ゲーミフィケーションがソフトウェアのセキュリティ向上に不可欠な理由
アプリケーションセキュリティ担当者、最高情報セキュリティ責任者(CISO)、最高情報責任者(CIO)、サイバーセキュリティ専門家——私は自身のソフトウェア開発とセキュリティ分野でのキャリアにおいて、世界中の様々な企業で働く彼らの多くと対話してきました。
状況やチームの経験、この絶えず変化するデジタル世界での時間の経過にかかわらず、一つの問題は変わらない。彼らは、セキュリティに関して開発チームを積極的に関与させることがほとんどできないのだ。セキュリティは依然としてタブー視され、チーム間の対立の種であり、業界の真の難題である。
しかしながら、ソフトウェアのセキュリティは、私たちの一般的な考え方をこのまま続けておくにはあまりにも重要すぎる。私たちは状況を変える努力をし、セキュリティを各開発者の職業生活に不可欠な要素としなければならない。そして、その最善の方法の一つは、例えばゲーミフィケーションを通じて、開発者に責任を持たせ、セキュリティに関与させることだと考えている。
現在の風景
開発者は大学を卒業する際、安全なコードの提供に関する実践的な知識がほとんどありません。彼らが就く職場では、セキュリティ研修が優先されることは稀です(優先される場合でも、通常は健康安全に関する義務的なコンプライアンス動画の一部であり、その退屈さゆえに誰も安全なコーディングを気にかけません)。 彼らのセキュリティに関する最初の経験は、往々にして監査やテストのバグ報告であり、それが突然将来のバージョンを中断させ、瞬時に創造的な思考を妨げます。彼らはセキュリティ報告の担当者との意見の相違に直面し、「セキュリティ」という言葉が彼らの心の中で「批判」と同義語になってしまいます。嫌だな。
ソフトウェアセキュリティに対するこうした否定的な認識が広く浸透しているのは本当に残念だ。何しろ、私のキャリアの中で最も素晴らしい思い出のいくつかは、ソフトウェアセキュリティを学んだ経験に結びついているのだから。 ハッカーとしての初期の頃、私はカンファレンスに参加して過ごしました。そこでは仲間と腕を競い合い(正直なところ、少し見せびらかすことも)、ソフトウェアを破壊するのが私と同じくらい好きな、同じ志を持つ人々と出会うことで、非常に楽しむことができたのです。
ブルコン、デフコン、ブラックハット…こうしたイベントは私のような者たちが友好的な競技会でスキルを発揮する機会を与えてくれた。反社会的行為への参加を認めるつもりはないが、中にはハッキングの腕前を誇示するため、他の参加者の携帯電話に侵入し、その情報をプレゼン画面に晒して皆の目に晒す者さえいた。 ソフトウェアを改善するため、脆弱性を見つけ出し、悪用し、修正することがゲームとなった。 数年前、私は中東の数百人の子供たちにサイバーセキュリティを教える機会に恵まれた。生徒の中にいた8歳の少女が、ゲームをしながらパスワードのブルートフォース攻撃やBase64エンコーディングを学んでいた光景を今でも覚えている。
ゲーミフィケーションはコーディング技術の指導にも活用されています。世界中の教育機関がこの手法を用いて、非常に幼い子供から高校生までを対象にコーディングを教えています。わずか4歳の子供たちがコードキャンプなどの休暇プログラムに定期的に参加するようになり、Pythonやその他の言語で子供たちにコーディングを教える素晴らしいオンラインプログラムも数多く存在します。 私は4歳の娘のために、画面を使わない画期的なプログラミングツール「キューベット」を購入しました。
しかしながら、こうした喜びや進歩にもかかわらず、一つの隔たりがある。ゲーミフィケーションを活用して開発者にセキュアなコードの書き方を訓練する可能性について、誰も考えてこなかったのだ。
ええと…ほとんど誰もいません。数年前、セキュリティに再びインスピレーションを与え、開発者たちが実際に参加し、取り組み始めるよう動機づける必要があることに気づきました。
ゲーミフィケーション:最もシンプルな解決策。
私は開発者がセキュリティに関する知識を習得する手助けをすることに深く決意しており、この情熱こそがSecure Code Warrior創設する原動力となりました。ソフトウェアのセキュリティは非常に重要であり、そして本当にエキサイティングなものになり得るのです。
私だけがそう考えているわけではない。
ゲーミフィケーションは、最も平凡な作業さえもさらに楽しくし、プレイヤーがプレイを続け、勝利し、進歩するための十分な動機付けを維持できるようにします。ポケモンGOのプレイ方法を見れば明らかです!最も怠惰な人さえもソファから立ち上がらせ、架空の生き物を探しに出かけさせ、あるいはFitBitが歩数目標を日課とする仕組みを発見させました... 目標が達成されず、連続記録が途切れ、バッジを獲得できないと、本物の失望感が湧き上がるのです。
では、セキュリティ教育について改めて考えてみましょう。私たちは数多くの顧客に対し、ゲーミフィケーションが組織のセキュリティ文化を真に変革するために不可欠であることを実証してきました。具体的には、アプリケーションセキュリティチームと開発チーム間の連携を強化し、より高い基準を満たすソフトウェアの開発を支援することで実現しています。
現時点では、セキュリティは開発者の最優先事項ではありません。トレーニング手法に親しみやすく、競争的で没頭できる要素を加えることで、開発者は単に「遊ぶ」だけでなく、より多くのポイントを獲得し、最高記録を更新し、精度を高め、他のチームメンバーに挑戦するために繰り返し参加するよう動機づけられます。
私たちはすでに、成功したトレーニングが次のようなものであることを知っています:
- 開発者は実際のコードで作業し、自身の言語やフレームワークを使用することが可能です
- 課題は短く、一般的なセキュリティの脆弱性をすべて網羅している
- 課題は常に拡張・更新され、開発者が継続的にスキルを向上させられるように設計されています
- 課題は複雑さが様々であるため、経験豊富な開発者にも経験の浅い開発者にも興味深いものです
- 開発者とその責任者は、達成した進捗状況を確認できます。具体的には、克服した課題、強みと弱み、トレーニングに費やした時間、および総合的な正確性などが含まれます。
当社の主要顧客の一社が、ゲーミフィケーションプラットフォームの本質的な魅力を実証しました。導入時には開発者向けにテーマに沿ったチームグッズを提供し、ゲーム優勝者には豪華な賞品を贈呈。大会そのものを忘れられない一日へと昇華させたのです。その後も国際的な競技会を開催し続け、現在に至るまで全チームが真剣にトレーニングを継続しています。
あなたのソフトウェア革命はここから始まります。オーストラリアの銀行業界は、従来の(退屈な)トレーニングを刷新する真に革新的なアプローチの一環として、不良コード対策にゲーミフィケーション型トレーニングを導入する先駆者です。当社のクライアントが実施したハイレベルなトーナメントの成果をご覧ください。さあ、私たちと共にチームを強化する準備はできていますか?
我々は状況を変える努力をしなければなりません。セキュリティを各開発者の職業生活に不可欠な要素とするのです。そして、その最良の方法の一つは、例えばゲーミフィケーションを通じて、開発者に責任を持たせ、セキュリティに関与させることだと考えます。
我々は状況を変える努力をしなければなりません。セキュリティを各開発者の職業生活に不可欠な要素とするのです。そして、その最良の方法の一つは、例えばゲーミフィケーションを通じて、開発者に責任を持たせ、セキュリティに関与させることだと考えます。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
アプリケーションセキュリティ担当者、最高情報セキュリティ責任者(CISO)、最高情報責任者(CIO)、サイバーセキュリティ専門家——私は自身のソフトウェア開発とセキュリティ分野でのキャリアにおいて、世界中の様々な企業で働く彼らの多くと対話してきました。
状況やチームの経験、この絶えず変化するデジタル世界での時間の経過にかかわらず、一つの問題は変わらない。彼らは、セキュリティに関して開発チームを積極的に関与させることがほとんどできないのだ。セキュリティは依然としてタブー視され、チーム間の対立の種であり、業界の真の難題である。
しかしながら、ソフトウェアのセキュリティは、私たちの一般的な考え方をこのまま続けておくにはあまりにも重要すぎる。私たちは状況を変える努力をし、セキュリティを各開発者の職業生活に不可欠な要素としなければならない。そして、その最善の方法の一つは、例えばゲーミフィケーションを通じて、開発者に責任を持たせ、セキュリティに関与させることだと考えている。
現在の風景
開発者は大学を卒業する際、安全なコードの提供に関する実践的な知識がほとんどありません。彼らが就く職場では、セキュリティ研修が優先されることは稀です(優先される場合でも、通常は健康安全に関する義務的なコンプライアンス動画の一部であり、その退屈さゆえに誰も安全なコーディングを気にかけません)。 彼らのセキュリティに関する最初の経験は、往々にして監査やテストのバグ報告であり、それが突然将来のバージョンを中断させ、瞬時に創造的な思考を妨げます。彼らはセキュリティ報告の担当者との意見の相違に直面し、「セキュリティ」という言葉が彼らの心の中で「批判」と同義語になってしまいます。嫌だな。
ソフトウェアセキュリティに対するこうした否定的な認識が広く浸透しているのは本当に残念だ。何しろ、私のキャリアの中で最も素晴らしい思い出のいくつかは、ソフトウェアセキュリティを学んだ経験に結びついているのだから。 ハッカーとしての初期の頃、私はカンファレンスに参加して過ごしました。そこでは仲間と腕を競い合い(正直なところ、少し見せびらかすことも)、ソフトウェアを破壊するのが私と同じくらい好きな、同じ志を持つ人々と出会うことで、非常に楽しむことができたのです。
ブルコン、デフコン、ブラックハット…こうしたイベントは私のような者たちが友好的な競技会でスキルを発揮する機会を与えてくれた。反社会的行為への参加を認めるつもりはないが、中にはハッキングの腕前を誇示するため、他の参加者の携帯電話に侵入し、その情報をプレゼン画面に晒して皆の目に晒す者さえいた。 ソフトウェアを改善するため、脆弱性を見つけ出し、悪用し、修正することがゲームとなった。 数年前、私は中東の数百人の子供たちにサイバーセキュリティを教える機会に恵まれた。生徒の中にいた8歳の少女が、ゲームをしながらパスワードのブルートフォース攻撃やBase64エンコーディングを学んでいた光景を今でも覚えている。
ゲーミフィケーションはコーディング技術の指導にも活用されています。世界中の教育機関がこの手法を用いて、非常に幼い子供から高校生までを対象にコーディングを教えています。わずか4歳の子供たちがコードキャンプなどの休暇プログラムに定期的に参加するようになり、Pythonやその他の言語で子供たちにコーディングを教える素晴らしいオンラインプログラムも数多く存在します。 私は4歳の娘のために、画面を使わない画期的なプログラミングツール「キューベット」を購入しました。
しかしながら、こうした喜びや進歩にもかかわらず、一つの隔たりがある。ゲーミフィケーションを活用して開発者にセキュアなコードの書き方を訓練する可能性について、誰も考えてこなかったのだ。
ええと…ほとんど誰もいません。数年前、セキュリティに再びインスピレーションを与え、開発者たちが実際に参加し、取り組み始めるよう動機づける必要があることに気づきました。
ゲーミフィケーション:最もシンプルな解決策。
私は開発者がセキュリティに関する知識を習得する手助けをすることに深く決意しており、この情熱こそがSecure Code Warrior創設する原動力となりました。ソフトウェアのセキュリティは非常に重要であり、そして本当にエキサイティングなものになり得るのです。
私だけがそう考えているわけではない。
ゲーミフィケーションは、最も平凡な作業さえもさらに楽しくし、プレイヤーがプレイを続け、勝利し、進歩するための十分な動機付けを維持できるようにします。ポケモンGOのプレイ方法を見れば明らかです!最も怠惰な人さえもソファから立ち上がらせ、架空の生き物を探しに出かけさせ、あるいはFitBitが歩数目標を日課とする仕組みを発見させました... 目標が達成されず、連続記録が途切れ、バッジを獲得できないと、本物の失望感が湧き上がるのです。
では、セキュリティ教育について改めて考えてみましょう。私たちは数多くの顧客に対し、ゲーミフィケーションが組織のセキュリティ文化を真に変革するために不可欠であることを実証してきました。具体的には、アプリケーションセキュリティチームと開発チーム間の連携を強化し、より高い基準を満たすソフトウェアの開発を支援することで実現しています。
現時点では、セキュリティは開発者の最優先事項ではありません。トレーニング手法に親しみやすく、競争的で没頭できる要素を加えることで、開発者は単に「遊ぶ」だけでなく、より多くのポイントを獲得し、最高記録を更新し、精度を高め、他のチームメンバーに挑戦するために繰り返し参加するよう動機づけられます。
私たちはすでに、成功したトレーニングが次のようなものであることを知っています:
- 開発者は実際のコードで作業し、自身の言語やフレームワークを使用することが可能です
- 課題は短く、一般的なセキュリティの脆弱性をすべて網羅している
- 課題は常に拡張・更新され、開発者が継続的にスキルを向上させられるように設計されています
- 課題は複雑さが様々であるため、経験豊富な開発者にも経験の浅い開発者にも興味深いものです
- 開発者とその責任者は、達成した進捗状況を確認できます。具体的には、克服した課題、強みと弱み、トレーニングに費やした時間、および総合的な正確性などが含まれます。
当社の主要顧客の一社が、ゲーミフィケーションプラットフォームの本質的な魅力を実証しました。導入時には開発者向けにテーマに沿ったチームグッズを提供し、ゲーム優勝者には豪華な賞品を贈呈。大会そのものを忘れられない一日へと昇華させたのです。その後も国際的な競技会を開催し続け、現在に至るまで全チームが真剣にトレーニングを継続しています。
あなたのソフトウェア革命はここから始まります。オーストラリアの銀行業界は、従来の(退屈な)トレーニングを刷新する真に革新的なアプローチの一環として、不良コード対策にゲーミフィケーション型トレーニングを導入する先駆者です。当社のクライアントが実施したハイレベルなトーナメントの成果をご覧ください。さあ、私たちと共にチームを強化する準備はできていますか?
我々は状況を変える努力をしなければなりません。セキュリティを各開発者の職業生活に不可欠な要素とするのです。そして、その最良の方法の一つは、例えばゲーミフィケーションを通じて、開発者に責任を持たせ、セキュリティに関与させることだと考えます。
アプリケーションセキュリティ担当者、最高情報セキュリティ責任者(CISO)、最高情報責任者(CIO)、サイバーセキュリティ専門家——私は自身のソフトウェア開発とセキュリティ分野でのキャリアにおいて、世界中の様々な企業で働く彼らの多くと対話してきました。
状況やチームの経験、この絶えず変化するデジタル世界での時間の経過にかかわらず、一つの問題は変わらない。彼らは、セキュリティに関して開発チームを積極的に関与させることがほとんどできないのだ。セキュリティは依然としてタブー視され、チーム間の対立の種であり、業界の真の難題である。
しかしながら、ソフトウェアのセキュリティは、私たちの一般的な考え方をこのまま続けておくにはあまりにも重要すぎる。私たちは状況を変える努力をし、セキュリティを各開発者の職業生活に不可欠な要素としなければならない。そして、その最善の方法の一つは、例えばゲーミフィケーションを通じて、開発者に責任を持たせ、セキュリティに関与させることだと考えている。
現在の風景
開発者は大学を卒業する際、安全なコードの提供に関する実践的な知識がほとんどありません。彼らが就く職場では、セキュリティ研修が優先されることは稀です(優先される場合でも、通常は健康安全に関する義務的なコンプライアンス動画の一部であり、その退屈さゆえに誰も安全なコーディングを気にかけません)。 彼らのセキュリティに関する最初の経験は、往々にして監査やテストのバグ報告であり、それが突然将来のバージョンを中断させ、瞬時に創造的な思考を妨げます。彼らはセキュリティ報告の担当者との意見の相違に直面し、「セキュリティ」という言葉が彼らの心の中で「批判」と同義語になってしまいます。嫌だな。
ソフトウェアセキュリティに対するこうした否定的な認識が広く浸透しているのは本当に残念だ。何しろ、私のキャリアの中で最も素晴らしい思い出のいくつかは、ソフトウェアセキュリティを学んだ経験に結びついているのだから。 ハッカーとしての初期の頃、私はカンファレンスに参加して過ごしました。そこでは仲間と腕を競い合い(正直なところ、少し見せびらかすことも)、ソフトウェアを破壊するのが私と同じくらい好きな、同じ志を持つ人々と出会うことで、非常に楽しむことができたのです。
ブルコン、デフコン、ブラックハット…こうしたイベントは私のような者たちが友好的な競技会でスキルを発揮する機会を与えてくれた。反社会的行為への参加を認めるつもりはないが、中にはハッキングの腕前を誇示するため、他の参加者の携帯電話に侵入し、その情報をプレゼン画面に晒して皆の目に晒す者さえいた。 ソフトウェアを改善するため、脆弱性を見つけ出し、悪用し、修正することがゲームとなった。 数年前、私は中東の数百人の子供たちにサイバーセキュリティを教える機会に恵まれた。生徒の中にいた8歳の少女が、ゲームをしながらパスワードのブルートフォース攻撃やBase64エンコーディングを学んでいた光景を今でも覚えている。
ゲーミフィケーションはコーディング技術の指導にも活用されています。世界中の教育機関がこの手法を用いて、非常に幼い子供から高校生までを対象にコーディングを教えています。わずか4歳の子供たちがコードキャンプなどの休暇プログラムに定期的に参加するようになり、Pythonやその他の言語で子供たちにコーディングを教える素晴らしいオンラインプログラムも数多く存在します。 私は4歳の娘のために、画面を使わない画期的なプログラミングツール「キューベット」を購入しました。
しかしながら、こうした喜びや進歩にもかかわらず、一つの隔たりがある。ゲーミフィケーションを活用して開発者にセキュアなコードの書き方を訓練する可能性について、誰も考えてこなかったのだ。
ええと…ほとんど誰もいません。数年前、セキュリティに再びインスピレーションを与え、開発者たちが実際に参加し、取り組み始めるよう動機づける必要があることに気づきました。
ゲーミフィケーション:最もシンプルな解決策。
私は開発者がセキュリティに関する知識を習得する手助けをすることに深く決意しており、この情熱こそがSecure Code Warrior創設する原動力となりました。ソフトウェアのセキュリティは非常に重要であり、そして本当にエキサイティングなものになり得るのです。
私だけがそう考えているわけではない。
ゲーミフィケーションは、最も平凡な作業さえもさらに楽しくし、プレイヤーがプレイを続け、勝利し、進歩するための十分な動機付けを維持できるようにします。ポケモンGOのプレイ方法を見れば明らかです!最も怠惰な人さえもソファから立ち上がらせ、架空の生き物を探しに出かけさせ、あるいはFitBitが歩数目標を日課とする仕組みを発見させました... 目標が達成されず、連続記録が途切れ、バッジを獲得できないと、本物の失望感が湧き上がるのです。
では、セキュリティ教育について改めて考えてみましょう。私たちは数多くの顧客に対し、ゲーミフィケーションが組織のセキュリティ文化を真に変革するために不可欠であることを実証してきました。具体的には、アプリケーションセキュリティチームと開発チーム間の連携を強化し、より高い基準を満たすソフトウェアの開発を支援することで実現しています。
現時点では、セキュリティは開発者の最優先事項ではありません。トレーニング手法に親しみやすく、競争的で没頭できる要素を加えることで、開発者は単に「遊ぶ」だけでなく、より多くのポイントを獲得し、最高記録を更新し、精度を高め、他のチームメンバーに挑戦するために繰り返し参加するよう動機づけられます。
私たちはすでに、成功したトレーニングが次のようなものであることを知っています:
- 開発者は実際のコードで作業し、自身の言語やフレームワークを使用することが可能です
- 課題は短く、一般的なセキュリティの脆弱性をすべて網羅している
- 課題は常に拡張・更新され、開発者が継続的にスキルを向上させられるように設計されています
- 課題は複雑さが様々であるため、経験豊富な開発者にも経験の浅い開発者にも興味深いものです
- 開発者とその責任者は、達成した進捗状況を確認できます。具体的には、克服した課題、強みと弱み、トレーニングに費やした時間、および総合的な正確性などが含まれます。
当社の主要顧客の一社が、ゲーミフィケーションプラットフォームの本質的な魅力を実証しました。導入時には開発者向けにテーマに沿ったチームグッズを提供し、ゲーム優勝者には豪華な賞品を贈呈。大会そのものを忘れられない一日へと昇華させたのです。その後も国際的な競技会を開催し続け、現在に至るまで全チームが真剣にトレーニングを継続しています。
あなたのソフトウェア革命はここから始まります。オーストラリアの銀行業界は、従来の(退屈な)トレーニングを刷新する真に革新的なアプローチの一環として、不良コード対策にゲーミフィケーション型トレーニングを導入する先駆者です。当社のクライアントが実施したハイレベルなトーナメントの成果をご覧ください。さあ、私たちと共にチームを強化する準備はできていますか?
我々は状況を変える努力をしなければなりません。セキュリティを各開発者の職業生活に不可欠な要素とするのです。そして、その最良の方法の一つは、例えばゲーミフィケーションを通じて、開発者に責任を持たせ、セキュリティに関与させることだと考えます。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
アプリケーションセキュリティ担当者、最高情報セキュリティ責任者(CISO)、最高情報責任者(CIO)、サイバーセキュリティ専門家——私は自身のソフトウェア開発とセキュリティ分野でのキャリアにおいて、世界中の様々な企業で働く彼らの多くと対話してきました。
状況やチームの経験、この絶えず変化するデジタル世界での時間の経過にかかわらず、一つの問題は変わらない。彼らは、セキュリティに関して開発チームを積極的に関与させることがほとんどできないのだ。セキュリティは依然としてタブー視され、チーム間の対立の種であり、業界の真の難題である。
しかしながら、ソフトウェアのセキュリティは、私たちの一般的な考え方をこのまま続けておくにはあまりにも重要すぎる。私たちは状況を変える努力をし、セキュリティを各開発者の職業生活に不可欠な要素としなければならない。そして、その最善の方法の一つは、例えばゲーミフィケーションを通じて、開発者に責任を持たせ、セキュリティに関与させることだと考えている。
現在の風景
開発者は大学を卒業する際、安全なコードの提供に関する実践的な知識がほとんどありません。彼らが就く職場では、セキュリティ研修が優先されることは稀です(優先される場合でも、通常は健康安全に関する義務的なコンプライアンス動画の一部であり、その退屈さゆえに誰も安全なコーディングを気にかけません)。 彼らのセキュリティに関する最初の経験は、往々にして監査やテストのバグ報告であり、それが突然将来のバージョンを中断させ、瞬時に創造的な思考を妨げます。彼らはセキュリティ報告の担当者との意見の相違に直面し、「セキュリティ」という言葉が彼らの心の中で「批判」と同義語になってしまいます。嫌だな。
ソフトウェアセキュリティに対するこうした否定的な認識が広く浸透しているのは本当に残念だ。何しろ、私のキャリアの中で最も素晴らしい思い出のいくつかは、ソフトウェアセキュリティを学んだ経験に結びついているのだから。 ハッカーとしての初期の頃、私はカンファレンスに参加して過ごしました。そこでは仲間と腕を競い合い(正直なところ、少し見せびらかすことも)、ソフトウェアを破壊するのが私と同じくらい好きな、同じ志を持つ人々と出会うことで、非常に楽しむことができたのです。
ブルコン、デフコン、ブラックハット…こうしたイベントは私のような者たちが友好的な競技会でスキルを発揮する機会を与えてくれた。反社会的行為への参加を認めるつもりはないが、中にはハッキングの腕前を誇示するため、他の参加者の携帯電話に侵入し、その情報をプレゼン画面に晒して皆の目に晒す者さえいた。 ソフトウェアを改善するため、脆弱性を見つけ出し、悪用し、修正することがゲームとなった。 数年前、私は中東の数百人の子供たちにサイバーセキュリティを教える機会に恵まれた。生徒の中にいた8歳の少女が、ゲームをしながらパスワードのブルートフォース攻撃やBase64エンコーディングを学んでいた光景を今でも覚えている。
ゲーミフィケーションはコーディング技術の指導にも活用されています。世界中の教育機関がこの手法を用いて、非常に幼い子供から高校生までを対象にコーディングを教えています。わずか4歳の子供たちがコードキャンプなどの休暇プログラムに定期的に参加するようになり、Pythonやその他の言語で子供たちにコーディングを教える素晴らしいオンラインプログラムも数多く存在します。 私は4歳の娘のために、画面を使わない画期的なプログラミングツール「キューベット」を購入しました。
しかしながら、こうした喜びや進歩にもかかわらず、一つの隔たりがある。ゲーミフィケーションを活用して開発者にセキュアなコードの書き方を訓練する可能性について、誰も考えてこなかったのだ。
ええと…ほとんど誰もいません。数年前、セキュリティに再びインスピレーションを与え、開発者たちが実際に参加し、取り組み始めるよう動機づける必要があることに気づきました。
ゲーミフィケーション:最もシンプルな解決策。
私は開発者がセキュリティに関する知識を習得する手助けをすることに深く決意しており、この情熱こそがSecure Code Warrior創設する原動力となりました。ソフトウェアのセキュリティは非常に重要であり、そして本当にエキサイティングなものになり得るのです。
私だけがそう考えているわけではない。
ゲーミフィケーションは、最も平凡な作業さえもさらに楽しくし、プレイヤーがプレイを続け、勝利し、進歩するための十分な動機付けを維持できるようにします。ポケモンGOのプレイ方法を見れば明らかです!最も怠惰な人さえもソファから立ち上がらせ、架空の生き物を探しに出かけさせ、あるいはFitBitが歩数目標を日課とする仕組みを発見させました... 目標が達成されず、連続記録が途切れ、バッジを獲得できないと、本物の失望感が湧き上がるのです。
では、セキュリティ教育について改めて考えてみましょう。私たちは数多くの顧客に対し、ゲーミフィケーションが組織のセキュリティ文化を真に変革するために不可欠であることを実証してきました。具体的には、アプリケーションセキュリティチームと開発チーム間の連携を強化し、より高い基準を満たすソフトウェアの開発を支援することで実現しています。
現時点では、セキュリティは開発者の最優先事項ではありません。トレーニング手法に親しみやすく、競争的で没頭できる要素を加えることで、開発者は単に「遊ぶ」だけでなく、より多くのポイントを獲得し、最高記録を更新し、精度を高め、他のチームメンバーに挑戦するために繰り返し参加するよう動機づけられます。
私たちはすでに、成功したトレーニングが次のようなものであることを知っています:
- 開発者は実際のコードで作業し、自身の言語やフレームワークを使用することが可能です
- 課題は短く、一般的なセキュリティの脆弱性をすべて網羅している
- 課題は常に拡張・更新され、開発者が継続的にスキルを向上させられるように設計されています
- 課題は複雑さが様々であるため、経験豊富な開発者にも経験の浅い開発者にも興味深いものです
- 開発者とその責任者は、達成した進捗状況を確認できます。具体的には、克服した課題、強みと弱み、トレーニングに費やした時間、および総合的な正確性などが含まれます。
当社の主要顧客の一社が、ゲーミフィケーションプラットフォームの本質的な魅力を実証しました。導入時には開発者向けにテーマに沿ったチームグッズを提供し、ゲーム優勝者には豪華な賞品を贈呈。大会そのものを忘れられない一日へと昇華させたのです。その後も国際的な競技会を開催し続け、現在に至るまで全チームが真剣にトレーニングを継続しています。
あなたのソフトウェア革命はここから始まります。オーストラリアの銀行業界は、従来の(退屈な)トレーニングを刷新する真に革新的なアプローチの一環として、不良コード対策にゲーミフィケーション型トレーニングを導入する先駆者です。当社のクライアントが実施したハイレベルなトーナメントの成果をご覧ください。さあ、私たちと共にチームを強化する準備はできていますか?
我々は状況を変える努力をしなければなりません。セキュリティを各開発者の職業生活に不可欠な要素とするのです。そして、その最良の方法の一つは、例えばゲーミフィケーションを通じて、開発者に責任を持たせ、セキュリティに関与させることだと考えます。
%20(1).avif)
.avif)
