ゲーム化がソフトウェアのセキュリティレベル向上に核心的な理由
AppSec管理者、CISO、CIO、サイバーセキュリティ専門家など、私はソフトウェア開発およびセキュリティ分野でキャリアを積みながら、世界中のあらゆる種類の企業で働き、多くの人々と対話してきました。
状況が異なろうと、チームの経験がどれほど違おうと、絶えず変化するデジタル世界でどれほどの時が流れていようと、常に同じ一つの問題があります。それは、セキュリティに関して開発チームを積極的に関与させることはほとんどないということです。セキュリティは依然として汚い言葉であり、チーム間の対立の根源であり、業界の裏側の厄介な問題でもあります。
しかしソフトウェアセキュリティは、私たちの一般的な考え方ではこの道をそのまま続けるにはあまりにも重要です。私たちは対話を変え、セキュリティをすべての開発者の業務生活において欠かせない要素とするよう努めなければなりません。そのための最良の方法の一つは、例えばゲーミフィケーションを通じて開発者のセキュリティ能力を強化し、参加を促すことだと考えています。
現在の風景
開発者は、セキュリティコード提供に関する実用的な知識がほとんどない状態で大学を卒業し、セキュリティ教育がほとんど優先順位ではない職場で働いています(そして優先順位が高い場合でも、通常は健康と安全に関する必須のコンプライアンスビデオの一部であるため、誰もセキュリティコーディングに関心を持たないでしょう)。セキュリティを初めて知るきっかけが監査やテストのバグ報告であることが多く、この場合、その後のリリースが突然中断され、瞬く間に創造性が損なわれます。彼らはセキュリティ報告責任者と議論するため、心の中で「セキュリティ」は「批判」と同義語として浮かび上がります。なんてこった。
ソフトウェアセキュリティに対するこうした否定的な認識が広く浸透していることは、率直に言って残念なことです。結局のところ、私のキャリアの中で最も記憶に残っていることの一部は、ソフトウェアセキュリティについて学んだことと関連しています。私はハッカーとしての初期の時代を、カンファレンスに参加しながら過ごしました。 カンファレンスでは、仲間たちに対して自分の技術を試すことができただけでなく(率直に言って少し自慢することもできました)、私のようにソフトウェアを壊すことを楽しむ同じ考えを持つ人々と出会い、本当に楽しい時間を過ごしました。
BruCon、DefCon、BlackHat... こうしたイベントは、私のような者たちが親善大会で技術を披露する機会を提供しました。反社会的行為に加担したことを認めるつもりは毛頭ありませんが、参加者たちの携帯電話に侵入し、プレゼン画面に自身の情報を全員に晒すことでハッキングの腕前を誇示する者もいました。ソフトウェアをより良くするためにこうした欠陥を見つけ出すこと、つまり悪用して修正することが一つのゲームとなりました。数年前、私は中東に住む数百人の子供たちの前でサイバーセキュリティを教える特権に恵まれました。生徒の中にいた8歳の女の子が今でも記憶に残っています。ゲームを通じてパスワード強制適用とBase64エンコーディングを学んでいたのです。
ゲーム化はコーディング技術の指導にも活用されています。世界中の教育機関では高校生から非常に幼い子供たちまでを対象に、このアプローチを用いてコーディングを教えています。今では4歳未満の子供たちも、次のような休暇プログラムに定期的に参加しています。コードキャンプそして子供たちにPythonや他の言語でコーディングする方法を教える素晴らしいオンラインプログラムが数多く存在します。驚くべきことに、スクリーンレスコーディングというツールまで購入しました。わずか1歳の娘のために。
しかし、こうした楽しさや発展にもかかわらず、格差は存在します。ゲーム化を活用して開発者にセキュリティコードの書き方を教育できるかどうかについて、誰も考えたことがなかったのです。
ええと…ほとんど誰もいません。数年前、私はセキュリティを再び魅力的にし、開発者が参加してゲームを始めたいと思えるように動機づけなければならないと気づきました。
ゲーミフィケーション:簡単な方法。
私の内面には、セキュリティ知識を備えた開発者の能力を高め、強化したいという深い意欲が込められています。私がSecure Code Warriorを作ったのも、まさにこの情熱によるものです。ソフトウェアセキュリティは非常に重要であり、本当に興味深いものになり得ます。
私の考えは私だけのものではありません。
ゲーミフィケーションは、最も日常的な作業さえもより楽しくし、人々がプレイを続け、勝利し、成長したいと思うほどに没入感を高めることができます。 ポケモンGOの手法を見てください!最も怠惰な人さえもソファに座ったまま屋外で架空の生物を探し求めたり、FitBitが多くの人の歩数目標を毎日設定したりするように…目標が達成されなかったり連続記録が途絶えてバッジがもらえなかったりすると、本当にがっかりするものです。
セキュリティ教育に戻ります。多くの顧客から実証されているように、ゲーミフィケーションは組織のセキュリティ文化を真に変革し、AppSecと開発チーム間の架け橋となるだけでなく、より高品質なソフトウェア構築を支援する上で極めて重要です。
現在のセキュリティは開発者の優先順位ではありません。トレーニング方法に親しみやすく、競争的で魅力的な要素を加えることで、開発者が単に「プレイ」するだけでなく、繰り返し戻ってきてより多くのスコアを獲得し、高得点を狙い、精度を高め、同僚チームメンバーに挑戦するよう動機づけられます。
成功する訓練は次の通りであるということを、すでに知っています。
- 開発者は実際のコードと自身の言語/フレームワークで作業できます。
- チャレンジは短く、一般的なセキュリティ脆弱性をすべて網羅します。
- チャレンジは継続的に拡張および更新されるため、開発者は時間の経過とともにスキルを積み重ね続けることができます。
- 課題は複雑性が多様であるため、上級開発者と経験の浅い開発者の双方にとって魅力的です。
- 開発者と管理者は、完了した課題、強みと弱み、教育に要した時間、全体的な正確性などの進捗状況を確認できます。
当社の主要顧客の一社は、ゲーミフィケーションプラットフォームの真の魔法を見せてくれました。開発者にテーマ別のチーム装備を提供し、ゲーム優勝者に素晴らしい賞品を提供し、トーナメントを記憶に残る一日にしたのです。その後、国際大会も開催し、チーム全体が今日に至るまで真剣なトレーニング時間を過ごしています。
皆様だけのソフトウェア革命はここから始まります。オーストラリアの銀行業界は、既存の(あるいは退屈な)教育を完全に変える真に革新的なアプローチで、悪いコードとの戦いにゲーミフィケーション教育を導入する先頭に立っています。当社の顧客が何を実現したかご覧ください。ネクストレベルトーナメント。準備はよろしいですか?チームレベルアップ、私たちと一緒に?
私たちは対話を変え、セキュリティをすべての開発者の業務生活において欠かせない要素とするよう努めなければなりません。そのための最良の方法の一つは、例えばゲーミフィケーションを通じて開発者のセキュリティ能力を強化し、参加を促すことだと考えています。
私たちは対話を変え、セキュリティをすべての開発者の業務生活において欠かせない要素とするよう努めなければなりません。そのための最良の方法の一つは、例えばゲーミフィケーションを通じて開発者のセキュリティ能力を強化し、参加を促すことだと考えています。
最高経営責任者(CEO)、会長、および共同設立者
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
AppSec管理者、CISO、CIO、サイバーセキュリティ専門家など、私はソフトウェア開発およびセキュリティ分野でキャリアを積みながら、世界中のあらゆる種類の企業で働き、多くの人々と対話してきました。
状況が異なろうと、チームの経験がどれほど違おうと、絶えず変化するデジタル世界でどれほどの時が流れていようと、常に同じ一つの問題があります。それは、セキュリティに関して開発チームを積極的に関与させることはほとんどないということです。セキュリティは依然として汚い言葉であり、チーム間の対立の根源であり、業界の裏側の厄介な問題でもあります。
しかしソフトウェアセキュリティは、私たちの一般的な考え方ではこの道をそのまま続けるにはあまりにも重要です。私たちは対話を変え、セキュリティをすべての開発者の業務生活において欠かせない要素とするよう努めなければなりません。そのための最良の方法の一つは、例えばゲーミフィケーションを通じて開発者のセキュリティ能力を強化し、参加を促すことだと考えています。
現在の風景
開発者は、セキュリティコード提供に関する実用的な知識がほとんどない状態で大学を卒業し、セキュリティ教育がほとんど優先順位ではない職場で働いています(そして優先順位が高い場合でも、通常は健康と安全に関する必須のコンプライアンスビデオの一部であるため、誰もセキュリティコーディングに関心を持たないでしょう)。セキュリティを初めて知るきっかけが監査やテストのバグ報告であることが多く、この場合、その後のリリースが突然中断され、瞬く間に創造性が損なわれます。彼らはセキュリティ報告責任者と議論するため、心の中で「セキュリティ」は「批判」と同義語として浮かび上がります。なんてこった。
ソフトウェアセキュリティに対するこうした否定的な認識が広く浸透していることは、率直に言って残念なことです。結局のところ、私のキャリアの中で最も記憶に残っていることの一部は、ソフトウェアセキュリティについて学んだことと関連しています。私はハッカーとしての初期の時代を、カンファレンスに参加しながら過ごしました。 カンファレンスでは、仲間たちに対して自分の技術を試すことができただけでなく(率直に言って少し自慢することもできました)、私のようにソフトウェアを壊すことを楽しむ同じ考えを持つ人々と出会い、本当に楽しい時間を過ごしました。
BruCon、DefCon、BlackHat... こうしたイベントは、私のような者たちが親善大会で技術を披露する機会を提供しました。反社会的行為に加担したことを認めるつもりは毛頭ありませんが、参加者たちの携帯電話に侵入し、プレゼン画面に自身の情報を全員に晒すことでハッキングの腕前を誇示する者もいました。ソフトウェアをより良くするためにこうした欠陥を見つけ出すこと、つまり悪用して修正することが一つのゲームとなりました。数年前、私は中東に住む数百人の子供たちの前でサイバーセキュリティを教える特権に恵まれました。生徒の中にいた8歳の女の子が今でも記憶に残っています。ゲームを通じてパスワード強制適用とBase64エンコーディングを学んでいたのです。
ゲーム化はコーディング技術の指導にも活用されています。世界中の教育機関では高校生から非常に幼い子供たちまでを対象に、このアプローチを用いてコーディングを教えています。今では4歳未満の子供たちも、次のような休暇プログラムに定期的に参加しています。コードキャンプそして子供たちにPythonや他の言語でコーディングする方法を教える素晴らしいオンラインプログラムが数多く存在します。驚くべきことに、スクリーンレスコーディングというツールまで購入しました。わずか1歳の娘のために。
しかし、こうした楽しさや発展にもかかわらず、格差は存在します。ゲーム化を活用して開発者にセキュリティコードの書き方を教育できるかどうかについて、誰も考えたことがなかったのです。
ええと…ほとんど誰もいません。数年前、私はセキュリティを再び魅力的にし、開発者が参加してゲームを始めたいと思えるように動機づけなければならないと気づきました。
ゲーミフィケーション:簡単な方法。
私の内面には、セキュリティ知識を備えた開発者の能力を高め、強化したいという深い意欲が込められています。私がSecure Code Warriorを作ったのも、まさにこの情熱によるものです。ソフトウェアセキュリティは非常に重要であり、本当に興味深いものになり得ます。
私の考えは私だけのものではありません。
ゲーミフィケーションは、最も日常的な作業さえもより楽しくし、人々がプレイを続け、勝利し、成長したいと思うほどに没入感を高めることができます。 ポケモンGOの手法を見てください!最も怠惰な人さえもソファに座ったまま屋外で架空の生物を探し求めたり、FitBitが多くの人の歩数目標を毎日設定したりするように…目標が達成されなかったり連続記録が途絶えてバッジがもらえなかったりすると、本当にがっかりするものです。
セキュリティ教育に戻ります。多くの顧客から実証されているように、ゲーミフィケーションは組織のセキュリティ文化を真に変革し、AppSecと開発チーム間の架け橋となるだけでなく、より高品質なソフトウェア構築を支援する上で極めて重要です。
現在のセキュリティは開発者の優先順位ではありません。トレーニング方法に親しみやすく、競争的で魅力的な要素を加えることで、開発者が単に「プレイ」するだけでなく、繰り返し戻ってきてより多くのスコアを獲得し、高得点を狙い、精度を高め、同僚チームメンバーに挑戦するよう動機づけられます。
成功する訓練は次の通りであるということを、すでに知っています。
- 開発者は実際のコードと自身の言語/フレームワークで作業できます。
- チャレンジは短く、一般的なセキュリティ脆弱性をすべて網羅します。
- チャレンジは継続的に拡張および更新されるため、開発者は時間の経過とともにスキルを積み重ね続けることができます。
- 課題は複雑性が多様であるため、上級開発者と経験の浅い開発者の双方にとって魅力的です。
- 開発者と管理者は、完了した課題、強みと弱み、教育に要した時間、全体的な正確性などの進捗状況を確認できます。
当社の主要顧客の一社は、ゲーミフィケーションプラットフォームの真の魔法を見せてくれました。開発者にテーマ別のチーム装備を提供し、ゲーム優勝者に素晴らしい賞品を提供し、トーナメントを記憶に残る一日にしたのです。その後、国際大会も開催し、チーム全体が今日に至るまで真剣なトレーニング時間を過ごしています。
皆様だけのソフトウェア革命はここから始まります。オーストラリアの銀行業界は、既存の(あるいは退屈な)教育を完全に変える真に革新的なアプローチで、悪いコードとの戦いにゲーミフィケーション教育を導入する先頭に立っています。当社の顧客が何を実現したかご覧ください。ネクストレベルトーナメント。準備はよろしいですか?チームレベルアップ、私たちと一緒に?
私たちは対話を変え、セキュリティをすべての開発者の業務生活において欠かせない要素とするよう努めなければなりません。そのための最良の方法の一つは、例えばゲーミフィケーションを通じて開発者のセキュリティ能力を強化し、参加を促すことだと考えています。
AppSec管理者、CISO、CIO、サイバーセキュリティ専門家など、私はソフトウェア開発およびセキュリティ分野でキャリアを積みながら、世界中のあらゆる種類の企業で働き、多くの人々と対話してきました。
状況が異なろうと、チームの経験がどれほど違おうと、絶えず変化するデジタル世界でどれほどの時が流れていようと、常に同じ一つの問題があります。それは、セキュリティに関して開発チームを積極的に関与させることはほとんどないということです。セキュリティは依然として汚い言葉であり、チーム間の対立の根源であり、業界の裏側の厄介な問題でもあります。
しかしソフトウェアセキュリティは、私たちの一般的な考え方ではこの道をそのまま続けるにはあまりにも重要です。私たちは対話を変え、セキュリティをすべての開発者の業務生活において欠かせない要素とするよう努めなければなりません。そのための最良の方法の一つは、例えばゲーミフィケーションを通じて開発者のセキュリティ能力を強化し、参加を促すことだと考えています。
現在の風景
開発者は、セキュリティコード提供に関する実用的な知識がほとんどない状態で大学を卒業し、セキュリティ教育がほとんど優先順位ではない職場で働いています(そして優先順位が高い場合でも、通常は健康と安全に関する必須のコンプライアンスビデオの一部であるため、誰もセキュリティコーディングに関心を持たないでしょう)。セキュリティを初めて知るきっかけが監査やテストのバグ報告であることが多く、この場合、その後のリリースが突然中断され、瞬く間に創造性が損なわれます。彼らはセキュリティ報告責任者と議論するため、心の中で「セキュリティ」は「批判」と同義語として浮かび上がります。なんてこった。
ソフトウェアセキュリティに対するこうした否定的な認識が広く浸透していることは、率直に言って残念なことです。結局のところ、私のキャリアの中で最も記憶に残っていることの一部は、ソフトウェアセキュリティについて学んだことと関連しています。私はハッカーとしての初期の時代を、カンファレンスに参加しながら過ごしました。 カンファレンスでは、仲間たちに対して自分の技術を試すことができただけでなく(率直に言って少し自慢することもできました)、私のようにソフトウェアを壊すことを楽しむ同じ考えを持つ人々と出会い、本当に楽しい時間を過ごしました。
BruCon、DefCon、BlackHat... こうしたイベントは、私のような者たちが親善大会で技術を披露する機会を提供しました。反社会的行為に加担したことを認めるつもりは毛頭ありませんが、参加者たちの携帯電話に侵入し、プレゼン画面に自身の情報を全員に晒すことでハッキングの腕前を誇示する者もいました。ソフトウェアをより良くするためにこうした欠陥を見つけ出すこと、つまり悪用して修正することが一つのゲームとなりました。数年前、私は中東に住む数百人の子供たちの前でサイバーセキュリティを教える特権に恵まれました。生徒の中にいた8歳の女の子が今でも記憶に残っています。ゲームを通じてパスワード強制適用とBase64エンコーディングを学んでいたのです。
ゲーム化はコーディング技術の指導にも活用されています。世界中の教育機関では高校生から非常に幼い子供たちまでを対象に、このアプローチを用いてコーディングを教えています。今では4歳未満の子供たちも、次のような休暇プログラムに定期的に参加しています。コードキャンプそして子供たちにPythonや他の言語でコーディングする方法を教える素晴らしいオンラインプログラムが数多く存在します。驚くべきことに、スクリーンレスコーディングというツールまで購入しました。わずか1歳の娘のために。
しかし、こうした楽しさや発展にもかかわらず、格差は存在します。ゲーム化を活用して開発者にセキュリティコードの書き方を教育できるかどうかについて、誰も考えたことがなかったのです。
ええと…ほとんど誰もいません。数年前、私はセキュリティを再び魅力的にし、開発者が参加してゲームを始めたいと思えるように動機づけなければならないと気づきました。
ゲーミフィケーション:簡単な方法。
私の内面には、セキュリティ知識を備えた開発者の能力を高め、強化したいという深い意欲が込められています。私がSecure Code Warriorを作ったのも、まさにこの情熱によるものです。ソフトウェアセキュリティは非常に重要であり、本当に興味深いものになり得ます。
私の考えは私だけのものではありません。
ゲーミフィケーションは、最も日常的な作業さえもより楽しくし、人々がプレイを続け、勝利し、成長したいと思うほどに没入感を高めることができます。 ポケモンGOの手法を見てください!最も怠惰な人さえもソファに座ったまま屋外で架空の生物を探し求めたり、FitBitが多くの人の歩数目標を毎日設定したりするように…目標が達成されなかったり連続記録が途絶えてバッジがもらえなかったりすると、本当にがっかりするものです。
セキュリティ教育に戻ります。多くの顧客から実証されているように、ゲーミフィケーションは組織のセキュリティ文化を真に変革し、AppSecと開発チーム間の架け橋となるだけでなく、より高品質なソフトウェア構築を支援する上で極めて重要です。
現在のセキュリティは開発者の優先順位ではありません。トレーニング方法に親しみやすく、競争的で魅力的な要素を加えることで、開発者が単に「プレイ」するだけでなく、繰り返し戻ってきてより多くのスコアを獲得し、高得点を狙い、精度を高め、同僚チームメンバーに挑戦するよう動機づけられます。
成功する訓練は次の通りであるということを、すでに知っています。
- 開発者は実際のコードと自身の言語/フレームワークで作業できます。
- チャレンジは短く、一般的なセキュリティ脆弱性をすべて網羅します。
- チャレンジは継続的に拡張および更新されるため、開発者は時間の経過とともにスキルを積み重ね続けることができます。
- 課題は複雑性が多様であるため、上級開発者と経験の浅い開発者の双方にとって魅力的です。
- 開発者と管理者は、完了した課題、強みと弱み、教育に要した時間、全体的な正確性などの進捗状況を確認できます。
当社の主要顧客の一社は、ゲーミフィケーションプラットフォームの真の魔法を見せてくれました。開発者にテーマ別のチーム装備を提供し、ゲーム優勝者に素晴らしい賞品を提供し、トーナメントを記憶に残る一日にしたのです。その後、国際大会も開催し、チーム全体が今日に至るまで真剣なトレーニング時間を過ごしています。
皆様だけのソフトウェア革命はここから始まります。オーストラリアの銀行業界は、既存の(あるいは退屈な)教育を完全に変える真に革新的なアプローチで、悪いコードとの戦いにゲーミフィケーション教育を導入する先頭に立っています。当社の顧客が何を実現したかご覧ください。ネクストレベルトーナメント。準備はよろしいですか?チームレベルアップ、私たちと一緒に?
私たちは対話を変え、セキュリティをすべての開発者の業務生活において欠かせない要素とするよう努めなければなりません。そのための最良の方法の一つは、例えばゲーミフィケーションを通じて開発者のセキュリティ能力を強化し、参加を促すことだと考えています。
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
AppSec管理者、CISO、CIO、サイバーセキュリティ専門家など、私はソフトウェア開発およびセキュリティ分野でキャリアを積みながら、世界中のあらゆる種類の企業で働き、多くの人々と対話してきました。
状況が異なろうと、チームの経験がどれほど違おうと、絶えず変化するデジタル世界でどれほどの時が流れていようと、常に同じ一つの問題があります。それは、セキュリティに関して開発チームを積極的に関与させることはほとんどないということです。セキュリティは依然として汚い言葉であり、チーム間の対立の根源であり、業界の裏側の厄介な問題でもあります。
しかしソフトウェアセキュリティは、私たちの一般的な考え方ではこの道をそのまま続けるにはあまりにも重要です。私たちは対話を変え、セキュリティをすべての開発者の業務生活において欠かせない要素とするよう努めなければなりません。そのための最良の方法の一つは、例えばゲーミフィケーションを通じて開発者のセキュリティ能力を強化し、参加を促すことだと考えています。
現在の風景
開発者は、セキュリティコード提供に関する実用的な知識がほとんどない状態で大学を卒業し、セキュリティ教育がほとんど優先順位ではない職場で働いています(そして優先順位が高い場合でも、通常は健康と安全に関する必須のコンプライアンスビデオの一部であるため、誰もセキュリティコーディングに関心を持たないでしょう)。セキュリティを初めて知るきっかけが監査やテストのバグ報告であることが多く、この場合、その後のリリースが突然中断され、瞬く間に創造性が損なわれます。彼らはセキュリティ報告責任者と議論するため、心の中で「セキュリティ」は「批判」と同義語として浮かび上がります。なんてこった。
ソフトウェアセキュリティに対するこうした否定的な認識が広く浸透していることは、率直に言って残念なことです。結局のところ、私のキャリアの中で最も記憶に残っていることの一部は、ソフトウェアセキュリティについて学んだことと関連しています。私はハッカーとしての初期の時代を、カンファレンスに参加しながら過ごしました。 カンファレンスでは、仲間たちに対して自分の技術を試すことができただけでなく(率直に言って少し自慢することもできました)、私のようにソフトウェアを壊すことを楽しむ同じ考えを持つ人々と出会い、本当に楽しい時間を過ごしました。
BruCon、DefCon、BlackHat... こうしたイベントは、私のような者たちが親善大会で技術を披露する機会を提供しました。反社会的行為に加担したことを認めるつもりは毛頭ありませんが、参加者たちの携帯電話に侵入し、プレゼン画面に自身の情報を全員に晒すことでハッキングの腕前を誇示する者もいました。ソフトウェアをより良くするためにこうした欠陥を見つけ出すこと、つまり悪用して修正することが一つのゲームとなりました。数年前、私は中東に住む数百人の子供たちの前でサイバーセキュリティを教える特権に恵まれました。生徒の中にいた8歳の女の子が今でも記憶に残っています。ゲームを通じてパスワード強制適用とBase64エンコーディングを学んでいたのです。
ゲーム化はコーディング技術の指導にも活用されています。世界中の教育機関では高校生から非常に幼い子供たちまでを対象に、このアプローチを用いてコーディングを教えています。今では4歳未満の子供たちも、次のような休暇プログラムに定期的に参加しています。コードキャンプそして子供たちにPythonや他の言語でコーディングする方法を教える素晴らしいオンラインプログラムが数多く存在します。驚くべきことに、スクリーンレスコーディングというツールまで購入しました。わずか1歳の娘のために。
しかし、こうした楽しさや発展にもかかわらず、格差は存在します。ゲーム化を活用して開発者にセキュリティコードの書き方を教育できるかどうかについて、誰も考えたことがなかったのです。
ええと…ほとんど誰もいません。数年前、私はセキュリティを再び魅力的にし、開発者が参加してゲームを始めたいと思えるように動機づけなければならないと気づきました。
ゲーミフィケーション:簡単な方法。
私の内面には、セキュリティ知識を備えた開発者の能力を高め、強化したいという深い意欲が込められています。私がSecure Code Warriorを作ったのも、まさにこの情熱によるものです。ソフトウェアセキュリティは非常に重要であり、本当に興味深いものになり得ます。
私の考えは私だけのものではありません。
ゲーミフィケーションは、最も日常的な作業さえもより楽しくし、人々がプレイを続け、勝利し、成長したいと思うほどに没入感を高めることができます。 ポケモンGOの手法を見てください!最も怠惰な人さえもソファに座ったまま屋外で架空の生物を探し求めたり、FitBitが多くの人の歩数目標を毎日設定したりするように…目標が達成されなかったり連続記録が途絶えてバッジがもらえなかったりすると、本当にがっかりするものです。
セキュリティ教育に戻ります。多くの顧客から実証されているように、ゲーミフィケーションは組織のセキュリティ文化を真に変革し、AppSecと開発チーム間の架け橋となるだけでなく、より高品質なソフトウェア構築を支援する上で極めて重要です。
現在のセキュリティは開発者の優先順位ではありません。トレーニング方法に親しみやすく、競争的で魅力的な要素を加えることで、開発者が単に「プレイ」するだけでなく、繰り返し戻ってきてより多くのスコアを獲得し、高得点を狙い、精度を高め、同僚チームメンバーに挑戦するよう動機づけられます。
成功する訓練は次の通りであるということを、すでに知っています。
- 開発者は実際のコードと自身の言語/フレームワークで作業できます。
- チャレンジは短く、一般的なセキュリティ脆弱性をすべて網羅します。
- チャレンジは継続的に拡張および更新されるため、開発者は時間の経過とともにスキルを積み重ね続けることができます。
- 課題は複雑性が多様であるため、上級開発者と経験の浅い開発者の双方にとって魅力的です。
- 開発者と管理者は、完了した課題、強みと弱み、教育に要した時間、全体的な正確性などの進捗状況を確認できます。
当社の主要顧客の一社は、ゲーミフィケーションプラットフォームの真の魔法を見せてくれました。開発者にテーマ別のチーム装備を提供し、ゲーム優勝者に素晴らしい賞品を提供し、トーナメントを記憶に残る一日にしたのです。その後、国際大会も開催し、チーム全体が今日に至るまで真剣なトレーニング時間を過ごしています。
皆様だけのソフトウェア革命はここから始まります。オーストラリアの銀行業界は、既存の(あるいは退屈な)教育を完全に変える真に革新的なアプローチで、悪いコードとの戦いにゲーミフィケーション教育を導入する先頭に立っています。当社の顧客が何を実現したかご覧ください。ネクストレベルトーナメント。準備はよろしいですか?チームレベルアップ、私たちと一緒に?
私たちは対話を変え、セキュリティをすべての開発者の業務生活において欠かせない要素とするよう努めなければなりません。そのための最良の方法の一つは、例えばゲーミフィケーションを通じて開発者のセキュリティ能力を強化し、参加を促すことだと考えています。
始めるのに役立つリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
