足場型学習がセキュリティに強い開発者を育てる理由
技術ニュースを数分間閲覧するだけで、脅威環境がいかに危険になりつつあるかがすぐに明らかになります。毎日、重大な侵害、新たな脆弱性、またはサイバー攻撃者や犯罪者による活発な悪用の脅威に関する報告が寄せられているようです。そして、ほぼすべての業界指標とレポートには、 ますます危険 サイバー脅威の数、ほとんどの専門家がこの傾向を予測しています 続けます 今後何年にもわたって。
こうした新たな脅威に立ち向かうのは、ITセキュリティ担当者の最前線で、人員不足と人員不足が深刻化しています。高給で、どの企業や組織にとっても必要不可欠な存在であるにもかかわらず、セキュリティ担当者が不足していることは決してありません。では 最近の調査 戦略国際問題研究センターが実施した調査では、ITの意思決定者の 82% が、組織がサイバーセキュリティスキルの不足に苦しんでいると答え、71% が、その不足が組織に直接かつ測定可能な損害をもたらしたと回答しました。報告書によると、米国だけでも、約94万人しか雇用されていない分野で、52万件以上のサイバーセキュリティ関連の求人が空いていることがわかりました。
世界中で、現在約 350万件のサイバーセキュリティ関連の仕事 これらは未定です。つまり、トップレベルの専門家を雇用して維持するために多額の費用を払っても構わないと思っている組織でさえ、適切な候補者を見つけるのに苦労しているということです。平均すると、所要時間は約 21% 長くなります サイバーセキュリティを埋める どんな仕事よりもポジションを埋めることができれば。
開発者支援があまりにも長い間無視されてきた
で書き留めました 過去のブログ多数 サイバーセキュリティ防御におけるこれらの重大なギャップを埋めるために開発者を活用できるということです。ただ、従来、開発者はサイバーセキュリティに関するトレーニングを受けていなかったのです。彼らの職務遂行能力は、ほとんどすべて導入までのスピードと時間に基づいていました。セキュリティは、さらに先のアプリケーションセキュリティチームの仕事でした。
残念なことに、単に方針を変えて、開発者に急にアプリケーションやプログラムにセキュリティを追加し始めるように頼むだけの問題ではありません。たとえ開発者が進んでそうした変更を行おうとしても、調査の結果、その多くがそうであることが明らかになったとしても、それを実現するためにはやはりトレーニングが必要です。また、上層部からの励ましや支援も必要ですが、有意義な学習が可能になることが、最初の、そして多くの場合最大の障害となります。
世界中で何百万もの高給で安全性の高いITセキュリティ職が空いているのには理由があります。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。比較的技術に精通した開発者であっても、サイバーセキュリティを教えようとしても、定型的なトレーニングを効率的に行うことはできません。そのトレーニングは、すぐに実施され、記憶に残らず、プラスの影響も最小限に抑えられます。特に、すでに過大な負担がかかっているスケジュールにこれらの要件が追加された場合はなおさらです。
足場を作って高台にたどり着こう
従来の方法でサイバーセキュリティスキルを教えることは、地面から足を離さずに超高層ビルを建てようとするようなものです。学生にはサイバーセキュリティのような複雑な分野の多くの高レベルの概念を習得するのに必要な基礎がないので、それは不可能です。これを補うには、という概念があります。 足場学習 雇用することができます。
スキルアップに足場型のアプローチ、つまり「階層化」アプローチを使用する場合、大きなトピックは通常、個別の学習経験や概念に分解されます。これにより、学生は適切な演習と指導を行って各概念を習得し、各要素に必要なすべてのサポートを受けることができます。建物の高さが高くなるにつれて物理的な足場が構築されるのと同じように、新しく高度な概念はすでに習得されている概念の上に重ねられます。こうすることで、学生は支援なしでは習得できないレベルよりも高いレベルの理解とスキルの習得が可能になります。
そして、物理的な足場と同じように、そのサポートは不要になると段階的に取り除かれ、生徒が習熟するにつれて生徒に対する責任も大きくなります。
足場型学習は主に、生徒が支援なしで困難な課題に取り組んだときにイライラしたり、おびえたり、落胆したりしたときに経験する可能性のある否定的な感情や自己認識を減らすために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組むときにも大きな価値があります。開発者を子供のように扱う方法とはほど遠く、セキュリティチームでの経験がイライラさせたり落胆させたりするような同じ効果をもたらす可能性がある場合、特に彼らの努力がバグ修正や新たな批判とともに送り返される場合は、非常に役立ちます。
開発者がセキュアコーディングの基礎を理解するためのツールが提供される場合 (通常は OWASP トップ10)、セキュリティバグがどのように発生するのか、なぜ危険なのか、本番環境に移行する前に修正する方法を自分で確認できます。そこから、より複雑な脆弱性に取り組み、適切な修正を適用するための実践的な経験を積むことで、知識を広げることができます。レイヤーは少しずつ増えていき、安全でないソフトウェアアーキテクチャや脅威モデリングなどの高度なセキュリティ問題に関しては、これらの飛躍はそれほど恐ろしいものではなく、正確に取り組むことができます。
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織はより高品質のソフトウェアを作成できるように、開発者支援のための新しい標準を採用することができます。エンジニアリング部門でスキルの向上に取り組んでいる組織へのおまけとして、各段階または足場の各レベルは、学習を進めていくうちに、サイバーセキュリティの強化に直接つながります。結果を見るためにコースが終了するまで待つ必要はありません。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。セキュリティプログラムを足場に組み込むことで最大限に活用でき、メリットはほぼすぐに明らかになります。改善はほぼ即座に開始され、時間が経つにつれて改善され続けます。
私たちと一緒にセキュリティに強い開発者の育成を始めましょう。以下をチェックしてください。
コース
ミッション
開発者トレーニング
... そしてもっと!
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織はより高品質のソフトウェアを作成できるように、開発者支援のための新しい標準を採用することができます。
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。Matias はゲント大学で静的分析ソリューションを中心にアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手伝わずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesome の一員としてデスクにいないときは、RSA カンファレンス、BlackHat、DefCon などのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。Matias はゲント大学で静的分析ソリューションを中心にアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手伝わずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesome の一員としてデスクにいないときは、RSA カンファレンス、BlackHat、DefCon などのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Matiasは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れているときには、マティアスは上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
技術ニュースを数分間閲覧するだけで、脅威環境がいかに危険になりつつあるかがすぐに明らかになります。毎日、重大な侵害、新たな脆弱性、またはサイバー攻撃者や犯罪者による活発な悪用の脅威に関する報告が寄せられているようです。そして、ほぼすべての業界指標とレポートには、 ますます危険 サイバー脅威の数、ほとんどの専門家がこの傾向を予測しています 続けます 今後何年にもわたって。
こうした新たな脅威に立ち向かうのは、ITセキュリティ担当者の最前線で、人員不足と人員不足が深刻化しています。高給で、どの企業や組織にとっても必要不可欠な存在であるにもかかわらず、セキュリティ担当者が不足していることは決してありません。では 最近の調査 戦略国際問題研究センターが実施した調査では、ITの意思決定者の 82% が、組織がサイバーセキュリティスキルの不足に苦しんでいると答え、71% が、その不足が組織に直接かつ測定可能な損害をもたらしたと回答しました。報告書によると、米国だけでも、約94万人しか雇用されていない分野で、52万件以上のサイバーセキュリティ関連の求人が空いていることがわかりました。
世界中で、現在約 350万件のサイバーセキュリティ関連の仕事 これらは未定です。つまり、トップレベルの専門家を雇用して維持するために多額の費用を払っても構わないと思っている組織でさえ、適切な候補者を見つけるのに苦労しているということです。平均すると、所要時間は約 21% 長くなります サイバーセキュリティを埋める どんな仕事よりもポジションを埋めることができれば。
開発者支援があまりにも長い間無視されてきた
で書き留めました 過去のブログ多数 サイバーセキュリティ防御におけるこれらの重大なギャップを埋めるために開発者を活用できるということです。ただ、従来、開発者はサイバーセキュリティに関するトレーニングを受けていなかったのです。彼らの職務遂行能力は、ほとんどすべて導入までのスピードと時間に基づいていました。セキュリティは、さらに先のアプリケーションセキュリティチームの仕事でした。
残念なことに、単に方針を変えて、開発者に急にアプリケーションやプログラムにセキュリティを追加し始めるように頼むだけの問題ではありません。たとえ開発者が進んでそうした変更を行おうとしても、調査の結果、その多くがそうであることが明らかになったとしても、それを実現するためにはやはりトレーニングが必要です。また、上層部からの励ましや支援も必要ですが、有意義な学習が可能になることが、最初の、そして多くの場合最大の障害となります。
世界中で何百万もの高給で安全性の高いITセキュリティ職が空いているのには理由があります。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。比較的技術に精通した開発者であっても、サイバーセキュリティを教えようとしても、定型的なトレーニングを効率的に行うことはできません。そのトレーニングは、すぐに実施され、記憶に残らず、プラスの影響も最小限に抑えられます。特に、すでに過大な負担がかかっているスケジュールにこれらの要件が追加された場合はなおさらです。
足場を作って高台にたどり着こう
従来の方法でサイバーセキュリティスキルを教えることは、地面から足を離さずに超高層ビルを建てようとするようなものです。学生にはサイバーセキュリティのような複雑な分野の多くの高レベルの概念を習得するのに必要な基礎がないので、それは不可能です。これを補うには、という概念があります。 足場学習 雇用することができます。
スキルアップに足場型のアプローチ、つまり「階層化」アプローチを使用する場合、大きなトピックは通常、個別の学習経験や概念に分解されます。これにより、学生は適切な演習と指導を行って各概念を習得し、各要素に必要なすべてのサポートを受けることができます。建物の高さが高くなるにつれて物理的な足場が構築されるのと同じように、新しく高度な概念はすでに習得されている概念の上に重ねられます。こうすることで、学生は支援なしでは習得できないレベルよりも高いレベルの理解とスキルの習得が可能になります。
そして、物理的な足場と同じように、そのサポートは不要になると段階的に取り除かれ、生徒が習熟するにつれて生徒に対する責任も大きくなります。
足場型学習は主に、生徒が支援なしで困難な課題に取り組んだときにイライラしたり、おびえたり、落胆したりしたときに経験する可能性のある否定的な感情や自己認識を減らすために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組むときにも大きな価値があります。開発者を子供のように扱う方法とはほど遠く、セキュリティチームでの経験がイライラさせたり落胆させたりするような同じ効果をもたらす可能性がある場合、特に彼らの努力がバグ修正や新たな批判とともに送り返される場合は、非常に役立ちます。
開発者がセキュアコーディングの基礎を理解するためのツールが提供される場合 (通常は OWASP トップ10)、セキュリティバグがどのように発生するのか、なぜ危険なのか、本番環境に移行する前に修正する方法を自分で確認できます。そこから、より複雑な脆弱性に取り組み、適切な修正を適用するための実践的な経験を積むことで、知識を広げることができます。レイヤーは少しずつ増えていき、安全でないソフトウェアアーキテクチャや脅威モデリングなどの高度なセキュリティ問題に関しては、これらの飛躍はそれほど恐ろしいものではなく、正確に取り組むことができます。
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織はより高品質のソフトウェアを作成できるように、開発者支援のための新しい標準を採用することができます。エンジニアリング部門でスキルの向上に取り組んでいる組織へのおまけとして、各段階または足場の各レベルは、学習を進めていくうちに、サイバーセキュリティの強化に直接つながります。結果を見るためにコースが終了するまで待つ必要はありません。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。セキュリティプログラムを足場に組み込むことで最大限に活用でき、メリットはほぼすぐに明らかになります。改善はほぼ即座に開始され、時間が経つにつれて改善され続けます。
私たちと一緒にセキュリティに強い開発者の育成を始めましょう。以下をチェックしてください。
コース
ミッション
開発者トレーニング
... そしてもっと!
技術ニュースを数分間閲覧するだけで、脅威環境がいかに危険になりつつあるかがすぐに明らかになります。毎日、重大な侵害、新たな脆弱性、またはサイバー攻撃者や犯罪者による活発な悪用の脅威に関する報告が寄せられているようです。そして、ほぼすべての業界指標とレポートには、 ますます危険 サイバー脅威の数、ほとんどの専門家がこの傾向を予測しています 続けます 今後何年にもわたって。
こうした新たな脅威に立ち向かうのは、ITセキュリティ担当者の最前線で、人員不足と人員不足が深刻化しています。高給で、どの企業や組織にとっても必要不可欠な存在であるにもかかわらず、セキュリティ担当者が不足していることは決してありません。では 最近の調査 戦略国際問題研究センターが実施した調査では、ITの意思決定者の 82% が、組織がサイバーセキュリティスキルの不足に苦しんでいると答え、71% が、その不足が組織に直接かつ測定可能な損害をもたらしたと回答しました。報告書によると、米国だけでも、約94万人しか雇用されていない分野で、52万件以上のサイバーセキュリティ関連の求人が空いていることがわかりました。
世界中で、現在約 350万件のサイバーセキュリティ関連の仕事 これらは未定です。つまり、トップレベルの専門家を雇用して維持するために多額の費用を払っても構わないと思っている組織でさえ、適切な候補者を見つけるのに苦労しているということです。平均すると、所要時間は約 21% 長くなります サイバーセキュリティを埋める どんな仕事よりもポジションを埋めることができれば。
開発者支援があまりにも長い間無視されてきた
で書き留めました 過去のブログ多数 サイバーセキュリティ防御におけるこれらの重大なギャップを埋めるために開発者を活用できるということです。ただ、従来、開発者はサイバーセキュリティに関するトレーニングを受けていなかったのです。彼らの職務遂行能力は、ほとんどすべて導入までのスピードと時間に基づいていました。セキュリティは、さらに先のアプリケーションセキュリティチームの仕事でした。
残念なことに、単に方針を変えて、開発者に急にアプリケーションやプログラムにセキュリティを追加し始めるように頼むだけの問題ではありません。たとえ開発者が進んでそうした変更を行おうとしても、調査の結果、その多くがそうであることが明らかになったとしても、それを実現するためにはやはりトレーニングが必要です。また、上層部からの励ましや支援も必要ですが、有意義な学習が可能になることが、最初の、そして多くの場合最大の障害となります。
世界中で何百万もの高給で安全性の高いITセキュリティ職が空いているのには理由があります。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。比較的技術に精通した開発者であっても、サイバーセキュリティを教えようとしても、定型的なトレーニングを効率的に行うことはできません。そのトレーニングは、すぐに実施され、記憶に残らず、プラスの影響も最小限に抑えられます。特に、すでに過大な負担がかかっているスケジュールにこれらの要件が追加された場合はなおさらです。
足場を作って高台にたどり着こう
従来の方法でサイバーセキュリティスキルを教えることは、地面から足を離さずに超高層ビルを建てようとするようなものです。学生にはサイバーセキュリティのような複雑な分野の多くの高レベルの概念を習得するのに必要な基礎がないので、それは不可能です。これを補うには、という概念があります。 足場学習 雇用することができます。
スキルアップに足場型のアプローチ、つまり「階層化」アプローチを使用する場合、大きなトピックは通常、個別の学習経験や概念に分解されます。これにより、学生は適切な演習と指導を行って各概念を習得し、各要素に必要なすべてのサポートを受けることができます。建物の高さが高くなるにつれて物理的な足場が構築されるのと同じように、新しく高度な概念はすでに習得されている概念の上に重ねられます。こうすることで、学生は支援なしでは習得できないレベルよりも高いレベルの理解とスキルの習得が可能になります。
そして、物理的な足場と同じように、そのサポートは不要になると段階的に取り除かれ、生徒が習熟するにつれて生徒に対する責任も大きくなります。
足場型学習は主に、生徒が支援なしで困難な課題に取り組んだときにイライラしたり、おびえたり、落胆したりしたときに経験する可能性のある否定的な感情や自己認識を減らすために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組むときにも大きな価値があります。開発者を子供のように扱う方法とはほど遠く、セキュリティチームでの経験がイライラさせたり落胆させたりするような同じ効果をもたらす可能性がある場合、特に彼らの努力がバグ修正や新たな批判とともに送り返される場合は、非常に役立ちます。
開発者がセキュアコーディングの基礎を理解するためのツールが提供される場合 (通常は OWASP トップ10)、セキュリティバグがどのように発生するのか、なぜ危険なのか、本番環境に移行する前に修正する方法を自分で確認できます。そこから、より複雑な脆弱性に取り組み、適切な修正を適用するための実践的な経験を積むことで、知識を広げることができます。レイヤーは少しずつ増えていき、安全でないソフトウェアアーキテクチャや脅威モデリングなどの高度なセキュリティ問題に関しては、これらの飛躍はそれほど恐ろしいものではなく、正確に取り組むことができます。
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織はより高品質のソフトウェアを作成できるように、開発者支援のための新しい標準を採用することができます。エンジニアリング部門でスキルの向上に取り組んでいる組織へのおまけとして、各段階または足場の各レベルは、学習を進めていくうちに、サイバーセキュリティの強化に直接つながります。結果を見るためにコースが終了するまで待つ必要はありません。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。セキュリティプログラムを足場に組み込むことで最大限に活用でき、メリットはほぼすぐに明らかになります。改善はほぼ即座に開始され、時間が経つにつれて改善され続けます。
私たちと一緒にセキュリティに強い開発者の育成を始めましょう。以下をチェックしてください。
コース
ミッション
開発者トレーニング
... そしてもっと!
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。Matias はゲント大学で静的分析ソリューションを中心にアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手伝わずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesome の一員としてデスクにいないときは、RSA カンファレンス、BlackHat、DefCon などのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Matiasは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れているときには、マティアスは上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
技術ニュースを数分間閲覧するだけで、脅威環境がいかに危険になりつつあるかがすぐに明らかになります。毎日、重大な侵害、新たな脆弱性、またはサイバー攻撃者や犯罪者による活発な悪用の脅威に関する報告が寄せられているようです。そして、ほぼすべての業界指標とレポートには、 ますます危険 サイバー脅威の数、ほとんどの専門家がこの傾向を予測しています 続けます 今後何年にもわたって。
こうした新たな脅威に立ち向かうのは、ITセキュリティ担当者の最前線で、人員不足と人員不足が深刻化しています。高給で、どの企業や組織にとっても必要不可欠な存在であるにもかかわらず、セキュリティ担当者が不足していることは決してありません。では 最近の調査 戦略国際問題研究センターが実施した調査では、ITの意思決定者の 82% が、組織がサイバーセキュリティスキルの不足に苦しんでいると答え、71% が、その不足が組織に直接かつ測定可能な損害をもたらしたと回答しました。報告書によると、米国だけでも、約94万人しか雇用されていない分野で、52万件以上のサイバーセキュリティ関連の求人が空いていることがわかりました。
世界中で、現在約 350万件のサイバーセキュリティ関連の仕事 これらは未定です。つまり、トップレベルの専門家を雇用して維持するために多額の費用を払っても構わないと思っている組織でさえ、適切な候補者を見つけるのに苦労しているということです。平均すると、所要時間は約 21% 長くなります サイバーセキュリティを埋める どんな仕事よりもポジションを埋めることができれば。
開発者支援があまりにも長い間無視されてきた
で書き留めました 過去のブログ多数 サイバーセキュリティ防御におけるこれらの重大なギャップを埋めるために開発者を活用できるということです。ただ、従来、開発者はサイバーセキュリティに関するトレーニングを受けていなかったのです。彼らの職務遂行能力は、ほとんどすべて導入までのスピードと時間に基づいていました。セキュリティは、さらに先のアプリケーションセキュリティチームの仕事でした。
残念なことに、単に方針を変えて、開発者に急にアプリケーションやプログラムにセキュリティを追加し始めるように頼むだけの問題ではありません。たとえ開発者が進んでそうした変更を行おうとしても、調査の結果、その多くがそうであることが明らかになったとしても、それを実現するためにはやはりトレーニングが必要です。また、上層部からの励ましや支援も必要ですが、有意義な学習が可能になることが、最初の、そして多くの場合最大の障害となります。
世界中で何百万もの高給で安全性の高いITセキュリティ職が空いているのには理由があります。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。比較的技術に精通した開発者であっても、サイバーセキュリティを教えようとしても、定型的なトレーニングを効率的に行うことはできません。そのトレーニングは、すぐに実施され、記憶に残らず、プラスの影響も最小限に抑えられます。特に、すでに過大な負担がかかっているスケジュールにこれらの要件が追加された場合はなおさらです。
足場を作って高台にたどり着こう
従来の方法でサイバーセキュリティスキルを教えることは、地面から足を離さずに超高層ビルを建てようとするようなものです。学生にはサイバーセキュリティのような複雑な分野の多くの高レベルの概念を習得するのに必要な基礎がないので、それは不可能です。これを補うには、という概念があります。 足場学習 雇用することができます。
スキルアップに足場型のアプローチ、つまり「階層化」アプローチを使用する場合、大きなトピックは通常、個別の学習経験や概念に分解されます。これにより、学生は適切な演習と指導を行って各概念を習得し、各要素に必要なすべてのサポートを受けることができます。建物の高さが高くなるにつれて物理的な足場が構築されるのと同じように、新しく高度な概念はすでに習得されている概念の上に重ねられます。こうすることで、学生は支援なしでは習得できないレベルよりも高いレベルの理解とスキルの習得が可能になります。
そして、物理的な足場と同じように、そのサポートは不要になると段階的に取り除かれ、生徒が習熟するにつれて生徒に対する責任も大きくなります。
足場型学習は主に、生徒が支援なしで困難な課題に取り組んだときにイライラしたり、おびえたり、落胆したりしたときに経験する可能性のある否定的な感情や自己認識を減らすために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組むときにも大きな価値があります。開発者を子供のように扱う方法とはほど遠く、セキュリティチームでの経験がイライラさせたり落胆させたりするような同じ効果をもたらす可能性がある場合、特に彼らの努力がバグ修正や新たな批判とともに送り返される場合は、非常に役立ちます。
開発者がセキュアコーディングの基礎を理解するためのツールが提供される場合 (通常は OWASP トップ10)、セキュリティバグがどのように発生するのか、なぜ危険なのか、本番環境に移行する前に修正する方法を自分で確認できます。そこから、より複雑な脆弱性に取り組み、適切な修正を適用するための実践的な経験を積むことで、知識を広げることができます。レイヤーは少しずつ増えていき、安全でないソフトウェアアーキテクチャや脅威モデリングなどの高度なセキュリティ問題に関しては、これらの飛躍はそれほど恐ろしいものではなく、正確に取り組むことができます。
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織はより高品質のソフトウェアを作成できるように、開発者支援のための新しい標準を採用することができます。エンジニアリング部門でスキルの向上に取り組んでいる組織へのおまけとして、各段階または足場の各レベルは、学習を進めていくうちに、サイバーセキュリティの強化に直接つながります。結果を見るためにコースが終了するまで待つ必要はありません。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。セキュリティプログラムを足場に組み込むことで最大限に活用でき、メリットはほぼすぐに明らかになります。改善はほぼ即座に開始され、時間が経つにつれて改善され続けます。
私たちと一緒にセキュリティに強い開発者の育成を始めましょう。以下をチェックしてください。
コース
ミッション
開発者トレーニング
... そしてもっと!
目次
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。Matias はゲント大学で静的分析ソリューションを中心にアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手伝わずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesome の一員としてデスクにいないときは、RSA カンファレンス、BlackHat、DefCon などのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
