すべての開発者は、潜在的な雇用主にこの百万ドルの価値がある質問をすべきだ
すべての開発者は自問すべき質問がある。新卒であろうとベテランであろうと関係ない。その答えは極めて重要だ。アジャイルの世界では、この質問がさらに重要性を増す。なぜなら、ソフトウェアエンジニアリング分野での成功度合い、そして次の雇用主にとってのあなたの価値に直接影響するからだ。
これは百万ドルの問題だ。実際、これは数百万ドルの問題だ!
あなたは私が安全にコードを書くのを支援することに尽力していますか?
現在、データ漏洩の平均コストは360万ドルに達しています。貴社が今年ハッキング被害に遭う確率は4分の1と極めて高い水準です。こうした事実を踏まえると、開発者たちが大学でセキュリティコーディングやセキュリティに関する能力を習得せず、そのDNAに組み込まれていない現状に、私も多くの人々と同様に強い失望を覚えています。
なぜでしょうか?ソフトウェアエンジニアリングは依然として比較的新しい職業です。重点は常に、コードを迅速に構築し、洗練された実用的なものにする方法を教えることに置かれてきましたが、コードの安全性を確保することへの注目はごく限られていました。手法、技術、言語、そして機会の変化のペースは、こうした重要なスキルギャップをさらに深刻化させるだけです。
学術体系は短期間で変革できないため、開発者も企業も、開発者が業務の中で安全なコーディングスキルを習得する必要があることを認識すべきです。一部の職業では失敗から学ぶことが許されますが、他の職業ではそれは選択肢になりません。サイバーセキュリティも同様です。
事実が示すように、開発者向けオンザジョブセキュリティトレーニングにおいても我々の取り組みは不十分です。世界で発生する主要なセキュリティ侵害の大半はコーディングミスが原因であり、これらのミスによりハッカーがコンピュータネットワークへのアクセス権を獲得し、貴重なデータへのアクセスや収集が可能となっています。2017年Verizonデータ漏洩調査報告書(DBIR)によれば、全脆弱性の30%がウェブアプリケーションのセキュリティ欠陥に直接起因しており、この傾向は2013年以降のDBIR報告書で一貫して確認されている。
この2017年グローバルDevSecOpsスキル調査(2017年8月発表)の内容は、我々が既に認識していた事実を裏付けている:DevOps専門家の65%がIT分野への参入時にDevSecOpsを理解することが重要だと考えている一方で、70%が現在のDevSecOps環境で成功するために必要なトレーニングを正式な教育を通じて受けていないと認識している。
回答した採用担当者の約40%が、最も採用が難しいのは十分なセキュリティテスト知識を備えた多用途のハイエンド開発者であると回答した。回答者の70%は、現在担当する職務に対応できるだけの十分なセキュリティ教育を受けていないと述べた。実際、機会を得ていると回答したのは4%未満であった。
私が10年近くかけて複数のプロフェッショナルなホワイトハッカーチームと協力してきた中で、この事実を目の当たりにしてきました。残念ながら、私たちは大企業、スタートアップ、政府機関に侵入するたびに、常に同じ脆弱性を発見するのです。
これが、開発者が雇用時に声を上げる必要がある理由です。もし潜在的な雇用主があなたの開発者向けセキュリティ研修を真剣に受け止めていないなら、どの会社に加わるべきか考えるべきでしょう。
次に尋ねるべき質問は、彼らがどのようにトレーニングを実施する予定かです。実践的で双方向の形式でしょうか?スライド、動画、クリック可能なアニメーション、あるいは抽象的な議論を用いた脆弱性に関する開発者向けセキュリティトレーニングは、プログラミングに直接役立つ可能性は低いでしょう。彼らは最新の脆弱性情報を継続的に提供できるでしょうか?学べるセキュリティ協会やコミュニティは存在しますか?支援が必要な場合、相談できるセキュリティ専門家はいますか?
安全なコーディングスキルへの取り組みには、特定のコーディングフレームワークにおける実践的な課題や、様々なシナリオで異なる脆弱性に直面する継続的な学習が必要です。SQLインジェクションはたった一つの例では学べません。危険なコーディングパターンを識別できるようになるには、異なるタイプの複数の事例に触れる必要があるのです。
ある顧客は、開発者に2ヶ月間毎日5分間のチャレンジをプレイするよう要求しました。トレーニング前後のスキルテストを実施した結果、数百人の開発者のセキュアコーディング能力が60%向上したことが確認されました。これは、ライフサイクル後期におけるセキュリティ脆弱性の発見・修正に要するリソースの削減を意味し、長期的なコストを大幅に節約できます。つまり、ハッカーがあなたのコードを利用して企業データを侵害するリスクが低減されるのです。
IDCの調査によると、2014年の世界の専門開発者は1100万人であった。2015年、バーニンググラス社は最大700万の職種でプログラミングスキルが必要とされ、プログラミング関連職の成長率は市場平均を12%上回っていると発表した。
そこには多くのソフトウェア関連の仕事があります。したがって、立場を明確にし、あなた自身の安全、あなたの安全、そして顧客の安全を守ることに尽力する雇用主を選んでください。さらに言えば、あなた自身に投資してくれる会社を選ぶことです。
すべての開発者は自問すべき質問がある。新卒であろうとベテランであろうと関係ない。その答えは極めて重要だ。アジャイルの世界では、この質問がさらに重要性を増す。なぜなら、ソフトウェアエンジニアリング分野での成功度合い、そして次の雇用主にとってのあなたの価値に直接影響するからだ。
これは百万ドルの問題だ。実際、これは数百万ドルの問題だ!
あなたは私が安全にコードを書くのを支援することに尽力していますか?
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
すべての開発者は自問すべき質問がある。新卒であろうとベテランであろうと関係ない。その答えは極めて重要だ。アジャイルの世界では、この質問がさらに重要性を増す。なぜなら、ソフトウェアエンジニアリング分野での成功度合い、そして次の雇用主にとってのあなたの価値に直接影響するからだ。
これは百万ドルの問題だ。実際、これは数百万ドルの問題だ!
あなたは私が安全にコードを書くのを支援することに尽力していますか?
現在、データ漏洩の平均コストは360万ドルに達しています。貴社が今年ハッキング被害に遭う確率は4分の1と極めて高い水準です。こうした事実を踏まえると、開発者たちが大学でセキュリティコーディングやセキュリティに関する能力を習得せず、そのDNAに組み込まれていない現状に、私も多くの人々と同様に強い失望を覚えています。
なぜでしょうか?ソフトウェアエンジニアリングは依然として比較的新しい職業です。重点は常に、コードを迅速に構築し、洗練された実用的なものにする方法を教えることに置かれてきましたが、コードの安全性を確保することへの注目はごく限られていました。手法、技術、言語、そして機会の変化のペースは、こうした重要なスキルギャップをさらに深刻化させるだけです。
学術体系は短期間で変革できないため、開発者も企業も、開発者が業務の中で安全なコーディングスキルを習得する必要があることを認識すべきです。一部の職業では失敗から学ぶことが許されますが、他の職業ではそれは選択肢になりません。サイバーセキュリティも同様です。
事実が示すように、開発者向けオンザジョブセキュリティトレーニングにおいても我々の取り組みは不十分です。世界で発生する主要なセキュリティ侵害の大半はコーディングミスが原因であり、これらのミスによりハッカーがコンピュータネットワークへのアクセス権を獲得し、貴重なデータへのアクセスや収集が可能となっています。2017年Verizonデータ漏洩調査報告書(DBIR)によれば、全脆弱性の30%がウェブアプリケーションのセキュリティ欠陥に直接起因しており、この傾向は2013年以降のDBIR報告書で一貫して確認されている。
この2017年グローバルDevSecOpsスキル調査(2017年8月発表)の内容は、我々が既に認識していた事実を裏付けている:DevOps専門家の65%がIT分野への参入時にDevSecOpsを理解することが重要だと考えている一方で、70%が現在のDevSecOps環境で成功するために必要なトレーニングを正式な教育を通じて受けていないと認識している。
回答した採用担当者の約40%が、最も採用が難しいのは十分なセキュリティテスト知識を備えた多用途のハイエンド開発者であると回答した。回答者の70%は、現在担当する職務に対応できるだけの十分なセキュリティ教育を受けていないと述べた。実際、機会を得ていると回答したのは4%未満であった。
私が10年近くかけて複数のプロフェッショナルなホワイトハッカーチームと協力してきた中で、この事実を目の当たりにしてきました。残念ながら、私たちは大企業、スタートアップ、政府機関に侵入するたびに、常に同じ脆弱性を発見するのです。
これが、開発者が雇用時に声を上げる必要がある理由です。もし潜在的な雇用主があなたの開発者向けセキュリティ研修を真剣に受け止めていないなら、どの会社に加わるべきか考えるべきでしょう。
次に尋ねるべき質問は、彼らがどのようにトレーニングを実施する予定かです。実践的で双方向の形式でしょうか?スライド、動画、クリック可能なアニメーション、あるいは抽象的な議論を用いた脆弱性に関する開発者向けセキュリティトレーニングは、プログラミングに直接役立つ可能性は低いでしょう。彼らは最新の脆弱性情報を継続的に提供できるでしょうか?学べるセキュリティ協会やコミュニティは存在しますか?支援が必要な場合、相談できるセキュリティ専門家はいますか?
安全なコーディングスキルへの取り組みには、特定のコーディングフレームワークにおける実践的な課題や、様々なシナリオで異なる脆弱性に直面する継続的な学習が必要です。SQLインジェクションはたった一つの例では学べません。危険なコーディングパターンを識別できるようになるには、異なるタイプの複数の事例に触れる必要があるのです。
ある顧客は、開発者に2ヶ月間毎日5分間のチャレンジをプレイするよう要求しました。トレーニング前後のスキルテストを実施した結果、数百人の開発者のセキュアコーディング能力が60%向上したことが確認されました。これは、ライフサイクル後期におけるセキュリティ脆弱性の発見・修正に要するリソースの削減を意味し、長期的なコストを大幅に節約できます。つまり、ハッカーがあなたのコードを利用して企業データを侵害するリスクが低減されるのです。
IDCの調査によると、2014年の世界の専門開発者は1100万人であった。2015年、バーニンググラス社は最大700万の職種でプログラミングスキルが必要とされ、プログラミング関連職の成長率は市場平均を12%上回っていると発表した。
そこには多くのソフトウェア関連の仕事があります。したがって、立場を明確にし、あなた自身の安全、あなたの安全、そして顧客の安全を守ることに尽力する雇用主を選んでください。さらに言えば、あなた自身に投資してくれる会社を選ぶことです。
すべての開発者は自問すべき質問がある。新卒であろうとベテランであろうと関係ない。その答えは極めて重要だ。アジャイルの世界では、この質問がさらに重要性を増す。なぜなら、ソフトウェアエンジニアリング分野での成功度合い、そして次の雇用主にとってのあなたの価値に直接影響するからだ。
これは百万ドルの問題だ。実際、これは数百万ドルの問題だ!
あなたは私が安全にコードを書くのを支援することに尽力していますか?
すべての開発者は自問すべき質問がある。新卒であろうとベテランであろうと関係ない。その答えは極めて重要だ。アジャイルの世界では、この質問がさらに重要性を増す。なぜなら、ソフトウェアエンジニアリング分野での成功度合い、そして次の雇用主にとってのあなたの価値に直接影響するからだ。
これは百万ドルの問題だ。実際、これは数百万ドルの問題だ!
あなたは私が安全にコードを書くのを支援することに尽力していますか?
現在、データ漏洩の平均コストは360万ドルに達しています。貴社が今年ハッキング被害に遭う確率は4分の1と極めて高い水準です。こうした事実を踏まえると、開発者たちが大学でセキュリティコーディングやセキュリティに関する能力を習得せず、そのDNAに組み込まれていない現状に、私も多くの人々と同様に強い失望を覚えています。
なぜでしょうか?ソフトウェアエンジニアリングは依然として比較的新しい職業です。重点は常に、コードを迅速に構築し、洗練された実用的なものにする方法を教えることに置かれてきましたが、コードの安全性を確保することへの注目はごく限られていました。手法、技術、言語、そして機会の変化のペースは、こうした重要なスキルギャップをさらに深刻化させるだけです。
学術体系は短期間で変革できないため、開発者も企業も、開発者が業務の中で安全なコーディングスキルを習得する必要があることを認識すべきです。一部の職業では失敗から学ぶことが許されますが、他の職業ではそれは選択肢になりません。サイバーセキュリティも同様です。
事実が示すように、開発者向けオンザジョブセキュリティトレーニングにおいても我々の取り組みは不十分です。世界で発生する主要なセキュリティ侵害の大半はコーディングミスが原因であり、これらのミスによりハッカーがコンピュータネットワークへのアクセス権を獲得し、貴重なデータへのアクセスや収集が可能となっています。2017年Verizonデータ漏洩調査報告書(DBIR)によれば、全脆弱性の30%がウェブアプリケーションのセキュリティ欠陥に直接起因しており、この傾向は2013年以降のDBIR報告書で一貫して確認されている。
この2017年グローバルDevSecOpsスキル調査(2017年8月発表)の内容は、我々が既に認識していた事実を裏付けている:DevOps専門家の65%がIT分野への参入時にDevSecOpsを理解することが重要だと考えている一方で、70%が現在のDevSecOps環境で成功するために必要なトレーニングを正式な教育を通じて受けていないと認識している。
回答した採用担当者の約40%が、最も採用が難しいのは十分なセキュリティテスト知識を備えた多用途のハイエンド開発者であると回答した。回答者の70%は、現在担当する職務に対応できるだけの十分なセキュリティ教育を受けていないと述べた。実際、機会を得ていると回答したのは4%未満であった。
私が10年近くかけて複数のプロフェッショナルなホワイトハッカーチームと協力してきた中で、この事実を目の当たりにしてきました。残念ながら、私たちは大企業、スタートアップ、政府機関に侵入するたびに、常に同じ脆弱性を発見するのです。
これが、開発者が雇用時に声を上げる必要がある理由です。もし潜在的な雇用主があなたの開発者向けセキュリティ研修を真剣に受け止めていないなら、どの会社に加わるべきか考えるべきでしょう。
次に尋ねるべき質問は、彼らがどのようにトレーニングを実施する予定かです。実践的で双方向の形式でしょうか?スライド、動画、クリック可能なアニメーション、あるいは抽象的な議論を用いた脆弱性に関する開発者向けセキュリティトレーニングは、プログラミングに直接役立つ可能性は低いでしょう。彼らは最新の脆弱性情報を継続的に提供できるでしょうか?学べるセキュリティ協会やコミュニティは存在しますか?支援が必要な場合、相談できるセキュリティ専門家はいますか?
安全なコーディングスキルへの取り組みには、特定のコーディングフレームワークにおける実践的な課題や、様々なシナリオで異なる脆弱性に直面する継続的な学習が必要です。SQLインジェクションはたった一つの例では学べません。危険なコーディングパターンを識別できるようになるには、異なるタイプの複数の事例に触れる必要があるのです。
ある顧客は、開発者に2ヶ月間毎日5分間のチャレンジをプレイするよう要求しました。トレーニング前後のスキルテストを実施した結果、数百人の開発者のセキュアコーディング能力が60%向上したことが確認されました。これは、ライフサイクル後期におけるセキュリティ脆弱性の発見・修正に要するリソースの削減を意味し、長期的なコストを大幅に節約できます。つまり、ハッカーがあなたのコードを利用して企業データを侵害するリスクが低減されるのです。
IDCの調査によると、2014年の世界の専門開発者は1100万人であった。2015年、バーニンググラス社は最大700万の職種でプログラミングスキルが必要とされ、プログラミング関連職の成長率は市場平均を12%上回っていると発表した。
そこには多くのソフトウェア関連の仕事があります。したがって、立場を明確にし、あなた自身の安全、あなたの安全、そして顧客の安全を守ることに尽力する雇用主を選んでください。さらに言えば、あなた自身に投資してくれる会社を選ぶことです。
すべての開発者は自問すべき質問がある。新卒であろうとベテランであろうと関係ない。その答えは極めて重要だ。アジャイルの世界では、この質問がさらに重要性を増す。なぜなら、ソフトウェアエンジニアリング分野での成功度合い、そして次の雇用主にとってのあなたの価値に直接影響するからだ。
これは百万ドルの問題だ。実際、これは数百万ドルの問題だ!
あなたは私が安全にコードを書くのを支援することに尽力していますか?
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
すべての開発者は自問すべき質問がある。新卒であろうとベテランであろうと関係ない。その答えは極めて重要だ。アジャイルの世界では、この質問がさらに重要性を増す。なぜなら、ソフトウェアエンジニアリング分野での成功度合い、そして次の雇用主にとってのあなたの価値に直接影響するからだ。
これは百万ドルの問題だ。実際、これは数百万ドルの問題だ!
あなたは私が安全にコードを書くのを支援することに尽力していますか?
現在、データ漏洩の平均コストは360万ドルに達しています。貴社が今年ハッキング被害に遭う確率は4分の1と極めて高い水準です。こうした事実を踏まえると、開発者たちが大学でセキュリティコーディングやセキュリティに関する能力を習得せず、そのDNAに組み込まれていない現状に、私も多くの人々と同様に強い失望を覚えています。
なぜでしょうか?ソフトウェアエンジニアリングは依然として比較的新しい職業です。重点は常に、コードを迅速に構築し、洗練された実用的なものにする方法を教えることに置かれてきましたが、コードの安全性を確保することへの注目はごく限られていました。手法、技術、言語、そして機会の変化のペースは、こうした重要なスキルギャップをさらに深刻化させるだけです。
学術体系は短期間で変革できないため、開発者も企業も、開発者が業務の中で安全なコーディングスキルを習得する必要があることを認識すべきです。一部の職業では失敗から学ぶことが許されますが、他の職業ではそれは選択肢になりません。サイバーセキュリティも同様です。
事実が示すように、開発者向けオンザジョブセキュリティトレーニングにおいても我々の取り組みは不十分です。世界で発生する主要なセキュリティ侵害の大半はコーディングミスが原因であり、これらのミスによりハッカーがコンピュータネットワークへのアクセス権を獲得し、貴重なデータへのアクセスや収集が可能となっています。2017年Verizonデータ漏洩調査報告書(DBIR)によれば、全脆弱性の30%がウェブアプリケーションのセキュリティ欠陥に直接起因しており、この傾向は2013年以降のDBIR報告書で一貫して確認されている。
この2017年グローバルDevSecOpsスキル調査(2017年8月発表)の内容は、我々が既に認識していた事実を裏付けている:DevOps専門家の65%がIT分野への参入時にDevSecOpsを理解することが重要だと考えている一方で、70%が現在のDevSecOps環境で成功するために必要なトレーニングを正式な教育を通じて受けていないと認識している。
回答した採用担当者の約40%が、最も採用が難しいのは十分なセキュリティテスト知識を備えた多用途のハイエンド開発者であると回答した。回答者の70%は、現在担当する職務に対応できるだけの十分なセキュリティ教育を受けていないと述べた。実際、機会を得ていると回答したのは4%未満であった。
私が10年近くかけて複数のプロフェッショナルなホワイトハッカーチームと協力してきた中で、この事実を目の当たりにしてきました。残念ながら、私たちは大企業、スタートアップ、政府機関に侵入するたびに、常に同じ脆弱性を発見するのです。
これが、開発者が雇用時に声を上げる必要がある理由です。もし潜在的な雇用主があなたの開発者向けセキュリティ研修を真剣に受け止めていないなら、どの会社に加わるべきか考えるべきでしょう。
次に尋ねるべき質問は、彼らがどのようにトレーニングを実施する予定かです。実践的で双方向の形式でしょうか?スライド、動画、クリック可能なアニメーション、あるいは抽象的な議論を用いた脆弱性に関する開発者向けセキュリティトレーニングは、プログラミングに直接役立つ可能性は低いでしょう。彼らは最新の脆弱性情報を継続的に提供できるでしょうか?学べるセキュリティ協会やコミュニティは存在しますか?支援が必要な場合、相談できるセキュリティ専門家はいますか?
安全なコーディングスキルへの取り組みには、特定のコーディングフレームワークにおける実践的な課題や、様々なシナリオで異なる脆弱性に直面する継続的な学習が必要です。SQLインジェクションはたった一つの例では学べません。危険なコーディングパターンを識別できるようになるには、異なるタイプの複数の事例に触れる必要があるのです。
ある顧客は、開発者に2ヶ月間毎日5分間のチャレンジをプレイするよう要求しました。トレーニング前後のスキルテストを実施した結果、数百人の開発者のセキュアコーディング能力が60%向上したことが確認されました。これは、ライフサイクル後期におけるセキュリティ脆弱性の発見・修正に要するリソースの削減を意味し、長期的なコストを大幅に節約できます。つまり、ハッカーがあなたのコードを利用して企業データを侵害するリスクが低減されるのです。
IDCの調査によると、2014年の世界の専門開発者は1100万人であった。2015年、バーニンググラス社は最大700万の職種でプログラミングスキルが必要とされ、プログラミング関連職の成長率は市場平均を12%上回っていると発表した。
そこには多くのソフトウェア関連の仕事があります。したがって、立場を明確にし、あなた自身の安全、あなたの安全、そして顧客の安全を守ることに尽力する雇用主を選んでください。さらに言えば、あなた自身に投資してくれる会社を選ぶことです。
すべての開発者は自問すべき質問がある。新卒であろうとベテランであろうと関係ない。その答えは極めて重要だ。アジャイルの世界では、この質問がさらに重要性を増す。なぜなら、ソフトウェアエンジニアリング分野での成功度合い、そして次の雇用主にとってのあなたの価値に直接影響するからだ。
これは百万ドルの問題だ。実際、これは数百万ドルの問題だ!
あなたは私が安全にコードを書くのを支援することに尽力していますか?
%20(1).avif)
.avif)
