ゲーミフィケーションがソフトウェアのセキュリティ向上に不可欠な理由
アプリケーションセキュリティ責任者、最高情報セキュリティ責任者(CISO)、最高情報責任者(CIO)、サイバーセキュリティ専門家の方々:私はソフトウェア開発とセキュリティ分野での自身のキャリアを通じて、世界中のあらゆる種類の企業で働く多くの彼らと対話してきました。
状況がどれほど異なっていても、チームの経験値やこの絶えず変化するデジタル世界での活動期間に関わらず、常に共通する問題があります:開発チームをセキュリティに関して積極的に関与させることがほとんどできないのです。セキュリティは依然としてタブー視され、チーム間の対立の種であり、業界の真の頭痛の種なのです。
しかし、ソフトウェアのセキュリティは、私たちの一般的な考え方がこのまま続くにはあまりにも重要すぎる。私たちは議論の方向性を変え、セキュリティを各開発者の業務の不可欠な部分とするよう取り組まなければならない。そして、その最良の方法の一つは、例えばゲーミフィケーションを通じて、開発者に権限を与え、セキュリティに関して彼らと対話することだと私は考えている。
現在の状況
開発者は大学を卒業する時点で、安全なコードのデリバリーに関する実践的な知識がほとんどなく、セキュリティ研修が優先されることすら稀な職場で働いています(優先される場合でも、それは通常、健康と安全に関する義務的なコンプライアンス動画の一部であり、あまりにも退屈なため、誰も安全なコーディングに夢中になることはありません)。 彼らのセキュリティ初体験は往々にして、監査やテストで発見された欠陥の報告である。その報告は突然、次期バージョンのリリースを停止させ、創造的な思考を即座に中断させる最優先事項となる。彼らはセキュリティ報告の責任者と意見が合わず、「セキュリティ」が「批判」と同義語に思えてしまう。なんて嫌なことだ。
率直に言って、ソフトウェアの安全性に対するこうした否定的な認識がこれほど広まっているのは本当に残念なことだ。 何と言っても、私のキャリアの中で最も素晴らしい思い出のいくつかは、ソフトウェアセキュリティについて学んだ経験と結びついています。ハッカーとしての初期の頃は、カンファレンスに参加して過ごしました。そこでは仲間たちの前で自分のスキルを試す(そして正直なところ、少し自慢もする)ことができただけでなく、私と同じようにソフトウェア開発を楽しむ、志を同じくする人々と知り合うことで、本当に楽しい時間を過ごしたのです。
BruCon、DefCon、BlackHat…こうしたイベントは私のような者たちに、友好的な競技の場として自らのスキルを発揮する機会を与えてくれた。決して認めることはないが、こうした反社会的なイベントに参加したこともある。中には、他の参加者の携帯電話をハッキングして情報を盗み出し、プレゼン画面に表示して皆に見せつけるという、ハッカーとしての腕前を披露する者さえいる。 ソフトウェアを改善するために、こうした欠陥を探し出し(悪用し、修正する)ことが一種のゲームとなった。 数年前、私は中東で数百人の子供たちを前に、サイバーセキュリティについて教える機会に恵まれました。今でも覚えているのは、生徒の中にいた8歳の少女です。彼女は遊びながら、ブルートフォース攻撃によるパスワードの解読やbase64エンコーディングを学んでいたのです。
ゲーミフィケーションはコーディングスキルの教育にも活用されています。世界中の教育機関がこの手法を用いて、非常に幼い子供たちから中学生までのプログラミング教育を実施しています。 わずか4歳の子供たちがコードキャンプなどのクリスマス向けプログラムに定期的に参加するようになりました。また、Pythonやその他の言語でプログラミングを教える素晴らしいオンラインプログラムが数多く存在します。私は4歳の娘のために、画面を使わない画期的なプログラミングツール「キューベット」を購入しました。
しかし、こうした楽しみと進歩にもかかわらず、一つの隔たりがある。ゲーム化を活用して開発者に安全なコードの書き方を教育する可能性について、誰も考えていなかったのだ。
ええと…ほとんど誰もいませんでした。数年前、セキュリティを再び刺激的で魅力的なものにし、開発者たちが積極的に関わり、取り組み始めるよう本当に動機づける必要があることに気づいたのです。
ゲーミフィケーション:最も簡単な道筋
私は開発者にセキュリティ知識を推進し育成したいという強い願望を持っており、この情熱こそがSecure Code Warrior創設する原動力となりました。ソフトウェアのセキュリティは非常に重要であり、実に刺激的な分野です。
私の考えは独りよがりではない。
ゲーミフィケーションは、最も平凡な作業さえも楽しくし、人々が遊び続け、勝ち続け、進歩し続けたいと思うほど十分に没頭させることができます。 『ポケモンGO』の成功を見よ!最も怠惰な人間さえもソファから立ち上がらせ、屋外へ駆り立て、架空の生き物を探しに行かせた。あるいはFitBitが多くの人の日々の目標となり、歩数目標を達成させる様子を。目標を達成できず、連続記録が途切れ、バッジを獲得できない時、真の失望感が生まれるのだ。
では、セキュリティ教育に戻りましょう。多くの顧客との実績から、ゲーミフィケーションこそが組織のセキュリティ文化を真に変革し、アプリケーションセキュリティと開発チーム間の橋渡しを行い、全体としてより高品質なソフトウェア開発を実現する鍵であることを実証しています。
現時点では、安全性は開発者の最優先事項ではありません。トレーニング方法に親しみやすく、競争的で魅力的な要素を加えることで、単に「遊ぶ」だけでなく、ポイントを獲得し続け、ハイスコアを更新し、精度を高め、チームメイトに挑戦するよう彼らを動機づけることができます。
成功するトレーニングとは、だいたいこんなものだということはもうわかっている:
- 開発者は実際のコードと、自身の言語やフレームワークで作業できます
- 課題は短時間で完了し、一般的なセキュリティ脆弱性をすべて網羅しています
- 課題は常に拡大・更新され、開発者が時間の経過とともにスキルを磨き続けられるよう設計されています。
- 課題の難易度は様々であるため、経験豊富な開発者から初心者まで、幅広い層にとって魅力的です。
- 開発者とそのマネージャーは、進捗状況を確認できます。これには、完了した課題、強みと弱み、トレーニングに費やした時間、および全体的な正確性が含まれます。
主要顧客の一社が、ゲーミフィケーションプラットフォームのローンチ時に真の魅力を発揮しました。開発者にはテーマに沿った装備を贈呈し、ゲーム勝者には驚異的な賞品を提供。トーナメントを忘れられない一日にしたのです。その後も国際大会を開催し、現在も全チームが長時間のトレーニングを積み重ねています。
ソフトウェア革命はここから始まる。オーストラリアの銀行業界は、誤ったコード対策としてゲーミフィケーション研修の導入で最先端を走っており、従来の(退屈な)研修を覆す真に革新的なアプローチを採用しています。当社のクライアントが実施した次世代トーナメントの成果をご覧ください。さあ、私たちと共にチームをレベルアップさせる準備はできていますか?
私たちは議論の方向性を変え、セキュリティを各開発者の仕事人生に不可欠な要素とするために取り組むべきです。そして、その最良の方法の一つは、例えばゲーミフィケーションを通じて、開発者に力を与え、セキュリティに関して彼らと対話することだと考えています。
私たちは議論の方向性を変え、セキュリティを各開発者の仕事人生に不可欠な要素とするために取り組むべきです。そして、その最良の方法の一つは、例えばゲーミフィケーションを通じて、開発者に力を与え、セキュリティに関して彼らと対話することだと考えています。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
アプリケーションセキュリティ責任者、最高情報セキュリティ責任者(CISO)、最高情報責任者(CIO)、サイバーセキュリティ専門家の方々:私はソフトウェア開発とセキュリティ分野での自身のキャリアを通じて、世界中のあらゆる種類の企業で働く多くの彼らと対話してきました。
状況がどれほど異なっていても、チームの経験値やこの絶えず変化するデジタル世界での活動期間に関わらず、常に共通する問題があります:開発チームをセキュリティに関して積極的に関与させることがほとんどできないのです。セキュリティは依然としてタブー視され、チーム間の対立の種であり、業界の真の頭痛の種なのです。
しかし、ソフトウェアのセキュリティは、私たちの一般的な考え方がこのまま続くにはあまりにも重要すぎる。私たちは議論の方向性を変え、セキュリティを各開発者の業務の不可欠な部分とするよう取り組まなければならない。そして、その最良の方法の一つは、例えばゲーミフィケーションを通じて、開発者に権限を与え、セキュリティに関して彼らと対話することだと私は考えている。
現在の状況
開発者は大学を卒業する時点で、安全なコードのデリバリーに関する実践的な知識がほとんどなく、セキュリティ研修が優先されることすら稀な職場で働いています(優先される場合でも、それは通常、健康と安全に関する義務的なコンプライアンス動画の一部であり、あまりにも退屈なため、誰も安全なコーディングに夢中になることはありません)。 彼らのセキュリティ初体験は往々にして、監査やテストで発見された欠陥の報告である。その報告は突然、次期バージョンのリリースを停止させ、創造的な思考を即座に中断させる最優先事項となる。彼らはセキュリティ報告の責任者と意見が合わず、「セキュリティ」が「批判」と同義語に思えてしまう。なんて嫌なことだ。
率直に言って、ソフトウェアの安全性に対するこうした否定的な認識がこれほど広まっているのは本当に残念なことだ。 何と言っても、私のキャリアの中で最も素晴らしい思い出のいくつかは、ソフトウェアセキュリティについて学んだ経験と結びついています。ハッカーとしての初期の頃は、カンファレンスに参加して過ごしました。そこでは仲間たちの前で自分のスキルを試す(そして正直なところ、少し自慢もする)ことができただけでなく、私と同じようにソフトウェア開発を楽しむ、志を同じくする人々と知り合うことで、本当に楽しい時間を過ごしたのです。
BruCon、DefCon、BlackHat…こうしたイベントは私のような者たちに、友好的な競技の場として自らのスキルを発揮する機会を与えてくれた。決して認めることはないが、こうした反社会的なイベントに参加したこともある。中には、他の参加者の携帯電話をハッキングして情報を盗み出し、プレゼン画面に表示して皆に見せつけるという、ハッカーとしての腕前を披露する者さえいる。 ソフトウェアを改善するために、こうした欠陥を探し出し(悪用し、修正する)ことが一種のゲームとなった。 数年前、私は中東で数百人の子供たちを前に、サイバーセキュリティについて教える機会に恵まれました。今でも覚えているのは、生徒の中にいた8歳の少女です。彼女は遊びながら、ブルートフォース攻撃によるパスワードの解読やbase64エンコーディングを学んでいたのです。
ゲーミフィケーションはコーディングスキルの教育にも活用されています。世界中の教育機関がこの手法を用いて、非常に幼い子供たちから中学生までのプログラミング教育を実施しています。 わずか4歳の子供たちがコードキャンプなどのクリスマス向けプログラムに定期的に参加するようになりました。また、Pythonやその他の言語でプログラミングを教える素晴らしいオンラインプログラムが数多く存在します。私は4歳の娘のために、画面を使わない画期的なプログラミングツール「キューベット」を購入しました。
しかし、こうした楽しみと進歩にもかかわらず、一つの隔たりがある。ゲーム化を活用して開発者に安全なコードの書き方を教育する可能性について、誰も考えていなかったのだ。
ええと…ほとんど誰もいませんでした。数年前、セキュリティを再び刺激的で魅力的なものにし、開発者たちが積極的に関わり、取り組み始めるよう本当に動機づける必要があることに気づいたのです。
ゲーミフィケーション:最も簡単な道筋
私は開発者にセキュリティ知識を推進し育成したいという強い願望を持っており、この情熱こそがSecure Code Warrior創設する原動力となりました。ソフトウェアのセキュリティは非常に重要であり、実に刺激的な分野です。
私の考えは独りよがりではない。
ゲーミフィケーションは、最も平凡な作業さえも楽しくし、人々が遊び続け、勝ち続け、進歩し続けたいと思うほど十分に没頭させることができます。 『ポケモンGO』の成功を見よ!最も怠惰な人間さえもソファから立ち上がらせ、屋外へ駆り立て、架空の生き物を探しに行かせた。あるいはFitBitが多くの人の日々の目標となり、歩数目標を達成させる様子を。目標を達成できず、連続記録が途切れ、バッジを獲得できない時、真の失望感が生まれるのだ。
では、セキュリティ教育に戻りましょう。多くの顧客との実績から、ゲーミフィケーションこそが組織のセキュリティ文化を真に変革し、アプリケーションセキュリティと開発チーム間の橋渡しを行い、全体としてより高品質なソフトウェア開発を実現する鍵であることを実証しています。
現時点では、安全性は開発者の最優先事項ではありません。トレーニング方法に親しみやすく、競争的で魅力的な要素を加えることで、単に「遊ぶ」だけでなく、ポイントを獲得し続け、ハイスコアを更新し、精度を高め、チームメイトに挑戦するよう彼らを動機づけることができます。
成功するトレーニングとは、だいたいこんなものだということはもうわかっている:
- 開発者は実際のコードと、自身の言語やフレームワークで作業できます
- 課題は短時間で完了し、一般的なセキュリティ脆弱性をすべて網羅しています
- 課題は常に拡大・更新され、開発者が時間の経過とともにスキルを磨き続けられるよう設計されています。
- 課題の難易度は様々であるため、経験豊富な開発者から初心者まで、幅広い層にとって魅力的です。
- 開発者とそのマネージャーは、進捗状況を確認できます。これには、完了した課題、強みと弱み、トレーニングに費やした時間、および全体的な正確性が含まれます。
主要顧客の一社が、ゲーミフィケーションプラットフォームのローンチ時に真の魅力を発揮しました。開発者にはテーマに沿った装備を贈呈し、ゲーム勝者には驚異的な賞品を提供。トーナメントを忘れられない一日にしたのです。その後も国際大会を開催し、現在も全チームが長時間のトレーニングを積み重ねています。
ソフトウェア革命はここから始まる。オーストラリアの銀行業界は、誤ったコード対策としてゲーミフィケーション研修の導入で最先端を走っており、従来の(退屈な)研修を覆す真に革新的なアプローチを採用しています。当社のクライアントが実施した次世代トーナメントの成果をご覧ください。さあ、私たちと共にチームをレベルアップさせる準備はできていますか?
私たちは議論の方向性を変え、セキュリティを各開発者の仕事人生に不可欠な要素とするために取り組むべきです。そして、その最良の方法の一つは、例えばゲーミフィケーションを通じて、開発者に力を与え、セキュリティに関して彼らと対話することだと考えています。
アプリケーションセキュリティ責任者、最高情報セキュリティ責任者(CISO)、最高情報責任者(CIO)、サイバーセキュリティ専門家の方々:私はソフトウェア開発とセキュリティ分野での自身のキャリアを通じて、世界中のあらゆる種類の企業で働く多くの彼らと対話してきました。
状況がどれほど異なっていても、チームの経験値やこの絶えず変化するデジタル世界での活動期間に関わらず、常に共通する問題があります:開発チームをセキュリティに関して積極的に関与させることがほとんどできないのです。セキュリティは依然としてタブー視され、チーム間の対立の種であり、業界の真の頭痛の種なのです。
しかし、ソフトウェアのセキュリティは、私たちの一般的な考え方がこのまま続くにはあまりにも重要すぎる。私たちは議論の方向性を変え、セキュリティを各開発者の業務の不可欠な部分とするよう取り組まなければならない。そして、その最良の方法の一つは、例えばゲーミフィケーションを通じて、開発者に権限を与え、セキュリティに関して彼らと対話することだと私は考えている。
現在の状況
開発者は大学を卒業する時点で、安全なコードのデリバリーに関する実践的な知識がほとんどなく、セキュリティ研修が優先されることすら稀な職場で働いています(優先される場合でも、それは通常、健康と安全に関する義務的なコンプライアンス動画の一部であり、あまりにも退屈なため、誰も安全なコーディングに夢中になることはありません)。 彼らのセキュリティ初体験は往々にして、監査やテストで発見された欠陥の報告である。その報告は突然、次期バージョンのリリースを停止させ、創造的な思考を即座に中断させる最優先事項となる。彼らはセキュリティ報告の責任者と意見が合わず、「セキュリティ」が「批判」と同義語に思えてしまう。なんて嫌なことだ。
率直に言って、ソフトウェアの安全性に対するこうした否定的な認識がこれほど広まっているのは本当に残念なことだ。 何と言っても、私のキャリアの中で最も素晴らしい思い出のいくつかは、ソフトウェアセキュリティについて学んだ経験と結びついています。ハッカーとしての初期の頃は、カンファレンスに参加して過ごしました。そこでは仲間たちの前で自分のスキルを試す(そして正直なところ、少し自慢もする)ことができただけでなく、私と同じようにソフトウェア開発を楽しむ、志を同じくする人々と知り合うことで、本当に楽しい時間を過ごしたのです。
BruCon、DefCon、BlackHat…こうしたイベントは私のような者たちに、友好的な競技の場として自らのスキルを発揮する機会を与えてくれた。決して認めることはないが、こうした反社会的なイベントに参加したこともある。中には、他の参加者の携帯電話をハッキングして情報を盗み出し、プレゼン画面に表示して皆に見せつけるという、ハッカーとしての腕前を披露する者さえいる。 ソフトウェアを改善するために、こうした欠陥を探し出し(悪用し、修正する)ことが一種のゲームとなった。 数年前、私は中東で数百人の子供たちを前に、サイバーセキュリティについて教える機会に恵まれました。今でも覚えているのは、生徒の中にいた8歳の少女です。彼女は遊びながら、ブルートフォース攻撃によるパスワードの解読やbase64エンコーディングを学んでいたのです。
ゲーミフィケーションはコーディングスキルの教育にも活用されています。世界中の教育機関がこの手法を用いて、非常に幼い子供たちから中学生までのプログラミング教育を実施しています。 わずか4歳の子供たちがコードキャンプなどのクリスマス向けプログラムに定期的に参加するようになりました。また、Pythonやその他の言語でプログラミングを教える素晴らしいオンラインプログラムが数多く存在します。私は4歳の娘のために、画面を使わない画期的なプログラミングツール「キューベット」を購入しました。
しかし、こうした楽しみと進歩にもかかわらず、一つの隔たりがある。ゲーム化を活用して開発者に安全なコードの書き方を教育する可能性について、誰も考えていなかったのだ。
ええと…ほとんど誰もいませんでした。数年前、セキュリティを再び刺激的で魅力的なものにし、開発者たちが積極的に関わり、取り組み始めるよう本当に動機づける必要があることに気づいたのです。
ゲーミフィケーション:最も簡単な道筋
私は開発者にセキュリティ知識を推進し育成したいという強い願望を持っており、この情熱こそがSecure Code Warrior創設する原動力となりました。ソフトウェアのセキュリティは非常に重要であり、実に刺激的な分野です。
私の考えは独りよがりではない。
ゲーミフィケーションは、最も平凡な作業さえも楽しくし、人々が遊び続け、勝ち続け、進歩し続けたいと思うほど十分に没頭させることができます。 『ポケモンGO』の成功を見よ!最も怠惰な人間さえもソファから立ち上がらせ、屋外へ駆り立て、架空の生き物を探しに行かせた。あるいはFitBitが多くの人の日々の目標となり、歩数目標を達成させる様子を。目標を達成できず、連続記録が途切れ、バッジを獲得できない時、真の失望感が生まれるのだ。
では、セキュリティ教育に戻りましょう。多くの顧客との実績から、ゲーミフィケーションこそが組織のセキュリティ文化を真に変革し、アプリケーションセキュリティと開発チーム間の橋渡しを行い、全体としてより高品質なソフトウェア開発を実現する鍵であることを実証しています。
現時点では、安全性は開発者の最優先事項ではありません。トレーニング方法に親しみやすく、競争的で魅力的な要素を加えることで、単に「遊ぶ」だけでなく、ポイントを獲得し続け、ハイスコアを更新し、精度を高め、チームメイトに挑戦するよう彼らを動機づけることができます。
成功するトレーニングとは、だいたいこんなものだということはもうわかっている:
- 開発者は実際のコードと、自身の言語やフレームワークで作業できます
- 課題は短時間で完了し、一般的なセキュリティ脆弱性をすべて網羅しています
- 課題は常に拡大・更新され、開発者が時間の経過とともにスキルを磨き続けられるよう設計されています。
- 課題の難易度は様々であるため、経験豊富な開発者から初心者まで、幅広い層にとって魅力的です。
- 開発者とそのマネージャーは、進捗状況を確認できます。これには、完了した課題、強みと弱み、トレーニングに費やした時間、および全体的な正確性が含まれます。
主要顧客の一社が、ゲーミフィケーションプラットフォームのローンチ時に真の魅力を発揮しました。開発者にはテーマに沿った装備を贈呈し、ゲーム勝者には驚異的な賞品を提供。トーナメントを忘れられない一日にしたのです。その後も国際大会を開催し、現在も全チームが長時間のトレーニングを積み重ねています。
ソフトウェア革命はここから始まる。オーストラリアの銀行業界は、誤ったコード対策としてゲーミフィケーション研修の導入で最先端を走っており、従来の(退屈な)研修を覆す真に革新的なアプローチを採用しています。当社のクライアントが実施した次世代トーナメントの成果をご覧ください。さあ、私たちと共にチームをレベルアップさせる準備はできていますか?
私たちは議論の方向性を変え、セキュリティを各開発者の仕事人生に不可欠な要素とするために取り組むべきです。そして、その最良の方法の一つは、例えばゲーミフィケーションを通じて、開発者に力を与え、セキュリティに関して彼らと対話することだと考えています。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先事項とする文化を構築するために、貴組織をSecure Code Warrior 。AppSec管理者、開発者、CISO、セキュリティ関連担当者など、あらゆる立場の方々に対し、不安全なコードに関連するリスクを軽減するお手伝いをいたします。
報告書を見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
アプリケーションセキュリティ責任者、最高情報セキュリティ責任者(CISO)、最高情報責任者(CIO)、サイバーセキュリティ専門家の方々:私はソフトウェア開発とセキュリティ分野での自身のキャリアを通じて、世界中のあらゆる種類の企業で働く多くの彼らと対話してきました。
状況がどれほど異なっていても、チームの経験値やこの絶えず変化するデジタル世界での活動期間に関わらず、常に共通する問題があります:開発チームをセキュリティに関して積極的に関与させることがほとんどできないのです。セキュリティは依然としてタブー視され、チーム間の対立の種であり、業界の真の頭痛の種なのです。
しかし、ソフトウェアのセキュリティは、私たちの一般的な考え方がこのまま続くにはあまりにも重要すぎる。私たちは議論の方向性を変え、セキュリティを各開発者の業務の不可欠な部分とするよう取り組まなければならない。そして、その最良の方法の一つは、例えばゲーミフィケーションを通じて、開発者に権限を与え、セキュリティに関して彼らと対話することだと私は考えている。
現在の状況
開発者は大学を卒業する時点で、安全なコードのデリバリーに関する実践的な知識がほとんどなく、セキュリティ研修が優先されることすら稀な職場で働いています(優先される場合でも、それは通常、健康と安全に関する義務的なコンプライアンス動画の一部であり、あまりにも退屈なため、誰も安全なコーディングに夢中になることはありません)。 彼らのセキュリティ初体験は往々にして、監査やテストで発見された欠陥の報告である。その報告は突然、次期バージョンのリリースを停止させ、創造的な思考を即座に中断させる最優先事項となる。彼らはセキュリティ報告の責任者と意見が合わず、「セキュリティ」が「批判」と同義語に思えてしまう。なんて嫌なことだ。
率直に言って、ソフトウェアの安全性に対するこうした否定的な認識がこれほど広まっているのは本当に残念なことだ。 何と言っても、私のキャリアの中で最も素晴らしい思い出のいくつかは、ソフトウェアセキュリティについて学んだ経験と結びついています。ハッカーとしての初期の頃は、カンファレンスに参加して過ごしました。そこでは仲間たちの前で自分のスキルを試す(そして正直なところ、少し自慢もする)ことができただけでなく、私と同じようにソフトウェア開発を楽しむ、志を同じくする人々と知り合うことで、本当に楽しい時間を過ごしたのです。
BruCon、DefCon、BlackHat…こうしたイベントは私のような者たちに、友好的な競技の場として自らのスキルを発揮する機会を与えてくれた。決して認めることはないが、こうした反社会的なイベントに参加したこともある。中には、他の参加者の携帯電話をハッキングして情報を盗み出し、プレゼン画面に表示して皆に見せつけるという、ハッカーとしての腕前を披露する者さえいる。 ソフトウェアを改善するために、こうした欠陥を探し出し(悪用し、修正する)ことが一種のゲームとなった。 数年前、私は中東で数百人の子供たちを前に、サイバーセキュリティについて教える機会に恵まれました。今でも覚えているのは、生徒の中にいた8歳の少女です。彼女は遊びながら、ブルートフォース攻撃によるパスワードの解読やbase64エンコーディングを学んでいたのです。
ゲーミフィケーションはコーディングスキルの教育にも活用されています。世界中の教育機関がこの手法を用いて、非常に幼い子供たちから中学生までのプログラミング教育を実施しています。 わずか4歳の子供たちがコードキャンプなどのクリスマス向けプログラムに定期的に参加するようになりました。また、Pythonやその他の言語でプログラミングを教える素晴らしいオンラインプログラムが数多く存在します。私は4歳の娘のために、画面を使わない画期的なプログラミングツール「キューベット」を購入しました。
しかし、こうした楽しみと進歩にもかかわらず、一つの隔たりがある。ゲーム化を活用して開発者に安全なコードの書き方を教育する可能性について、誰も考えていなかったのだ。
ええと…ほとんど誰もいませんでした。数年前、セキュリティを再び刺激的で魅力的なものにし、開発者たちが積極的に関わり、取り組み始めるよう本当に動機づける必要があることに気づいたのです。
ゲーミフィケーション:最も簡単な道筋
私は開発者にセキュリティ知識を推進し育成したいという強い願望を持っており、この情熱こそがSecure Code Warrior創設する原動力となりました。ソフトウェアのセキュリティは非常に重要であり、実に刺激的な分野です。
私の考えは独りよがりではない。
ゲーミフィケーションは、最も平凡な作業さえも楽しくし、人々が遊び続け、勝ち続け、進歩し続けたいと思うほど十分に没頭させることができます。 『ポケモンGO』の成功を見よ!最も怠惰な人間さえもソファから立ち上がらせ、屋外へ駆り立て、架空の生き物を探しに行かせた。あるいはFitBitが多くの人の日々の目標となり、歩数目標を達成させる様子を。目標を達成できず、連続記録が途切れ、バッジを獲得できない時、真の失望感が生まれるのだ。
では、セキュリティ教育に戻りましょう。多くの顧客との実績から、ゲーミフィケーションこそが組織のセキュリティ文化を真に変革し、アプリケーションセキュリティと開発チーム間の橋渡しを行い、全体としてより高品質なソフトウェア開発を実現する鍵であることを実証しています。
現時点では、安全性は開発者の最優先事項ではありません。トレーニング方法に親しみやすく、競争的で魅力的な要素を加えることで、単に「遊ぶ」だけでなく、ポイントを獲得し続け、ハイスコアを更新し、精度を高め、チームメイトに挑戦するよう彼らを動機づけることができます。
成功するトレーニングとは、だいたいこんなものだということはもうわかっている:
- 開発者は実際のコードと、自身の言語やフレームワークで作業できます
- 課題は短時間で完了し、一般的なセキュリティ脆弱性をすべて網羅しています
- 課題は常に拡大・更新され、開発者が時間の経過とともにスキルを磨き続けられるよう設計されています。
- 課題の難易度は様々であるため、経験豊富な開発者から初心者まで、幅広い層にとって魅力的です。
- 開発者とそのマネージャーは、進捗状況を確認できます。これには、完了した課題、強みと弱み、トレーニングに費やした時間、および全体的な正確性が含まれます。
主要顧客の一社が、ゲーミフィケーションプラットフォームのローンチ時に真の魅力を発揮しました。開発者にはテーマに沿った装備を贈呈し、ゲーム勝者には驚異的な賞品を提供。トーナメントを忘れられない一日にしたのです。その後も国際大会を開催し、現在も全チームが長時間のトレーニングを積み重ねています。
ソフトウェア革命はここから始まる。オーストラリアの銀行業界は、誤ったコード対策としてゲーミフィケーション研修の導入で最先端を走っており、従来の(退屈な)研修を覆す真に革新的なアプローチを採用しています。当社のクライアントが実施した次世代トーナメントの成果をご覧ください。さあ、私たちと共にチームをレベルアップさせる準備はできていますか?
私たちは議論の方向性を変え、セキュリティを各開発者の仕事人生に不可欠な要素とするために取り組むべきです。そして、その最良の方法の一つは、例えばゲーミフィケーションを通じて、開発者に力を与え、セキュリティに関して彼らと対話することだと考えています。
%20(1).avif)
.avif)
