DeveloperTournaments: AppSec's Secret Weapon to Improve Security Culture and Engagement

2019年1月30日発行
ピーテル・ダンヒョウ著
ケーススタディ

DeveloperTournaments: AppSec's Secret Weapon to Improve Security Culture and Engagement

2019年1月30日発行
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

ゼロから何かを作り上げることを想像してみてください。自分のスキルと経験を駆使して、世界に小さな、しかし特別な足跡を残すことができるのです。一人でもチームでも、何もないところから何かを作り上げることに心血を注ぎます。何百時間、あるいは何千時間もかけて、最高の作品を作り上げるのです。完成したときの達成感は、それだけでご褒美のように感じられるものです。

ここで、甘えん坊の人がやってきて、「そんなにいいものじゃない」と言ったとしましょう。さらに踏み込んで、「いや、君がエネルギーと時間と愛情を注いだにもかかわらず、実際には使えない、壊れている」と言うかもしれません。要するに、彼らはあなたの赤ちゃんが醜いと言っているのです。

結局のところ、誰が自分の苦労した仕事をバラバラにされたり、不十分だと非難されたりすることを望んでいるのでしょうか。悲しいことに、多くの開発者にとって、これはAppSecチームとの関係の現実である可能性があります。開発者は、機能的で豊富な機能を持ち、厳しいプロジェクトの期限内に納品されるソフトウェアを構築することを主な責務としています。セキュリティが優先されることはほとんどなく、迅速な納品やイノベーションの妨げになるとさえ考えられます。AppSecは、細心の注意を払ってコードをチェックし、ペンテストを行い、そして悪いニュースを報告するという気の遠くなるような任務を担っています。それは、すでにコミットされていることが多いコードにセキュリティの脆弱性が存在するということです。これは、リソースと時間が不足しがちな環境では、コストのかかるプロセスであり、同じ目標を持ちながらも、言語が異なるために対立しているように見える2つのチームの間に溝を作ることになります。

そろそろ、セキュリティを見直すべきだと思いませんか?会話を変えるだけで、双方にとって、特に開発チームにとって、よりポジティブなものにすることができるのです。

教室を出て、ゲームの舞台へ

多くの開発者が職業訓練を修了しても、安全なコーディングについてはあまり学ばないため、社会人になってから初めてセキュリティ教育に触れるということがよくあります。教室でのトレーニングはよく使われるソリューションの1つですが、機能の提供に貴重な時間を割くことになります(また、正直に言うと、教師やコンテンツが刺激的でない場合、誰にとっても忘れやすい時間の無駄になります)。また、ビデオcourses や紙ベースの試験、企業の一般的なセキュリティポリシーの教育などもありますが、これらはすべて、一般的な開発者の日々の仕事には役に立たないほど具体性に欠けるものです。

あまりにも多くの場合、それは「ボックスにチェックを入れて先に進む」というコンプライアンス上の課題として扱われ、逆にAppSecと開発チームの間の溝を深めることになってしまいます。結局のところ、従来のトレーニングは、私たち業界が切実に求めている、セキュリティ文化やコンプライアンスに対するポジティブな効果をもたらしているようには見えません。私たちは同じ過ちを繰り返しているのです。

CWE(Common Weakness Enumeration)というコミュニティによると、一般的なソフトウェアのセキュリティ上の弱点は700以上あると言われています。SQLインジェクションのように、20年以上前から存在しているにもかかわらず、未だに潰されていないゴキブリのようなものもあります。しかし、ペンテストや手動のコードレビューでは、これらの違反行為が継続的に確認されています。

私たちは、これまで間違った見方をしていたのかもしれません。業界としては、開発者の素晴らしいスキルを活用するために、別の角度から実行可能な教育に取り組む必要があります。開発者は創造性に富み、好奇心旺盛な問題解決者であり、挑戦することを好みます。セキュリティトレーニングをゲーム化することは、彼らの言語を話し、彼らが実際にやって練習することを可能にすることであり、その過程で彼らがセキュリティを好きになるかもしれません。

ラーニングピラミッド

健全な競争

不正確なツールや高額なペンテスト、希少なAppSec専門家への依存は、私たちをセキュリティのブラックホールに深く沈めることになるでしょう。私たちの生活やプライバシーの多くはオンライン上に存在しており、企業がデータを保護するための仮想的な要塞に注意を払い続けることはできません。世界のデジタル化が進み、ソフトウェアへの依存度が高まっている今、私たちはオフィスにずっといるスーパーヒーロー、開発チームに頼る必要があります。

関連する言語やフレームワークを使用したゲーミフィケーション・トレーニングは、AppSecマネージャが企業内のセキュリティ文化の変革を始めるための強力なツールです。tournament IAG社の「Game of Codes」が組織内のセキュリティについて皆で話し合うきっかけになった例を見てみましょう。

Secure Code Warrior のtournament モジュールは、測定されたトレーニングへの取り組みに単なる素敵な小さなキャップを提供するだけではありません。これは、各開発者が自分のスキルを検証し、トレーニング開始後にどれだけ進歩したかを確認し、改善が必要な分野を特定するためのプラットフォームです。競争という側面は、セキュリティに積極的に取り組むためのモチベーションとなり、報酬や評価を利用して、チームやビジネス全体における強固なセキュリティ文化の成長をサポートします。

大変な作業と思われがちな仕事に、ちょっとした楽しみを与えることで、ネガティブな考え方を変え、継続的な参加を促すことができます。健全な競争環境の中で、仲間よりも多くのポイントを獲得する喜びを知らない人はいないでしょう。

チャンピオンがあなたの間を歩く

ゲーム化されたトレーニングとその後のtournaments は、積極的なセキュリティ文化の推進に大いに役立ち、AppSec と開発チームは互いの日々の仕事についてより多くの知識を得ることができます。セキュアな開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場の希少なAppSec専門家に任せることができます。そして、より良い関係が築かれ、貴重なセキュリティ予算が、同じエラーを何度も繰り返す「グラウンドホッグ・デイ」のシナリオを修正するために費やされることはありません。

しかし、もう一つ強力な副産物があります。それは、今まで知らなかったセキュリティ・チャンピオンを発見できることです。Tournaments は、セキュリティに対する適性があるだけでなく、積極的に情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口となり、同僚を監督し、ベストプラクティス・ポリシーを支持するために不可欠です。表彰や経営陣のサポートを含む強固なチャンピオンプログラムを導入することは、組織にとって大きな意味を持つだけでなく、個人の履歴書や将来のキャリアにとっても強力な材料となります。

肝心なことは?私たちは、セキュリティ・テストにおいて、より良い結果を求めなければなりません。よくあるエラーを減らし、最前線にいる人たちをもっとサポートする。tournament の開発者が、どのようにしてあなたが思っているよりも早くそこに到達できるかを見てみませんか?

リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

DeveloperTournaments: AppSec's Secret Weapon to Improve Security Culture and Engagement

2024年1月22日発行
Pieter Danhieux著

ゼロから何かを作り上げることを想像してみてください。自分のスキルと経験を駆使して、世界に小さな、しかし特別な足跡を残すことができるのです。一人でもチームでも、何もないところから何かを作り上げることに心血を注ぎます。何百時間、あるいは何千時間もかけて、最高の作品を作り上げるのです。完成したときの達成感は、それだけでご褒美のように感じられるものです。

ここで、甘えん坊の人がやってきて、「そんなにいいものじゃない」と言ったとしましょう。さらに踏み込んで、「いや、君がエネルギーと時間と愛情を注いだにもかかわらず、実際には使えない、壊れている」と言うかもしれません。要するに、彼らはあなたの赤ちゃんが醜いと言っているのです。

結局のところ、誰が自分の苦労した仕事をバラバラにされたり、不十分だと非難されたりすることを望んでいるのでしょうか。悲しいことに、多くの開発者にとって、これはAppSecチームとの関係の現実である可能性があります。開発者は、機能的で豊富な機能を持ち、厳しいプロジェクトの期限内に納品されるソフトウェアを構築することを主な責務としています。セキュリティが優先されることはほとんどなく、迅速な納品やイノベーションの妨げになるとさえ考えられます。AppSecは、細心の注意を払ってコードをチェックし、ペンテストを行い、そして悪いニュースを報告するという気の遠くなるような任務を担っています。それは、すでにコミットされていることが多いコードにセキュリティの脆弱性が存在するということです。これは、リソースと時間が不足しがちな環境では、コストのかかるプロセスであり、同じ目標を持ちながらも、言語が異なるために対立しているように見える2つのチームの間に溝を作ることになります。

そろそろ、セキュリティを見直すべきだと思いませんか?会話を変えるだけで、双方にとって、特に開発チームにとって、よりポジティブなものにすることができるのです。

教室を出て、ゲームの舞台へ

多くの開発者が職業訓練を修了しても、安全なコーディングについてはあまり学ばないため、社会人になってから初めてセキュリティ教育に触れるということがよくあります。教室でのトレーニングはよく使われるソリューションの1つですが、機能の提供に貴重な時間を割くことになります(また、正直に言うと、教師やコンテンツが刺激的でない場合、誰にとっても忘れやすい時間の無駄になります)。また、ビデオcourses や紙ベースの試験、企業の一般的なセキュリティポリシーの教育などもありますが、これらはすべて、一般的な開発者の日々の仕事には役に立たないほど具体性に欠けるものです。

あまりにも多くの場合、それは「ボックスにチェックを入れて先に進む」というコンプライアンス上の課題として扱われ、逆にAppSecと開発チームの間の溝を深めることになってしまいます。結局のところ、従来のトレーニングは、私たち業界が切実に求めている、セキュリティ文化やコンプライアンスに対するポジティブな効果をもたらしているようには見えません。私たちは同じ過ちを繰り返しているのです。

CWE(Common Weakness Enumeration)というコミュニティによると、一般的なソフトウェアのセキュリティ上の弱点は700以上あると言われています。SQLインジェクションのように、20年以上前から存在しているにもかかわらず、未だに潰されていないゴキブリのようなものもあります。しかし、ペンテストや手動のコードレビューでは、これらの違反行為が継続的に確認されています。

私たちは、これまで間違った見方をしていたのかもしれません。業界としては、開発者の素晴らしいスキルを活用するために、別の角度から実行可能な教育に取り組む必要があります。開発者は創造性に富み、好奇心旺盛な問題解決者であり、挑戦することを好みます。セキュリティトレーニングをゲーム化することは、彼らの言語を話し、彼らが実際にやって練習することを可能にすることであり、その過程で彼らがセキュリティを好きになるかもしれません。

ラーニングピラミッド

健全な競争

不正確なツールや高額なペンテスト、希少なAppSec専門家への依存は、私たちをセキュリティのブラックホールに深く沈めることになるでしょう。私たちの生活やプライバシーの多くはオンライン上に存在しており、企業がデータを保護するための仮想的な要塞に注意を払い続けることはできません。世界のデジタル化が進み、ソフトウェアへの依存度が高まっている今、私たちはオフィスにずっといるスーパーヒーロー、開発チームに頼る必要があります。

関連する言語やフレームワークを使用したゲーミフィケーション・トレーニングは、AppSecマネージャが企業内のセキュリティ文化の変革を始めるための強力なツールです。tournament IAG社の「Game of Codes」が組織内のセキュリティについて皆で話し合うきっかけになった例を見てみましょう。

Secure Code Warrior のtournament モジュールは、測定されたトレーニングへの取り組みに単なる素敵な小さなキャップを提供するだけではありません。これは、各開発者が自分のスキルを検証し、トレーニング開始後にどれだけ進歩したかを確認し、改善が必要な分野を特定するためのプラットフォームです。競争という側面は、セキュリティに積極的に取り組むためのモチベーションとなり、報酬や評価を利用して、チームやビジネス全体における強固なセキュリティ文化の成長をサポートします。

大変な作業と思われがちな仕事に、ちょっとした楽しみを与えることで、ネガティブな考え方を変え、継続的な参加を促すことができます。健全な競争環境の中で、仲間よりも多くのポイントを獲得する喜びを知らない人はいないでしょう。

チャンピオンがあなたの間を歩く

ゲーム化されたトレーニングとその後のtournaments は、積極的なセキュリティ文化の推進に大いに役立ち、AppSec と開発チームは互いの日々の仕事についてより多くの知識を得ることができます。セキュアな開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場の希少なAppSec専門家に任せることができます。そして、より良い関係が築かれ、貴重なセキュリティ予算が、同じエラーを何度も繰り返す「グラウンドホッグ・デイ」のシナリオを修正するために費やされることはありません。

しかし、もう一つ強力な副産物があります。それは、今まで知らなかったセキュリティ・チャンピオンを発見できることです。Tournaments は、セキュリティに対する適性があるだけでなく、積極的に情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口となり、同僚を監督し、ベストプラクティス・ポリシーを支持するために不可欠です。表彰や経営陣のサポートを含む強固なチャンピオンプログラムを導入することは、組織にとって大きな意味を持つだけでなく、個人の履歴書や将来のキャリアにとっても強力な材料となります。

肝心なことは?私たちは、セキュリティ・テストにおいて、より良い結果を求めなければなりません。よくあるエラーを減らし、最前線にいる人たちをもっとサポートする。tournament の開発者が、どのようにしてあなたが思っているよりも早くそこに到達できるかを見てみませんか?

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。