ティア1金融機関が革新的なセキュリティ認証体験をどのように生み出したか

セキュリティコンプライアンスに関して、ゲームが開発者の心に届く方法になる可能性はありますか？

数百万の顧客、信頼できるグローバル金融機関としての豊かな歴史、イノベーションへの取り組みとデジタルトランスフォーメーションへの取り組みを持つこのトップティアの銀行クライアントは、組織内での真にユニークな教育体験の一環としてSecure Code Warriorを活用しました。

何千人もの従業員が機械学習やサイバーセキュリティを含む様々な分野で実践的で最先端のスキルを学ぶのを支援することを目的として、社内の技術教育イニシアチブを立ち上げました。

金融サービス業界は現在、急速かつ抜本的な変革の時期にあり、多くの企業が目まぐるしく変化する新興テクノロジーの発展に合わせてサービス提供を変更しています。要するに、これらの企業は金融に重点を置いた本格的なテクノロジー企業になりつつあります。私たちのクライアントのアプローチは、このトレンドに遅れずについていけるだけでなく、ほとんどの企業よりも優れた（そしてより賢い）成果を達成することを可能にしました。クライアントは、このような重要で注目されている分野の最新情報を常に把握するために、自社の人材に多額の投資を行ってきました。その結果、フィンテックのイノベーションと専門知識の最前線に立っています。

このプログラムを成功させるために、クライアントとチーム全体は、開発者がサイバーセキュリティに対する高い認識を持ち、安全なコーディングに精通していることを確認する必要があると考えました。セキュリティ・アウェアネス・マネージャーは、チームを積極的に関与させ、最初からセキュリティに関心を持ってもらうことを目指しました。

チャレンジ

クライアントのセキュリティ・アウェアネス・マネージャーは、セキュリティ業界で長いキャリアを積んでおり、大小さまざまな企業によるオンラインアプリケーションの採用が爆発的に増加していることや、デジタルに焦点を当てたチームの急増に最前線で取り組んでいます。彼は、このような急激な拡大に伴って避けられない専門知識のサイロ化を目の当たりにしてきました。そして最終的に、これは多くのセキュリティチームや開発チームにとって問題となっています。「オンライン採用の初期段階では、開発者はセキュリティについて考え、それをソフトウェアビルドに適用していました。しかし、サイロ化が進む環境では、例えば、あるチームがオペレーティングシステムに取り組み、それをセキュリティチームに送って分析すると、多くの場合、修正方法に関する赤いマークやメモがたくさん返ってきます。セキュリティを確保することは避けられませんが、発見や知識はブラックホールに消え去り、繰り返し起こるだけです」と彼は言います。

彼は、自身の職務で頻繁に目にするセキュリティ問題について話す際に、「人的課題」に言及しました。

ソフトウェアエンジニアは機能構築に対して報酬を得ており、セキュリティはアジャイル開発における大きな障害と見なすことができます。彼らは自身の優先事項に追われて忙しく、セキュリティ面を他人の仕事と見なすことが多いです。中には「まあ、まだ何も起きていない」と考える人もいます。「なぜ私たちはこのソフトウェアの保護についてそれほど心配しているのか、そしてなぜそれが私の開発ライフサイクルを妨げているのか？」と。デジタル化が進む世界では、この姿勢を変えなければなりません。迷惑と見なされるのではなく、ソフトウェアセキュリティに対する責任を分かち合うことの重要性を認識させる必要があります。

デジタルライフを支える開発への依存度が高まる中、彼は壁に書かれた文章を見ました。社会全体として、私たちは善良な人々にとってますます不公平な競争の場となり、ハッカーの餌食になっています。開発者はセキュリティを真剣に受け止め、強い関心を持って、自分の組織（そして実際、どんな真面目なテクノロジー企業でも）の最前線となる必要がありました。

そこで、彼は従来のトレーニングをひっくり返すことに着手しました。

実装

セキュリティ・アウェアネス・マネージャーは、ソフトウェア品質の新たな基準を設定するというクライアントの全体的な理念を後押ししました。具体的には、あるソフトウェアに内在するセキュリティのレベルは、そのソフトウェア全体の品質と製品の実用性を示すものであるという考えです。現在のところ、ほとんどの場合、セキュリティは品質の指標と密接に結びついておらず、ソフトウェアを評価する際に全体的なUI、速度、保守性を考慮するのとは全く異なります。

「高いソフトウェア品質を実現するには、セキュリティは譲れない要件でなければなりません」と彼は言います。「これは信頼性と相関関係があり、ほとんどの企業、特にビジネスモデルが急速に変化しデジタル化している企業にとって大きな懸念事項です。」

コミットされたコードの脆弱性を修正するコストは、最初から安全に記述された場合よりも最大で30倍も高額になるため、実行可能なセキュリティ文化を開発チームに「組み込む」ことが重要な目標となっています。結局のところ、スキャニングツールでは検出できない脆弱性もあります。それらに対処する最も効率的な解決策は、セキュリティ意識の高い開発チームです。

セキュリティ意識向上マネージャーは、他の形式のトレーニングの経験を詳しく説明しましたが、その多くは、高まるセキュリティ上の懸念に「打ち勝つ」ため、開発者が取り組む準備を整えるために今でも一般的に使用されています。「開発者が理論に基づいた大量の作業を通じてセキュリティを学ぶことになり、さらに悪いことに、『チェックボックスを埋めて次に進む』コンプライアンストレーニングの頻度が低くなると、実践的な学習や時間が不足し、永続的な影響を生み出すのに十分な実践的な学習や時間がありません。より効果的なソリューションを適用することで、この状況を変えようと決意しました」と彼は述べています。

高エンゲージメントのメリット

経験豊富なセキュリティ・アウェアネス・マネージャーとそのチームの助言を受け、クライアントはオーダーメイドの認定プログラムを実装しました。その中でSecure Code Warriorプラットフォームは不可欠です。

より効果的で魅力的な開発者向けトレーニングソリューションを調査した結果、ゲーミフィケーションを早期に導入し、独自の構造化された本格的なカリキュラムでゲーミフィケーションの効果と可能性を最大限に引き出すようになりました。

「エンゲージメントの高いトレーニングを文化の一部とし、学生が学習を継続して戻ってきてくれることが重要でした。このシステムは、セキュリティに関する知識、スキル、価値観を身につけるための意図的なアプローチであり、最終的には学生が毎日使用する実際のソースコードを使って作業することになります」と同氏は述べています。

業界標準のセキュリティベストプラクティスと社内ガイドラインの両方を網羅した包括的なソリューションであることを確認したことで、クライアントはトレーニングを迅速に展開でき、組織内のソフトウェアセキュリティにプラスの影響を与えました。

結果

クライアント認定プログラムは、社内技術教育施設などの先進的な取り組みに最適な、成功を収め、常に進化し続けるトレーニング形式です。このように楽しく、インタラクティブで、インセンティブを与えながら進められているこのコースは、すべての学生が知識を習得する機会を最大限に得られるだけでなく、セキュリティ第一の文化や考え方を真に育むためのサポートも受けられます。ゲーミフィケーションは確かに学習を口当たりの良いものにしますが、プログラムの核となる実用性は変わりません。それは、開発者がアプリケーション内のリスクの高い脆弱性を特定して阻止するために必要なスキルを開発者に提供することです。

トレーニングは必須ではなく、開発者側のモチベーションの要素が必要だったことに注意することが重要です。これは間違いなくインセンティブや報酬の提供によって裏付けられましたが、より幅広いチームにこのプログラムが採用されたのは、チームの支持とプロセスの承認が膨れ上がった結果です。

このプログラムは、重要なコンピテンシーが継続的に開発されるだけでなく、開発チームとアプリケーションセキュリティチーム間の関係のギャップを埋めるのにも役立ちます。つまり、両者が同じ認識を持ち、同じ言語を話し、相互に関心を持つようになります。

コンプライアンスのチェックボックスとはかけ離れたこのプログラムは、大切なスタッフとそのキャリアの継続的なサポートの基盤となり、地球上で最も急成長している業界の一つであるサイバーセキュリティにおいて目に見えるスキルアップを実現しています。このようなトレーニングプログラムは、ソフトウェアセキュリティを向上させるためのベンチマークとなるでしょう。

ファスト・ファクト

• 認定資格を修了し、講師になることに興味を示した学生から、これまでにない反響がありました。このような根っからの伝道は、口コミによる支持や普及、そして全体的なセキュリティ意識を広める上で強力な要因となっています。
• 当社のクライアントは、組織内の2,500人以上の開発者にこのプログラムを展開中であり、その90％以上がすでにシステム内で活動しています。
• 彼らはこのトレーニングを活用してスタッフ全体のキャリア開発を支援し、刻一刻と変化するテクノロジー分野で自身のスキルを活用するために必要な知識を身につけていることを確認しています。

ビデオトランスクリプト

従来の安全なコード教育は、開発者をあくびさせます。そうですよね？

安全なコードウォリアーズのアジャイル学習アプローチにより、開発者は関連性の高いジャストインタイム教育を短期間で実施し、迅速に学習できます。

IDE のシミュレーション学習体験であるコーディングラボは、状況を一変させます。コーディングラボでは、開発者はブラウザ上で動作する完全にインタラクティブなIDE環境内で学習します。

開発者はコードを書き、現実世界の脆弱性を修正します。

コーディングラボでは、必要なコンテキストフィードバックをリアルタイムで自動的に提供します。シミュレートされた IDE 内でのこの実践的な学習アプローチは、受講者の関心を維持し、日常業務との関連性が格段に高まります。その結果、リスクの軽減、コストのかかるやり直しの回避、脆弱性の迅速な修正という観点から、生産性が大幅に向上します。

コーディングラボは、他のセキュリティ教育オプションとは大きく異なります。開発者が新しい仮想マシンを起動する必要はありません。

開発者が使い慣れ親しんだUIを使った実践的な教育を提供します。

これにより、開発者のミスに対処するためのコードスニペットとステップバイステップの回答が提示され、開発者は前に進むことができます。

また、授業やコンプライアンス重視の無駄な場面から開発者を救うことができます。だからこそ、Secure Code Warriorのお客様は、リスクの軽減、費用のかかるやり直しの回避、脆弱性の迅速な修正という点で、生産性が測定可能な2〜3倍向上を実感しているのです。

デモを予約して、コーディングラボの実際の動作を今すぐご覧ください。

‍

コースはセキュア・コード・ウォリアーの基盤 学習プラットフォームこれは、サイバーセキュリティプログラム全体におけるコーディングの認識と能力を高めるのに役立つフレームワーク固有の学習経路を提供するためです。
今度は新品で ウォークスルーとミッション アクティビティでは、開発者は実際のアプリの実践的なコーディングシミュレーションを通じて、不適切なコーディング慣行の影響を体験し、コンテキストを把握し、攻撃的なスキルを練習できます。
以下の方法で、教育成果と開発者のエンゲージメントを高めましょう 漸進的に 建物 セキュア・コーディング・スキル、成人の学習への実証済みの足場型アプローチ。さらに、これらの最新の機能強化は、開発者のセキュアコーディングの知識とスキルをテストする幅広い攻撃的でインタラクティブなコーディングミッションでプレイヤーの疲労を解消します。

主なトピックは次のとおりです。

• コース内のウォークスルーとミッションのライブデモ
• OWASPトップ10 2021、NIST/米国政府行政命令、認定レベル4/5をカバーする新しいテンプレート
• 足場に基づく学習と、それによってチームの安全なコーディングスキルを徐々に身に付ける方法

ウォーターフォール、アジャイル、DevOps......数年ごとに、組織内で最適なソフトウェアを作るための新しい方法論が生まれているようだ。これらのプロセスには長所も短所もあるが、合理化（そして、以前はなかったお役所仕事）がもたらすものは、開発者の主な目標である「キックアス機能の構築」にとっては、いささか邪魔に感じられるかもしれない。しかし、一般的な脆弱性によるゼロデイ侵害が増加する中、チームは左から始まるよりセキュアな SDLC に適応しなければなりません。

好結果を得るためのチーム、ツール、教え、目標の適切な組み合わせを決定する方法

‍