開発者向けセキュリティトレーニングを効果的に展開する方法:5 つの重要な教訓
ある開発者向けアプリケーション・セキュリティ・トレーニング・プログラムが他のプログラムよりも良い結果をもたらすのはなぜですか?
SANS トレーナーとして 10 年以上働き、過去 3 年間 Secure Code Warrior (SCW) を創設して構築してきた中で、トレーニングプログラムの作成に時間とリソースを投資することが、最良の結果を生むことに価値を見出してきました。
販売初年度に、当社は1万人以上の開発者を雇用しました セキュアコードトレーニングそして、ロールアウトが最も効果的だった企業の傾向がいくつかあることに気付きました。その結果は心温まるものです。多額の費用がかかる前にセキュリティの弱点を早期に発見することで、エンゲージメントが向上し、セキュリティ意識が高まり、プログラムのROIが向上しました。
認めるのは嫌ですが、「手間がかからない」アプローチで、トレーニングへのリンクを記載したメールを送信してプログラムを展開しようとした人もいます。当然のことながら、うまくいきませんでした。そのため、これらのロールアウトを修正する必要がありました。
以下では、私たちのプログラムを含め、あらゆる開発者セキュリティトレーニングプログラムのエンゲージメントレベル、影響力、成功を大幅に高めると私が信じる5つの重要な教訓を紹介します。
1。プログラムにインパクトを持たせたいなら、キックオフに楽しい時間を入れてください。
特別なキックオフデーイベントを開催したり、番組に映画/マニアック/ゲームをテーマにしたりすることで、最初から興奮と参加のレベルが大きく変わる可能性があります。ある大口のお客様が、人気のテレビシリーズを中心に T シャツ、バッジ、ステッカーを使ったファンタジー番組を制作しました。これにより、トレーニングプログラム全体が、開発者なら見逃せない体験となっています。また、5月4日に都合よく開催された「スター・ウォーズ」をテーマにしたイベントもありました。ちょっとした楽しみが従業員の参加を助けるのに大いに役立ちます。重要なデベロッパー・セキュア・コード・スキルトレーニングを短期間だけ行うことで、やるべき別のタスクというよりは、仕事から離れるような気分にさせてくれます。#1 というマイルストーンが達成されました。私たちは彼らの関心を集め、彼らもこのプログラムについて知っています。
2。適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
各スクラムチームで適切なセキュリティチャンピオンを見つけることができることは、特に大規模な組織では、プログラムを継続的に成功させるために不可欠です。私の経験では、高度なスキルを持つセキュリティや開発者の専門家全員が高度に発達した人材やコミュニケーションスキルを持っているわけではありません。最高のセキュリティチャンピオン、つまりプログラムに継続的にプラスの影響を与えるのは、セキュリティに情熱を持ち、強力な人材、影響力、コミュニケーションスキルを持つ人々です。性格やコミュニケーション能力を考慮して、賢く選択してください。
3。スキルが認められる素敵な報酬を手に入れよう
一般に、「開発者を含む」すべてのコンピューターオタクは、その知性とスキルで認められることを好みます。特定のステータスステッカー、マニアックなガジェット、特別なバッジ、または自分のスキルを称えるカスタムプリントTシャツをプレゼントすると、彼らは誇りを持って身に着けたり見せたりします。研修プログラムで何か重要なことを達成した人がいたら、その人に認めてもらい、露出してもらう方法を考えることが重要です。あるお客様が、Secure Code Warriorのチャンピオンの写真を定期的に撮影し、それを会社のCISOからの写真とメッセージと一緒に従業員向けニュースレターに投稿するという素晴らしい取り組みを目にしました。
4。開発者をセキュリティの専門家にしようとしないでください
開発者が安全にコーディングできるよう支援することで、開発者をセキュリティプログラムの「最前線」にしたいと考えていますが、だからといって、開発者がビジネスで最も詳細なセキュリティ専門家である必要はなく、新しいセキュリティ脆弱性やデータ侵害の例を継続的に彼らに伝えなければならないということでもありません。セキュリティは重要ですが、彼らの主な目的は多くの場合、優れた製品やサービスを構築し、ビジネスのペースに従うことです。セキュリティを重視しすぎると、その人を離れてしまうリスクがあります。学んだ重要な教訓は、彼らは基本的なセキュリティ衛生を理解し、安全にコーディングするためのツールで彼らをサポートする必要があるということですが、会社のセキュリティ専門家である必要はありません。
5。トレーニングを測るんじゃなくて、インパクトを測れ
各チームでプログラムを開始する前に、開発者が受けたトレーニング時間や視聴した動画の数を測定したり、コード分析、バグバウンティ、従来の脆弱性テストを通じて開発ライフサイクルで発見された弱点の数を測定したりしないでください。トレーニングプログラムがうまく機能していれば、特定される脆弱性の数は減ります。2 番目に測定すべきことは、脆弱性の修正にかかる時間です。開発者が修正に 1 か月かかる場合は、その開発者がその方法を理解していないことは明らかですが、1 時間以内に修正できれば、その開発者はスキルを習得していることになります。賢い企業が開発者のセキュア・コーディング・トレーニングの影響を測定するために採用しているのは、この2つの指標です。
効果的なデベロッパー・セキュリティ・トレーニングを展開する方法に関する5つの重要な教訓:
- プログラムにインパクトを持たせたい場合は、キックオフで楽しい時間を過ごしてください
- 適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
- スキルが表彰される素敵な報酬をゲットしよう
- 開発者をセキュリティの専門家にしようとしないでください
- トレーニングを測定するのではなく、影響を測定してください
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
ある開発者向けアプリケーション・セキュリティ・トレーニング・プログラムが他のプログラムよりも良い結果をもたらすのはなぜですか?
SANS トレーナーとして 10 年以上働き、過去 3 年間 Secure Code Warrior (SCW) を創設して構築してきた中で、トレーニングプログラムの作成に時間とリソースを投資することが、最良の結果を生むことに価値を見出してきました。
販売初年度に、当社は1万人以上の開発者を雇用しました セキュアコードトレーニングそして、ロールアウトが最も効果的だった企業の傾向がいくつかあることに気付きました。その結果は心温まるものです。多額の費用がかかる前にセキュリティの弱点を早期に発見することで、エンゲージメントが向上し、セキュリティ意識が高まり、プログラムのROIが向上しました。
認めるのは嫌ですが、「手間がかからない」アプローチで、トレーニングへのリンクを記載したメールを送信してプログラムを展開しようとした人もいます。当然のことながら、うまくいきませんでした。そのため、これらのロールアウトを修正する必要がありました。
以下では、私たちのプログラムを含め、あらゆる開発者セキュリティトレーニングプログラムのエンゲージメントレベル、影響力、成功を大幅に高めると私が信じる5つの重要な教訓を紹介します。
1。プログラムにインパクトを持たせたいなら、キックオフに楽しい時間を入れてください。
特別なキックオフデーイベントを開催したり、番組に映画/マニアック/ゲームをテーマにしたりすることで、最初から興奮と参加のレベルが大きく変わる可能性があります。ある大口のお客様が、人気のテレビシリーズを中心に T シャツ、バッジ、ステッカーを使ったファンタジー番組を制作しました。これにより、トレーニングプログラム全体が、開発者なら見逃せない体験となっています。また、5月4日に都合よく開催された「スター・ウォーズ」をテーマにしたイベントもありました。ちょっとした楽しみが従業員の参加を助けるのに大いに役立ちます。重要なデベロッパー・セキュア・コード・スキルトレーニングを短期間だけ行うことで、やるべき別のタスクというよりは、仕事から離れるような気分にさせてくれます。#1 というマイルストーンが達成されました。私たちは彼らの関心を集め、彼らもこのプログラムについて知っています。
2。適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
各スクラムチームで適切なセキュリティチャンピオンを見つけることができることは、特に大規模な組織では、プログラムを継続的に成功させるために不可欠です。私の経験では、高度なスキルを持つセキュリティや開発者の専門家全員が高度に発達した人材やコミュニケーションスキルを持っているわけではありません。最高のセキュリティチャンピオン、つまりプログラムに継続的にプラスの影響を与えるのは、セキュリティに情熱を持ち、強力な人材、影響力、コミュニケーションスキルを持つ人々です。性格やコミュニケーション能力を考慮して、賢く選択してください。
3。スキルが認められる素敵な報酬を手に入れよう
一般に、「開発者を含む」すべてのコンピューターオタクは、その知性とスキルで認められることを好みます。特定のステータスステッカー、マニアックなガジェット、特別なバッジ、または自分のスキルを称えるカスタムプリントTシャツをプレゼントすると、彼らは誇りを持って身に着けたり見せたりします。研修プログラムで何か重要なことを達成した人がいたら、その人に認めてもらい、露出してもらう方法を考えることが重要です。あるお客様が、Secure Code Warriorのチャンピオンの写真を定期的に撮影し、それを会社のCISOからの写真とメッセージと一緒に従業員向けニュースレターに投稿するという素晴らしい取り組みを目にしました。
4。開発者をセキュリティの専門家にしようとしないでください
開発者が安全にコーディングできるよう支援することで、開発者をセキュリティプログラムの「最前線」にしたいと考えていますが、だからといって、開発者がビジネスで最も詳細なセキュリティ専門家である必要はなく、新しいセキュリティ脆弱性やデータ侵害の例を継続的に彼らに伝えなければならないということでもありません。セキュリティは重要ですが、彼らの主な目的は多くの場合、優れた製品やサービスを構築し、ビジネスのペースに従うことです。セキュリティを重視しすぎると、その人を離れてしまうリスクがあります。学んだ重要な教訓は、彼らは基本的なセキュリティ衛生を理解し、安全にコーディングするためのツールで彼らをサポートする必要があるということですが、会社のセキュリティ専門家である必要はありません。
5。トレーニングを測るんじゃなくて、インパクトを測れ
各チームでプログラムを開始する前に、開発者が受けたトレーニング時間や視聴した動画の数を測定したり、コード分析、バグバウンティ、従来の脆弱性テストを通じて開発ライフサイクルで発見された弱点の数を測定したりしないでください。トレーニングプログラムがうまく機能していれば、特定される脆弱性の数は減ります。2 番目に測定すべきことは、脆弱性の修正にかかる時間です。開発者が修正に 1 か月かかる場合は、その開発者がその方法を理解していないことは明らかですが、1 時間以内に修正できれば、その開発者はスキルを習得していることになります。賢い企業が開発者のセキュア・コーディング・トレーニングの影響を測定するために採用しているのは、この2つの指標です。
効果的なデベロッパー・セキュリティ・トレーニングを展開する方法に関する5つの重要な教訓:
- プログラムにインパクトを持たせたい場合は、キックオフで楽しい時間を過ごしてください
- 適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
- スキルが表彰される素敵な報酬をゲットしよう
- 開発者をセキュリティの専門家にしようとしないでください
- トレーニングを測定するのではなく、影響を測定してください
ある開発者向けアプリケーション・セキュリティ・トレーニング・プログラムが他のプログラムよりも良い結果をもたらすのはなぜですか?
SANS トレーナーとして 10 年以上働き、過去 3 年間 Secure Code Warrior (SCW) を創設して構築してきた中で、トレーニングプログラムの作成に時間とリソースを投資することが、最良の結果を生むことに価値を見出してきました。
販売初年度に、当社は1万人以上の開発者を雇用しました セキュアコードトレーニングそして、ロールアウトが最も効果的だった企業の傾向がいくつかあることに気付きました。その結果は心温まるものです。多額の費用がかかる前にセキュリティの弱点を早期に発見することで、エンゲージメントが向上し、セキュリティ意識が高まり、プログラムのROIが向上しました。
認めるのは嫌ですが、「手間がかからない」アプローチで、トレーニングへのリンクを記載したメールを送信してプログラムを展開しようとした人もいます。当然のことながら、うまくいきませんでした。そのため、これらのロールアウトを修正する必要がありました。
以下では、私たちのプログラムを含め、あらゆる開発者セキュリティトレーニングプログラムのエンゲージメントレベル、影響力、成功を大幅に高めると私が信じる5つの重要な教訓を紹介します。
1。プログラムにインパクトを持たせたいなら、キックオフに楽しい時間を入れてください。
特別なキックオフデーイベントを開催したり、番組に映画/マニアック/ゲームをテーマにしたりすることで、最初から興奮と参加のレベルが大きく変わる可能性があります。ある大口のお客様が、人気のテレビシリーズを中心に T シャツ、バッジ、ステッカーを使ったファンタジー番組を制作しました。これにより、トレーニングプログラム全体が、開発者なら見逃せない体験となっています。また、5月4日に都合よく開催された「スター・ウォーズ」をテーマにしたイベントもありました。ちょっとした楽しみが従業員の参加を助けるのに大いに役立ちます。重要なデベロッパー・セキュア・コード・スキルトレーニングを短期間だけ行うことで、やるべき別のタスクというよりは、仕事から離れるような気分にさせてくれます。#1 というマイルストーンが達成されました。私たちは彼らの関心を集め、彼らもこのプログラムについて知っています。
2。適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
各スクラムチームで適切なセキュリティチャンピオンを見つけることができることは、特に大規模な組織では、プログラムを継続的に成功させるために不可欠です。私の経験では、高度なスキルを持つセキュリティや開発者の専門家全員が高度に発達した人材やコミュニケーションスキルを持っているわけではありません。最高のセキュリティチャンピオン、つまりプログラムに継続的にプラスの影響を与えるのは、セキュリティに情熱を持ち、強力な人材、影響力、コミュニケーションスキルを持つ人々です。性格やコミュニケーション能力を考慮して、賢く選択してください。
3。スキルが認められる素敵な報酬を手に入れよう
一般に、「開発者を含む」すべてのコンピューターオタクは、その知性とスキルで認められることを好みます。特定のステータスステッカー、マニアックなガジェット、特別なバッジ、または自分のスキルを称えるカスタムプリントTシャツをプレゼントすると、彼らは誇りを持って身に着けたり見せたりします。研修プログラムで何か重要なことを達成した人がいたら、その人に認めてもらい、露出してもらう方法を考えることが重要です。あるお客様が、Secure Code Warriorのチャンピオンの写真を定期的に撮影し、それを会社のCISOからの写真とメッセージと一緒に従業員向けニュースレターに投稿するという素晴らしい取り組みを目にしました。
4。開発者をセキュリティの専門家にしようとしないでください
開発者が安全にコーディングできるよう支援することで、開発者をセキュリティプログラムの「最前線」にしたいと考えていますが、だからといって、開発者がビジネスで最も詳細なセキュリティ専門家である必要はなく、新しいセキュリティ脆弱性やデータ侵害の例を継続的に彼らに伝えなければならないということでもありません。セキュリティは重要ですが、彼らの主な目的は多くの場合、優れた製品やサービスを構築し、ビジネスのペースに従うことです。セキュリティを重視しすぎると、その人を離れてしまうリスクがあります。学んだ重要な教訓は、彼らは基本的なセキュリティ衛生を理解し、安全にコーディングするためのツールで彼らをサポートする必要があるということですが、会社のセキュリティ専門家である必要はありません。
5。トレーニングを測るんじゃなくて、インパクトを測れ
各チームでプログラムを開始する前に、開発者が受けたトレーニング時間や視聴した動画の数を測定したり、コード分析、バグバウンティ、従来の脆弱性テストを通じて開発ライフサイクルで発見された弱点の数を測定したりしないでください。トレーニングプログラムがうまく機能していれば、特定される脆弱性の数は減ります。2 番目に測定すべきことは、脆弱性の修正にかかる時間です。開発者が修正に 1 か月かかる場合は、その開発者がその方法を理解していないことは明らかですが、1 時間以内に修正できれば、その開発者はスキルを習得していることになります。賢い企業が開発者のセキュア・コーディング・トレーニングの影響を測定するために採用しているのは、この2つの指標です。
効果的なデベロッパー・セキュリティ・トレーニングを展開する方法に関する5つの重要な教訓:
- プログラムにインパクトを持たせたい場合は、キックオフで楽しい時間を過ごしてください
- 適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
- スキルが表彰される素敵な報酬をゲットしよう
- 開発者をセキュリティの専門家にしようとしないでください
- トレーニングを測定するのではなく、影響を測定してください
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
ある開発者向けアプリケーション・セキュリティ・トレーニング・プログラムが他のプログラムよりも良い結果をもたらすのはなぜですか?
SANS トレーナーとして 10 年以上働き、過去 3 年間 Secure Code Warrior (SCW) を創設して構築してきた中で、トレーニングプログラムの作成に時間とリソースを投資することが、最良の結果を生むことに価値を見出してきました。
販売初年度に、当社は1万人以上の開発者を雇用しました セキュアコードトレーニングそして、ロールアウトが最も効果的だった企業の傾向がいくつかあることに気付きました。その結果は心温まるものです。多額の費用がかかる前にセキュリティの弱点を早期に発見することで、エンゲージメントが向上し、セキュリティ意識が高まり、プログラムのROIが向上しました。
認めるのは嫌ですが、「手間がかからない」アプローチで、トレーニングへのリンクを記載したメールを送信してプログラムを展開しようとした人もいます。当然のことながら、うまくいきませんでした。そのため、これらのロールアウトを修正する必要がありました。
以下では、私たちのプログラムを含め、あらゆる開発者セキュリティトレーニングプログラムのエンゲージメントレベル、影響力、成功を大幅に高めると私が信じる5つの重要な教訓を紹介します。
1。プログラムにインパクトを持たせたいなら、キックオフに楽しい時間を入れてください。
特別なキックオフデーイベントを開催したり、番組に映画/マニアック/ゲームをテーマにしたりすることで、最初から興奮と参加のレベルが大きく変わる可能性があります。ある大口のお客様が、人気のテレビシリーズを中心に T シャツ、バッジ、ステッカーを使ったファンタジー番組を制作しました。これにより、トレーニングプログラム全体が、開発者なら見逃せない体験となっています。また、5月4日に都合よく開催された「スター・ウォーズ」をテーマにしたイベントもありました。ちょっとした楽しみが従業員の参加を助けるのに大いに役立ちます。重要なデベロッパー・セキュア・コード・スキルトレーニングを短期間だけ行うことで、やるべき別のタスクというよりは、仕事から離れるような気分にさせてくれます。#1 というマイルストーンが達成されました。私たちは彼らの関心を集め、彼らもこのプログラムについて知っています。
2。適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
各スクラムチームで適切なセキュリティチャンピオンを見つけることができることは、特に大規模な組織では、プログラムを継続的に成功させるために不可欠です。私の経験では、高度なスキルを持つセキュリティや開発者の専門家全員が高度に発達した人材やコミュニケーションスキルを持っているわけではありません。最高のセキュリティチャンピオン、つまりプログラムに継続的にプラスの影響を与えるのは、セキュリティに情熱を持ち、強力な人材、影響力、コミュニケーションスキルを持つ人々です。性格やコミュニケーション能力を考慮して、賢く選択してください。
3。スキルが認められる素敵な報酬を手に入れよう
一般に、「開発者を含む」すべてのコンピューターオタクは、その知性とスキルで認められることを好みます。特定のステータスステッカー、マニアックなガジェット、特別なバッジ、または自分のスキルを称えるカスタムプリントTシャツをプレゼントすると、彼らは誇りを持って身に着けたり見せたりします。研修プログラムで何か重要なことを達成した人がいたら、その人に認めてもらい、露出してもらう方法を考えることが重要です。あるお客様が、Secure Code Warriorのチャンピオンの写真を定期的に撮影し、それを会社のCISOからの写真とメッセージと一緒に従業員向けニュースレターに投稿するという素晴らしい取り組みを目にしました。
4。開発者をセキュリティの専門家にしようとしないでください
開発者が安全にコーディングできるよう支援することで、開発者をセキュリティプログラムの「最前線」にしたいと考えていますが、だからといって、開発者がビジネスで最も詳細なセキュリティ専門家である必要はなく、新しいセキュリティ脆弱性やデータ侵害の例を継続的に彼らに伝えなければならないということでもありません。セキュリティは重要ですが、彼らの主な目的は多くの場合、優れた製品やサービスを構築し、ビジネスのペースに従うことです。セキュリティを重視しすぎると、その人を離れてしまうリスクがあります。学んだ重要な教訓は、彼らは基本的なセキュリティ衛生を理解し、安全にコーディングするためのツールで彼らをサポートする必要があるということですが、会社のセキュリティ専門家である必要はありません。
5。トレーニングを測るんじゃなくて、インパクトを測れ
各チームでプログラムを開始する前に、開発者が受けたトレーニング時間や視聴した動画の数を測定したり、コード分析、バグバウンティ、従来の脆弱性テストを通じて開発ライフサイクルで発見された弱点の数を測定したりしないでください。トレーニングプログラムがうまく機能していれば、特定される脆弱性の数は減ります。2 番目に測定すべきことは、脆弱性の修正にかかる時間です。開発者が修正に 1 か月かかる場合は、その開発者がその方法を理解していないことは明らかですが、1 時間以内に修正できれば、その開発者はスキルを習得していることになります。賢い企業が開発者のセキュア・コーディング・トレーニングの影響を測定するために採用しているのは、この2つの指標です。
効果的なデベロッパー・セキュリティ・トレーニングを展開する方法に関する5つの重要な教訓:
- プログラムにインパクトを持たせたい場合は、キックオフで楽しい時間を過ごしてください
- 適切な開発者セキュリティトレーニングチャンピオンを見つけましょう (ヒント:彼らにはセキュリティスキルよりもコミュニケーションスキルが必要です!)
- スキルが表彰される素敵な報酬をゲットしよう
- 開発者をセキュリティの専門家にしようとしないでください
- トレーニングを測定するのではなく、影響を測定してください
%20(1).avif)
.avif)
