足場型学習がセキュリティに強い開発者を育てる理由

技術ニュースを数分間閲覧するだけで、脅威環境がいかに危険になりつつあるかがすぐに明らかになります。毎日、重大な侵害、新たな脆弱性、またはサイバー攻撃者や犯罪者による活発な悪用の脅威に関する報告が寄せられているようです。そして、ほぼすべての業界指標とレポートには、 ますます危険 サイバー脅威の数、ほとんどの専門家がこの傾向を予測しています 続けます 今後何年にもわたって。
こうした新たな脅威に立ち向かうのは、ITセキュリティ担当者の最前線で、人員不足と人員不足が深刻化しています。高給で、どの企業や組織にとっても必要不可欠な存在であるにもかかわらず、セキュリティ担当者が不足していることは決してありません。では 最近の調査 戦略国際問題研究センターが実施した調査では、ITの意思決定者の 82% が、組織がサイバーセキュリティスキルの不足に苦しんでいると答え、71% が、その不足が組織に直接かつ測定可能な損害をもたらしたと回答しました。報告書によると、米国だけでも、約94万人しか雇用されていない分野で、52万件以上のサイバーセキュリティ関連の求人が空いていることがわかりました。
世界中で、現在約 350万件のサイバーセキュリティ関連の仕事 これらは未定です。つまり、トップレベルの専門家を雇用して維持するために多額の費用を払っても構わないと思っている組織でさえ、適切な候補者を見つけるのに苦労しているということです。平均すると、所要時間は約 21% 長くなります サイバーセキュリティを埋める どんな仕事よりもポジションを埋めることができれば。
開発者支援があまりにも長い間無視されてきた
で書き留めました 過去のブログ多数 サイバーセキュリティ防御におけるこれらの重大なギャップを埋めるために開発者を活用できるということです。ただ、従来、開発者はサイバーセキュリティに関するトレーニングを受けていなかったのです。彼らの職務遂行能力は、ほとんどすべて導入までのスピードと時間に基づいていました。セキュリティは、さらに先のアプリケーションセキュリティチームの仕事でした。
残念なことに、単に方針を変えて、開発者に急にアプリケーションやプログラムにセキュリティを追加し始めるように頼むだけの問題ではありません。たとえ開発者が進んでそうした変更を行おうとしても、調査の結果、その多くがそうであることが明らかになったとしても、それを実現するためにはやはりトレーニングが必要です。また、上層部からの励ましや支援も必要ですが、有意義な学習が可能になることが、最初の、そして多くの場合最大の障害となります。
世界中で何百万もの高給で安全性の高いITセキュリティ職が空いているのには理由があります。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。比較的技術に精通した開発者であっても、サイバーセキュリティを教えようとしても、定型的なトレーニングを効率的に行うことはできません。そのトレーニングは、すぐに実施され、記憶に残らず、プラスの影響も最小限に抑えられます。特に、すでに過大な負担がかかっているスケジュールにこれらの要件が追加された場合はなおさらです。
足場を作って高台にたどり着こう
従来の方法でサイバーセキュリティスキルを教えることは、地面から足を離さずに超高層ビルを建てようとするようなものです。学生にはサイバーセキュリティのような複雑な分野の多くの高レベルの概念を習得するのに必要な基礎がないので、それは不可能です。これを補うには、という概念があります。 足場学習 雇用することができます。
スキルアップに足場型のアプローチ、つまり「階層化」アプローチを使用する場合、大きなトピックは通常、個別の学習経験や概念に分解されます。これにより、学生は適切な演習と指導を行って各概念を習得し、各要素に必要なすべてのサポートを受けることができます。建物の高さが高くなるにつれて物理的な足場が構築されるのと同じように、新しく高度な概念はすでに習得されている概念の上に重ねられます。こうすることで、学生は支援なしでは習得できないレベルよりも高いレベルの理解とスキルの習得が可能になります。
そして、物理的な足場と同じように、そのサポートは不要になると段階的に取り除かれ、生徒が習熟するにつれて生徒に対する責任も大きくなります。
足場型学習は主に、生徒が支援なしで困難な課題に取り組んだときにイライラしたり、おびえたり、落胆したりしたときに経験する可能性のある否定的な感情や自己認識を減らすために使用されます。しかし、現代のサイバーセキュリティのような非常に難しい概念に取り組むときにも大きな価値があります。開発者を子供のように扱う方法とはほど遠く、セキュリティチームでの経験がイライラさせたり落胆させたりするような同じ効果をもたらす可能性がある場合、特に彼らの努力がバグ修正や新たな批判とともに送り返される場合は、非常に役立ちます。
開発者がセキュアコーディングの基礎を理解するためのツールが提供される場合 (通常は OWASP トップ10)、セキュリティバグがどのように発生するのか、なぜ危険なのか、本番環境に移行する前に修正する方法を自分で確認できます。そこから、より複雑な脆弱性に取り組み、適切な修正を適用するための実践的な経験を積むことで、知識を広げることができます。レイヤーは少しずつ増えていき、安全でないソフトウェアアーキテクチャや脅威モデリングなどの高度なセキュリティ問題に関しては、これらの飛躍はそれほど恐ろしいものではなく、正確に取り組むことができます。
業界として、開発者がセキュリティの専門家になることを期待すべきではありませんが、組織はより高品質のソフトウェアを作成できるように、開発者支援のための新しい標準を採用することができます。エンジニアリング部門でスキルの向上に取り組んでいる組織へのおまけとして、各段階または足場の各レベルは、学習を進めていくうちに、サイバーセキュリティの強化に直接つながります。結果を見るためにコースが終了するまで待つ必要はありません。
サイバーセキュリティについて学ぶことは難しく、適切な支援や指導なしに習得することはほぼ不可能です。セキュリティプログラムを足場に組み込むことで最大限に活用でき、メリットはほぼすぐに明らかになります。改善はほぼ即座に開始され、時間が経つにつれて改善され続けます。
私たちと一緒にセキュリティに強い開発者の育成を始めましょう。以下をチェックしてください。
コース
ミッション
開発者トレーニング
... そしてもっと!
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
これは、オーラが射手と鼻の穴を広げることによって、腸管を熱的に発芽させ、臭いを帯びていることを防ぐためのものです。
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
.webp)
Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)
Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

