繰り返し使える安全なコーディングスキルで左にシフトし、コンプライアンスを達成
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
さらに読むには
ホワイトペーパー:ソフトウェア・セキュリティを向上させるための課題 (および機会)
ホワイトペーパー: ソフトウェアセキュリティに対する開発者による予防的アプローチ。
レポート:開発者主導のセキュリティの現状。
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Este artículo ha sido escrito por el equipo de expertos del sector de Secure Code Warrior. Su objetivo es que los desarrolladores adquieran los conocimientos y habilidades necesarios para crear software seguro desde el principio. Aprovecha los profundos conocimientos especializados sobre la práctica de la codificación segura, las tendencias del sector y las perspectivas del mundo real.
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
さらに読むには
ホワイトペーパー:ソフトウェア・セキュリティを向上させるための課題 (および機会)
ホワイトペーパー: ソフトウェアセキュリティに対する開発者による予防的アプローチ。
レポート:開発者主導のセキュリティの現状。
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
さらに読むには
ホワイトペーパー:ソフトウェア・セキュリティを向上させるための課題 (および機会)
ホワイトペーパー: ソフトウェアセキュリティに対する開発者による予防的アプローチ。
レポート:開発者主導のセキュリティの現状。
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Este artículo ha sido escrito por el equipo de expertos del sector de Secure Code Warrior. Su objetivo es que los desarrolladores adquieran los conocimientos y habilidades necesarios para crear software seguro desde el principio. Aprovecha los profundos conocimientos especializados sobre la práctica de la codificación segura, las tendencias del sector y las perspectivas del mundo real.
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
さらに読むには
ホワイトペーパー:ソフトウェア・セキュリティを向上させるための課題 (および機会)
ホワイトペーパー: ソフトウェアセキュリティに対する開発者による予防的アプローチ。
レポート:開発者主導のセキュリティの現状。
Índice
Secure Code Warrior convierte la programación segura en una experiencia positiva y atractiva a medida que los desarrolladores mejoran sus habilidades. Guía a cada programador por la ruta de aprendizaje que desea, para que los desarrolladores con habilidades de seguridad puedan convertirse en superhéroes en el mundo conectado en el que vivimos.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
