ゲーミフィケーションがソフトウェアセキュリティのレベルアップの鍵となる理由
アプリケーションセキュリティマネージャー、CISO、CIO、サイバーセキュリティの専門家など、私自身のソフトウェア開発とセキュリティにおけるキャリアの中で、世界中のあらゆる種類の企業で働いている彼らの多くと話をしてきました。
状況がどれほど異なっていても、チームがどれほど経験を積んでいても、この絶え間なく変化するデジタル世界でどれだけの時間が経過しても、常に変わらない問題が一つあります。それは、開発チームをセキュリティに積極的に関与させることはめったにないということです。セキュリティはいまだに汚い言葉であり、チーム間の対立や業界の裏側の悩みの種となっています。
しかし、ソフトウェアセキュリティは、私たちの一般的な考え方では、この道を歩み続けるにはあまりにも重要です。セキュリティをすべての開発者の仕事に不可欠なものにするために、私たちは議論を変えなければなりません。そのための最善の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
現在の風景
開発者は安全なコードの提供に関する実践的な知識をほとんど持たずに大学を卒業し、セキュリティトレーニングが優先されることはめったにない仕事に従事します(優先される場合、それは通常、健康と安全に関する必須のコンプライアンスビデオの一部であり、非常に退屈で、安全なコーディングに関心を持つ人は誰もいないでしょう)。多くの場合、セキュリティに関する最初の経験は、監査やテストのバグレポートで、将来のリリースが突然停止してしまい、創造性が瞬時に最優先で中断されてしまいます。彼らはセキュリティ報告の責任者と対立しているため、彼らの心の中では「セキュリティ」は「批判」と同義語になっています。くそったれ。
正直なところ、ソフトウェアセキュリティに対するこのような否定的な認識が広まっているのは本当に残念です。結局のところ、私のキャリアの中で最高の思い出のいくつかは、ソフトウェアセキュリティについて学んだことに関するものです。私はハッキングを始めた初期の頃をカンファレンスに出席して過ごしました。そこでは、自分のスキルを同僚とテストする(そして正直に言うと、少し見せびらかす)だけでなく、私と同じくらいソフトウェアを壊すことを楽しんだ、志を同じくする人々と出会うことができてとても楽しかったです。
BruCon、DefCon、BlackHat... これらのイベントは、私のような人々が友好的な競争で自らのスキルを発揮する機会を与えてくれました。このような反社会的な活動に参加したことは絶対に認めませんが、中には他の参加者の電話に侵入し、プレゼンテーション画面に情報を表示して全員に見せることで、ハッキングの腕前を披露する人もいました。ソフトウェアをより良くするために、こうした欠陥を見つけ、悪用して修正するというのがゲームになったのです。数年前、私は中東の数百人の子供たちの前で立ち、サイバーセキュリティについて教える機会に恵まれました。今でも生徒の中に8歳の女の子がいて、ゲームをしながらパスワードのブルートフォース処理とbase64エンコーディングについて学んでいたことを今でも覚えています。
ゲーミフィケーションはコーディングスキルの指導にも活用されています。世界中の教育機関がこの手法を用いて、高校生までの非常に幼い子供たちにコーディングを教えています。今では4歳の子供たちも、コードキャンプのようなホリデー・イニシアチブに定期的に参加しています。また、子供たちにPythonや他の言語でのコーディング方法を教える素晴らしいオンラインプログラムが数多く存在します。スクリーンレス・コーディング・ツールであるキュベットという素晴らしいツールも、私の4歳の娘のために購入しました。
しかし、このような楽しさと進歩にもかかわらず、ギャップがあります。ゲーミフィケーションを活用して開発者に安全なコードを書く方法を教える可能性については誰も考えていませんでした。
まあ…ほとんど誰もいません。数年前、セキュリティを再び刺激的なものにし、開発者が参加してプレイを始めるモチベーションを高める必要があることに気づきました。
ゲーミフィケーション:シンプルな方法。
私の中には、開発者に対してセキュリティに関する知識を高め、力を与えたいという強い意欲があり、この情熱こそがSecure Code Warriorを開発するきっかけとなりました。ソフトウェア・セキュリティは非常に重要であり、本当にワクワクするものでもあります。
考えているのは私だけではありません。
ゲーミフィケーションは、ありふれたタスクをもっともっと楽しくし、プレイを続け、勝ち、進歩したいと思わせるほど人々を飽きさせません。Pokmon Goのやり方を見てください!最も怠惰な人でさえ、屋外で空想上の生き物を探したり、FitBitが歩数を達成することを多くの人の毎日の目標にしたりしています... これらの目標が達成されず、連勝が終わり、バッジを獲得できなかった場合、非常に失望感が襲います。
さて、セキュリティトレーニングに戻りましょう。私たちは、ゲーミフィケーションが組織のセキュリティ文化を真に変革し、アプリケーションセキュリティチームと開発チーム間の架け橋を築き、一般的に高水準のソフトウェア構築を支援する上で重要であることを多くのクライアントに証明してきました。
現時点では、セキュリティは開発者の優先事項ではありません。親しみやすく、競争力があり、魅力的な要素をトレーニング方法に加えることで、「プレイする」だけでなく、より多くのポイントを獲得し、ハイスコアを更新し、より正確になり、仲間のチームメンバーに挑戦するために戻ってこようというモチベーションを高めることができます。
トレーニングが成功すると、次のようになることはすでにわかっています。
- 開発者は実際のコードや独自の言語/フレームワークで作業できます
- 課題は短く、一般的なセキュリティの脆弱性をすべて網羅しています
- チャレンジは常に拡張および更新されるため、開発者は時間をかけてスキルを磨き続けることができます。
- 課題の複雑さは様々であるため、上級開発者と経験の浅い開発者の双方にとって魅力的です。
- 開発者とそのマネージャーは、完了した課題、長所と短所、トレーニングに費やした時間、全体的な正確性などの進捗状況を確認できます。
ある大手クライアントは、ゲーミフィケーションプラットフォームの真の魅力を披露し、開発者にテーマ別のチームギアを用意し、ゲームの勝者に素晴らしい賞品を提供し、トーナメントを本当に忘れられないものにしました。それ以来、彼らは国際大会を開催してきて、今でもチーム全体が真剣なトレーニング時間を費やしています。
あなた自身のソフトウェア革命はここから始まります。オーストラリアの銀行業界は、従来の(あるいは退屈な)トレーニングを覆す真に革新的なアプローチで、不良コードとの戦いにおいてゲーミフィケーショントレーニングの採用を先導しています。クライアントがそのトレーニングで何をしたか、次のレベルのトーナメントでチェックしてみてください。準備はできていますか?チームをレベルアップさせましょう。私たちと一緒に?
私たちは話題を変え、セキュリティをすべての開発者の仕事に欠かせないものにするよう努めなければなりません。そのための最善の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
私たちは話題を変え、セキュリティをすべての開発者の仕事に欠かせないものにするよう努めなければなりません。そのための最善の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
アプリケーションセキュリティマネージャー、CISO、CIO、サイバーセキュリティの専門家など、私自身のソフトウェア開発とセキュリティにおけるキャリアの中で、世界中のあらゆる種類の企業で働いている彼らの多くと話をしてきました。
状況がどれほど異なっていても、チームがどれほど経験を積んでいても、この絶え間なく変化するデジタル世界でどれだけの時間が経過しても、常に変わらない問題が一つあります。それは、開発チームをセキュリティに積極的に関与させることはめったにないということです。セキュリティはいまだに汚い言葉であり、チーム間の対立や業界の裏側の悩みの種となっています。
しかし、ソフトウェアセキュリティは、私たちの一般的な考え方では、この道を歩み続けるにはあまりにも重要です。セキュリティをすべての開発者の仕事に不可欠なものにするために、私たちは議論を変えなければなりません。そのための最善の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
現在の風景
開発者は安全なコードの提供に関する実践的な知識をほとんど持たずに大学を卒業し、セキュリティトレーニングが優先されることはめったにない仕事に従事します(優先される場合、それは通常、健康と安全に関する必須のコンプライアンスビデオの一部であり、非常に退屈で、安全なコーディングに関心を持つ人は誰もいないでしょう)。多くの場合、セキュリティに関する最初の経験は、監査やテストのバグレポートで、将来のリリースが突然停止してしまい、創造性が瞬時に最優先で中断されてしまいます。彼らはセキュリティ報告の責任者と対立しているため、彼らの心の中では「セキュリティ」は「批判」と同義語になっています。くそったれ。
正直なところ、ソフトウェアセキュリティに対するこのような否定的な認識が広まっているのは本当に残念です。結局のところ、私のキャリアの中で最高の思い出のいくつかは、ソフトウェアセキュリティについて学んだことに関するものです。私はハッキングを始めた初期の頃をカンファレンスに出席して過ごしました。そこでは、自分のスキルを同僚とテストする(そして正直に言うと、少し見せびらかす)だけでなく、私と同じくらいソフトウェアを壊すことを楽しんだ、志を同じくする人々と出会うことができてとても楽しかったです。
BruCon、DefCon、BlackHat... これらのイベントは、私のような人々が友好的な競争で自らのスキルを発揮する機会を与えてくれました。このような反社会的な活動に参加したことは絶対に認めませんが、中には他の参加者の電話に侵入し、プレゼンテーション画面に情報を表示して全員に見せることで、ハッキングの腕前を披露する人もいました。ソフトウェアをより良くするために、こうした欠陥を見つけ、悪用して修正するというのがゲームになったのです。数年前、私は中東の数百人の子供たちの前で立ち、サイバーセキュリティについて教える機会に恵まれました。今でも生徒の中に8歳の女の子がいて、ゲームをしながらパスワードのブルートフォース処理とbase64エンコーディングについて学んでいたことを今でも覚えています。
ゲーミフィケーションはコーディングスキルの指導にも活用されています。世界中の教育機関がこの手法を用いて、高校生までの非常に幼い子供たちにコーディングを教えています。今では4歳の子供たちも、コードキャンプのようなホリデー・イニシアチブに定期的に参加しています。また、子供たちにPythonや他の言語でのコーディング方法を教える素晴らしいオンラインプログラムが数多く存在します。スクリーンレス・コーディング・ツールであるキュベットという素晴らしいツールも、私の4歳の娘のために購入しました。
しかし、このような楽しさと進歩にもかかわらず、ギャップがあります。ゲーミフィケーションを活用して開発者に安全なコードを書く方法を教える可能性については誰も考えていませんでした。
まあ…ほとんど誰もいません。数年前、セキュリティを再び刺激的なものにし、開発者が参加してプレイを始めるモチベーションを高める必要があることに気づきました。
ゲーミフィケーション:シンプルな方法。
私の中には、開発者に対してセキュリティに関する知識を高め、力を与えたいという強い意欲があり、この情熱こそがSecure Code Warriorを開発するきっかけとなりました。ソフトウェア・セキュリティは非常に重要であり、本当にワクワクするものでもあります。
考えているのは私だけではありません。
ゲーミフィケーションは、ありふれたタスクをもっともっと楽しくし、プレイを続け、勝ち、進歩したいと思わせるほど人々を飽きさせません。Pokmon Goのやり方を見てください!最も怠惰な人でさえ、屋外で空想上の生き物を探したり、FitBitが歩数を達成することを多くの人の毎日の目標にしたりしています... これらの目標が達成されず、連勝が終わり、バッジを獲得できなかった場合、非常に失望感が襲います。
さて、セキュリティトレーニングに戻りましょう。私たちは、ゲーミフィケーションが組織のセキュリティ文化を真に変革し、アプリケーションセキュリティチームと開発チーム間の架け橋を築き、一般的に高水準のソフトウェア構築を支援する上で重要であることを多くのクライアントに証明してきました。
現時点では、セキュリティは開発者の優先事項ではありません。親しみやすく、競争力があり、魅力的な要素をトレーニング方法に加えることで、「プレイする」だけでなく、より多くのポイントを獲得し、ハイスコアを更新し、より正確になり、仲間のチームメンバーに挑戦するために戻ってこようというモチベーションを高めることができます。
トレーニングが成功すると、次のようになることはすでにわかっています。
- 開発者は実際のコードや独自の言語/フレームワークで作業できます
- 課題は短く、一般的なセキュリティの脆弱性をすべて網羅しています
- チャレンジは常に拡張および更新されるため、開発者は時間をかけてスキルを磨き続けることができます。
- 課題の複雑さは様々であるため、上級開発者と経験の浅い開発者の双方にとって魅力的です。
- 開発者とそのマネージャーは、完了した課題、長所と短所、トレーニングに費やした時間、全体的な正確性などの進捗状況を確認できます。
ある大手クライアントは、ゲーミフィケーションプラットフォームの真の魅力を披露し、開発者にテーマ別のチームギアを用意し、ゲームの勝者に素晴らしい賞品を提供し、トーナメントを本当に忘れられないものにしました。それ以来、彼らは国際大会を開催してきて、今でもチーム全体が真剣なトレーニング時間を費やしています。
あなた自身のソフトウェア革命はここから始まります。オーストラリアの銀行業界は、従来の(あるいは退屈な)トレーニングを覆す真に革新的なアプローチで、不良コードとの戦いにおいてゲーミフィケーショントレーニングの採用を先導しています。クライアントがそのトレーニングで何をしたか、次のレベルのトーナメントでチェックしてみてください。準備はできていますか?チームをレベルアップさせましょう。私たちと一緒に?
私たちは話題を変え、セキュリティをすべての開発者の仕事に欠かせないものにするよう努めなければなりません。そのための最善の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
アプリケーションセキュリティマネージャー、CISO、CIO、サイバーセキュリティの専門家など、私自身のソフトウェア開発とセキュリティにおけるキャリアの中で、世界中のあらゆる種類の企業で働いている彼らの多くと話をしてきました。
状況がどれほど異なっていても、チームがどれほど経験を積んでいても、この絶え間なく変化するデジタル世界でどれだけの時間が経過しても、常に変わらない問題が一つあります。それは、開発チームをセキュリティに積極的に関与させることはめったにないということです。セキュリティはいまだに汚い言葉であり、チーム間の対立や業界の裏側の悩みの種となっています。
しかし、ソフトウェアセキュリティは、私たちの一般的な考え方では、この道を歩み続けるにはあまりにも重要です。セキュリティをすべての開発者の仕事に不可欠なものにするために、私たちは議論を変えなければなりません。そのための最善の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
現在の風景
開発者は安全なコードの提供に関する実践的な知識をほとんど持たずに大学を卒業し、セキュリティトレーニングが優先されることはめったにない仕事に従事します(優先される場合、それは通常、健康と安全に関する必須のコンプライアンスビデオの一部であり、非常に退屈で、安全なコーディングに関心を持つ人は誰もいないでしょう)。多くの場合、セキュリティに関する最初の経験は、監査やテストのバグレポートで、将来のリリースが突然停止してしまい、創造性が瞬時に最優先で中断されてしまいます。彼らはセキュリティ報告の責任者と対立しているため、彼らの心の中では「セキュリティ」は「批判」と同義語になっています。くそったれ。
正直なところ、ソフトウェアセキュリティに対するこのような否定的な認識が広まっているのは本当に残念です。結局のところ、私のキャリアの中で最高の思い出のいくつかは、ソフトウェアセキュリティについて学んだことに関するものです。私はハッキングを始めた初期の頃をカンファレンスに出席して過ごしました。そこでは、自分のスキルを同僚とテストする(そして正直に言うと、少し見せびらかす)だけでなく、私と同じくらいソフトウェアを壊すことを楽しんだ、志を同じくする人々と出会うことができてとても楽しかったです。
BruCon、DefCon、BlackHat... これらのイベントは、私のような人々が友好的な競争で自らのスキルを発揮する機会を与えてくれました。このような反社会的な活動に参加したことは絶対に認めませんが、中には他の参加者の電話に侵入し、プレゼンテーション画面に情報を表示して全員に見せることで、ハッキングの腕前を披露する人もいました。ソフトウェアをより良くするために、こうした欠陥を見つけ、悪用して修正するというのがゲームになったのです。数年前、私は中東の数百人の子供たちの前で立ち、サイバーセキュリティについて教える機会に恵まれました。今でも生徒の中に8歳の女の子がいて、ゲームをしながらパスワードのブルートフォース処理とbase64エンコーディングについて学んでいたことを今でも覚えています。
ゲーミフィケーションはコーディングスキルの指導にも活用されています。世界中の教育機関がこの手法を用いて、高校生までの非常に幼い子供たちにコーディングを教えています。今では4歳の子供たちも、コードキャンプのようなホリデー・イニシアチブに定期的に参加しています。また、子供たちにPythonや他の言語でのコーディング方法を教える素晴らしいオンラインプログラムが数多く存在します。スクリーンレス・コーディング・ツールであるキュベットという素晴らしいツールも、私の4歳の娘のために購入しました。
しかし、このような楽しさと進歩にもかかわらず、ギャップがあります。ゲーミフィケーションを活用して開発者に安全なコードを書く方法を教える可能性については誰も考えていませんでした。
まあ…ほとんど誰もいません。数年前、セキュリティを再び刺激的なものにし、開発者が参加してプレイを始めるモチベーションを高める必要があることに気づきました。
ゲーミフィケーション:シンプルな方法。
私の中には、開発者に対してセキュリティに関する知識を高め、力を与えたいという強い意欲があり、この情熱こそがSecure Code Warriorを開発するきっかけとなりました。ソフトウェア・セキュリティは非常に重要であり、本当にワクワクするものでもあります。
考えているのは私だけではありません。
ゲーミフィケーションは、ありふれたタスクをもっともっと楽しくし、プレイを続け、勝ち、進歩したいと思わせるほど人々を飽きさせません。Pokmon Goのやり方を見てください!最も怠惰な人でさえ、屋外で空想上の生き物を探したり、FitBitが歩数を達成することを多くの人の毎日の目標にしたりしています... これらの目標が達成されず、連勝が終わり、バッジを獲得できなかった場合、非常に失望感が襲います。
さて、セキュリティトレーニングに戻りましょう。私たちは、ゲーミフィケーションが組織のセキュリティ文化を真に変革し、アプリケーションセキュリティチームと開発チーム間の架け橋を築き、一般的に高水準のソフトウェア構築を支援する上で重要であることを多くのクライアントに証明してきました。
現時点では、セキュリティは開発者の優先事項ではありません。親しみやすく、競争力があり、魅力的な要素をトレーニング方法に加えることで、「プレイする」だけでなく、より多くのポイントを獲得し、ハイスコアを更新し、より正確になり、仲間のチームメンバーに挑戦するために戻ってこようというモチベーションを高めることができます。
トレーニングが成功すると、次のようになることはすでにわかっています。
- 開発者は実際のコードや独自の言語/フレームワークで作業できます
- 課題は短く、一般的なセキュリティの脆弱性をすべて網羅しています
- チャレンジは常に拡張および更新されるため、開発者は時間をかけてスキルを磨き続けることができます。
- 課題の複雑さは様々であるため、上級開発者と経験の浅い開発者の双方にとって魅力的です。
- 開発者とそのマネージャーは、完了した課題、長所と短所、トレーニングに費やした時間、全体的な正確性などの進捗状況を確認できます。
ある大手クライアントは、ゲーミフィケーションプラットフォームの真の魅力を披露し、開発者にテーマ別のチームギアを用意し、ゲームの勝者に素晴らしい賞品を提供し、トーナメントを本当に忘れられないものにしました。それ以来、彼らは国際大会を開催してきて、今でもチーム全体が真剣なトレーニング時間を費やしています。
あなた自身のソフトウェア革命はここから始まります。オーストラリアの銀行業界は、従来の(あるいは退屈な)トレーニングを覆す真に革新的なアプローチで、不良コードとの戦いにおいてゲーミフィケーショントレーニングの採用を先導しています。クライアントがそのトレーニングで何をしたか、次のレベルのトーナメントでチェックしてみてください。準備はできていますか?チームをレベルアップさせましょう。私たちと一緒に?
私たちは話題を変え、セキュリティをすべての開発者の仕事に欠かせないものにするよう努めなければなりません。そのための最善の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
アプリケーションセキュリティマネージャー、CISO、CIO、サイバーセキュリティの専門家など、私自身のソフトウェア開発とセキュリティにおけるキャリアの中で、世界中のあらゆる種類の企業で働いている彼らの多くと話をしてきました。
状況がどれほど異なっていても、チームがどれほど経験を積んでいても、この絶え間なく変化するデジタル世界でどれだけの時間が経過しても、常に変わらない問題が一つあります。それは、開発チームをセキュリティに積極的に関与させることはめったにないということです。セキュリティはいまだに汚い言葉であり、チーム間の対立や業界の裏側の悩みの種となっています。
しかし、ソフトウェアセキュリティは、私たちの一般的な考え方では、この道を歩み続けるにはあまりにも重要です。セキュリティをすべての開発者の仕事に不可欠なものにするために、私たちは議論を変えなければなりません。そのための最善の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
現在の風景
開発者は安全なコードの提供に関する実践的な知識をほとんど持たずに大学を卒業し、セキュリティトレーニングが優先されることはめったにない仕事に従事します(優先される場合、それは通常、健康と安全に関する必須のコンプライアンスビデオの一部であり、非常に退屈で、安全なコーディングに関心を持つ人は誰もいないでしょう)。多くの場合、セキュリティに関する最初の経験は、監査やテストのバグレポートで、将来のリリースが突然停止してしまい、創造性が瞬時に最優先で中断されてしまいます。彼らはセキュリティ報告の責任者と対立しているため、彼らの心の中では「セキュリティ」は「批判」と同義語になっています。くそったれ。
正直なところ、ソフトウェアセキュリティに対するこのような否定的な認識が広まっているのは本当に残念です。結局のところ、私のキャリアの中で最高の思い出のいくつかは、ソフトウェアセキュリティについて学んだことに関するものです。私はハッキングを始めた初期の頃をカンファレンスに出席して過ごしました。そこでは、自分のスキルを同僚とテストする(そして正直に言うと、少し見せびらかす)だけでなく、私と同じくらいソフトウェアを壊すことを楽しんだ、志を同じくする人々と出会うことができてとても楽しかったです。
BruCon、DefCon、BlackHat... これらのイベントは、私のような人々が友好的な競争で自らのスキルを発揮する機会を与えてくれました。このような反社会的な活動に参加したことは絶対に認めませんが、中には他の参加者の電話に侵入し、プレゼンテーション画面に情報を表示して全員に見せることで、ハッキングの腕前を披露する人もいました。ソフトウェアをより良くするために、こうした欠陥を見つけ、悪用して修正するというのがゲームになったのです。数年前、私は中東の数百人の子供たちの前で立ち、サイバーセキュリティについて教える機会に恵まれました。今でも生徒の中に8歳の女の子がいて、ゲームをしながらパスワードのブルートフォース処理とbase64エンコーディングについて学んでいたことを今でも覚えています。
ゲーミフィケーションはコーディングスキルの指導にも活用されています。世界中の教育機関がこの手法を用いて、高校生までの非常に幼い子供たちにコーディングを教えています。今では4歳の子供たちも、コードキャンプのようなホリデー・イニシアチブに定期的に参加しています。また、子供たちにPythonや他の言語でのコーディング方法を教える素晴らしいオンラインプログラムが数多く存在します。スクリーンレス・コーディング・ツールであるキュベットという素晴らしいツールも、私の4歳の娘のために購入しました。
しかし、このような楽しさと進歩にもかかわらず、ギャップがあります。ゲーミフィケーションを活用して開発者に安全なコードを書く方法を教える可能性については誰も考えていませんでした。
まあ…ほとんど誰もいません。数年前、セキュリティを再び刺激的なものにし、開発者が参加してプレイを始めるモチベーションを高める必要があることに気づきました。
ゲーミフィケーション:シンプルな方法。
私の中には、開発者に対してセキュリティに関する知識を高め、力を与えたいという強い意欲があり、この情熱こそがSecure Code Warriorを開発するきっかけとなりました。ソフトウェア・セキュリティは非常に重要であり、本当にワクワクするものでもあります。
考えているのは私だけではありません。
ゲーミフィケーションは、ありふれたタスクをもっともっと楽しくし、プレイを続け、勝ち、進歩したいと思わせるほど人々を飽きさせません。Pokmon Goのやり方を見てください!最も怠惰な人でさえ、屋外で空想上の生き物を探したり、FitBitが歩数を達成することを多くの人の毎日の目標にしたりしています... これらの目標が達成されず、連勝が終わり、バッジを獲得できなかった場合、非常に失望感が襲います。
さて、セキュリティトレーニングに戻りましょう。私たちは、ゲーミフィケーションが組織のセキュリティ文化を真に変革し、アプリケーションセキュリティチームと開発チーム間の架け橋を築き、一般的に高水準のソフトウェア構築を支援する上で重要であることを多くのクライアントに証明してきました。
現時点では、セキュリティは開発者の優先事項ではありません。親しみやすく、競争力があり、魅力的な要素をトレーニング方法に加えることで、「プレイする」だけでなく、より多くのポイントを獲得し、ハイスコアを更新し、より正確になり、仲間のチームメンバーに挑戦するために戻ってこようというモチベーションを高めることができます。
トレーニングが成功すると、次のようになることはすでにわかっています。
- 開発者は実際のコードや独自の言語/フレームワークで作業できます
- 課題は短く、一般的なセキュリティの脆弱性をすべて網羅しています
- チャレンジは常に拡張および更新されるため、開発者は時間をかけてスキルを磨き続けることができます。
- 課題の複雑さは様々であるため、上級開発者と経験の浅い開発者の双方にとって魅力的です。
- 開発者とそのマネージャーは、完了した課題、長所と短所、トレーニングに費やした時間、全体的な正確性などの進捗状況を確認できます。
ある大手クライアントは、ゲーミフィケーションプラットフォームの真の魅力を披露し、開発者にテーマ別のチームギアを用意し、ゲームの勝者に素晴らしい賞品を提供し、トーナメントを本当に忘れられないものにしました。それ以来、彼らは国際大会を開催してきて、今でもチーム全体が真剣なトレーニング時間を費やしています。
あなた自身のソフトウェア革命はここから始まります。オーストラリアの銀行業界は、従来の(あるいは退屈な)トレーニングを覆す真に革新的なアプローチで、不良コードとの戦いにおいてゲーミフィケーショントレーニングの採用を先導しています。クライアントがそのトレーニングで何をしたか、次のレベルのトーナメントでチェックしてみてください。準備はできていますか?チームをレベルアップさせましょう。私たちと一緒に?
私たちは話題を変え、セキュリティをすべての開発者の仕事に欠かせないものにするよう努めなければなりません。そのための最善の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
%20(1).avif)
.avif)
