開発者向けセキュリティトレーニングを効果的に展開する方法:5 つの重要な教訓
ある開発者向けアプリケーション・セキュリティ・トレーニング・プログラムが他のプログラムよりも良い結果をもたらすのはなぜですか?
SANS トレーナーとして 10 年以上働き、過去 3 年間 Secure Code Warrior (SCW) を創設して構築してきた中で、トレーニングプログラムの作成に時間とリソースを投資することが、最良の結果を生むことに価値を見出してきました。
販売初年度に、当社は1万人以上の開発者を雇用しました セキュアコードトレーニングそして、ロールアウトが最も効果的だった企業の傾向がいくつかあることに気付きました。その結果は心温まるものです。多額の費用がかかる前にセキュリティの弱点を早期に発見することで、エンゲージメントが向上し、セキュリティ意識が高まり、プログラムのROIが向上しました。
認めるのは嫌ですが、「手間がかからない」アプローチで、トレーニングへのリンクを記載したメールを送信してプログラムを展開しようとした人もいます。当然のことながら、うまくいきませんでした。そのため、これらのロールアウトを修正する必要がありました。
以下では、私たちのプログラムを含め、あらゆる開発者セキュリティトレーニングプログラムのエンゲージメントレベル、影響力、成功を大幅に高めると私が信じる5つの重要な教訓を紹介します。
1。プログラムにインパクトを持たせたいなら、キックオフに楽しい時間を入れてください。
特別なキックオフデーイベントを開催したり、番組に映画/マニアック/ゲームをテーマにしたりすることで、最初から興奮と参加のレベルが大きく変わる可能性があります。ある大口のお客様が、人気のテレビシリーズを中心に T シャツ、バッジ、ステッカーを使ったファンタジー番組を制作しました。これにより、トレーニングプログラム全体が、開発者なら見逃せない体験となっています。また、5月4日に都合よく開催された「スター・ウォーズ」をテーマにしたイベントもありました。ちょっとした楽しみが従業員の参加を助けるのに大いに役立ちます。重要なデベロッパー・セキュア・コード・スキルトレーニングを短期間だけ行うことで、やるべき別のタスクというよりは、仕事から離れるような気分にさせてくれます。#1 というマイルストーンが達成されました。私たちは彼らの関心を集め、彼らもこのプログラムについて知っています。
2。適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
各スクラムチームで適切なセキュリティチャンピオンを見つけることができることは、特に大規模な組織では、プログラムを継続的に成功させるために不可欠です。私の経験では、高度なスキルを持つセキュリティや開発者の専門家全員が高度に発達した人材やコミュニケーションスキルを持っているわけではありません。最高のセキュリティチャンピオン、つまりプログラムに継続的にプラスの影響を与えるのは、セキュリティに情熱を持ち、強力な人材、影響力、コミュニケーションスキルを持つ人々です。性格やコミュニケーション能力を考慮して、賢く選択してください。
3。スキルが認められる素敵な報酬を手に入れよう
一般に、「開発者を含む」すべてのコンピューターオタクは、その知性とスキルで認められることを好みます。特定のステータスステッカー、マニアックなガジェット、特別なバッジ、または自分のスキルを称えるカスタムプリントTシャツをプレゼントすると、彼らは誇りを持って身に着けたり見せたりします。研修プログラムで何か重要なことを達成した人がいたら、その人に認めてもらい、露出してもらう方法を考えることが重要です。あるお客様が、Secure Code Warriorのチャンピオンの写真を定期的に撮影し、それを会社のCISOからの写真とメッセージと一緒に従業員向けニュースレターに投稿するという素晴らしい取り組みを目にしました。
4。開発者をセキュリティの専門家にしようとしないでください
開発者が安全にコーディングできるよう支援することで、開発者をセキュリティプログラムの「最前線」にしたいと考えていますが、だからといって、開発者がビジネスで最も詳細なセキュリティ専門家である必要はなく、新しいセキュリティ脆弱性やデータ侵害の例を継続的に彼らに伝えなければならないということでもありません。セキュリティは重要ですが、彼らの主な目的は多くの場合、優れた製品やサービスを構築し、ビジネスのペースに従うことです。セキュリティを重視しすぎると、その人を離れてしまうリスクがあります。学んだ重要な教訓は、彼らは基本的なセキュリティ衛生を理解し、安全にコーディングするためのツールで彼らをサポートする必要があるということですが、会社のセキュリティ専門家である必要はありません。
5。トレーニングを測るんじゃなくて、インパクトを測れ
各チームでプログラムを開始する前に、開発者が受けたトレーニング時間や視聴した動画の数を測定したり、コード分析、バグバウンティ、従来の脆弱性テストを通じて開発ライフサイクルで発見された弱点の数を測定したりしないでください。トレーニングプログラムがうまく機能していれば、特定される脆弱性の数は減ります。2 番目に測定すべきことは、脆弱性の修正にかかる時間です。開発者が修正に 1 か月かかる場合は、その開発者がその方法を理解していないことは明らかですが、1 時間以内に修正できれば、その開発者はスキルを習得していることになります。賢い企業が開発者のセキュア・コーディング・トレーニングの影響を測定するために採用しているのは、この2つの指標です。
効果的なデベロッパー・セキュリティ・トレーニングを展開する方法に関する5つの重要な教訓:
- プログラムにインパクトを持たせたい場合は、キックオフで楽しい時間を過ごしてください
- 適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
- スキルが表彰される素敵な報酬をゲットしよう
- 開発者をセキュリティの専門家にしようとしないでください
- トレーニングを測定するのではなく、影響を測定してください
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
ある開発者向けアプリケーション・セキュリティ・トレーニング・プログラムが他のプログラムよりも良い結果をもたらすのはなぜですか?
SANS トレーナーとして 10 年以上働き、過去 3 年間 Secure Code Warrior (SCW) を創設して構築してきた中で、トレーニングプログラムの作成に時間とリソースを投資することが、最良の結果を生むことに価値を見出してきました。
販売初年度に、当社は1万人以上の開発者を雇用しました セキュアコードトレーニングそして、ロールアウトが最も効果的だった企業の傾向がいくつかあることに気付きました。その結果は心温まるものです。多額の費用がかかる前にセキュリティの弱点を早期に発見することで、エンゲージメントが向上し、セキュリティ意識が高まり、プログラムのROIが向上しました。
認めるのは嫌ですが、「手間がかからない」アプローチで、トレーニングへのリンクを記載したメールを送信してプログラムを展開しようとした人もいます。当然のことながら、うまくいきませんでした。そのため、これらのロールアウトを修正する必要がありました。
以下では、私たちのプログラムを含め、あらゆる開発者セキュリティトレーニングプログラムのエンゲージメントレベル、影響力、成功を大幅に高めると私が信じる5つの重要な教訓を紹介します。
1。プログラムにインパクトを持たせたいなら、キックオフに楽しい時間を入れてください。
特別なキックオフデーイベントを開催したり、番組に映画/マニアック/ゲームをテーマにしたりすることで、最初から興奮と参加のレベルが大きく変わる可能性があります。ある大口のお客様が、人気のテレビシリーズを中心に T シャツ、バッジ、ステッカーを使ったファンタジー番組を制作しました。これにより、トレーニングプログラム全体が、開発者なら見逃せない体験となっています。また、5月4日に都合よく開催された「スター・ウォーズ」をテーマにしたイベントもありました。ちょっとした楽しみが従業員の参加を助けるのに大いに役立ちます。重要なデベロッパー・セキュア・コード・スキルトレーニングを短期間だけ行うことで、やるべき別のタスクというよりは、仕事から離れるような気分にさせてくれます。#1 というマイルストーンが達成されました。私たちは彼らの関心を集め、彼らもこのプログラムについて知っています。
2。適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
各スクラムチームで適切なセキュリティチャンピオンを見つけることができることは、特に大規模な組織では、プログラムを継続的に成功させるために不可欠です。私の経験では、高度なスキルを持つセキュリティや開発者の専門家全員が高度に発達した人材やコミュニケーションスキルを持っているわけではありません。最高のセキュリティチャンピオン、つまりプログラムに継続的にプラスの影響を与えるのは、セキュリティに情熱を持ち、強力な人材、影響力、コミュニケーションスキルを持つ人々です。性格やコミュニケーション能力を考慮して、賢く選択してください。
3。スキルが認められる素敵な報酬を手に入れよう
一般に、「開発者を含む」すべてのコンピューターオタクは、その知性とスキルで認められることを好みます。特定のステータスステッカー、マニアックなガジェット、特別なバッジ、または自分のスキルを称えるカスタムプリントTシャツをプレゼントすると、彼らは誇りを持って身に着けたり見せたりします。研修プログラムで何か重要なことを達成した人がいたら、その人に認めてもらい、露出してもらう方法を考えることが重要です。あるお客様が、Secure Code Warriorのチャンピオンの写真を定期的に撮影し、それを会社のCISOからの写真とメッセージと一緒に従業員向けニュースレターに投稿するという素晴らしい取り組みを目にしました。
4。開発者をセキュリティの専門家にしようとしないでください
開発者が安全にコーディングできるよう支援することで、開発者をセキュリティプログラムの「最前線」にしたいと考えていますが、だからといって、開発者がビジネスで最も詳細なセキュリティ専門家である必要はなく、新しいセキュリティ脆弱性やデータ侵害の例を継続的に彼らに伝えなければならないということでもありません。セキュリティは重要ですが、彼らの主な目的は多くの場合、優れた製品やサービスを構築し、ビジネスのペースに従うことです。セキュリティを重視しすぎると、その人を離れてしまうリスクがあります。学んだ重要な教訓は、彼らは基本的なセキュリティ衛生を理解し、安全にコーディングするためのツールで彼らをサポートする必要があるということですが、会社のセキュリティ専門家である必要はありません。
5。トレーニングを測るんじゃなくて、インパクトを測れ
各チームでプログラムを開始する前に、開発者が受けたトレーニング時間や視聴した動画の数を測定したり、コード分析、バグバウンティ、従来の脆弱性テストを通じて開発ライフサイクルで発見された弱点の数を測定したりしないでください。トレーニングプログラムがうまく機能していれば、特定される脆弱性の数は減ります。2 番目に測定すべきことは、脆弱性の修正にかかる時間です。開発者が修正に 1 か月かかる場合は、その開発者がその方法を理解していないことは明らかですが、1 時間以内に修正できれば、その開発者はスキルを習得していることになります。賢い企業が開発者のセキュア・コーディング・トレーニングの影響を測定するために採用しているのは、この2つの指標です。
効果的なデベロッパー・セキュリティ・トレーニングを展開する方法に関する5つの重要な教訓:
- プログラムにインパクトを持たせたい場合は、キックオフで楽しい時間を過ごしてください
- 適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
- スキルが表彰される素敵な報酬をゲットしよう
- 開発者をセキュリティの専門家にしようとしないでください
- トレーニングを測定するのではなく、影響を測定してください
ある開発者向けアプリケーション・セキュリティ・トレーニング・プログラムが他のプログラムよりも良い結果をもたらすのはなぜですか?
SANS トレーナーとして 10 年以上働き、過去 3 年間 Secure Code Warrior (SCW) を創設して構築してきた中で、トレーニングプログラムの作成に時間とリソースを投資することが、最良の結果を生むことに価値を見出してきました。
販売初年度に、当社は1万人以上の開発者を雇用しました セキュアコードトレーニングそして、ロールアウトが最も効果的だった企業の傾向がいくつかあることに気付きました。その結果は心温まるものです。多額の費用がかかる前にセキュリティの弱点を早期に発見することで、エンゲージメントが向上し、セキュリティ意識が高まり、プログラムのROIが向上しました。
認めるのは嫌ですが、「手間がかからない」アプローチで、トレーニングへのリンクを記載したメールを送信してプログラムを展開しようとした人もいます。当然のことながら、うまくいきませんでした。そのため、これらのロールアウトを修正する必要がありました。
以下では、私たちのプログラムを含め、あらゆる開発者セキュリティトレーニングプログラムのエンゲージメントレベル、影響力、成功を大幅に高めると私が信じる5つの重要な教訓を紹介します。
1。プログラムにインパクトを持たせたいなら、キックオフに楽しい時間を入れてください。
特別なキックオフデーイベントを開催したり、番組に映画/マニアック/ゲームをテーマにしたりすることで、最初から興奮と参加のレベルが大きく変わる可能性があります。ある大口のお客様が、人気のテレビシリーズを中心に T シャツ、バッジ、ステッカーを使ったファンタジー番組を制作しました。これにより、トレーニングプログラム全体が、開発者なら見逃せない体験となっています。また、5月4日に都合よく開催された「スター・ウォーズ」をテーマにしたイベントもありました。ちょっとした楽しみが従業員の参加を助けるのに大いに役立ちます。重要なデベロッパー・セキュア・コード・スキルトレーニングを短期間だけ行うことで、やるべき別のタスクというよりは、仕事から離れるような気分にさせてくれます。#1 というマイルストーンが達成されました。私たちは彼らの関心を集め、彼らもこのプログラムについて知っています。
2。適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
各スクラムチームで適切なセキュリティチャンピオンを見つけることができることは、特に大規模な組織では、プログラムを継続的に成功させるために不可欠です。私の経験では、高度なスキルを持つセキュリティや開発者の専門家全員が高度に発達した人材やコミュニケーションスキルを持っているわけではありません。最高のセキュリティチャンピオン、つまりプログラムに継続的にプラスの影響を与えるのは、セキュリティに情熱を持ち、強力な人材、影響力、コミュニケーションスキルを持つ人々です。性格やコミュニケーション能力を考慮して、賢く選択してください。
3。スキルが認められる素敵な報酬を手に入れよう
一般に、「開発者を含む」すべてのコンピューターオタクは、その知性とスキルで認められることを好みます。特定のステータスステッカー、マニアックなガジェット、特別なバッジ、または自分のスキルを称えるカスタムプリントTシャツをプレゼントすると、彼らは誇りを持って身に着けたり見せたりします。研修プログラムで何か重要なことを達成した人がいたら、その人に認めてもらい、露出してもらう方法を考えることが重要です。あるお客様が、Secure Code Warriorのチャンピオンの写真を定期的に撮影し、それを会社のCISOからの写真とメッセージと一緒に従業員向けニュースレターに投稿するという素晴らしい取り組みを目にしました。
4。開発者をセキュリティの専門家にしようとしないでください
開発者が安全にコーディングできるよう支援することで、開発者をセキュリティプログラムの「最前線」にしたいと考えていますが、だからといって、開発者がビジネスで最も詳細なセキュリティ専門家である必要はなく、新しいセキュリティ脆弱性やデータ侵害の例を継続的に彼らに伝えなければならないということでもありません。セキュリティは重要ですが、彼らの主な目的は多くの場合、優れた製品やサービスを構築し、ビジネスのペースに従うことです。セキュリティを重視しすぎると、その人を離れてしまうリスクがあります。学んだ重要な教訓は、彼らは基本的なセキュリティ衛生を理解し、安全にコーディングするためのツールで彼らをサポートする必要があるということですが、会社のセキュリティ専門家である必要はありません。
5。トレーニングを測るんじゃなくて、インパクトを測れ
各チームでプログラムを開始する前に、開発者が受けたトレーニング時間や視聴した動画の数を測定したり、コード分析、バグバウンティ、従来の脆弱性テストを通じて開発ライフサイクルで発見された弱点の数を測定したりしないでください。トレーニングプログラムがうまく機能していれば、特定される脆弱性の数は減ります。2 番目に測定すべきことは、脆弱性の修正にかかる時間です。開発者が修正に 1 か月かかる場合は、その開発者がその方法を理解していないことは明らかですが、1 時間以内に修正できれば、その開発者はスキルを習得していることになります。賢い企業が開発者のセキュア・コーディング・トレーニングの影響を測定するために採用しているのは、この2つの指標です。
効果的なデベロッパー・セキュリティ・トレーニングを展開する方法に関する5つの重要な教訓:
- プログラムにインパクトを持たせたい場合は、キックオフで楽しい時間を過ごしてください
- 適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
- スキルが表彰される素敵な報酬をゲットしよう
- 開発者をセキュリティの専門家にしようとしないでください
- トレーニングを測定するのではなく、影響を測定してください
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
ある開発者向けアプリケーション・セキュリティ・トレーニング・プログラムが他のプログラムよりも良い結果をもたらすのはなぜですか?
SANS トレーナーとして 10 年以上働き、過去 3 年間 Secure Code Warrior (SCW) を創設して構築してきた中で、トレーニングプログラムの作成に時間とリソースを投資することが、最良の結果を生むことに価値を見出してきました。
販売初年度に、当社は1万人以上の開発者を雇用しました セキュアコードトレーニングそして、ロールアウトが最も効果的だった企業の傾向がいくつかあることに気付きました。その結果は心温まるものです。多額の費用がかかる前にセキュリティの弱点を早期に発見することで、エンゲージメントが向上し、セキュリティ意識が高まり、プログラムのROIが向上しました。
認めるのは嫌ですが、「手間がかからない」アプローチで、トレーニングへのリンクを記載したメールを送信してプログラムを展開しようとした人もいます。当然のことながら、うまくいきませんでした。そのため、これらのロールアウトを修正する必要がありました。
以下では、私たちのプログラムを含め、あらゆる開発者セキュリティトレーニングプログラムのエンゲージメントレベル、影響力、成功を大幅に高めると私が信じる5つの重要な教訓を紹介します。
1。プログラムにインパクトを持たせたいなら、キックオフに楽しい時間を入れてください。
特別なキックオフデーイベントを開催したり、番組に映画/マニアック/ゲームをテーマにしたりすることで、最初から興奮と参加のレベルが大きく変わる可能性があります。ある大口のお客様が、人気のテレビシリーズを中心に T シャツ、バッジ、ステッカーを使ったファンタジー番組を制作しました。これにより、トレーニングプログラム全体が、開発者なら見逃せない体験となっています。また、5月4日に都合よく開催された「スター・ウォーズ」をテーマにしたイベントもありました。ちょっとした楽しみが従業員の参加を助けるのに大いに役立ちます。重要なデベロッパー・セキュア・コード・スキルトレーニングを短期間だけ行うことで、やるべき別のタスクというよりは、仕事から離れるような気分にさせてくれます。#1 というマイルストーンが達成されました。私たちは彼らの関心を集め、彼らもこのプログラムについて知っています。
2。適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
各スクラムチームで適切なセキュリティチャンピオンを見つけることができることは、特に大規模な組織では、プログラムを継続的に成功させるために不可欠です。私の経験では、高度なスキルを持つセキュリティや開発者の専門家全員が高度に発達した人材やコミュニケーションスキルを持っているわけではありません。最高のセキュリティチャンピオン、つまりプログラムに継続的にプラスの影響を与えるのは、セキュリティに情熱を持ち、強力な人材、影響力、コミュニケーションスキルを持つ人々です。性格やコミュニケーション能力を考慮して、賢く選択してください。
3。スキルが認められる素敵な報酬を手に入れよう
一般に、「開発者を含む」すべてのコンピューターオタクは、その知性とスキルで認められることを好みます。特定のステータスステッカー、マニアックなガジェット、特別なバッジ、または自分のスキルを称えるカスタムプリントTシャツをプレゼントすると、彼らは誇りを持って身に着けたり見せたりします。研修プログラムで何か重要なことを達成した人がいたら、その人に認めてもらい、露出してもらう方法を考えることが重要です。あるお客様が、Secure Code Warriorのチャンピオンの写真を定期的に撮影し、それを会社のCISOからの写真とメッセージと一緒に従業員向けニュースレターに投稿するという素晴らしい取り組みを目にしました。
4。開発者をセキュリティの専門家にしようとしないでください
開発者が安全にコーディングできるよう支援することで、開発者をセキュリティプログラムの「最前線」にしたいと考えていますが、だからといって、開発者がビジネスで最も詳細なセキュリティ専門家である必要はなく、新しいセキュリティ脆弱性やデータ侵害の例を継続的に彼らに伝えなければならないということでもありません。セキュリティは重要ですが、彼らの主な目的は多くの場合、優れた製品やサービスを構築し、ビジネスのペースに従うことです。セキュリティを重視しすぎると、その人を離れてしまうリスクがあります。学んだ重要な教訓は、彼らは基本的なセキュリティ衛生を理解し、安全にコーディングするためのツールで彼らをサポートする必要があるということですが、会社のセキュリティ専門家である必要はありません。
5。トレーニングを測るんじゃなくて、インパクトを測れ
各チームでプログラムを開始する前に、開発者が受けたトレーニング時間や視聴した動画の数を測定したり、コード分析、バグバウンティ、従来の脆弱性テストを通じて開発ライフサイクルで発見された弱点の数を測定したりしないでください。トレーニングプログラムがうまく機能していれば、特定される脆弱性の数は減ります。2 番目に測定すべきことは、脆弱性の修正にかかる時間です。開発者が修正に 1 か月かかる場合は、その開発者がその方法を理解していないことは明らかですが、1 時間以内に修正できれば、その開発者はスキルを習得していることになります。賢い企業が開発者のセキュア・コーディング・トレーニングの影響を測定するために採用しているのは、この2つの指標です。
効果的なデベロッパー・セキュリティ・トレーニングを展開する方法に関する5つの重要な教訓:
- プログラムにインパクトを持たせたい場合は、キックオフで楽しい時間を過ごしてください
- 適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
- スキルが表彰される素敵な報酬をゲットしよう
- 開発者をセキュリティの専門家にしようとしないでください
- トレーニングを測定するのではなく、影響を測定してください
始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
