繰り返し使える安全なコーディングスキルで左にシフトし、コンプライアンスを達成
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
さらに読むには
ホワイトペーパー:ソフトウェア・セキュリティを向上させるための課題 (および機会)
ホワイトペーパー: ソフトウェアセキュリティに対する開発者による予防的アプローチ。
レポート:開発者主導のセキュリティの現状。
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
Secure Code Warrior让安全编码成为一种积极而富有吸引力的体验,随着开发者技能的提升而不断进阶。它引导每位程序员踏上他们期望的学习之路,使具备安全技能的开发者能够在互联世界中成为日常的超级英雄。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
Secure Code Warrior让安全编码成为一种积极而富有吸引力的体验,随着开发者技能的提升而不断进阶。它引导每位程序员踏上他们期望的学习之路,使具备安全技能的开发者能够在互联世界中成为日常的超级英雄。
本文由Secure Code Warrior的行业专家团队撰写,旨在帮助开发者掌握从零开始构建安全软件的知识与技能。我们运用了关于安全编码实践的深厚专业知识、行业动态以及现实世界的洞察。
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
さらに読むには
ホワイトペーパー:ソフトウェア・セキュリティを向上させるための課題 (および機会)
ホワイトペーパー: ソフトウェアセキュリティに対する開発者による予防的アプローチ。
レポート:開発者主導のセキュリティの現状。
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
さらに読むには
ホワイトペーパー:ソフトウェア・セキュリティを向上させるための課題 (および機会)
ホワイトペーパー: ソフトウェアセキュリティに対する開発者による予防的アプローチ。
レポート:開発者主導のセキュリティの現状。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
Secure Code Warrior让安全编码成为一种积极而富有吸引力的体验,随着开发者技能的提升而不断进阶。它引导每位程序员踏上他们期望的学习之路,使具备安全技能的开发者能够在互联世界中成为日常的超级英雄。
本文由Secure Code Warrior的行业专家团队撰写,旨在帮助开发者掌握从零开始构建安全软件的知识与技能。我们运用了关于安全编码实践的深厚专业知识、行业动态以及现实世界的洞察。
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
%20(1).avif)
.avif)
