グーグル新入社員はコードを書く前にセキュリティ教育を受ける ― ＠IT

2008/04/25 「脆弱性は変わっていないが、われわれを取り巻く世界は大きく変化している」――4月24日のRSA Conference 2008 Japanの基調講演において、米グーグルのスコット・ペトリ氏（エンタープライズセキュリティおよびコンプライアンス担当ディレクター）はこのように語り、従来とは異なるセキュリティ対策が求められると述べた。 同氏によると、従来の情報システムは、何が起こるか把握できる「ホワイトボックス」だった。しかし自社のものだけでなく、サードパーティのツールやサービスが普通に利用できるようになったいま、どのユーザーがどのリソースを使い、何をするのか、予測も把握も難しい「ブラックボックス」の時代になっている。こうした環境の変化に対応するには、新しいハードウェアやソフトウェアの追加といったやり方ではなく、トレーニングをはじめとする地道な取り組みを通じて、基盤の中にセキ

[fuck-yama]

セキュリティ開発手法や脆弱性

[webmarksjp]

資料／Web

[sunabako]

どうでもよいが、写真に移っている資料のデザインが気になる。。。ITを熟知したデザイナーさんってどれだけいるんだろう？？？

[memoclip]

新人研修

[hide0414]

RSAカンファレンス

[bobbyjam99]

基本的なことだけど日本では出来てないよね⇒"唯一違いがあるとすれば、その中にコードを実際に書くことができ、かつセキュリティや脆弱性について理解しているメンバーが多く含まれていることだ。"

[TAKESAKO]

んー

[graph]

セキュリティとか失敗事例とか早く教えるのってすごく大事だよなー。OJTじゃ実質できないし。

[sankaseki]

グーグル新入社員はコードを書く前にセキュリティ教育を受ける − ＠IT

[ag-commerce]

「脆弱性は変わっていないが、われわれを取り巻く世界は大きく変化している」米グーグルのスコット・ペトリ氏はこのように語り、従来とは異なるセキュリティ対策が求められると述べた。

[pitworks]

あれもこれもダメではなくユーザが安全に適切にアプリケーションを利用できるよう促す「ガードレール」的なアプローチを取っている ex)「共有を試みようとしていますが、よろしいですか？」と注意を促す

[rna]

「新入社員（「Noogler」と呼ばれる）が入ってくると、まず最初に受けるのはセキュリティに関するトレーニングだ。コードを書くのは、セキュリティ開発手法や脆弱性への対処などを学んだ後のことになる。」

[takuno]

コード開発のサイクルには、典型的な脆弱性が作り込まれていないかどうかを検査する自動化されたテストを実施するほか、ピアレビュー、品質テストといったステップが盛り込まれている。

[terurou]

言ってる事は当たり前。日本のSIerにぶら下がるビジネスモデルにどう当てはめるか…。

[starsky5]

これ非常に重要だと思う。どこの会社もやるべき。俺もやるべきw

[k-takahashi]

きちんと社内サイクルが回っている。当たり前のようだが、大事。

[gan2]

新入社員のこと「Noogler」っていうのか…

[ks1234_1234]

いいことだ。というか、SEなのかPGなのか分からぬが（ぜんぶか）営業だろうと、手先より前に目標理解とかの見通しを与えないとダメよね。全体を概要で把握し、自分が担当するパートを詳細に理解。したいものです。

[hatest]

グーグルデフォルトさんは、白シャツで少し毛が生えてて、首がない

[al001]

フレームワークとかライブラリのブラックボックスさに未だ慣れない。。それとも全部コード読むべきなのかな。

[champlasonic]

どこの会社もやるべき。つーか、中途入社もやるべき。やらない会社が99％なのがおかしいんだよな。

[kkobayashi]

絵がかわいい

[ka-wara]

何が起こるか分からないブラックボックスの時代

[advblog]

はてなも見習うべき。

[fuktommy]

楽天は全開発者が毎年試験を受けて、合格しないとコードをコミットできないとか言ってた。

[lizy]

こういう学習サイクルが根付いているところがいい

[nijiniji]

当たり前に、ちゃんとしている。いいこと言っている。

[legnum]

なんかいい事いっぱい言ってるなー。何事も教育だよどう考えても