革新的なセキュリティ認証体験の創出
ティア1金融機関が革新的なセキュリティ認証体験を創り出した方法
ゲームがセキュリティ規制の遵守に関して開発者の心を掴む方法とは?
数百万の顧客、信頼できるグローバル金融機関としての豊かな歴史、革新への献身、そしてデジタル変革に歩調を合わせたこのティア1銀行顧客は、組織内で真にユニークな教育体験の一環としてSecure Code Warriorを活用しました。
彼らは、数千人の従業員が機械学習やサイバーセキュリティを含む様々な分野で実用的な最先端技術を学べるよう支援することを目的として、社内技術教育イニシアチブを立ち上げました。
金融サービス業界は現在、急速かつ急進的な変化を経験しています。多くの企業が新興技術の急速な発展に合わせてサービス提供を変更しています。本質的に、これらは金融に重点を置いた本格的なテクノロジー企業へと変貌しつつあります。顧客の視点を通じて、この潮流に追随できただけでなく、ほとんどの企業よりも優れた(そしてよりスマートな)成果を達成することができました。彼らはこのように重要かつ新興の分野に関する最新情報を得るため、従業員に対して多大な投資を行ってきました。その結果、フィンテック革新と専門性の最前線に立っているのです。
このプログラムを成功裏に実行するには、顧客とチーム全体が、開発者がセキュリティコーディングに完全に精通し、高いレベルのサイバーセキュリティ意識を持つ必要があることを認識しました。セキュリティ意識向上マネージャーは、最初からセキュリティに関心を持ってもらうよう、チームを積極的に巻き込もうとしました。
ザ・チャレンジ
顧客企業のセキュリティアウェアネスマネージャーは、セキュリティ業界で長年勤務し、大小さまざまな企業のオンラインアプリケーション採用が爆発的に増加し、デジタル中心のチームが急速に拡大する状況を最前線で主導してきました。彼は、このような超高速拡張の後に発生する可能性のある専門知識のサイロ化を直接目撃し、結局多くのセキュリティおよび開発チームがこれらの問題に直面しました。 「オンライン導入の初期段階では、開発者はセキュリティを考慮し、ソフトウェア構築に反映させていました。しかし、環境がますますサイロ化していく中で、例えばあるチームがオペレーティングシステムを開発し、分析のためにセキュリティチームに送ると、しばしば赤印と修正方法のメモが残されるだけでした。セキュリティ対策は避けられないものの、発見と知見はブラックホールに消え去り、それが何度も繰り返されるのです」と彼は語りました。
彼は自身の役割で頻繁に直面するセキュリティ問題について語りながら、「人的要因」に言及しました。
ソフトウェアエンジニアは機能構築に対して報酬を得ており、セキュリティはアジャイル開発における大きな障害と見なされることがあります。彼らは自身の優先順位を定めるのに忙しく、セキュリティ面を他人の仕事と見なすことが多い。最も極端なケースでは「まあ、まだ何も起きていない」という見解を取る者もいる。なぜ我々はソフトウェアのセキュリティをそれほど懸念し、それが開発ライフサイクルを中断させるのか? デジタル化が進む世界では、こうした姿勢を変える必要があります。面倒な作業として捉えられるよりも、ソフトウェアセキュリティにおける責任分担の重要性を強調すべきです。
デジタル生活を強化するために開発への依存度が高まる中、彼は壁に書かれた言葉を見ました。社会として、私たちは善良な人々のために、ますます不公平になる競争の場においてハッカーたちを盗んでいるのです。開発者たちはセキュリティを真剣に受け止め、鋭い関心を持って、自らの組織(そして実際にすべての真剣な技術企業)の最前線の防衛ラインとなるべきでした。
そこで彼は伝統的な教育を完全に変え始めました。
実装プロセス
セキュリティ認識管理者は、ソフトウェア品質の新たな基準を設定しようとする顧客の全体的な哲学を主導しました。具体的には、ソフトウェアに内在するセキュリティレベルが、全体的な品質および製品の生存可能性を示す指標であるという概念です。今日、セキュリティはほとんどの場合、品質測定と密接に関連しておらず、UI全体と同様に、ソフトウェアを評価する際に速度やサービス可能性を考慮することもありません。
「セキュリティは、高いソフトウェア品質のための妥協できない要件であるべきです」と彼は述べた。「安定性は信頼性と相関関係にあり、これはほとんどの企業、特に急速に変化しデジタル化が進むビジネスモデルを持つ企業にとって大きな関心事です。」
コミットされたコードの脆弱性を修正するコストは、最初から安全に記述された場合と比べて最大30倍も高くなるため、開発チームに実行可能なセキュリティ文化を「定着」させることが主要な目標となりました。結局のところ、スキャンツールでは検出できない特定の脆弱性が存在し、こうした脆弱性を解決する最も効率的なソリューションは、セキュリティを重視する開発チームなのです。
セキュリティ意識向上マネージャーは、他の形態の教育に関する自身の経験を詳細に説明しました。これらの教育の多くは依然として一般的に使用されており、開発者が数多くの理論ベースの作業を通じてセキュリティを学ぶか、さらに悪い場合には、まれに「チェックボックスを埋めて進む」コンプライアンス教育を受けるだけで、持続的な影響を与えるのに十分な実践的な学習や時間が割かれないケースが少なくありません。この状況を変えるため、より効果的なソリューションを導入することを決意しました」と彼は述べました。
参加率が高いときに得られる利点
セキュリティに精通したセキュリティ意識管理者と彼のチームの助言に基づき、Secure Code Warrior 中核としたカスタマイズされた認証プログラムを導入しました。
彼らはより効果的で参加意欲の高い開発者教育ソリューションの研究を通じてゲーミフィケーションのアーリーアダプターとなり、独自の体系的で本格的なカリキュラムを通じてゲーミフィケーションの効能と潜在力を最大化することができました。
「参加度の高い教育を文化の一部とし、学生が継続的に学習できるようにすることが重要でした。彼は『このシステムは、セキュリティに関する知識、技術、価値観を構築するための慎重なアプローチであり、結果として学生が日常的に使用する実際のソースコードで作業させる』と述べた。」
業界標準のセキュリティベストプラクティスと内部ガイドラインを包括的に取り入れたソリューションを構築したおかげで、顧客は迅速に教育を動員し、組織内のソフトウェアセキュリティにプラスの影響を与えることができました。
その結果
お客様の認証プログラムは、成功を収め持続的に発展する教育形式であり、社内技術教育施設のような未来志向の取り組みに最適です。このように楽しくインタラクティブでインセンティブを提供する深化コースを通じて、すべての学生が知識を定着させる最高の機会を得られるだけでなく、セキュリティを最優先とする文化と思考様式を真に育むことを支援します。ゲーミフィケーションは確かに学習満足度を高めますが、プログラムの中核となる実用性は依然として変わりません。それは開発者に、アプリケーションの高リスク脆弱性を特定し防止するために必要なスキルを提供することです。
重要な点は、教育が必須ではなく、開発者側の動機付け要素が必要だということです。これは疑いなくインセンティブと報酬の提供によって支えられていましたが、チーム全体がこのプログラムを採用したのは、チームの支持が高まり、プロセスに対する承認があったためです。
このプログラムは、中核となる能力が継続的に開発されるだけでなく、開発チームとAppSecチーム間の関係格差を解消し、チームメンバーが共通の理解に基づいて共通言語を使用し、相互に関心を形成することを支援します。
このプログラムは、単なるコンプライアンスチェックリストとは一線を画し、貴重な従業員とそのキャリアを継続的に支援する基盤となり、世界で最も成長著しい産業の一つであるサイバーセキュリティにおいて、測定可能な技術向上をもたらします。ソフトウェアセキュリティ改善のベンチマークとなるのは、まさにこのような教育プログラムなのです。
簡単な情報
- 資格取得を終え講師になることに興味を示した学生たちから前例のない反響がありました。こうした基礎的な伝道活動は、口コミによる応募、理解、そして全体的なセキュリティ意識の拡散を促す強力な要素です。
- 当社の顧客は、組織内の2500人以上の開発者を対象にプログラムを展開中です。このうち90%以上が既にシステム上で活動しています。
- これらの教育を通じて、従業員のキャリア開発全般を支援し、絶えず変化する技術領域で技術を活用するために必要な知識を身につけさせます。
数千人の従業員が機械学習やサイバーセキュリティを含む様々な分野で実用的な最先端技術を学べるよう支援することを目的として、社内技術教育イニシアチブをどのように構築したかをご覧ください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
ティア1金融機関が革新的なセキュリティ認証体験を創り出した方法
ゲームがセキュリティ規制の遵守に関して開発者の心を掴む方法とは?
数百万の顧客、信頼できるグローバル金融機関としての豊かな歴史、革新への献身、そしてデジタル変革に歩調を合わせたこのティア1銀行顧客は、組織内で真にユニークな教育体験の一環としてSecure Code Warriorを活用しました。
彼らは、数千人の従業員が機械学習やサイバーセキュリティを含む様々な分野で実用的な最先端技術を学べるよう支援することを目的として、社内技術教育イニシアチブを立ち上げました。
金融サービス業界は現在、急速かつ急進的な変化を経験しています。多くの企業が新興技術の急速な発展に合わせてサービス提供を変更しています。本質的に、これらは金融に重点を置いた本格的なテクノロジー企業へと変貌しつつあります。顧客の視点を通じて、この潮流に追随できただけでなく、ほとんどの企業よりも優れた(そしてよりスマートな)成果を達成することができました。彼らはこのように重要かつ新興の分野に関する最新情報を得るため、従業員に対して多大な投資を行ってきました。その結果、フィンテック革新と専門性の最前線に立っているのです。
このプログラムを成功裏に実行するには、顧客とチーム全体が、開発者がセキュリティコーディングに完全に精通し、高いレベルのサイバーセキュリティ意識を持つ必要があることを認識しました。セキュリティ意識向上マネージャーは、最初からセキュリティに関心を持ってもらうよう、チームを積極的に巻き込もうとしました。
ザ・チャレンジ
顧客企業のセキュリティアウェアネスマネージャーは、セキュリティ業界で長年勤務し、大小さまざまな企業のオンラインアプリケーション採用が爆発的に増加し、デジタル中心のチームが急速に拡大する状況を最前線で主導してきました。彼は、このような超高速拡張の後に発生する可能性のある専門知識のサイロ化を直接目撃し、結局多くのセキュリティおよび開発チームがこれらの問題に直面しました。 「オンライン導入の初期段階では、開発者はセキュリティを考慮し、ソフトウェア構築に反映させていました。しかし、環境がますますサイロ化していく中で、例えばあるチームがオペレーティングシステムを開発し、分析のためにセキュリティチームに送ると、しばしば赤印と修正方法のメモが残されるだけでした。セキュリティ対策は避けられないものの、発見と知見はブラックホールに消え去り、それが何度も繰り返されるのです」と彼は語りました。
彼は自身の役割で頻繁に直面するセキュリティ問題について語りながら、「人的要因」に言及しました。
ソフトウェアエンジニアは機能構築に対して報酬を得ており、セキュリティはアジャイル開発における大きな障害と見なされることがあります。彼らは自身の優先順位を定めるのに忙しく、セキュリティ面を他人の仕事と見なすことが多い。最も極端なケースでは「まあ、まだ何も起きていない」という見解を取る者もいる。なぜ我々はソフトウェアのセキュリティをそれほど懸念し、それが開発ライフサイクルを中断させるのか? デジタル化が進む世界では、こうした姿勢を変える必要があります。面倒な作業として捉えられるよりも、ソフトウェアセキュリティにおける責任分担の重要性を強調すべきです。
デジタル生活を強化するために開発への依存度が高まる中、彼は壁に書かれた言葉を見ました。社会として、私たちは善良な人々のために、ますます不公平になる競争の場においてハッカーたちを盗んでいるのです。開発者たちはセキュリティを真剣に受け止め、鋭い関心を持って、自らの組織(そして実際にすべての真剣な技術企業)の最前線の防衛ラインとなるべきでした。
そこで彼は伝統的な教育を完全に変え始めました。
実装プロセス
セキュリティ認識管理者は、ソフトウェア品質の新たな基準を設定しようとする顧客の全体的な哲学を主導しました。具体的には、ソフトウェアに内在するセキュリティレベルが、全体的な品質および製品の生存可能性を示す指標であるという概念です。今日、セキュリティはほとんどの場合、品質測定と密接に関連しておらず、UI全体と同様に、ソフトウェアを評価する際に速度やサービス可能性を考慮することもありません。
「セキュリティは、高いソフトウェア品質のための妥協できない要件であるべきです」と彼は述べた。「安定性は信頼性と相関関係にあり、これはほとんどの企業、特に急速に変化しデジタル化が進むビジネスモデルを持つ企業にとって大きな関心事です。」
コミットされたコードの脆弱性を修正するコストは、最初から安全に記述された場合と比べて最大30倍も高くなるため、開発チームに実行可能なセキュリティ文化を「定着」させることが主要な目標となりました。結局のところ、スキャンツールでは検出できない特定の脆弱性が存在し、こうした脆弱性を解決する最も効率的なソリューションは、セキュリティを重視する開発チームなのです。
セキュリティ意識向上マネージャーは、他の形態の教育に関する自身の経験を詳細に説明しました。これらの教育の多くは依然として一般的に使用されており、開発者が数多くの理論ベースの作業を通じてセキュリティを学ぶか、さらに悪い場合には、まれに「チェックボックスを埋めて進む」コンプライアンス教育を受けるだけで、持続的な影響を与えるのに十分な実践的な学習や時間が割かれないケースが少なくありません。この状況を変えるため、より効果的なソリューションを導入することを決意しました」と彼は述べました。
参加率が高いときに得られる利点
セキュリティに精通したセキュリティ意識管理者と彼のチームの助言に基づき、Secure Code Warrior 中核としたカスタマイズされた認証プログラムを導入しました。
彼らはより効果的で参加意欲の高い開発者教育ソリューションの研究を通じてゲーミフィケーションのアーリーアダプターとなり、独自の体系的で本格的なカリキュラムを通じてゲーミフィケーションの効能と潜在力を最大化することができました。
「参加度の高い教育を文化の一部とし、学生が継続的に学習できるようにすることが重要でした。彼は『このシステムは、セキュリティに関する知識、技術、価値観を構築するための慎重なアプローチであり、結果として学生が日常的に使用する実際のソースコードで作業させる』と述べた。」
業界標準のセキュリティベストプラクティスと内部ガイドラインを包括的に取り入れたソリューションを構築したおかげで、顧客は迅速に教育を動員し、組織内のソフトウェアセキュリティにプラスの影響を与えることができました。
その結果
お客様の認証プログラムは、成功を収め持続的に発展する教育形式であり、社内技術教育施設のような未来志向の取り組みに最適です。このように楽しくインタラクティブでインセンティブを提供する深化コースを通じて、すべての学生が知識を定着させる最高の機会を得られるだけでなく、セキュリティを最優先とする文化と思考様式を真に育むことを支援します。ゲーミフィケーションは確かに学習満足度を高めますが、プログラムの中核となる実用性は依然として変わりません。それは開発者に、アプリケーションの高リスク脆弱性を特定し防止するために必要なスキルを提供することです。
重要な点は、教育が必須ではなく、開発者側の動機付け要素が必要だということです。これは疑いなくインセンティブと報酬の提供によって支えられていましたが、チーム全体がこのプログラムを採用したのは、チームの支持が高まり、プロセスに対する承認があったためです。
このプログラムは、中核となる能力が継続的に開発されるだけでなく、開発チームとAppSecチーム間の関係格差を解消し、チームメンバーが共通の理解に基づいて共通言語を使用し、相互に関心を形成することを支援します。
このプログラムは、単なるコンプライアンスチェックリストとは一線を画し、貴重な従業員とそのキャリアを継続的に支援する基盤となり、世界で最も成長著しい産業の一つであるサイバーセキュリティにおいて、測定可能な技術向上をもたらします。ソフトウェアセキュリティ改善のベンチマークとなるのは、まさにこのような教育プログラムなのです。
簡単な情報
- 資格取得を終え講師になることに興味を示した学生たちから前例のない反響がありました。こうした基礎的な伝道活動は、口コミによる応募、理解、そして全体的なセキュリティ意識の拡散を促す強力な要素です。
- 当社の顧客は、組織内の2500人以上の開発者を対象にプログラムを展開中です。このうち90%以上が既にシステム上で活動しています。
- これらの教育を通じて、従業員のキャリア開発全般を支援し、絶えず変化する技術領域で技術を活用するために必要な知識を身につけさせます。
ティア1金融機関が革新的なセキュリティ認証体験を創り出した方法
ゲームがセキュリティ規制の遵守に関して開発者の心を掴む方法とは?
数百万の顧客、信頼できるグローバル金融機関としての豊かな歴史、革新への献身、そしてデジタル変革に歩調を合わせたこのティア1銀行顧客は、組織内で真にユニークな教育体験の一環としてSecure Code Warriorを活用しました。
彼らは、数千人の従業員が機械学習やサイバーセキュリティを含む様々な分野で実用的な最先端技術を学べるよう支援することを目的として、社内技術教育イニシアチブを立ち上げました。
金融サービス業界は現在、急速かつ急進的な変化を経験しています。多くの企業が新興技術の急速な発展に合わせてサービス提供を変更しています。本質的に、これらは金融に重点を置いた本格的なテクノロジー企業へと変貌しつつあります。顧客の視点を通じて、この潮流に追随できただけでなく、ほとんどの企業よりも優れた(そしてよりスマートな)成果を達成することができました。彼らはこのように重要かつ新興の分野に関する最新情報を得るため、従業員に対して多大な投資を行ってきました。その結果、フィンテック革新と専門性の最前線に立っているのです。
このプログラムを成功裏に実行するには、顧客とチーム全体が、開発者がセキュリティコーディングに完全に精通し、高いレベルのサイバーセキュリティ意識を持つ必要があることを認識しました。セキュリティ意識向上マネージャーは、最初からセキュリティに関心を持ってもらうよう、チームを積極的に巻き込もうとしました。
ザ・チャレンジ
顧客企業のセキュリティアウェアネスマネージャーは、セキュリティ業界で長年勤務し、大小さまざまな企業のオンラインアプリケーション採用が爆発的に増加し、デジタル中心のチームが急速に拡大する状況を最前線で主導してきました。彼は、このような超高速拡張の後に発生する可能性のある専門知識のサイロ化を直接目撃し、結局多くのセキュリティおよび開発チームがこれらの問題に直面しました。 「オンライン導入の初期段階では、開発者はセキュリティを考慮し、ソフトウェア構築に反映させていました。しかし、環境がますますサイロ化していく中で、例えばあるチームがオペレーティングシステムを開発し、分析のためにセキュリティチームに送ると、しばしば赤印と修正方法のメモが残されるだけでした。セキュリティ対策は避けられないものの、発見と知見はブラックホールに消え去り、それが何度も繰り返されるのです」と彼は語りました。
彼は自身の役割で頻繁に直面するセキュリティ問題について語りながら、「人的要因」に言及しました。
ソフトウェアエンジニアは機能構築に対して報酬を得ており、セキュリティはアジャイル開発における大きな障害と見なされることがあります。彼らは自身の優先順位を定めるのに忙しく、セキュリティ面を他人の仕事と見なすことが多い。最も極端なケースでは「まあ、まだ何も起きていない」という見解を取る者もいる。なぜ我々はソフトウェアのセキュリティをそれほど懸念し、それが開発ライフサイクルを中断させるのか? デジタル化が進む世界では、こうした姿勢を変える必要があります。面倒な作業として捉えられるよりも、ソフトウェアセキュリティにおける責任分担の重要性を強調すべきです。
デジタル生活を強化するために開発への依存度が高まる中、彼は壁に書かれた言葉を見ました。社会として、私たちは善良な人々のために、ますます不公平になる競争の場においてハッカーたちを盗んでいるのです。開発者たちはセキュリティを真剣に受け止め、鋭い関心を持って、自らの組織(そして実際にすべての真剣な技術企業)の最前線の防衛ラインとなるべきでした。
そこで彼は伝統的な教育を完全に変え始めました。
実装プロセス
セキュリティ認識管理者は、ソフトウェア品質の新たな基準を設定しようとする顧客の全体的な哲学を主導しました。具体的には、ソフトウェアに内在するセキュリティレベルが、全体的な品質および製品の生存可能性を示す指標であるという概念です。今日、セキュリティはほとんどの場合、品質測定と密接に関連しておらず、UI全体と同様に、ソフトウェアを評価する際に速度やサービス可能性を考慮することもありません。
「セキュリティは、高いソフトウェア品質のための妥協できない要件であるべきです」と彼は述べた。「安定性は信頼性と相関関係にあり、これはほとんどの企業、特に急速に変化しデジタル化が進むビジネスモデルを持つ企業にとって大きな関心事です。」
コミットされたコードの脆弱性を修正するコストは、最初から安全に記述された場合と比べて最大30倍も高くなるため、開発チームに実行可能なセキュリティ文化を「定着」させることが主要な目標となりました。結局のところ、スキャンツールでは検出できない特定の脆弱性が存在し、こうした脆弱性を解決する最も効率的なソリューションは、セキュリティを重視する開発チームなのです。
セキュリティ意識向上マネージャーは、他の形態の教育に関する自身の経験を詳細に説明しました。これらの教育の多くは依然として一般的に使用されており、開発者が数多くの理論ベースの作業を通じてセキュリティを学ぶか、さらに悪い場合には、まれに「チェックボックスを埋めて進む」コンプライアンス教育を受けるだけで、持続的な影響を与えるのに十分な実践的な学習や時間が割かれないケースが少なくありません。この状況を変えるため、より効果的なソリューションを導入することを決意しました」と彼は述べました。
参加率が高いときに得られる利点
セキュリティに精通したセキュリティ意識管理者と彼のチームの助言に基づき、Secure Code Warrior 中核としたカスタマイズされた認証プログラムを導入しました。
彼らはより効果的で参加意欲の高い開発者教育ソリューションの研究を通じてゲーミフィケーションのアーリーアダプターとなり、独自の体系的で本格的なカリキュラムを通じてゲーミフィケーションの効能と潜在力を最大化することができました。
「参加度の高い教育を文化の一部とし、学生が継続的に学習できるようにすることが重要でした。彼は『このシステムは、セキュリティに関する知識、技術、価値観を構築するための慎重なアプローチであり、結果として学生が日常的に使用する実際のソースコードで作業させる』と述べた。」
業界標準のセキュリティベストプラクティスと内部ガイドラインを包括的に取り入れたソリューションを構築したおかげで、顧客は迅速に教育を動員し、組織内のソフトウェアセキュリティにプラスの影響を与えることができました。
その結果
お客様の認証プログラムは、成功を収め持続的に発展する教育形式であり、社内技術教育施設のような未来志向の取り組みに最適です。このように楽しくインタラクティブでインセンティブを提供する深化コースを通じて、すべての学生が知識を定着させる最高の機会を得られるだけでなく、セキュリティを最優先とする文化と思考様式を真に育むことを支援します。ゲーミフィケーションは確かに学習満足度を高めますが、プログラムの中核となる実用性は依然として変わりません。それは開発者に、アプリケーションの高リスク脆弱性を特定し防止するために必要なスキルを提供することです。
重要な点は、教育が必須ではなく、開発者側の動機付け要素が必要だということです。これは疑いなくインセンティブと報酬の提供によって支えられていましたが、チーム全体がこのプログラムを採用したのは、チームの支持が高まり、プロセスに対する承認があったためです。
このプログラムは、中核となる能力が継続的に開発されるだけでなく、開発チームとAppSecチーム間の関係格差を解消し、チームメンバーが共通の理解に基づいて共通言語を使用し、相互に関心を形成することを支援します。
このプログラムは、単なるコンプライアンスチェックリストとは一線を画し、貴重な従業員とそのキャリアを継続的に支援する基盤となり、世界で最も成長著しい産業の一つであるサイバーセキュリティにおいて、測定可能な技術向上をもたらします。ソフトウェアセキュリティ改善のベンチマークとなるのは、まさにこのような教育プログラムなのです。
簡単な情報
- 資格取得を終え講師になることに興味を示した学生たちから前例のない反響がありました。こうした基礎的な伝道活動は、口コミによる応募、理解、そして全体的なセキュリティ意識の拡散を促す強力な要素です。
- 当社の顧客は、組織内の2500人以上の開発者を対象にプログラムを展開中です。このうち90%以上が既にシステム上で活動しています。
- これらの教育を通じて、従業員のキャリア開発全般を支援し、絶えず変化する技術領域で技術を活用するために必要な知識を身につけさせます。
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
ティア1金融機関が革新的なセキュリティ認証体験を創り出した方法
ゲームがセキュリティ規制の遵守に関して開発者の心を掴む方法とは?
数百万の顧客、信頼できるグローバル金融機関としての豊かな歴史、革新への献身、そしてデジタル変革に歩調を合わせたこのティア1銀行顧客は、組織内で真にユニークな教育体験の一環としてSecure Code Warriorを活用しました。
彼らは、数千人の従業員が機械学習やサイバーセキュリティを含む様々な分野で実用的な最先端技術を学べるよう支援することを目的として、社内技術教育イニシアチブを立ち上げました。
金融サービス業界は現在、急速かつ急進的な変化を経験しています。多くの企業が新興技術の急速な発展に合わせてサービス提供を変更しています。本質的に、これらは金融に重点を置いた本格的なテクノロジー企業へと変貌しつつあります。顧客の視点を通じて、この潮流に追随できただけでなく、ほとんどの企業よりも優れた(そしてよりスマートな)成果を達成することができました。彼らはこのように重要かつ新興の分野に関する最新情報を得るため、従業員に対して多大な投資を行ってきました。その結果、フィンテック革新と専門性の最前線に立っているのです。
このプログラムを成功裏に実行するには、顧客とチーム全体が、開発者がセキュリティコーディングに完全に精通し、高いレベルのサイバーセキュリティ意識を持つ必要があることを認識しました。セキュリティ意識向上マネージャーは、最初からセキュリティに関心を持ってもらうよう、チームを積極的に巻き込もうとしました。
ザ・チャレンジ
顧客企業のセキュリティアウェアネスマネージャーは、セキュリティ業界で長年勤務し、大小さまざまな企業のオンラインアプリケーション採用が爆発的に増加し、デジタル中心のチームが急速に拡大する状況を最前線で主導してきました。彼は、このような超高速拡張の後に発生する可能性のある専門知識のサイロ化を直接目撃し、結局多くのセキュリティおよび開発チームがこれらの問題に直面しました。 「オンライン導入の初期段階では、開発者はセキュリティを考慮し、ソフトウェア構築に反映させていました。しかし、環境がますますサイロ化していく中で、例えばあるチームがオペレーティングシステムを開発し、分析のためにセキュリティチームに送ると、しばしば赤印と修正方法のメモが残されるだけでした。セキュリティ対策は避けられないものの、発見と知見はブラックホールに消え去り、それが何度も繰り返されるのです」と彼は語りました。
彼は自身の役割で頻繁に直面するセキュリティ問題について語りながら、「人的要因」に言及しました。
ソフトウェアエンジニアは機能構築に対して報酬を得ており、セキュリティはアジャイル開発における大きな障害と見なされることがあります。彼らは自身の優先順位を定めるのに忙しく、セキュリティ面を他人の仕事と見なすことが多い。最も極端なケースでは「まあ、まだ何も起きていない」という見解を取る者もいる。なぜ我々はソフトウェアのセキュリティをそれほど懸念し、それが開発ライフサイクルを中断させるのか? デジタル化が進む世界では、こうした姿勢を変える必要があります。面倒な作業として捉えられるよりも、ソフトウェアセキュリティにおける責任分担の重要性を強調すべきです。
デジタル生活を強化するために開発への依存度が高まる中、彼は壁に書かれた言葉を見ました。社会として、私たちは善良な人々のために、ますます不公平になる競争の場においてハッカーたちを盗んでいるのです。開発者たちはセキュリティを真剣に受け止め、鋭い関心を持って、自らの組織(そして実際にすべての真剣な技術企業)の最前線の防衛ラインとなるべきでした。
そこで彼は伝統的な教育を完全に変え始めました。
実装プロセス
セキュリティ認識管理者は、ソフトウェア品質の新たな基準を設定しようとする顧客の全体的な哲学を主導しました。具体的には、ソフトウェアに内在するセキュリティレベルが、全体的な品質および製品の生存可能性を示す指標であるという概念です。今日、セキュリティはほとんどの場合、品質測定と密接に関連しておらず、UI全体と同様に、ソフトウェアを評価する際に速度やサービス可能性を考慮することもありません。
「セキュリティは、高いソフトウェア品質のための妥協できない要件であるべきです」と彼は述べた。「安定性は信頼性と相関関係にあり、これはほとんどの企業、特に急速に変化しデジタル化が進むビジネスモデルを持つ企業にとって大きな関心事です。」
コミットされたコードの脆弱性を修正するコストは、最初から安全に記述された場合と比べて最大30倍も高くなるため、開発チームに実行可能なセキュリティ文化を「定着」させることが主要な目標となりました。結局のところ、スキャンツールでは検出できない特定の脆弱性が存在し、こうした脆弱性を解決する最も効率的なソリューションは、セキュリティを重視する開発チームなのです。
セキュリティ意識向上マネージャーは、他の形態の教育に関する自身の経験を詳細に説明しました。これらの教育の多くは依然として一般的に使用されており、開発者が数多くの理論ベースの作業を通じてセキュリティを学ぶか、さらに悪い場合には、まれに「チェックボックスを埋めて進む」コンプライアンス教育を受けるだけで、持続的な影響を与えるのに十分な実践的な学習や時間が割かれないケースが少なくありません。この状況を変えるため、より効果的なソリューションを導入することを決意しました」と彼は述べました。
参加率が高いときに得られる利点
セキュリティに精通したセキュリティ意識管理者と彼のチームの助言に基づき、Secure Code Warrior 中核としたカスタマイズされた認証プログラムを導入しました。
彼らはより効果的で参加意欲の高い開発者教育ソリューションの研究を通じてゲーミフィケーションのアーリーアダプターとなり、独自の体系的で本格的なカリキュラムを通じてゲーミフィケーションの効能と潜在力を最大化することができました。
「参加度の高い教育を文化の一部とし、学生が継続的に学習できるようにすることが重要でした。彼は『このシステムは、セキュリティに関する知識、技術、価値観を構築するための慎重なアプローチであり、結果として学生が日常的に使用する実際のソースコードで作業させる』と述べた。」
業界標準のセキュリティベストプラクティスと内部ガイドラインを包括的に取り入れたソリューションを構築したおかげで、顧客は迅速に教育を動員し、組織内のソフトウェアセキュリティにプラスの影響を与えることができました。
その結果
お客様の認証プログラムは、成功を収め持続的に発展する教育形式であり、社内技術教育施設のような未来志向の取り組みに最適です。このように楽しくインタラクティブでインセンティブを提供する深化コースを通じて、すべての学生が知識を定着させる最高の機会を得られるだけでなく、セキュリティを最優先とする文化と思考様式を真に育むことを支援します。ゲーミフィケーションは確かに学習満足度を高めますが、プログラムの中核となる実用性は依然として変わりません。それは開発者に、アプリケーションの高リスク脆弱性を特定し防止するために必要なスキルを提供することです。
重要な点は、教育が必須ではなく、開発者側の動機付け要素が必要だということです。これは疑いなくインセンティブと報酬の提供によって支えられていましたが、チーム全体がこのプログラムを採用したのは、チームの支持が高まり、プロセスに対する承認があったためです。
このプログラムは、中核となる能力が継続的に開発されるだけでなく、開発チームとAppSecチーム間の関係格差を解消し、チームメンバーが共通の理解に基づいて共通言語を使用し、相互に関心を形成することを支援します。
このプログラムは、単なるコンプライアンスチェックリストとは一線を画し、貴重な従業員とそのキャリアを継続的に支援する基盤となり、世界で最も成長著しい産業の一つであるサイバーセキュリティにおいて、測定可能な技術向上をもたらします。ソフトウェアセキュリティ改善のベンチマークとなるのは、まさにこのような教育プログラムなのです。
簡単な情報
- 資格取得を終え講師になることに興味を示した学生たちから前例のない反響がありました。こうした基礎的な伝道活動は、口コミによる応募、理解、そして全体的なセキュリティ意識の拡散を促す強力な要素です。
- 当社の顧客は、組織内の2500人以上の開発者を対象にプログラムを展開中です。このうち90%以上が既にシステム上で活動しています。
- これらの教育を通じて、従業員のキャリア開発全般を支援し、絶えず変化する技術領域で技術を活用するために必要な知識を身につけさせます。
%20(1).avif)
.avif)
