ゲーミフィケーションがソフトウェアセキュリティ向上への鍵となる理由
AppSecマネージャー、CIO、サイバーセキュリティ専門家——ソフトウェア開発とセキュリティ分野での自身のキャリアを通じて、私は世界中のあらゆる種類の企業で働く彼らの多くと対話してきました。
状況がどれほど異なろうと、チームの経験がどれほど豊富であろうと、この絶えず変化するデジタル世界でどれほどの時間が経過しようと、一つだけ変わらない問題がある。それは、開発チームをセキュリティに関して前向きに動かすことがほとんどできないということだ。セキュリティは今なお悪口同然であり、チーム間の対立の根源であり、業界にとってまさに厄介な存在なのだ。
ソフトウェアセキュリティは、私たちの一般的な考え方にとってあまりにも重要であるため、この方向性を続けるわけにはいきません。議論の在り方を変え、セキュリティを各開発者の業務に不可欠な要素として組み込むよう取り組む必要があります。そして、その最良の方法の一つは、ゲーミフィケーションなどを通じて、開発者のセキュリティ意識を高め、彼らと積極的に関わることで実現できると考えています。
現在の風景
開発者は大学を卒業する際、安全なコードの提供に関する実践的な知識をほとんど持たない。彼らが就く職業では、セキュリティ研修が優先されることは稀だ(仮に実施されても、通常は健康安全に関する義務的なコンプライアンス動画の一部であり、あまりに退屈なため、誰も安全なプログラミングを気にかけようとはしない)。 彼らのセキュリティとの最初の出会いは、往々にして監査やテストのバグレポートである。それらが突然今後のリリースを停止させ、最優先事項として創造的思考を妨げる障害となるのだ。彼らはセキュリティ報告の責任者と対立し、「セキュリティ」という言葉が頭の中で「批判」と同義語になってしまう。いやだ。
率直に言って、ソフトウェアセキュリティに対するこうした否定的な認識がこれほど広まっているのは本当に残念だ。結局のところ、私のキャリアの中で最も素晴らしい思い出のいくつかは、ソフトウェアセキュリティについて学んだことに関連しているのだから。 ハッカーとしての初期の頃は、カンファレンスに参加して過ごしました。そこでは同僚と腕を競い合う(正直なところ、少し自慢もしましたが)だけでなく、私と同じようにソフトウェア開発を楽しむ仲間と出会うことに大きな喜びを感じていたのです。
BruCon、DefCon、BlackHat…こうしたイベントは私のような者たちに、友好的な競争の場において自らの能力を発揮する機会を与えてくれた。 決して認めることはないが、こうした非社会的な活動に参加した者もいた。中にはハッキング技術を披露し、他の参加者の携帯電話に侵入して情報をプレゼン画面に晒す者さえいた。ソフトウェアを改善するため、こうした欠陥を見つけ出し、悪用し、修正するゲームとなったのだ。 数年前、私は中東の数百人の子供たちの前でサイバーセキュリティを教える機会に恵まれました。生徒の中にいた8歳の少女が遊びながらパスワードのブルートフォース攻撃やBase64エンコーディングを学んでいた光景を今でも覚えています。
ゲーミフィケーションはプログラミングスキルの習得にも活用されています。世界中の教育機関がこの手法を用いて、非常に幼い子供から高校生までプログラミングを教えています。4歳の子供たちがコードキャンプのような休暇プログラムに定期的に参加するようになりました。また、子供たちにPythonやその他の言語でのプログラミングを教える素晴らしいオンラインプログラムが数多く存在します。 私は4歳の娘のために、画面を使わない優れたコーディングツール「キューベット」を購入しました。
しかし、こうした楽しみや進歩にもかかわらず、一つの空白が存在します。ゲーム化を活用して開発者に安全なコードの書き方を教える可能性について、誰も考えていなかったのです。
ええと…ほとんど誰もいません。数年前、私は気づきました。セキュリティを再び刺激的なものにし、開発者たちが本当にやる気を出して、積極的に関わり、遊び始めるようにしなければならないと。
ゲーミフィケーション:未来へのシンプルな道
私の中には、開発者を育成しセキュリティ知識を伝える深い衝動があり、まさにこの情熱Secure Code Warrior となりました。ソフトウェアセキュリティは極めて重要であり、実に刺激的な分野なのです。
私は自分の考えに独りではない。
ゲーミフィケーションは、最も日常的なタスクさえも楽しくし、人々にプレイを続けさせ、勝利を収め、進歩を遂げさせる——『ポケモンGO』の仕組みを見れば明らかだ! 最も怠惰な人さえもソファから引きずり出し、架空の生き物を探しに外へ連れ出す。あるいはFitBitが多くの人の日常目標として歩数達成を促すように…目標を達成できなかった時、シリーズをクリアできなかった時、バッジを獲得できなかった時には、非常に現実的な失望感が生まれるのです。
また、セキュリティトレーニングに戻ります。多くの顧客において、ゲーミフィケーションこそが組織のセキュリティ文化を真に変革する鍵であることを実証してきました。私たちはアプリセキュリティと開発チームの間で橋渡しを行い、より高い基準のソフトウェア開発を全般的に支援しています。
現時点では、安全性は開発者の最優先事項ではありません。トレーニング方法に親しみやすく、競争的で、没入感のある要素を加えることで、単に「遊ぶ」だけでなく、より多くのポイントを獲得し、ハイスコアを更新し、精度を高め、チームメイトに挑戦するために繰り返し戻ってくるよう動機づけられます。
私たちはすでに、成功するトレーニングがだいたい次のようなものであることを知っています:
- 開発者は実際のコードで、自身の言語やフレームワークを使用して作業できます
- 課題は短く、一般的なセキュリティホールをすべて網羅しています
- 課題は絶えず拡張・更新されるため、開発者は時間の経過とともにスキルをさらに伸ばすことができます
- 課題は複雑さが様々であるため、経験豊富な開発者にも経験の浅い開発者にも興味深いものです。
- 開発者とその管理者は、進捗状況を追跡できます。これには、克服した課題、強みと弱み、トレーニングに費やした時間、および全体的な正確性が含まれます。
当社の主要顧客の一社が、ゲーミフィケーションプラットフォームの真の魅力をロールアウト時に実証しました。同社は開発者にテーマに沿ったチーム装備を提供し、優勝者には豪華な賞品を贈呈。その大会は忘れられない一日となりました。以来、同社は国際的なコンテストを開催し、チーム全体が今日に至るまで真剣なトレーニングを積み続けています。
あなたのソフトウェア革命はここから始まります。オーストラリアの銀行業界は、不良コード対策としてゲーミフィケーション研修の導入で先駆的な役割を果たしています。これは従来の(あるいは退屈な)研修を根本から変える真に革新的なアプローチです。当社の顧客が実施した次世代トーナメントをご覧ください。チームを強化する準備はできていますか?
私たちは、この対話を変え、セキュリティをすべての開発者の仕事に不可欠な要素とするよう取り組まなければなりません。そして、その最善の方法の一つは、例えばゲーミフィケーションを通じて、開発者のセキュリティ意識を高め、彼らと関わりを持つことだと考えます。
私たちは、この対話を変え、セキュリティをすべての開発者の仕事に不可欠な要素とするよう取り組まなければなりません。そして、その最善の方法の一つは、例えばゲーミフィケーションを通じて、開発者のセキュリティ意識を高め、彼らと関わりを持つことだと考えます。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
AppSecマネージャー、CIO、サイバーセキュリティ専門家——ソフトウェア開発とセキュリティ分野での自身のキャリアを通じて、私は世界中のあらゆる種類の企業で働く彼らの多くと対話してきました。
状況がどれほど異なろうと、チームの経験がどれほど豊富であろうと、この絶えず変化するデジタル世界でどれほどの時間が経過しようと、一つだけ変わらない問題がある。それは、開発チームをセキュリティに関して前向きに動かすことがほとんどできないということだ。セキュリティは今なお悪口同然であり、チーム間の対立の根源であり、業界にとってまさに厄介な存在なのだ。
ソフトウェアセキュリティは、私たちの一般的な考え方にとってあまりにも重要であるため、この方向性を続けるわけにはいきません。議論の在り方を変え、セキュリティを各開発者の業務に不可欠な要素として組み込むよう取り組む必要があります。そして、その最良の方法の一つは、ゲーミフィケーションなどを通じて、開発者のセキュリティ意識を高め、彼らと積極的に関わることで実現できると考えています。
現在の風景
開発者は大学を卒業する際、安全なコードの提供に関する実践的な知識をほとんど持たない。彼らが就く職業では、セキュリティ研修が優先されることは稀だ(仮に実施されても、通常は健康安全に関する義務的なコンプライアンス動画の一部であり、あまりに退屈なため、誰も安全なプログラミングを気にかけようとはしない)。 彼らのセキュリティとの最初の出会いは、往々にして監査やテストのバグレポートである。それらが突然今後のリリースを停止させ、最優先事項として創造的思考を妨げる障害となるのだ。彼らはセキュリティ報告の責任者と対立し、「セキュリティ」という言葉が頭の中で「批判」と同義語になってしまう。いやだ。
率直に言って、ソフトウェアセキュリティに対するこうした否定的な認識がこれほど広まっているのは本当に残念だ。結局のところ、私のキャリアの中で最も素晴らしい思い出のいくつかは、ソフトウェアセキュリティについて学んだことに関連しているのだから。 ハッカーとしての初期の頃は、カンファレンスに参加して過ごしました。そこでは同僚と腕を競い合う(正直なところ、少し自慢もしましたが)だけでなく、私と同じようにソフトウェア開発を楽しむ仲間と出会うことに大きな喜びを感じていたのです。
BruCon、DefCon、BlackHat…こうしたイベントは私のような者たちに、友好的な競争の場において自らの能力を発揮する機会を与えてくれた。 決して認めることはないが、こうした非社会的な活動に参加した者もいた。中にはハッキング技術を披露し、他の参加者の携帯電話に侵入して情報をプレゼン画面に晒す者さえいた。ソフトウェアを改善するため、こうした欠陥を見つけ出し、悪用し、修正するゲームとなったのだ。 数年前、私は中東の数百人の子供たちの前でサイバーセキュリティを教える機会に恵まれました。生徒の中にいた8歳の少女が遊びながらパスワードのブルートフォース攻撃やBase64エンコーディングを学んでいた光景を今でも覚えています。
ゲーミフィケーションはプログラミングスキルの習得にも活用されています。世界中の教育機関がこの手法を用いて、非常に幼い子供から高校生までプログラミングを教えています。4歳の子供たちがコードキャンプのような休暇プログラムに定期的に参加するようになりました。また、子供たちにPythonやその他の言語でのプログラミングを教える素晴らしいオンラインプログラムが数多く存在します。 私は4歳の娘のために、画面を使わない優れたコーディングツール「キューベット」を購入しました。
しかし、こうした楽しみや進歩にもかかわらず、一つの空白が存在します。ゲーム化を活用して開発者に安全なコードの書き方を教える可能性について、誰も考えていなかったのです。
ええと…ほとんど誰もいません。数年前、私は気づきました。セキュリティを再び刺激的なものにし、開発者たちが本当にやる気を出して、積極的に関わり、遊び始めるようにしなければならないと。
ゲーミフィケーション:未来へのシンプルな道
私の中には、開発者を育成しセキュリティ知識を伝える深い衝動があり、まさにこの情熱Secure Code Warrior となりました。ソフトウェアセキュリティは極めて重要であり、実に刺激的な分野なのです。
私は自分の考えに独りではない。
ゲーミフィケーションは、最も日常的なタスクさえも楽しくし、人々にプレイを続けさせ、勝利を収め、進歩を遂げさせる——『ポケモンGO』の仕組みを見れば明らかだ! 最も怠惰な人さえもソファから引きずり出し、架空の生き物を探しに外へ連れ出す。あるいはFitBitが多くの人の日常目標として歩数達成を促すように…目標を達成できなかった時、シリーズをクリアできなかった時、バッジを獲得できなかった時には、非常に現実的な失望感が生まれるのです。
また、セキュリティトレーニングに戻ります。多くの顧客において、ゲーミフィケーションこそが組織のセキュリティ文化を真に変革する鍵であることを実証してきました。私たちはアプリセキュリティと開発チームの間で橋渡しを行い、より高い基準のソフトウェア開発を全般的に支援しています。
現時点では、安全性は開発者の最優先事項ではありません。トレーニング方法に親しみやすく、競争的で、没入感のある要素を加えることで、単に「遊ぶ」だけでなく、より多くのポイントを獲得し、ハイスコアを更新し、精度を高め、チームメイトに挑戦するために繰り返し戻ってくるよう動機づけられます。
私たちはすでに、成功するトレーニングがだいたい次のようなものであることを知っています:
- 開発者は実際のコードで、自身の言語やフレームワークを使用して作業できます
- 課題は短く、一般的なセキュリティホールをすべて網羅しています
- 課題は絶えず拡張・更新されるため、開発者は時間の経過とともにスキルをさらに伸ばすことができます
- 課題は複雑さが様々であるため、経験豊富な開発者にも経験の浅い開発者にも興味深いものです。
- 開発者とその管理者は、進捗状況を追跡できます。これには、克服した課題、強みと弱み、トレーニングに費やした時間、および全体的な正確性が含まれます。
当社の主要顧客の一社が、ゲーミフィケーションプラットフォームの真の魅力をロールアウト時に実証しました。同社は開発者にテーマに沿ったチーム装備を提供し、優勝者には豪華な賞品を贈呈。その大会は忘れられない一日となりました。以来、同社は国際的なコンテストを開催し、チーム全体が今日に至るまで真剣なトレーニングを積み続けています。
あなたのソフトウェア革命はここから始まります。オーストラリアの銀行業界は、不良コード対策としてゲーミフィケーション研修の導入で先駆的な役割を果たしています。これは従来の(あるいは退屈な)研修を根本から変える真に革新的なアプローチです。当社の顧客が実施した次世代トーナメントをご覧ください。チームを強化する準備はできていますか?
私たちは、この対話を変え、セキュリティをすべての開発者の仕事に不可欠な要素とするよう取り組まなければなりません。そして、その最善の方法の一つは、例えばゲーミフィケーションを通じて、開発者のセキュリティ意識を高め、彼らと関わりを持つことだと考えます。
AppSecマネージャー、CIO、サイバーセキュリティ専門家——ソフトウェア開発とセキュリティ分野での自身のキャリアを通じて、私は世界中のあらゆる種類の企業で働く彼らの多くと対話してきました。
状況がどれほど異なろうと、チームの経験がどれほど豊富であろうと、この絶えず変化するデジタル世界でどれほどの時間が経過しようと、一つだけ変わらない問題がある。それは、開発チームをセキュリティに関して前向きに動かすことがほとんどできないということだ。セキュリティは今なお悪口同然であり、チーム間の対立の根源であり、業界にとってまさに厄介な存在なのだ。
ソフトウェアセキュリティは、私たちの一般的な考え方にとってあまりにも重要であるため、この方向性を続けるわけにはいきません。議論の在り方を変え、セキュリティを各開発者の業務に不可欠な要素として組み込むよう取り組む必要があります。そして、その最良の方法の一つは、ゲーミフィケーションなどを通じて、開発者のセキュリティ意識を高め、彼らと積極的に関わることで実現できると考えています。
現在の風景
開発者は大学を卒業する際、安全なコードの提供に関する実践的な知識をほとんど持たない。彼らが就く職業では、セキュリティ研修が優先されることは稀だ(仮に実施されても、通常は健康安全に関する義務的なコンプライアンス動画の一部であり、あまりに退屈なため、誰も安全なプログラミングを気にかけようとはしない)。 彼らのセキュリティとの最初の出会いは、往々にして監査やテストのバグレポートである。それらが突然今後のリリースを停止させ、最優先事項として創造的思考を妨げる障害となるのだ。彼らはセキュリティ報告の責任者と対立し、「セキュリティ」という言葉が頭の中で「批判」と同義語になってしまう。いやだ。
率直に言って、ソフトウェアセキュリティに対するこうした否定的な認識がこれほど広まっているのは本当に残念だ。結局のところ、私のキャリアの中で最も素晴らしい思い出のいくつかは、ソフトウェアセキュリティについて学んだことに関連しているのだから。 ハッカーとしての初期の頃は、カンファレンスに参加して過ごしました。そこでは同僚と腕を競い合う(正直なところ、少し自慢もしましたが)だけでなく、私と同じようにソフトウェア開発を楽しむ仲間と出会うことに大きな喜びを感じていたのです。
BruCon、DefCon、BlackHat…こうしたイベントは私のような者たちに、友好的な競争の場において自らの能力を発揮する機会を与えてくれた。 決して認めることはないが、こうした非社会的な活動に参加した者もいた。中にはハッキング技術を披露し、他の参加者の携帯電話に侵入して情報をプレゼン画面に晒す者さえいた。ソフトウェアを改善するため、こうした欠陥を見つけ出し、悪用し、修正するゲームとなったのだ。 数年前、私は中東の数百人の子供たちの前でサイバーセキュリティを教える機会に恵まれました。生徒の中にいた8歳の少女が遊びながらパスワードのブルートフォース攻撃やBase64エンコーディングを学んでいた光景を今でも覚えています。
ゲーミフィケーションはプログラミングスキルの習得にも活用されています。世界中の教育機関がこの手法を用いて、非常に幼い子供から高校生までプログラミングを教えています。4歳の子供たちがコードキャンプのような休暇プログラムに定期的に参加するようになりました。また、子供たちにPythonやその他の言語でのプログラミングを教える素晴らしいオンラインプログラムが数多く存在します。 私は4歳の娘のために、画面を使わない優れたコーディングツール「キューベット」を購入しました。
しかし、こうした楽しみや進歩にもかかわらず、一つの空白が存在します。ゲーム化を活用して開発者に安全なコードの書き方を教える可能性について、誰も考えていなかったのです。
ええと…ほとんど誰もいません。数年前、私は気づきました。セキュリティを再び刺激的なものにし、開発者たちが本当にやる気を出して、積極的に関わり、遊び始めるようにしなければならないと。
ゲーミフィケーション:未来へのシンプルな道
私の中には、開発者を育成しセキュリティ知識を伝える深い衝動があり、まさにこの情熱Secure Code Warrior となりました。ソフトウェアセキュリティは極めて重要であり、実に刺激的な分野なのです。
私は自分の考えに独りではない。
ゲーミフィケーションは、最も日常的なタスクさえも楽しくし、人々にプレイを続けさせ、勝利を収め、進歩を遂げさせる——『ポケモンGO』の仕組みを見れば明らかだ! 最も怠惰な人さえもソファから引きずり出し、架空の生き物を探しに外へ連れ出す。あるいはFitBitが多くの人の日常目標として歩数達成を促すように…目標を達成できなかった時、シリーズをクリアできなかった時、バッジを獲得できなかった時には、非常に現実的な失望感が生まれるのです。
また、セキュリティトレーニングに戻ります。多くの顧客において、ゲーミフィケーションこそが組織のセキュリティ文化を真に変革する鍵であることを実証してきました。私たちはアプリセキュリティと開発チームの間で橋渡しを行い、より高い基準のソフトウェア開発を全般的に支援しています。
現時点では、安全性は開発者の最優先事項ではありません。トレーニング方法に親しみやすく、競争的で、没入感のある要素を加えることで、単に「遊ぶ」だけでなく、より多くのポイントを獲得し、ハイスコアを更新し、精度を高め、チームメイトに挑戦するために繰り返し戻ってくるよう動機づけられます。
私たちはすでに、成功するトレーニングがだいたい次のようなものであることを知っています:
- 開発者は実際のコードで、自身の言語やフレームワークを使用して作業できます
- 課題は短く、一般的なセキュリティホールをすべて網羅しています
- 課題は絶えず拡張・更新されるため、開発者は時間の経過とともにスキルをさらに伸ばすことができます
- 課題は複雑さが様々であるため、経験豊富な開発者にも経験の浅い開発者にも興味深いものです。
- 開発者とその管理者は、進捗状況を追跡できます。これには、克服した課題、強みと弱み、トレーニングに費やした時間、および全体的な正確性が含まれます。
当社の主要顧客の一社が、ゲーミフィケーションプラットフォームの真の魅力をロールアウト時に実証しました。同社は開発者にテーマに沿ったチーム装備を提供し、優勝者には豪華な賞品を贈呈。その大会は忘れられない一日となりました。以来、同社は国際的なコンテストを開催し、チーム全体が今日に至るまで真剣なトレーニングを積み続けています。
あなたのソフトウェア革命はここから始まります。オーストラリアの銀行業界は、不良コード対策としてゲーミフィケーション研修の導入で先駆的な役割を果たしています。これは従来の(あるいは退屈な)研修を根本から変える真に革新的なアプローチです。当社の顧客が実施した次世代トーナメントをご覧ください。チームを強化する準備はできていますか?
私たちは、この対話を変え、セキュリティをすべての開発者の仕事に不可欠な要素とするよう取り組まなければなりません。そして、その最善の方法の一つは、例えばゲーミフィケーションを通じて、開発者のセキュリティ意識を高め、彼らと関わりを持つことだと考えます。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
AppSecマネージャー、CIO、サイバーセキュリティ専門家——ソフトウェア開発とセキュリティ分野での自身のキャリアを通じて、私は世界中のあらゆる種類の企業で働く彼らの多くと対話してきました。
状況がどれほど異なろうと、チームの経験がどれほど豊富であろうと、この絶えず変化するデジタル世界でどれほどの時間が経過しようと、一つだけ変わらない問題がある。それは、開発チームをセキュリティに関して前向きに動かすことがほとんどできないということだ。セキュリティは今なお悪口同然であり、チーム間の対立の根源であり、業界にとってまさに厄介な存在なのだ。
ソフトウェアセキュリティは、私たちの一般的な考え方にとってあまりにも重要であるため、この方向性を続けるわけにはいきません。議論の在り方を変え、セキュリティを各開発者の業務に不可欠な要素として組み込むよう取り組む必要があります。そして、その最良の方法の一つは、ゲーミフィケーションなどを通じて、開発者のセキュリティ意識を高め、彼らと積極的に関わることで実現できると考えています。
現在の風景
開発者は大学を卒業する際、安全なコードの提供に関する実践的な知識をほとんど持たない。彼らが就く職業では、セキュリティ研修が優先されることは稀だ(仮に実施されても、通常は健康安全に関する義務的なコンプライアンス動画の一部であり、あまりに退屈なため、誰も安全なプログラミングを気にかけようとはしない)。 彼らのセキュリティとの最初の出会いは、往々にして監査やテストのバグレポートである。それらが突然今後のリリースを停止させ、最優先事項として創造的思考を妨げる障害となるのだ。彼らはセキュリティ報告の責任者と対立し、「セキュリティ」という言葉が頭の中で「批判」と同義語になってしまう。いやだ。
率直に言って、ソフトウェアセキュリティに対するこうした否定的な認識がこれほど広まっているのは本当に残念だ。結局のところ、私のキャリアの中で最も素晴らしい思い出のいくつかは、ソフトウェアセキュリティについて学んだことに関連しているのだから。 ハッカーとしての初期の頃は、カンファレンスに参加して過ごしました。そこでは同僚と腕を競い合う(正直なところ、少し自慢もしましたが)だけでなく、私と同じようにソフトウェア開発を楽しむ仲間と出会うことに大きな喜びを感じていたのです。
BruCon、DefCon、BlackHat…こうしたイベントは私のような者たちに、友好的な競争の場において自らの能力を発揮する機会を与えてくれた。 決して認めることはないが、こうした非社会的な活動に参加した者もいた。中にはハッキング技術を披露し、他の参加者の携帯電話に侵入して情報をプレゼン画面に晒す者さえいた。ソフトウェアを改善するため、こうした欠陥を見つけ出し、悪用し、修正するゲームとなったのだ。 数年前、私は中東の数百人の子供たちの前でサイバーセキュリティを教える機会に恵まれました。生徒の中にいた8歳の少女が遊びながらパスワードのブルートフォース攻撃やBase64エンコーディングを学んでいた光景を今でも覚えています。
ゲーミフィケーションはプログラミングスキルの習得にも活用されています。世界中の教育機関がこの手法を用いて、非常に幼い子供から高校生までプログラミングを教えています。4歳の子供たちがコードキャンプのような休暇プログラムに定期的に参加するようになりました。また、子供たちにPythonやその他の言語でのプログラミングを教える素晴らしいオンラインプログラムが数多く存在します。 私は4歳の娘のために、画面を使わない優れたコーディングツール「キューベット」を購入しました。
しかし、こうした楽しみや進歩にもかかわらず、一つの空白が存在します。ゲーム化を活用して開発者に安全なコードの書き方を教える可能性について、誰も考えていなかったのです。
ええと…ほとんど誰もいません。数年前、私は気づきました。セキュリティを再び刺激的なものにし、開発者たちが本当にやる気を出して、積極的に関わり、遊び始めるようにしなければならないと。
ゲーミフィケーション:未来へのシンプルな道
私の中には、開発者を育成しセキュリティ知識を伝える深い衝動があり、まさにこの情熱Secure Code Warrior となりました。ソフトウェアセキュリティは極めて重要であり、実に刺激的な分野なのです。
私は自分の考えに独りではない。
ゲーミフィケーションは、最も日常的なタスクさえも楽しくし、人々にプレイを続けさせ、勝利を収め、進歩を遂げさせる——『ポケモンGO』の仕組みを見れば明らかだ! 最も怠惰な人さえもソファから引きずり出し、架空の生き物を探しに外へ連れ出す。あるいはFitBitが多くの人の日常目標として歩数達成を促すように…目標を達成できなかった時、シリーズをクリアできなかった時、バッジを獲得できなかった時には、非常に現実的な失望感が生まれるのです。
また、セキュリティトレーニングに戻ります。多くの顧客において、ゲーミフィケーションこそが組織のセキュリティ文化を真に変革する鍵であることを実証してきました。私たちはアプリセキュリティと開発チームの間で橋渡しを行い、より高い基準のソフトウェア開発を全般的に支援しています。
現時点では、安全性は開発者の最優先事項ではありません。トレーニング方法に親しみやすく、競争的で、没入感のある要素を加えることで、単に「遊ぶ」だけでなく、より多くのポイントを獲得し、ハイスコアを更新し、精度を高め、チームメイトに挑戦するために繰り返し戻ってくるよう動機づけられます。
私たちはすでに、成功するトレーニングがだいたい次のようなものであることを知っています:
- 開発者は実際のコードで、自身の言語やフレームワークを使用して作業できます
- 課題は短く、一般的なセキュリティホールをすべて網羅しています
- 課題は絶えず拡張・更新されるため、開発者は時間の経過とともにスキルをさらに伸ばすことができます
- 課題は複雑さが様々であるため、経験豊富な開発者にも経験の浅い開発者にも興味深いものです。
- 開発者とその管理者は、進捗状況を追跡できます。これには、克服した課題、強みと弱み、トレーニングに費やした時間、および全体的な正確性が含まれます。
当社の主要顧客の一社が、ゲーミフィケーションプラットフォームの真の魅力をロールアウト時に実証しました。同社は開発者にテーマに沿ったチーム装備を提供し、優勝者には豪華な賞品を贈呈。その大会は忘れられない一日となりました。以来、同社は国際的なコンテストを開催し、チーム全体が今日に至るまで真剣なトレーニングを積み続けています。
あなたのソフトウェア革命はここから始まります。オーストラリアの銀行業界は、不良コード対策としてゲーミフィケーション研修の導入で先駆的な役割を果たしています。これは従来の(あるいは退屈な)研修を根本から変える真に革新的なアプローチです。当社の顧客が実施した次世代トーナメントをご覧ください。チームを強化する準備はできていますか?
私たちは、この対話を変え、セキュリティをすべての開発者の仕事に不可欠な要素とするよう取り組まなければなりません。そして、その最善の方法の一つは、例えばゲーミフィケーションを通じて、開発者のセキュリティ意識を高め、彼らと関わりを持つことだと考えます。
%20(1).avif)
.avif)
