskopeのWarriorプログラムがSCWのトレーニングへの参加者を2年間で倍増させた理由

シフティング・レフト（左遷）」という概念は、2000年代初頭からサイバーセキュリティ業界の言説の一部となっている。最初は進化するアジャイル、次いでDevOpsの開発手法の一部として脚光を浴び、大規模なサイバー攻撃の脅威が迫る中、世界のデジタル・フットプリントが拡大するにつれ、防衛戦略が必要となった。

それでも、「シフト・レフト」運動が安全なソフトウェア提供に革命を起こすと約束してから20年が経とうとしているが、私たちは依然として、安全でないコードの氾濫、組織のセキュリティ意識の低さ、そしてそれに続いて年々その量と威力を増すサイバー犯罪に直面している。2025年までに、サイバー攻撃による世界の被害額は年間10兆5,000億ドルに達すると推定されている。

サイバーセキュリティのスキルの溝が広がり続けているため、経験豊富なセキュリティ人材が不足していることは、かなり前から確実であり、ほとんどのセキュリティ・リーダーやCISOにとって重大な痛手であるにもかかわらず、奇跡的な状況の変化を辛抱強く待っている余裕はない。現在のアプローチには欠陥があり、私たちは目の前にあるリソースを活性化して活用する必要があります。

このホワイトペーパーでは、セキュリティの専門家であり、Secure Code Warrior CTO兼共同創設者であるマティアス・マドゥ博士が議論する：

• 効果的なセキュリティ教育と能力開発を開発者集団に展開するために必要な 6 つの柱。
• 企業レベルでセキュリティ・プログラムを導入している10人のエグゼクティブから学んだ教訓。
• 成功への道で避けるべき、よくある落とし穴。

‍