繰り返し使える安全なコーディングスキルで左にシフトし、コンプライアンスを達成
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
さらに読むには
ホワイトペーパー:ソフトウェア・セキュリティを向上させるための課題 (および機会)
ホワイトペーパー: ソフトウェアセキュリティに対する開発者による予防的アプローチ。
レポート:開発者主導のセキュリティの現状。
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Dieser Artikel wurde vom Branchenexperten-Team von Secure Code Warrior verfasst. Er zielt darauf ab, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie benötigen, um von Anfang an sichere Software zu entwickeln. Dabei werden fundierte Fachkenntnisse über die Praxis des sicheren Codierens, Branchentrends und Einblicke aus der Praxis genutzt.
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
さらに読むには
ホワイトペーパー:ソフトウェア・セキュリティを向上させるための課題 (および機会)
ホワイトペーパー: ソフトウェアセキュリティに対する開発者による予防的アプローチ。
レポート:開発者主導のセキュリティの現状。
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
さらに読むには
ホワイトペーパー:ソフトウェア・セキュリティを向上させるための課題 (および機会)
ホワイトペーパー: ソフトウェアセキュリティに対する開発者による予防的アプローチ。
レポート:開発者主導のセキュリティの現状。
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Dieser Artikel wurde vom Branchenexperten-Team von Secure Code Warrior verfasst. Er zielt darauf ab, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie benötigen, um von Anfang an sichere Software zu entwickeln. Dabei werden fundierte Fachkenntnisse über die Praxis des sicheren Codierens, Branchentrends und Einblicke aus der Praxis genutzt.
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
さらに読むには
ホワイトペーパー:ソフトウェア・セキュリティを向上させるための課題 (および機会)
ホワイトペーパー: ソフトウェアセキュリティに対する開発者による予防的アプローチ。
レポート:開発者主導のセキュリティの現状。
目次
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
