なぜゲーミフィケーションがソフトウェアの安全性を高める鍵なのか
私自身のソフトウェア開発とセキュリティのキャリアにおいて、アプリセキュリティマネージャー、最高情報セキュリティ責任者、最高情報責任者、サイバーセキュリティ専門家——私は彼らの多くと対話し、彼らは世界中の様々な企業で働いています。
この絶えず変化するデジタル世界において、彼らの置かれた状況がどれほど異なっていようと、チームの経験がどれほど豊富であろうと、あるいはどれほどの時間を経ていようと、一つだけ変わらない問題がある。それは、開発チームがセキュリティ問題に積極的に関与することはほとんどないということだ。セキュリティは依然としてタブーであり、チーム間の対立の根源であり、業界の裏側における徹底的な苦痛なのである。
しかし、ソフトウェアの安全性は私たちの全体的な考え方にとってあまりにも重要であり、このままの道を進み続けることはできません。私たちは対話の仕方を変え、安全性を各開発者の仕事と生活に不可欠な要素とするよう努めなければなりません。これを実現する最良の方法の一つは、ゲーミフィケーションなどを通じて開発者に安全面での権限を与え、彼らと対話することだと考えています。
現在の状況
開発者が大学を卒業する時点で、安全なコードを実装する実践的な知識はほとんど身についていません。彼らが就く職場では、セキュリティ研修が優先事項とされることは稀です(仮に実施されても、それは通常、退屈で誰も安全なコーディングに関心を持たない、健康と安全に関する義務的なコンプライアンス動画の一部として扱われます)。通常、彼らがセキュリティと初めて向き合うのは、監査やテストのバグ報告が突然リリースを中断させ、即座に創造的思考の最優先事項となる瞬間だ。彼らはセキュリティ報告を担当する者と対立する立場に立たされ、心の中で「セキュリティ」は「批判」と同義語となる。ははは。
正直なところ、ソフトウェアセキュリティに対するこうした否定的な見方がこれほど広まっているのは本当に残念だ。何と言っても、私のキャリアの中で最も素晴らしい思い出はソフトウェアセキュリティの学習に関連している。初期のハッカー時代は会議に参加し続けていた。そこでは仲間と腕試しができるだけでなく(正直なところ、少し自慢もできた)、私と同じようにソフトウェアを破壊するのが好きな仲間と出会い、楽しく過ごせたのだ。
BruCon、DefCon、BlackHat... こうしたイベントは、私のような者たちに、友好的な競技で自らのスキルを発揮する機会を与えてくれる。私は決してこうした反社会的活動への参加を認めたことはないが、中には他の参加者の携帯電話に侵入し、その情報をデモ画面に表示して皆に見せることで、自らのハッキング能力を誇示する者さえいる。それは一種のゲームとなり、欠陥を発見し——悪用し、修正することで——ソフトウェアを改善する手段となった。数年前、私は中東の数百人の子供たちと直接対面し、サイバーセキュリティを教える機会に恵まれました。生徒の中に8歳の少女がいたことを今でも覚えています。彼女はゲームをしながらパスワードのブルートフォース攻撃やBase64エンコーディングを学んでいたのです。
ゲーミフィケーションはプログラミングスキルの指導にも活用されている。世界中の教育機関がこの手法を用いて幼い子供から高校生までプログラミングを教えている。今では4歳の子供がCodeCampのようなイベントに参加することも珍しくなく、Pythonやその他の言語でプログラミングを学べる優れたオンラインプログラムも多数存在する。私は4歳の娘に、画面のない魔法のようなコーディングツール「クベト」をプレゼントしたほどだ。
しかし、こうした楽しみや進歩があるにもかかわらず、依然としてギャップは存在します。ゲーム化を活用して開発者に安全なコードの書き方を訓練する可能性について、誰も考えたことがなかったのです。
ええと…ほとんど誰もいません。数年前、私たちは再びセキュリティへの情熱を呼び起こし、開発者を本当に巻き込んでゲームを始めさせる必要があると気づきました。
ゲーミフィケーション:シンプルな前進方向。
私の心の奥底には、開発者のセキュリティ知識を高め、強化したいという強い思いがあります。まさにこの情熱が、Secure Code Warrior立ち上げる原動力となりました。ソフトウェアのセキュリティは非常に重要であり、そして確かにワクワクするものです。
私は孤独ではない。
ゲーミフィケーションは、最も平凡なタスクでさえもより面白くし、人々が十分な関与を維持し、ゲームを続け、勝利し、進歩したいと思わせる——ポケモンが歩んできた道を見ればわかる!最も怠惰な人々でさえソファから離れ、屋外で架空の生物を探しに行かせたり、FitBitが歩数目標を達成することを多くの人々の日々の目標にしたりするのだ... これらの目標が達成されなかった場合、連勝記録が途絶えた場合、バッジを獲得できなかった場合、非常に現実的な失望感が生まれます。
したがって、セキュリティ研修に戻ります。私たちは多くの顧客に対して、ゲーミフィケーションこそが組織内のセキュリティ文化を真に変革し、アプリケーションセキュリティと開発チームの間で橋渡しを行い、全体としてより高い基準のソフトウェア構築を支援する鍵であることを実証してきました。
現在、安全性は開発者の最優先課題ではない。トレーニング方法に友好性、競争心、没入感を加えることで、開発者は単に「遊ぶ」だけでなく、より多くのポイントを獲得し、ハイスコアを更新し、精度を高め、チームメイトに挑戦するために繰り返し参加するよう促される。
私たちはすでに、成功するトレーニングとは次のようなものであることを知っています:
- 開発者は実際のコードと自身の言語/フレームワークを使用して作業できる
- チャレンジは短く、すべての一般的なセキュリティ脆弱性を網羅している
- 課題は絶えず拡大・更新されるため、開発者は時間の経過とともにスキルを継続的に磨くことができる。
- 課題の複雑度はそれぞれ異なるため、ベテラン開発者から経験の浅い開発者までが参加する。
- 開発者とそのマネージャーは、進捗状況を確認できます。これには、彼らがどの課題を完了したか、彼らの長所と短所、トレーニングに費やした時間、および全体的な正確性が含まれます。
当社の主要顧客の一社がゲーミフィケーションプラットフォームを導入した際、その真の魅力を発揮しました。開発者にはテーマに沿ったチーム装備を提供し、ゲーム勝者には驚異的な賞品を贈呈。彼らのトーナメントはまさに記念すべき一日となりました。その後、国際大会を開催し、今日に至るまでチーム全体が厳しいトレーニングを続けています。
あなた自身のソフトウェア革命はここから始まります。オーストラリアの銀行業界は、不良コード対策としてゲーミフィケーション研修を導入する先駆者であり、従来の(あるいは退屈な)研修を覆す真に革新的な手法を採用しています——当社の顧客が彼らに何をしたか、次のレベルのトーナメントをご覧ください。準備はできていますか?私たちと共にチームのレベルを上げる準備は?
私たちは対話の方法を変え、セキュリティをすべての開発者の仕事と生活に不可欠な要素とするよう努めなければなりません。これを実現する最良の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティ面で力を与え、彼らと対話することだと考えます。
私たちは対話の方法を変え、セキュリティをすべての開発者の仕事と生活に不可欠な要素とするよう努めなければなりません。これを実現する最良の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティ面で力を与え、彼らと対話することだと考えます。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
私自身のソフトウェア開発とセキュリティのキャリアにおいて、アプリセキュリティマネージャー、最高情報セキュリティ責任者、最高情報責任者、サイバーセキュリティ専門家——私は彼らの多くと対話し、彼らは世界中の様々な企業で働いています。
この絶えず変化するデジタル世界において、彼らの置かれた状況がどれほど異なっていようと、チームの経験がどれほど豊富であろうと、あるいはどれほどの時間を経ていようと、一つだけ変わらない問題がある。それは、開発チームがセキュリティ問題に積極的に関与することはほとんどないということだ。セキュリティは依然としてタブーであり、チーム間の対立の根源であり、業界の裏側における徹底的な苦痛なのである。
しかし、ソフトウェアの安全性は私たちの全体的な考え方にとってあまりにも重要であり、このままの道を進み続けることはできません。私たちは対話の仕方を変え、安全性を各開発者の仕事と生活に不可欠な要素とするよう努めなければなりません。これを実現する最良の方法の一つは、ゲーミフィケーションなどを通じて開発者に安全面での権限を与え、彼らと対話することだと考えています。
現在の状況
開発者が大学を卒業する時点で、安全なコードを実装する実践的な知識はほとんど身についていません。彼らが就く職場では、セキュリティ研修が優先事項とされることは稀です(仮に実施されても、それは通常、退屈で誰も安全なコーディングに関心を持たない、健康と安全に関する義務的なコンプライアンス動画の一部として扱われます)。通常、彼らがセキュリティと初めて向き合うのは、監査やテストのバグ報告が突然リリースを中断させ、即座に創造的思考の最優先事項となる瞬間だ。彼らはセキュリティ報告を担当する者と対立する立場に立たされ、心の中で「セキュリティ」は「批判」と同義語となる。ははは。
正直なところ、ソフトウェアセキュリティに対するこうした否定的な見方がこれほど広まっているのは本当に残念だ。何と言っても、私のキャリアの中で最も素晴らしい思い出はソフトウェアセキュリティの学習に関連している。初期のハッカー時代は会議に参加し続けていた。そこでは仲間と腕試しができるだけでなく(正直なところ、少し自慢もできた)、私と同じようにソフトウェアを破壊するのが好きな仲間と出会い、楽しく過ごせたのだ。
BruCon、DefCon、BlackHat... こうしたイベントは、私のような者たちに、友好的な競技で自らのスキルを発揮する機会を与えてくれる。私は決してこうした反社会的活動への参加を認めたことはないが、中には他の参加者の携帯電話に侵入し、その情報をデモ画面に表示して皆に見せることで、自らのハッキング能力を誇示する者さえいる。それは一種のゲームとなり、欠陥を発見し——悪用し、修正することで——ソフトウェアを改善する手段となった。数年前、私は中東の数百人の子供たちと直接対面し、サイバーセキュリティを教える機会に恵まれました。生徒の中に8歳の少女がいたことを今でも覚えています。彼女はゲームをしながらパスワードのブルートフォース攻撃やBase64エンコーディングを学んでいたのです。
ゲーミフィケーションはプログラミングスキルの指導にも活用されている。世界中の教育機関がこの手法を用いて幼い子供から高校生までプログラミングを教えている。今では4歳の子供がCodeCampのようなイベントに参加することも珍しくなく、Pythonやその他の言語でプログラミングを学べる優れたオンラインプログラムも多数存在する。私は4歳の娘に、画面のない魔法のようなコーディングツール「クベト」をプレゼントしたほどだ。
しかし、こうした楽しみや進歩があるにもかかわらず、依然としてギャップは存在します。ゲーム化を活用して開発者に安全なコードの書き方を訓練する可能性について、誰も考えたことがなかったのです。
ええと…ほとんど誰もいません。数年前、私たちは再びセキュリティへの情熱を呼び起こし、開発者を本当に巻き込んでゲームを始めさせる必要があると気づきました。
ゲーミフィケーション:シンプルな前進方向。
私の心の奥底には、開発者のセキュリティ知識を高め、強化したいという強い思いがあります。まさにこの情熱が、Secure Code Warrior立ち上げる原動力となりました。ソフトウェアのセキュリティは非常に重要であり、そして確かにワクワクするものです。
私は孤独ではない。
ゲーミフィケーションは、最も平凡なタスクでさえもより面白くし、人々が十分な関与を維持し、ゲームを続け、勝利し、進歩したいと思わせる——ポケモンが歩んできた道を見ればわかる!最も怠惰な人々でさえソファから離れ、屋外で架空の生物を探しに行かせたり、FitBitが歩数目標を達成することを多くの人々の日々の目標にしたりするのだ... これらの目標が達成されなかった場合、連勝記録が途絶えた場合、バッジを獲得できなかった場合、非常に現実的な失望感が生まれます。
したがって、セキュリティ研修に戻ります。私たちは多くの顧客に対して、ゲーミフィケーションこそが組織内のセキュリティ文化を真に変革し、アプリケーションセキュリティと開発チームの間で橋渡しを行い、全体としてより高い基準のソフトウェア構築を支援する鍵であることを実証してきました。
現在、安全性は開発者の最優先課題ではない。トレーニング方法に友好性、競争心、没入感を加えることで、開発者は単に「遊ぶ」だけでなく、より多くのポイントを獲得し、ハイスコアを更新し、精度を高め、チームメイトに挑戦するために繰り返し参加するよう促される。
私たちはすでに、成功するトレーニングとは次のようなものであることを知っています:
- 開発者は実際のコードと自身の言語/フレームワークを使用して作業できる
- チャレンジは短く、すべての一般的なセキュリティ脆弱性を網羅している
- 課題は絶えず拡大・更新されるため、開発者は時間の経過とともにスキルを継続的に磨くことができる。
- 課題の複雑度はそれぞれ異なるため、ベテラン開発者から経験の浅い開発者までが参加する。
- 開発者とそのマネージャーは、進捗状況を確認できます。これには、彼らがどの課題を完了したか、彼らの長所と短所、トレーニングに費やした時間、および全体的な正確性が含まれます。
当社の主要顧客の一社がゲーミフィケーションプラットフォームを導入した際、その真の魅力を発揮しました。開発者にはテーマに沿ったチーム装備を提供し、ゲーム勝者には驚異的な賞品を贈呈。彼らのトーナメントはまさに記念すべき一日となりました。その後、国際大会を開催し、今日に至るまでチーム全体が厳しいトレーニングを続けています。
あなた自身のソフトウェア革命はここから始まります。オーストラリアの銀行業界は、不良コード対策としてゲーミフィケーション研修を導入する先駆者であり、従来の(あるいは退屈な)研修を覆す真に革新的な手法を採用しています——当社の顧客が彼らに何をしたか、次のレベルのトーナメントをご覧ください。準備はできていますか?私たちと共にチームのレベルを上げる準備は?
私たちは対話の方法を変え、セキュリティをすべての開発者の仕事と生活に不可欠な要素とするよう努めなければなりません。これを実現する最良の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティ面で力を与え、彼らと対話することだと考えます。
私自身のソフトウェア開発とセキュリティのキャリアにおいて、アプリセキュリティマネージャー、最高情報セキュリティ責任者、最高情報責任者、サイバーセキュリティ専門家——私は彼らの多くと対話し、彼らは世界中の様々な企業で働いています。
この絶えず変化するデジタル世界において、彼らの置かれた状況がどれほど異なっていようと、チームの経験がどれほど豊富であろうと、あるいはどれほどの時間を経ていようと、一つだけ変わらない問題がある。それは、開発チームがセキュリティ問題に積極的に関与することはほとんどないということだ。セキュリティは依然としてタブーであり、チーム間の対立の根源であり、業界の裏側における徹底的な苦痛なのである。
しかし、ソフトウェアの安全性は私たちの全体的な考え方にとってあまりにも重要であり、このままの道を進み続けることはできません。私たちは対話の仕方を変え、安全性を各開発者の仕事と生活に不可欠な要素とするよう努めなければなりません。これを実現する最良の方法の一つは、ゲーミフィケーションなどを通じて開発者に安全面での権限を与え、彼らと対話することだと考えています。
現在の状況
開発者が大学を卒業する時点で、安全なコードを実装する実践的な知識はほとんど身についていません。彼らが就く職場では、セキュリティ研修が優先事項とされることは稀です(仮に実施されても、それは通常、退屈で誰も安全なコーディングに関心を持たない、健康と安全に関する義務的なコンプライアンス動画の一部として扱われます)。通常、彼らがセキュリティと初めて向き合うのは、監査やテストのバグ報告が突然リリースを中断させ、即座に創造的思考の最優先事項となる瞬間だ。彼らはセキュリティ報告を担当する者と対立する立場に立たされ、心の中で「セキュリティ」は「批判」と同義語となる。ははは。
正直なところ、ソフトウェアセキュリティに対するこうした否定的な見方がこれほど広まっているのは本当に残念だ。何と言っても、私のキャリアの中で最も素晴らしい思い出はソフトウェアセキュリティの学習に関連している。初期のハッカー時代は会議に参加し続けていた。そこでは仲間と腕試しができるだけでなく(正直なところ、少し自慢もできた)、私と同じようにソフトウェアを破壊するのが好きな仲間と出会い、楽しく過ごせたのだ。
BruCon、DefCon、BlackHat... こうしたイベントは、私のような者たちに、友好的な競技で自らのスキルを発揮する機会を与えてくれる。私は決してこうした反社会的活動への参加を認めたことはないが、中には他の参加者の携帯電話に侵入し、その情報をデモ画面に表示して皆に見せることで、自らのハッキング能力を誇示する者さえいる。それは一種のゲームとなり、欠陥を発見し——悪用し、修正することで——ソフトウェアを改善する手段となった。数年前、私は中東の数百人の子供たちと直接対面し、サイバーセキュリティを教える機会に恵まれました。生徒の中に8歳の少女がいたことを今でも覚えています。彼女はゲームをしながらパスワードのブルートフォース攻撃やBase64エンコーディングを学んでいたのです。
ゲーミフィケーションはプログラミングスキルの指導にも活用されている。世界中の教育機関がこの手法を用いて幼い子供から高校生までプログラミングを教えている。今では4歳の子供がCodeCampのようなイベントに参加することも珍しくなく、Pythonやその他の言語でプログラミングを学べる優れたオンラインプログラムも多数存在する。私は4歳の娘に、画面のない魔法のようなコーディングツール「クベト」をプレゼントしたほどだ。
しかし、こうした楽しみや進歩があるにもかかわらず、依然としてギャップは存在します。ゲーム化を活用して開発者に安全なコードの書き方を訓練する可能性について、誰も考えたことがなかったのです。
ええと…ほとんど誰もいません。数年前、私たちは再びセキュリティへの情熱を呼び起こし、開発者を本当に巻き込んでゲームを始めさせる必要があると気づきました。
ゲーミフィケーション:シンプルな前進方向。
私の心の奥底には、開発者のセキュリティ知識を高め、強化したいという強い思いがあります。まさにこの情熱が、Secure Code Warrior立ち上げる原動力となりました。ソフトウェアのセキュリティは非常に重要であり、そして確かにワクワクするものです。
私は孤独ではない。
ゲーミフィケーションは、最も平凡なタスクでさえもより面白くし、人々が十分な関与を維持し、ゲームを続け、勝利し、進歩したいと思わせる——ポケモンが歩んできた道を見ればわかる!最も怠惰な人々でさえソファから離れ、屋外で架空の生物を探しに行かせたり、FitBitが歩数目標を達成することを多くの人々の日々の目標にしたりするのだ... これらの目標が達成されなかった場合、連勝記録が途絶えた場合、バッジを獲得できなかった場合、非常に現実的な失望感が生まれます。
したがって、セキュリティ研修に戻ります。私たちは多くの顧客に対して、ゲーミフィケーションこそが組織内のセキュリティ文化を真に変革し、アプリケーションセキュリティと開発チームの間で橋渡しを行い、全体としてより高い基準のソフトウェア構築を支援する鍵であることを実証してきました。
現在、安全性は開発者の最優先課題ではない。トレーニング方法に友好性、競争心、没入感を加えることで、開発者は単に「遊ぶ」だけでなく、より多くのポイントを獲得し、ハイスコアを更新し、精度を高め、チームメイトに挑戦するために繰り返し参加するよう促される。
私たちはすでに、成功するトレーニングとは次のようなものであることを知っています:
- 開発者は実際のコードと自身の言語/フレームワークを使用して作業できる
- チャレンジは短く、すべての一般的なセキュリティ脆弱性を網羅している
- 課題は絶えず拡大・更新されるため、開発者は時間の経過とともにスキルを継続的に磨くことができる。
- 課題の複雑度はそれぞれ異なるため、ベテラン開発者から経験の浅い開発者までが参加する。
- 開発者とそのマネージャーは、進捗状況を確認できます。これには、彼らがどの課題を完了したか、彼らの長所と短所、トレーニングに費やした時間、および全体的な正確性が含まれます。
当社の主要顧客の一社がゲーミフィケーションプラットフォームを導入した際、その真の魅力を発揮しました。開発者にはテーマに沿ったチーム装備を提供し、ゲーム勝者には驚異的な賞品を贈呈。彼らのトーナメントはまさに記念すべき一日となりました。その後、国際大会を開催し、今日に至るまでチーム全体が厳しいトレーニングを続けています。
あなた自身のソフトウェア革命はここから始まります。オーストラリアの銀行業界は、不良コード対策としてゲーミフィケーション研修を導入する先駆者であり、従来の(あるいは退屈な)研修を覆す真に革新的な手法を採用しています——当社の顧客が彼らに何をしたか、次のレベルのトーナメントをご覧ください。準備はできていますか?私たちと共にチームのレベルを上げる準備は?
私たちは対話の方法を変え、セキュリティをすべての開発者の仕事と生活に不可欠な要素とするよう努めなければなりません。これを実現する最良の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティ面で力を与え、彼らと対話することだと考えます。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を醸成するお手伝いをします。AppSecマネージャー、開発者、最高情報セキュリティ責任者(CISO)、あるいはセキュリティに関わるあらゆる方々の組織において、不安全なコードに関連するリスクの低減を支援します。
レポートを確認するデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
私自身のソフトウェア開発とセキュリティのキャリアにおいて、アプリセキュリティマネージャー、最高情報セキュリティ責任者、最高情報責任者、サイバーセキュリティ専門家——私は彼らの多くと対話し、彼らは世界中の様々な企業で働いています。
この絶えず変化するデジタル世界において、彼らの置かれた状況がどれほど異なっていようと、チームの経験がどれほど豊富であろうと、あるいはどれほどの時間を経ていようと、一つだけ変わらない問題がある。それは、開発チームがセキュリティ問題に積極的に関与することはほとんどないということだ。セキュリティは依然としてタブーであり、チーム間の対立の根源であり、業界の裏側における徹底的な苦痛なのである。
しかし、ソフトウェアの安全性は私たちの全体的な考え方にとってあまりにも重要であり、このままの道を進み続けることはできません。私たちは対話の仕方を変え、安全性を各開発者の仕事と生活に不可欠な要素とするよう努めなければなりません。これを実現する最良の方法の一つは、ゲーミフィケーションなどを通じて開発者に安全面での権限を与え、彼らと対話することだと考えています。
現在の状況
開発者が大学を卒業する時点で、安全なコードを実装する実践的な知識はほとんど身についていません。彼らが就く職場では、セキュリティ研修が優先事項とされることは稀です(仮に実施されても、それは通常、退屈で誰も安全なコーディングに関心を持たない、健康と安全に関する義務的なコンプライアンス動画の一部として扱われます)。通常、彼らがセキュリティと初めて向き合うのは、監査やテストのバグ報告が突然リリースを中断させ、即座に創造的思考の最優先事項となる瞬間だ。彼らはセキュリティ報告を担当する者と対立する立場に立たされ、心の中で「セキュリティ」は「批判」と同義語となる。ははは。
正直なところ、ソフトウェアセキュリティに対するこうした否定的な見方がこれほど広まっているのは本当に残念だ。何と言っても、私のキャリアの中で最も素晴らしい思い出はソフトウェアセキュリティの学習に関連している。初期のハッカー時代は会議に参加し続けていた。そこでは仲間と腕試しができるだけでなく(正直なところ、少し自慢もできた)、私と同じようにソフトウェアを破壊するのが好きな仲間と出会い、楽しく過ごせたのだ。
BruCon、DefCon、BlackHat... こうしたイベントは、私のような者たちに、友好的な競技で自らのスキルを発揮する機会を与えてくれる。私は決してこうした反社会的活動への参加を認めたことはないが、中には他の参加者の携帯電話に侵入し、その情報をデモ画面に表示して皆に見せることで、自らのハッキング能力を誇示する者さえいる。それは一種のゲームとなり、欠陥を発見し——悪用し、修正することで——ソフトウェアを改善する手段となった。数年前、私は中東の数百人の子供たちと直接対面し、サイバーセキュリティを教える機会に恵まれました。生徒の中に8歳の少女がいたことを今でも覚えています。彼女はゲームをしながらパスワードのブルートフォース攻撃やBase64エンコーディングを学んでいたのです。
ゲーミフィケーションはプログラミングスキルの指導にも活用されている。世界中の教育機関がこの手法を用いて幼い子供から高校生までプログラミングを教えている。今では4歳の子供がCodeCampのようなイベントに参加することも珍しくなく、Pythonやその他の言語でプログラミングを学べる優れたオンラインプログラムも多数存在する。私は4歳の娘に、画面のない魔法のようなコーディングツール「クベト」をプレゼントしたほどだ。
しかし、こうした楽しみや進歩があるにもかかわらず、依然としてギャップは存在します。ゲーム化を活用して開発者に安全なコードの書き方を訓練する可能性について、誰も考えたことがなかったのです。
ええと…ほとんど誰もいません。数年前、私たちは再びセキュリティへの情熱を呼び起こし、開発者を本当に巻き込んでゲームを始めさせる必要があると気づきました。
ゲーミフィケーション:シンプルな前進方向。
私の心の奥底には、開発者のセキュリティ知識を高め、強化したいという強い思いがあります。まさにこの情熱が、Secure Code Warrior立ち上げる原動力となりました。ソフトウェアのセキュリティは非常に重要であり、そして確かにワクワクするものです。
私は孤独ではない。
ゲーミフィケーションは、最も平凡なタスクでさえもより面白くし、人々が十分な関与を維持し、ゲームを続け、勝利し、進歩したいと思わせる——ポケモンが歩んできた道を見ればわかる!最も怠惰な人々でさえソファから離れ、屋外で架空の生物を探しに行かせたり、FitBitが歩数目標を達成することを多くの人々の日々の目標にしたりするのだ... これらの目標が達成されなかった場合、連勝記録が途絶えた場合、バッジを獲得できなかった場合、非常に現実的な失望感が生まれます。
したがって、セキュリティ研修に戻ります。私たちは多くの顧客に対して、ゲーミフィケーションこそが組織内のセキュリティ文化を真に変革し、アプリケーションセキュリティと開発チームの間で橋渡しを行い、全体としてより高い基準のソフトウェア構築を支援する鍵であることを実証してきました。
現在、安全性は開発者の最優先課題ではない。トレーニング方法に友好性、競争心、没入感を加えることで、開発者は単に「遊ぶ」だけでなく、より多くのポイントを獲得し、ハイスコアを更新し、精度を高め、チームメイトに挑戦するために繰り返し参加するよう促される。
私たちはすでに、成功するトレーニングとは次のようなものであることを知っています:
- 開発者は実際のコードと自身の言語/フレームワークを使用して作業できる
- チャレンジは短く、すべての一般的なセキュリティ脆弱性を網羅している
- 課題は絶えず拡大・更新されるため、開発者は時間の経過とともにスキルを継続的に磨くことができる。
- 課題の複雑度はそれぞれ異なるため、ベテラン開発者から経験の浅い開発者までが参加する。
- 開発者とそのマネージャーは、進捗状況を確認できます。これには、彼らがどの課題を完了したか、彼らの長所と短所、トレーニングに費やした時間、および全体的な正確性が含まれます。
当社の主要顧客の一社がゲーミフィケーションプラットフォームを導入した際、その真の魅力を発揮しました。開発者にはテーマに沿ったチーム装備を提供し、ゲーム勝者には驚異的な賞品を贈呈。彼らのトーナメントはまさに記念すべき一日となりました。その後、国際大会を開催し、今日に至るまでチーム全体が厳しいトレーニングを続けています。
あなた自身のソフトウェア革命はここから始まります。オーストラリアの銀行業界は、不良コード対策としてゲーミフィケーション研修を導入する先駆者であり、従来の(あるいは退屈な)研修を覆す真に革新的な手法を採用しています——当社の顧客が彼らに何をしたか、次のレベルのトーナメントをご覧ください。準備はできていますか?私たちと共にチームのレベルを上げる準備は?
私たちは対話の方法を変え、セキュリティをすべての開発者の仕事と生活に不可欠な要素とするよう努めなければなりません。これを実現する最良の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティ面で力を与え、彼らと対話することだと考えます。
%20(1).avif)
.avif)
