なぜ足場式学習が安全性の高い開発者を育成できるのか
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の構図がいかに危険な状態に陥っているかがすぐに明らかになる。重大な脆弱性、新たな脆弱性、あるいはサイバー攻撃者や犯罪者が積極的に悪用している深刻な脅威に関する報告が、毎日のように出ているようだ。さらに、ほぼすべての業界指標や報告書が、ネット上の脅威の数がますます危険な水準に達していることを示しており、ほとんどの専門家はこの傾向が今後数年間も続くと予測している。
これらの新たな脅威に直面しているのは、疲労困憊で人手不足の第一線のITセキュリティ担当者たちだ。給与は高く、ほぼあらゆる企業や組織にとって不可欠な存在であるにもかかわらず、十分なセキュリティ要員が配置されていることは決してない。戦略国際問題研究所(CSIS)による最近の調査では、IT意思決定者の82%が自組織にサイバーセキュリティスキル不足が存在すると回答し、71%が「この不足が組織に直接的かつ測定可能な損害をもたらしている」と述べた。報告書は、米国だけで約94万人しか雇用されていないこの分野に、52万以上のサイバーセキュリティ職の空きがあることを指摘している。
世界全体では現在、約350万件のサイバーセキュリティ関連職が空席となっており、これは巨額の資金を投じてトップクラスの専門家を採用・維持しようとする組織でさえ、適切な候補者を見つけるのが困難であることを意味します。平均して、サイバーセキュリティ職を埋めるのにかかる時間は約21%であり、仮に埋められるとしても、これは他のどの職種よりも長い期間です。
開発者サポートが軽視され続けてきた時間が長すぎる
私たちは、従来の多くのブログが開発者を活用してサイバーセキュリティ防御における重要な空白を埋められることに気づきました。ただ、従来、開発者はサイバーセキュリティのトレーニングを受けたことがありません。彼らの業務実績はほぼ完全にデプロイの速度と時間に依存しています。セキュリティは将来のAppSecチームの役割です。
残念ながら、これは単にギアを切り替えて開発者に突然アプリケーションやプログラムのセキュリティ強化を要求するだけの問題ではありません。たとえ彼らがこうした変更を喜んで行おうとする意思があり(調査によれば多くの開発者がその意思を示しています)、そのためのトレーニングが必要であるとしても、さらに上層部の励ましと支援も必要です。しかし、有意義な学習機会を得ることが、最初の、そして最大の障壁なのです。
世界中に数百万もの高給で高度なセキュリティが求められるITセキュリティ職の求人が存在するのには理由がある。もし仕事が簡単なら、誰もがこの分野に飛び込むだろう。脅威に対抗しコードの脆弱性を排除する方法を習得するのは困難であり、脅威の状況は絶えず変化している。サイバーセキュリティを教える試みは、技術に比較的精通した開発者であっても、静的なトレーニングでは効率的に達成できない。静的なトレーニングはすぐに古くなり、記憶に残らず、特に既に過密なスケジュールにこれらの要求を追加する場合、生み出すプラスの影響はごくわずかだからだ。
足場を組み立ててより高い場所へ到達する
従来の方法でサイバーセキュリティスキルを教えることは、手を動かさずに超高層ビルを建設しようとするようなものだ。これは不可能である。なぜなら、学生はサイバーセキュリティのような複雑な分野で必要とされる多くの高度な概念を理解するための基礎を身につけていないからだ。これを補うために、「足場式学習」という概念が役立つ。
スキル向上に足場や「階層化」手法を用いる場合、大きなテーマは通常、個別の学習体験や概念に分解される。これにより、各概念を適切な練習と指導を通じて習得できるよう保証され、各構成要素に必要な支援が提供される。既に習得した概念を基盤として、より新しく高度な概念が積み上げられていく。これは物理的な足場が建物の高さに合わせて構築されていく過程に似ている。この方法により、生徒は支援なしでは到達できないより高い理解度と技能習得レベルを達成できます。
物理的な足場のように、必要がなくなると、この支えは徐々に撤去され、生徒が次第に熟練するにつれて、より多くの責任を担うようになる。
足場式学習は主に、学生が支援なしに困難な課題に取り組む際に生じうる挫折感、恐怖、落胆といった負の感情や自己認識を軽減するために用いられる。しかし、現代のサイバーセキュリティのような極めて困難な概念に取り組む際にも、大きな価値を発揮し得る。これは決して開発者を子供扱いする手法ではなく、特に彼らの努力がバグ修正や新たな批判によって無に帰される時、セキュリティチーム内での経験が同様の挫折感や落胆を生む場合に極めて有用である。
開発者にセキュリティコーディングの基礎知識を提供するツール(通常はOWASPトップ10)を提供すると、彼らはセキュリティ脆弱性がどのように発生するか、なぜ危険なのか、そして本番環境に投入される前にどのように修正すべきかを実際に理解できます。その後、より複雑な脆弱性の解決を通じて知識を拡張し、適切な修正プログラムを適用する実践的な経験を積むことができます。こうした段階的な積み重ねにより、高度なセキュリティ課題(例:安全でないソフトウェアアーキテクチャや脅威モデリングへの参加)に取り組む際、それらを正確に対処する飛躍がそれほど恐ろしく感じられなくなるのです。
業界として、開発者にセキュリティの専門家になることを期待すべきではありません。しかし組織は新たな開発者支援基準を採用することで、より高品質なソフトウェアを生み出せるようになります。スキル向上を目指すエンジニアリング組織にとっての追加的な利点として、各ステップや各層の足場構築は学習プロセスにおいて直接、より優れたサイバーセキュリティへと転換されます。コース終了を待たずとも、成果を実感できるのです。
サイバーセキュリティの学習は非常に困難であり、適切な支援と指導がなければ習得はほぼ不可能だ。セキュリティ計画を足場学習と組み合わせることで、その潜在能力を最大限に引き出すことができ、その効果はほぼ即座に現れる。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していく。
私たちと一緒に安全性の高い開発者を育成しましょう。ご覧ください:
コース
タスク
開発者トレーニング
...さらに多くのコンテンツが!
業界として、開発者がセキュリティの専門家になることを期待すべきではありません。しかし、組織は新たな開発者支援基準を採用することで、より高品質なソフトウェアを生み出せるようになります。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の構図がいかに危険な状態に陥っているかがすぐに明らかになる。重大な脆弱性、新たな脆弱性、あるいはサイバー攻撃者や犯罪者が積極的に悪用している深刻な脅威に関する報告が、毎日のように出ているようだ。さらに、ほぼすべての業界指標や報告書が、ネット上の脅威の数がますます危険な水準に達していることを示しており、ほとんどの専門家はこの傾向が今後数年間も続くと予測している。
これらの新たな脅威に直面しているのは、疲労困憊で人手不足の第一線のITセキュリティ担当者たちだ。給与は高く、ほぼあらゆる企業や組織にとって不可欠な存在であるにもかかわらず、十分なセキュリティ要員が配置されていることは決してない。戦略国際問題研究所(CSIS)による最近の調査では、IT意思決定者の82%が自組織にサイバーセキュリティスキル不足が存在すると回答し、71%が「この不足が組織に直接的かつ測定可能な損害をもたらしている」と述べた。報告書は、米国だけで約94万人しか雇用されていないこの分野に、52万以上のサイバーセキュリティ職の空きがあることを指摘している。
世界全体では現在、約350万件のサイバーセキュリティ関連職が空席となっており、これは巨額の資金を投じてトップクラスの専門家を採用・維持しようとする組織でさえ、適切な候補者を見つけるのが困難であることを意味します。平均して、サイバーセキュリティ職を埋めるのにかかる時間は約21%であり、仮に埋められるとしても、これは他のどの職種よりも長い期間です。
開発者サポートが軽視され続けてきた時間が長すぎる
私たちは、従来の多くのブログが開発者を活用してサイバーセキュリティ防御における重要な空白を埋められることに気づきました。ただ、従来、開発者はサイバーセキュリティのトレーニングを受けたことがありません。彼らの業務実績はほぼ完全にデプロイの速度と時間に依存しています。セキュリティは将来のAppSecチームの役割です。
残念ながら、これは単にギアを切り替えて開発者に突然アプリケーションやプログラムのセキュリティ強化を要求するだけの問題ではありません。たとえ彼らがこうした変更を喜んで行おうとする意思があり(調査によれば多くの開発者がその意思を示しています)、そのためのトレーニングが必要であるとしても、さらに上層部の励ましと支援も必要です。しかし、有意義な学習機会を得ることが、最初の、そして最大の障壁なのです。
世界中に数百万もの高給で高度なセキュリティが求められるITセキュリティ職の求人が存在するのには理由がある。もし仕事が簡単なら、誰もがこの分野に飛び込むだろう。脅威に対抗しコードの脆弱性を排除する方法を習得するのは困難であり、脅威の状況は絶えず変化している。サイバーセキュリティを教える試みは、技術に比較的精通した開発者であっても、静的なトレーニングでは効率的に達成できない。静的なトレーニングはすぐに古くなり、記憶に残らず、特に既に過密なスケジュールにこれらの要求を追加する場合、生み出すプラスの影響はごくわずかだからだ。
足場を組み立ててより高い場所へ到達する
従来の方法でサイバーセキュリティスキルを教えることは、手を動かさずに超高層ビルを建設しようとするようなものだ。これは不可能である。なぜなら、学生はサイバーセキュリティのような複雑な分野で必要とされる多くの高度な概念を理解するための基礎を身につけていないからだ。これを補うために、「足場式学習」という概念が役立つ。
スキル向上に足場や「階層化」手法を用いる場合、大きなテーマは通常、個別の学習体験や概念に分解される。これにより、各概念を適切な練習と指導を通じて習得できるよう保証され、各構成要素に必要な支援が提供される。既に習得した概念を基盤として、より新しく高度な概念が積み上げられていく。これは物理的な足場が建物の高さに合わせて構築されていく過程に似ている。この方法により、生徒は支援なしでは到達できないより高い理解度と技能習得レベルを達成できます。
物理的な足場のように、必要がなくなると、この支えは徐々に撤去され、生徒が次第に熟練するにつれて、より多くの責任を担うようになる。
足場式学習は主に、学生が支援なしに困難な課題に取り組む際に生じうる挫折感、恐怖、落胆といった負の感情や自己認識を軽減するために用いられる。しかし、現代のサイバーセキュリティのような極めて困難な概念に取り組む際にも、大きな価値を発揮し得る。これは決して開発者を子供扱いする手法ではなく、特に彼らの努力がバグ修正や新たな批判によって無に帰される時、セキュリティチーム内での経験が同様の挫折感や落胆を生む場合に極めて有用である。
開発者にセキュリティコーディングの基礎知識を提供するツール(通常はOWASPトップ10)を提供すると、彼らはセキュリティ脆弱性がどのように発生するか、なぜ危険なのか、そして本番環境に投入される前にどのように修正すべきかを実際に理解できます。その後、より複雑な脆弱性の解決を通じて知識を拡張し、適切な修正プログラムを適用する実践的な経験を積むことができます。こうした段階的な積み重ねにより、高度なセキュリティ課題(例:安全でないソフトウェアアーキテクチャや脅威モデリングへの参加)に取り組む際、それらを正確に対処する飛躍がそれほど恐ろしく感じられなくなるのです。
業界として、開発者にセキュリティの専門家になることを期待すべきではありません。しかし組織は新たな開発者支援基準を採用することで、より高品質なソフトウェアを生み出せるようになります。スキル向上を目指すエンジニアリング組織にとっての追加的な利点として、各ステップや各層の足場構築は学習プロセスにおいて直接、より優れたサイバーセキュリティへと転換されます。コース終了を待たずとも、成果を実感できるのです。
サイバーセキュリティの学習は非常に困難であり、適切な支援と指導がなければ習得はほぼ不可能だ。セキュリティ計画を足場学習と組み合わせることで、その潜在能力を最大限に引き出すことができ、その効果はほぼ即座に現れる。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していく。
私たちと一緒に安全性の高い開発者を育成しましょう。ご覧ください:
コース
タスク
開発者トレーニング
...さらに多くのコンテンツが!
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の構図がいかに危険な状態に陥っているかがすぐに明らかになる。重大な脆弱性、新たな脆弱性、あるいはサイバー攻撃者や犯罪者が積極的に悪用している深刻な脅威に関する報告が、毎日のように出ているようだ。さらに、ほぼすべての業界指標や報告書が、ネット上の脅威の数がますます危険な水準に達していることを示しており、ほとんどの専門家はこの傾向が今後数年間も続くと予測している。
これらの新たな脅威に直面しているのは、疲労困憊で人手不足の第一線のITセキュリティ担当者たちだ。給与は高く、ほぼあらゆる企業や組織にとって不可欠な存在であるにもかかわらず、十分なセキュリティ要員が配置されていることは決してない。戦略国際問題研究所(CSIS)による最近の調査では、IT意思決定者の82%が自組織にサイバーセキュリティスキル不足が存在すると回答し、71%が「この不足が組織に直接的かつ測定可能な損害をもたらしている」と述べた。報告書は、米国だけで約94万人しか雇用されていないこの分野に、52万以上のサイバーセキュリティ職の空きがあることを指摘している。
世界全体では現在、約350万件のサイバーセキュリティ関連職が空席となっており、これは巨額の資金を投じてトップクラスの専門家を採用・維持しようとする組織でさえ、適切な候補者を見つけるのが困難であることを意味します。平均して、サイバーセキュリティ職を埋めるのにかかる時間は約21%であり、仮に埋められるとしても、これは他のどの職種よりも長い期間です。
開発者サポートが軽視され続けてきた時間が長すぎる
私たちは、従来の多くのブログが開発者を活用してサイバーセキュリティ防御における重要な空白を埋められることに気づきました。ただ、従来、開発者はサイバーセキュリティのトレーニングを受けたことがありません。彼らの業務実績はほぼ完全にデプロイの速度と時間に依存しています。セキュリティは将来のAppSecチームの役割です。
残念ながら、これは単にギアを切り替えて開発者に突然アプリケーションやプログラムのセキュリティ強化を要求するだけの問題ではありません。たとえ彼らがこうした変更を喜んで行おうとする意思があり(調査によれば多くの開発者がその意思を示しています)、そのためのトレーニングが必要であるとしても、さらに上層部の励ましと支援も必要です。しかし、有意義な学習機会を得ることが、最初の、そして最大の障壁なのです。
世界中に数百万もの高給で高度なセキュリティが求められるITセキュリティ職の求人が存在するのには理由がある。もし仕事が簡単なら、誰もがこの分野に飛び込むだろう。脅威に対抗しコードの脆弱性を排除する方法を習得するのは困難であり、脅威の状況は絶えず変化している。サイバーセキュリティを教える試みは、技術に比較的精通した開発者であっても、静的なトレーニングでは効率的に達成できない。静的なトレーニングはすぐに古くなり、記憶に残らず、特に既に過密なスケジュールにこれらの要求を追加する場合、生み出すプラスの影響はごくわずかだからだ。
足場を組み立ててより高い場所へ到達する
従来の方法でサイバーセキュリティスキルを教えることは、手を動かさずに超高層ビルを建設しようとするようなものだ。これは不可能である。なぜなら、学生はサイバーセキュリティのような複雑な分野で必要とされる多くの高度な概念を理解するための基礎を身につけていないからだ。これを補うために、「足場式学習」という概念が役立つ。
スキル向上に足場や「階層化」手法を用いる場合、大きなテーマは通常、個別の学習体験や概念に分解される。これにより、各概念を適切な練習と指導を通じて習得できるよう保証され、各構成要素に必要な支援が提供される。既に習得した概念を基盤として、より新しく高度な概念が積み上げられていく。これは物理的な足場が建物の高さに合わせて構築されていく過程に似ている。この方法により、生徒は支援なしでは到達できないより高い理解度と技能習得レベルを達成できます。
物理的な足場のように、必要がなくなると、この支えは徐々に撤去され、生徒が次第に熟練するにつれて、より多くの責任を担うようになる。
足場式学習は主に、学生が支援なしに困難な課題に取り組む際に生じうる挫折感、恐怖、落胆といった負の感情や自己認識を軽減するために用いられる。しかし、現代のサイバーセキュリティのような極めて困難な概念に取り組む際にも、大きな価値を発揮し得る。これは決して開発者を子供扱いする手法ではなく、特に彼らの努力がバグ修正や新たな批判によって無に帰される時、セキュリティチーム内での経験が同様の挫折感や落胆を生む場合に極めて有用である。
開発者にセキュリティコーディングの基礎知識を提供するツール(通常はOWASPトップ10)を提供すると、彼らはセキュリティ脆弱性がどのように発生するか、なぜ危険なのか、そして本番環境に投入される前にどのように修正すべきかを実際に理解できます。その後、より複雑な脆弱性の解決を通じて知識を拡張し、適切な修正プログラムを適用する実践的な経験を積むことができます。こうした段階的な積み重ねにより、高度なセキュリティ課題(例:安全でないソフトウェアアーキテクチャや脅威モデリングへの参加)に取り組む際、それらを正確に対処する飛躍がそれほど恐ろしく感じられなくなるのです。
業界として、開発者にセキュリティの専門家になることを期待すべきではありません。しかし組織は新たな開発者支援基準を採用することで、より高品質なソフトウェアを生み出せるようになります。スキル向上を目指すエンジニアリング組織にとっての追加的な利点として、各ステップや各層の足場構築は学習プロセスにおいて直接、より優れたサイバーセキュリティへと転換されます。コース終了を待たずとも、成果を実感できるのです。
サイバーセキュリティの学習は非常に困難であり、適切な支援と指導がなければ習得はほぼ不可能だ。セキュリティ計画を足場学習と組み合わせることで、その潜在能力を最大限に引き出すことができ、その効果はほぼ即座に現れる。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していく。
私たちと一緒に安全性の高い開発者を育成しましょう。ご覧ください:
コース
タスク
開発者トレーニング
...さらに多くのコンテンツが!
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
テクノロジー関連のニュースをほんの数分閲覧するだけで、脅威の構図がいかに危険な状態に陥っているかがすぐに明らかになる。重大な脆弱性、新たな脆弱性、あるいはサイバー攻撃者や犯罪者が積極的に悪用している深刻な脅威に関する報告が、毎日のように出ているようだ。さらに、ほぼすべての業界指標や報告書が、ネット上の脅威の数がますます危険な水準に達していることを示しており、ほとんどの専門家はこの傾向が今後数年間も続くと予測している。
これらの新たな脅威に直面しているのは、疲労困憊で人手不足の第一線のITセキュリティ担当者たちだ。給与は高く、ほぼあらゆる企業や組織にとって不可欠な存在であるにもかかわらず、十分なセキュリティ要員が配置されていることは決してない。戦略国際問題研究所(CSIS)による最近の調査では、IT意思決定者の82%が自組織にサイバーセキュリティスキル不足が存在すると回答し、71%が「この不足が組織に直接的かつ測定可能な損害をもたらしている」と述べた。報告書は、米国だけで約94万人しか雇用されていないこの分野に、52万以上のサイバーセキュリティ職の空きがあることを指摘している。
世界全体では現在、約350万件のサイバーセキュリティ関連職が空席となっており、これは巨額の資金を投じてトップクラスの専門家を採用・維持しようとする組織でさえ、適切な候補者を見つけるのが困難であることを意味します。平均して、サイバーセキュリティ職を埋めるのにかかる時間は約21%であり、仮に埋められるとしても、これは他のどの職種よりも長い期間です。
開発者サポートが軽視され続けてきた時間が長すぎる
私たちは、従来の多くのブログが開発者を活用してサイバーセキュリティ防御における重要な空白を埋められることに気づきました。ただ、従来、開発者はサイバーセキュリティのトレーニングを受けたことがありません。彼らの業務実績はほぼ完全にデプロイの速度と時間に依存しています。セキュリティは将来のAppSecチームの役割です。
残念ながら、これは単にギアを切り替えて開発者に突然アプリケーションやプログラムのセキュリティ強化を要求するだけの問題ではありません。たとえ彼らがこうした変更を喜んで行おうとする意思があり(調査によれば多くの開発者がその意思を示しています)、そのためのトレーニングが必要であるとしても、さらに上層部の励ましと支援も必要です。しかし、有意義な学習機会を得ることが、最初の、そして最大の障壁なのです。
世界中に数百万もの高給で高度なセキュリティが求められるITセキュリティ職の求人が存在するのには理由がある。もし仕事が簡単なら、誰もがこの分野に飛び込むだろう。脅威に対抗しコードの脆弱性を排除する方法を習得するのは困難であり、脅威の状況は絶えず変化している。サイバーセキュリティを教える試みは、技術に比較的精通した開発者であっても、静的なトレーニングでは効率的に達成できない。静的なトレーニングはすぐに古くなり、記憶に残らず、特に既に過密なスケジュールにこれらの要求を追加する場合、生み出すプラスの影響はごくわずかだからだ。
足場を組み立ててより高い場所へ到達する
従来の方法でサイバーセキュリティスキルを教えることは、手を動かさずに超高層ビルを建設しようとするようなものだ。これは不可能である。なぜなら、学生はサイバーセキュリティのような複雑な分野で必要とされる多くの高度な概念を理解するための基礎を身につけていないからだ。これを補うために、「足場式学習」という概念が役立つ。
スキル向上に足場や「階層化」手法を用いる場合、大きなテーマは通常、個別の学習体験や概念に分解される。これにより、各概念を適切な練習と指導を通じて習得できるよう保証され、各構成要素に必要な支援が提供される。既に習得した概念を基盤として、より新しく高度な概念が積み上げられていく。これは物理的な足場が建物の高さに合わせて構築されていく過程に似ている。この方法により、生徒は支援なしでは到達できないより高い理解度と技能習得レベルを達成できます。
物理的な足場のように、必要がなくなると、この支えは徐々に撤去され、生徒が次第に熟練するにつれて、より多くの責任を担うようになる。
足場式学習は主に、学生が支援なしに困難な課題に取り組む際に生じうる挫折感、恐怖、落胆といった負の感情や自己認識を軽減するために用いられる。しかし、現代のサイバーセキュリティのような極めて困難な概念に取り組む際にも、大きな価値を発揮し得る。これは決して開発者を子供扱いする手法ではなく、特に彼らの努力がバグ修正や新たな批判によって無に帰される時、セキュリティチーム内での経験が同様の挫折感や落胆を生む場合に極めて有用である。
開発者にセキュリティコーディングの基礎知識を提供するツール(通常はOWASPトップ10)を提供すると、彼らはセキュリティ脆弱性がどのように発生するか、なぜ危険なのか、そして本番環境に投入される前にどのように修正すべきかを実際に理解できます。その後、より複雑な脆弱性の解決を通じて知識を拡張し、適切な修正プログラムを適用する実践的な経験を積むことができます。こうした段階的な積み重ねにより、高度なセキュリティ課題(例:安全でないソフトウェアアーキテクチャや脅威モデリングへの参加)に取り組む際、それらを正確に対処する飛躍がそれほど恐ろしく感じられなくなるのです。
業界として、開発者にセキュリティの専門家になることを期待すべきではありません。しかし組織は新たな開発者支援基準を採用することで、より高品質なソフトウェアを生み出せるようになります。スキル向上を目指すエンジニアリング組織にとっての追加的な利点として、各ステップや各層の足場構築は学習プロセスにおいて直接、より優れたサイバーセキュリティへと転換されます。コース終了を待たずとも、成果を実感できるのです。
サイバーセキュリティの学習は非常に困難であり、適切な支援と指導がなければ習得はほぼ不可能だ。セキュリティ計画を足場学習と組み合わせることで、その潜在能力を最大限に引き出すことができ、その効果はほぼ即座に現れる。改善はほぼ即座に始まり、時間の経過とともに継続的に向上していく。
私たちと一緒に安全性の高い開発者を育成しましょう。ご覧ください:
コース
タスク
開発者トレーニング
...さらに多くのコンテンツが!
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
