コードゲーム」がIAGグループをより安全なコーディングの未来へと導く
IAGグループは、アジア太平洋地域の大手保険会社の多くに名を連ね、年間約114億豪ドルの保険料を数百万人の顧客のために引き受けている。ビアンカ・ヴィルトは、IAGグループの企業セキュリティ教育・啓発マネージャーである。開発チームにおけるセキュリティ意識の徹底と実践の必要性を強く感じていた彼女は、チームが重要なセキュアコーディング技術を学べる、真に革新的で最適な環境づくりに着手した。
ENTER:ゲーム・オブ・コード
課題
しかし、セキュリティのベストプラクティスを常に最新に保つことは、どのような組織にとっても最も重要なことであり、ましてや何百万もの機密顧客データ・プロファイルをハッカーから守る必要があります。ビアンカと彼女のチームは、サイバーセキュリティの取り組みをより強固なものにするために、明確な目標を設定した。彼らは、IAGが開発したアプリケーションの攻撃対象領域を最小化することが最優先であると決定し、重要でリスクの高い脆弱性を特定し修正するために開発者を教育することでこれにアプローチすることにした。長時間に及ぶセキュアコーディング・トレーニングcourses は確かに存在するが、手間がかかり、退屈で、主要スタッフを厳しい納期が設定された開発プロジェクトから遠ざけてしまう可能性がある。仕事量と業務への影響を最小限に抑えながら、開発チームのスキルを迅速に向上させる必要性が明らかになりました。また、オーストラリアとニュージーランドにまたがる開発者が、それぞれ必ずしも同じではないシステムに取り組んでいたため、これは並大抵のことではありませんでした。
「今年、私はソースコードに変更を加え、SQLインジェクションの脆弱性を取り除いた。これを認知してくれたGame of Codesのおかげだ。セキュアなコーディングを念頭に置いておくだけでも役に立つ。このコンペティションは、ベストを尽くそうとする人たちを後押しする良い方法です。正直に言って、セキュリティは誰もが最も楽しめるテーマではありません。 R、IAG開発者
実施方法
Secure Code Warrior ビアンカは、ゲーム化されたトレーニング体験の展開を戦略化し、チームと協力して、tournaments 、社内開発者のスキルを促進するためのトレーニングを実施した。そのためには、健全なコミュニケーション戦略を立てるだけでなく、まったく新しいプラットフォームを採用し、その可能性を最大限に活用する上で、スタッフが持つさまざまな動機や性格に対応することが不可欠だった:
「私たちは、スタッフや主要な利害関係者に、知るべきポイントや重要なメッセージをどのように伝えるか、また、どのようなインセンティブを与え、それに応えてもらうかといったコミュニケーション・プランを設計しました。ほとんどの人がゲーム化された体験を楽しんでいます。ただ、その人の性格やモチベーション、何に突き動かされているかによります。ですから、私たちは人々のさまざまな動機に対応できるようにしています。賞品が好きな人もいれば、達成感そのものが要因の 人もいます。
ビアンカとIAGは、Secure Code Warriorのゲーム化されたlearning platform を巧みに紹介し、tournament を「Game of Codes」と謳われる楽しいコンペティション体験に変身させた。中世をテーマにした家(ブランド化されたプレイヤーグッズ付き)に配置されたスタッフが、HBO制作のその名にふさわしい戦いで対決する。
このtournament は国際的な舞台にも進出し、オーストラリア対ニュージーランドの対戦が間もなく開始される。これにより、IAGは両国の主要なセキュリティ・チャンピオンを特定し、チームが共にスキルアップする機会を得ることができる。
結果
ゲーム・オブ・コード」は、事実上、特別なトレーニング・プログラムである。インタラクティブで楽しいtournament として展開されたことで、スタッフはさまざまな方法で参加し続けることができたが、演習の核となる実用性は変わらなかった。それは、IAGが開発したアプリケーションのリスクの高い脆弱性を特定し、それを阻止するために必要なスキルを開発者に与えることである。
IAGは、開発者とセキュリティ・チームの双方がセキュリティ・ファーストの考え方で作業し、脆弱性を特定するだけでなく、最初から修正できるようにすることで、コストのかかる侵入テストの実施や、それを実施するチームの負担が軽減されることを期待している。
ゲーム・オブ・コードは、この重要なコンピテンシーを継続的に開発することに加え、人間関係の構築にも役立ち、参加チーム間に仲間意識と切磋琢磨の意識を植え付けると同時に、点数を競うtournament 環境で測定されるのを見て、個人が自分の安全なコーディング能力に自信を持つことにもつながった。
ビアンカは、このプログラムに対する社内の支持は絶大で、重役室からも好意的に受け入れられていると述べた。また、アンバサダー・プログラムが発足し、このプログラムを推進し、組織内でセキュリティを支持することに熱心な個人が参加できるようになった:
「何人かの開発者にとっては素晴らしい機会であり、彼らのスキルのプロモーションにもなっている。彼らは自分の仕事でもその恩恵を受けている。
ゲーム・オブ・コード」は、「単なるゲーム」でもなく、部門管理者がコンプライアンス・トレーニングに熱中するための単なる愉快な手段でもない。
そしてビアンカ自身からの究極のアドバイス:
「どのようなプログラムであれ、それをただ利用することを期待するだけではうまくいかない。そのプログラムを中心に、行動の変化を促し、やる気を起こさせるようなプログラムを設計する必要があります。私たちが構築したのは、基本的にセキュリティに焦点を当てた開発者のチェンジ・マネジメント・プログラムです。
「私はアジャイルチームでシニアテスターをしていますが、このトレーニングセッションのおかげで、セキュリティテストについてもっと学び、専門分野として考える意欲がわきました。 IAGシニアテスター Aさん
ファスト・ファクト
- ゲーミフィケーション学習に加えて、IAGは開発者採用のスキルテストツールとしてもSecure Code Warrior 。
- 現在、開発チームの100%にこのプログラムを展開中で、すでに55%がこのシステムを利用している。
リスクを最小限に抑え、長期的なコスト削減を実現したプログラムの成功を測定できるよう、主要な社内指標を開発した。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
コードゲーム」がIAGグループをより安全なコーディングの未来へと導く
IAGグループは、アジア太平洋地域の大手保険会社の多くに名を連ね、年間約114億豪ドルの保険料を数百万人の顧客のために引き受けている。ビアンカ・ヴィルトは、IAGグループの企業セキュリティ教育・啓発マネージャーである。開発チームにおけるセキュリティ意識の徹底と実践の必要性を強く感じていた彼女は、チームが重要なセキュアコーディング技術を学べる、真に革新的で最適な環境づくりに着手した。
ENTER:ゲーム・オブ・コード
課題
しかし、セキュリティのベストプラクティスを常に最新に保つことは、どのような組織にとっても最も重要なことであり、ましてや何百万もの機密顧客データ・プロファイルをハッカーから守る必要があります。ビアンカと彼女のチームは、サイバーセキュリティの取り組みをより強固なものにするために、明確な目標を設定した。彼らは、IAGが開発したアプリケーションの攻撃対象領域を最小化することが最優先であると決定し、重要でリスクの高い脆弱性を特定し修正するために開発者を教育することでこれにアプローチすることにした。長時間に及ぶセキュアコーディング・トレーニングcourses は確かに存在するが、手間がかかり、退屈で、主要スタッフを厳しい納期が設定された開発プロジェクトから遠ざけてしまう可能性がある。仕事量と業務への影響を最小限に抑えながら、開発チームのスキルを迅速に向上させる必要性が明らかになりました。また、オーストラリアとニュージーランドにまたがる開発者が、それぞれ必ずしも同じではないシステムに取り組んでいたため、これは並大抵のことではありませんでした。
「今年、私はソースコードに変更を加え、SQLインジェクションの脆弱性を取り除いた。これを認知してくれたGame of Codesのおかげだ。セキュアなコーディングを念頭に置いておくだけでも役に立つ。このコンペティションは、ベストを尽くそうとする人たちを後押しする良い方法です。正直に言って、セキュリティは誰もが最も楽しめるテーマではありません。 R、IAG開発者
実施方法
Secure Code Warrior ビアンカは、ゲーム化されたトレーニング体験の展開を戦略化し、チームと協力して、tournaments 、社内開発者のスキルを促進するためのトレーニングを実施した。そのためには、健全なコミュニケーション戦略を立てるだけでなく、まったく新しいプラットフォームを採用し、その可能性を最大限に活用する上で、スタッフが持つさまざまな動機や性格に対応することが不可欠だった:
「私たちは、スタッフや主要な利害関係者に、知るべきポイントや重要なメッセージをどのように伝えるか、また、どのようなインセンティブを与え、それに応えてもらうかといったコミュニケーション・プランを設計しました。ほとんどの人がゲーム化された体験を楽しんでいます。ただ、その人の性格やモチベーション、何に突き動かされているかによります。ですから、私たちは人々のさまざまな動機に対応できるようにしています。賞品が好きな人もいれば、達成感そのものが要因の 人もいます。
ビアンカとIAGは、Secure Code Warriorのゲーム化されたlearning platform を巧みに紹介し、tournament を「Game of Codes」と謳われる楽しいコンペティション体験に変身させた。中世をテーマにした家(ブランド化されたプレイヤーグッズ付き)に配置されたスタッフが、HBO制作のその名にふさわしい戦いで対決する。
このtournament は国際的な舞台にも進出し、オーストラリア対ニュージーランドの対戦が間もなく開始される。これにより、IAGは両国の主要なセキュリティ・チャンピオンを特定し、チームが共にスキルアップする機会を得ることができる。
結果
ゲーム・オブ・コード」は、事実上、特別なトレーニング・プログラムである。インタラクティブで楽しいtournament として展開されたことで、スタッフはさまざまな方法で参加し続けることができたが、演習の核となる実用性は変わらなかった。それは、IAGが開発したアプリケーションのリスクの高い脆弱性を特定し、それを阻止するために必要なスキルを開発者に与えることである。
IAGは、開発者とセキュリティ・チームの双方がセキュリティ・ファーストの考え方で作業し、脆弱性を特定するだけでなく、最初から修正できるようにすることで、コストのかかる侵入テストの実施や、それを実施するチームの負担が軽減されることを期待している。
ゲーム・オブ・コードは、この重要なコンピテンシーを継続的に開発することに加え、人間関係の構築にも役立ち、参加チーム間に仲間意識と切磋琢磨の意識を植え付けると同時に、点数を競うtournament 環境で測定されるのを見て、個人が自分の安全なコーディング能力に自信を持つことにもつながった。
ビアンカは、このプログラムに対する社内の支持は絶大で、重役室からも好意的に受け入れられていると述べた。また、アンバサダー・プログラムが発足し、このプログラムを推進し、組織内でセキュリティを支持することに熱心な個人が参加できるようになった:
「何人かの開発者にとっては素晴らしい機会であり、彼らのスキルのプロモーションにもなっている。彼らは自分の仕事でもその恩恵を受けている。
ゲーム・オブ・コード」は、「単なるゲーム」でもなく、部門管理者がコンプライアンス・トレーニングに熱中するための単なる愉快な手段でもない。
そしてビアンカ自身からの究極のアドバイス:
「どのようなプログラムであれ、それをただ利用することを期待するだけではうまくいかない。そのプログラムを中心に、行動の変化を促し、やる気を起こさせるようなプログラムを設計する必要があります。私たちが構築したのは、基本的にセキュリティに焦点を当てた開発者のチェンジ・マネジメント・プログラムです。
「私はアジャイルチームでシニアテスターをしていますが、このトレーニングセッションのおかげで、セキュリティテストについてもっと学び、専門分野として考える意欲がわきました。 IAGシニアテスター Aさん
ファスト・ファクト
- ゲーミフィケーション学習に加えて、IAGは開発者採用のスキルテストツールとしてもSecure Code Warrior 。
- 現在、開発チームの100%にこのプログラムを展開中で、すでに55%がこのシステムを利用している。
リスクを最小限に抑え、長期的なコスト削減を実現したプログラムの成功を測定できるよう、主要な社内指標を開発した。
