マイケル・マルティネスは、学生ローンの管理と返済、教育金融サービスを扱う米国のコングロマリット、Nelnetのサイバーセキュリティ・アナリスト兼撮影監督です。彼は、開発者向けのセキュアコーディングに関するトレーニングプログラムの作成を任された際、チームを巻き込むための独創的な方法に取り組みました。私たちは、彼の安全なコードトレーニングプログラムの運営方法に感銘を受け、彼に話を聞きました。 

肝心なところは？ 

セキュリティの文化を作り、開発チームの中から社内のセキュリティ・チャンピオンを育て、"善の力 "となる。 

"安全なコードに注力することで、会社をより強く、より安全にすることができました。" 

Nelnetでは、Michaと彼のセキュリティチームは、最初から安全なコードを構築することの重要性を理解していました。彼らは、魅力的で、関連性があり、やりがいのある方法でこれを達成したいと考えていました。彼は、セキュア・コーディングに強い関心と熟練度を持つ開発者を特定し、彼らをセキュリティ・チャンピオンに育てることで、これらのチャンピオンが、セキュリティ・トレーニング全体の考え方を変えるきっかけになることを発見しました。このような人材は、より多くの支援を必要とする同僚をピア・ツー・ピアで指導し、組織内でセキュアコードの実践に変化をもたらすリーダーとなる。 

ここでは、Micha氏と彼のチームがどのようにしてセキュリティ対策に関する考え方や文化を変え、それによって会社が「より強く、より安全」になったのかについて、Micha氏のコメントを紹介します。

大切なのは、自慢できるかどうか...そして脆弱性を減らすこと

マイケルは、普通のセキュリティトレーニングプログラムを運営しているわけではありません。彼は、競争と彼の映画撮影の才能を利用して、「tournaments 」を非常に魅力的で成功したものにしています。開発者が得られるのは、より強固な安全なコードにつながる、関連性の高い実用的な知識です。 

製品がより安全になり、ソフトウェアの脆弱性に対してより高いレベルの保護を提供できるようになれば、企業にとってもメリットがあります。ソフトウェアセキュリティの学習は、単に項目をチェックするだけの典型的で退屈な学習である必要はありません。開発者が求めているのは、没入感があり、やりがいがあり、日々の仕事に関連したトレーニング体験です。 

Micha氏が、レスリング・マニアのような物理的なチャンピオン・ベルトを賞品として含む、tournaments を通じて、どのようにしてセキュア・コーディング・トレーニングを楽しくするかについて語っています。彼のチームがセキュリティを最重要視するために必要なのは、ちょっとした健全な競争です。 

自慢話をしたくない人はいないでしょう。 

‍

セキュアコーディングを中心とした文化を受け入れる...ツールだけでは不十分

マイケルは、彼がSecure Code Warrior を勧める理由について、最後に考えを述べてくれました。このプラットフォームは、彼が予防的な文化と積極的な学習を生み出すきっかけとなったものです。トレーニングプログラムを構築するのに時間がかかり、また、トレーニングをして成果を上げる開発者に投資するのにも時間がかかりました。安全なコーディングのための予防的アプローチを採用するためのスキルを各開発者に身につけさせるには、変革をもたらす文化が必要です。 

ここでは、安全なコーディングの文化を取り入れることで、なぜSecure Code Warrior が大きく変わるのかについて、Micha 氏が語っています。

Secure Code Warrior は、開発者向けに、没入型で魅力的なセキュアコーディングlearning platform を提供します。デモをご希望ですか？下記よりご予約ください。