ティア1の金融機関が画期的なセキュリティ認証体験を生み出した方法
セキュリティ・コンプライアンスに関して、ゲームは開発者の心をつかむことができるのだろうか?
数百万人の顧客を抱え、信頼されるグローバル金融機関として豊かな歴史を持ち、イノベーションとデジタルトランスフォーメーションへの対応に尽力しているこの一流銀行のクライアントは、組織内での真にユニークな教育体験の一環としてSecure Code Warrior 。
機械学習やサイバーセキュリティを含む数多くの分野で、数千人の従業員が実践的で最先端のスキルを習得できるようサポートすることを目的に、社内で技術教育イニシアチブを立ち上げたのだ。
金融サービス業界は現在、急速かつ根本的な変革期を迎えており、多くの企業が新興テクノロジーの急速な発展に合わせてサービス内容を変化させている。要するに、金融に特化した本格的なハイテク企業になりつつあるのだ。私たちのクライアントのアプローチは、このトレンドに遅れをとらないだけでなく、他の企業よりも優れた(スマートな)成果を達成することを可能にした。彼らは、このような重要な新興分野に対応するため、自社の人材に多大な投資を行っており、その結果、FinTechのイノベーションと専門知識の最前線に立っている。
このプログラムを成功させるために、当社のクライアントとそのチームは、開発者がセキュアコーディングに完全に精通し、サイバーセキュリティに対する高い意識を持つようにする必要があると考えました。セキュリティ意識向上マネージャーは、チームを積極的に関与させ、最初からセキュリティに興奮させるよう努めた。
課題
当社のクライアントのセキュリティ・アウェアネス・マネージャーは、セキュリティ業界に長く在籍しているため、大小さまざまな企業によるオンライン・アプリケーションの爆発的な普及や、デジタルに特化したチームの急増を最前列で見てきた。彼は、このような超拡大に伴い、専門知識のサイロ化が避けられなくなることを目の当たりにしており、結局のところ、これは多くのセキュリティ・チームと開発チームの問題になっている:「オンライン導入の初期段階では、開発者はセキュリティについて考え、それをソフトウェア開発に適用していました。しかし、ますますサイロ化した環境では、あるチームが例えばオペレーティング・システムに取り組み、それがセキュリティ・チームに送られて分析される。セキュリティは必然的に確保されますが、発見と知識はブラックホールに消えてしまい、何度も繰り返されるだけです」と彼は言う。
彼は、自身の職務で頻繁に目にするセキュリティの問題について語る際、「人々の課題」に言及した:
ソフトウェア・エンジニアは、機能を構築するために給料をもらっているのであり、セキュリティはアジャイル開発の大きな妨げになると考えられる。彼らは自分たちの優先事項で忙しく、セキュリティの側面を他人の仕事と見なすことが多い。最も極端な例では、「まだ何も起こっていない。デジタル化が進む中で、このような態度は改めなければならない。厄介者扱いされるのではなく、ソフトウェア・セキュリティの責任を分担することの重要性を強く訴える必要がある。
私たちのデジタルライフを支える開発への依存度が高まる中、彼は壁に書かれた文字を見ていた。社会として、私たちは善人にとってますます不公平な競争の場で、ハッカーの格好のカモになっている。開発者は、セキュリティに真剣に取り組み、強い関心を持ち、彼の組織(そして実際、あらゆる真面目な技術系企業)において防衛の第一線になる必要があった。
そこで彼は、従来のトレーニングを覆すことに着手した。
実施方法
セキュリティ・アウェアネス・マネージャーは、ソフトウェア品質に新たな基準を設けるという、クライアントの全体的な理念を推進した。具体的には、ソフトウェアに内在するセキュリティのレベルは、その全体的な品質と製品の実行可能性を示すものであるという考え方です。現状では、セキュリティはほとんどの場合、品質の尺度とは密接に結びついておらず、ソフトウェアを評価する際に全体的なUI、スピード、サービス性が考慮されるのと同じようには考えられていません。
「セキュリティは、高いソフトウェア品質にとって譲れない要件になるはずです。「それは信頼性とも関連し、ほとんどの企業、特に急速に変化し、デジタル化するビジネスモデルを持つ企業にとっては大きな関心事である。
コミットされたコードの脆弱性を修正するコストは、最初からセキュアに書かれたコードに比べ、最大で30倍も高くつくため、開発チームに実行可能なセキュリティ文化を「焼き付ける」ことが重要な目的になっている。結局のところ、スキャン・ツールでは検出できない脆弱性があり、それに対抗するための最も効率的な解決策は、セキュリティ意識の高い開発チームなのである。
セキュリティ意識向上マネージャーは、他の形式のトレーニングに関する自身の経験について詳しく説明した:開発者が、大量の理論に基づいた作業を通じてセキュリティについて学ぶか、あるいはもっと悪いことに、頻繁に行われない "チェックボックスにチェックを入れて次に進む "コンプライアンス・トレーニングを受けるしかない場合、永続的な影響を与えるのに十分な実践的な学習や時間を費やすことはできません。私は、より効果的なソリューションを適用することで、この状況を変えようと決意しました。
高いエンゲージメントのメリット
経験豊富なセキュリティ・アウェアネス・マネージャーとそのチームの助言の下、当社のクライアントは、Secure Code Warrior プラットフォームが不可欠な部分である特注の認証プログラムを導入した。
より効果的で魅力的な開発者トレーニング・ソリューションの調査により、同社はゲーミフィケーションをいち早く採用し、独自の体系的で本格的なカリキュラムでその効力と可能性を最大限に引き出すことに成功した。
「エンゲージメントの高いトレーニングを企業文化の一部とし、生徒がさらなる学習のために戻ってくるようにすることが重要でした。このシステムは、知識、スキル、そしてセキュリティに対する価値観を構築するための意図的なアプローチであり、最終的には、彼らが毎日使用する実際のソースコードを扱うことになります。
業界標準のセキュリティ・ベスト・プラクティスと社内ガイドラインの両方をカバーする総合的なソリューションであることを保証することで、クライアントはトレーニングを迅速に実施し、組織内のソフトウェア・セキュリティにプラスの影響を与えることができました。
結果
当社のクライアントの認定プログラムは、常に進化し続けるトレーニング形式で成功を収めており、社内の技術教育施設のような先進的な取り組みに最適です。このように楽しく、インタラクティブで、インセンティブを与える方法で展開される詳細なコースは、すべての受講者が知識を定着させる最良の機会を得るとともに、セキュリティ優先の文化と考え方を真に身につけるためのサポートを確実にします。ゲーミフィケーションによって学習が容易になったことは確かだが、プログラムの核となる実用性は変わらない。開発者がアプリケーションの高リスク脆弱性を特定し、それを阻止するために必要なスキルを身につけることである。
重要なのは、トレーニングは強制ではなく、開発者側の動機付けが必要だったということだ。これがインセンティブや報酬の提供によってサポートされたことは間違いないが、より広いチームによるプログラムの採用は、プロセスに対するチームの支持と承認を広げた結果であった。
このプログラムは、重要なコンピテンシーを継続的に開発するだけでなく、開発チームとAppSecチームの間の関係ギャップを埋めるのにも役立つ。
このプログラムは、コンプライアンス上のチェックボックスとは一線を画し、大切なスタッフとそのキャリアを継続的にサポートし、地球上で最も成長率の高い業界の1つであるサイバーセキュリティ業界において、測定可能なスキルアップを提供する基礎となっている。このようなトレーニング・プログラムこそが、ソフトウェア・セキュリティを最初から向上させるベンチマークとなるのである。
速報
- 認定資格を取得し、インストラクターになることに興味を示した受講生からは、かつてないほどの反響があった。このような地道な伝道活動は、口コミによる支持、受講、そしてセキュリティ意識全体を広める強力な要因となっている。
- 当社のクライアントは、社内の2500人以上の開発者にこのプログラムを展開中で、すでに90%以上がこのシステムで活動している。
- このトレーニングは、スタッフの総合的なキャリア開発を支援し、変化し続けるテクノロジー空間でスキルを活用するために必要な知識を確実に身につけるために活用されている。
成功の秘訣
→ 研修の利点、展開の意図、予測される成果について、時間をかけて説明する。
主要な利害関係者、参加者、チームリーダーに説明する。最初からこのような関係者が含まれていれば、プログラ ムが成長するにつれて、重要な分野での支援を得やすくなります、
プログラムが成長するにつれ、重要な分野での支援を得やすくなる。
→ スプリントではなくマラソンである。
どんなトレーニングプログラムも、業界や組織のニーズの変化に合わせて成長し、適応していかなければならない。初日から定石通りである必要はない。
→ 楽しくする!トレーニングは退屈である必要はありません。
Warriorのようなゲーム化されたプラットフォームは、このような重要なタスクを思い出に残るイベントに変える絶好の機会です。
賞品や賞状、テーマまで盛り込めば、高いエンゲージメントを得ることができます、
賞品、賞状、テーマなど、可能性は無限です。