IAGグループはアジア太平洋地域の多くの主要保険会社の黒幕的存在であり、年間約114億豪ドルの保険料を数百万の顧客に提供している。ビアンカ・ウォースはIAGグループの企業セキュリティ教育・啓発マネージャーである。彼女は開発チーム内部に厳格なセキュリティ意識と実践が必要であることを強く認識し、チームが重要なセキュアコーディング技術を学べる真に革新的な最適な環境の構築に着手した。
入力:パスワードゲーム
挑戦
開発者は往々にして時間が限られており、複数の成果物やプロジェクトが進行中です。しかし、最新のセキュリティベストプラクティスを維持することは、あらゆる組織にとって極めて重要です。ましてや数百万件もの機密顧客データを保持し、ハッキングから守る組織にとってはなおさらです。ビアンカと彼女のチームは、サイバーセキュリティ対策強化の道筋において明確な目標を設定しました。彼らは、INIAGが開発するアプリケーションの攻撃対象領域を最小化することが最優先課題であると判断し、開発者に対して重要かつ高リスクな脆弱性を識別・修正する教育を通じてこれを実現します。確かに長時間のセキュアコーディング研修は存在しますが、それらは労力がかかり、退屈であり、納期が厳しい開発プロジェクトから重要な従業員を離脱させることで、企業全体に負担をかける可能性があります。開発チームのスキルを迅速に向上させつつ、業務量や運営への影響を最小限に抑える必要性が明らかでした。さらに、オーストラリアとニュージーランドの開発者が必ずしも同一のシステムを開発しているわけではないため、これは容易なことではありません。
今年、私はソースコードを変更し、SQLインジェクションの脆弱性を削除しました。彼らがこの点を認識したため、私はその功績を『暗号ゲーム』に帰しています。安全なコーディングを最優先に置くだけでも有益です。競争は人々が最善を尽くすよう促す良い方法です… 現実を直視しましょう、セキュリティは誰もが最も楽しい話題ではないのですから、これは人々を巻き込む良い方法なのです。」R 、IAG開発者
実施状況
ビアンカはゲーミフィケーションを活用した研修体験の導入戦略を策定し、チームおよびセキュリティコード・ウォリアーズと連携して、社内開発者のスキル向上を目的としたコンテストと研修を実施した。このため、健全なコミュニケーション戦略を構築し、従業員が新たなプラットフォームを採用しその可能性を最大限に引き出す際に持つ、多様な動機や個性を考慮する必要があった:
「私たちはコミュニケーション計画を設計しました。これには、従業員や主要な利害関係者に伝えるべき要点、重要な情報、そして彼らに提供するインセンティブについて、どのように伝えるかが含まれています。多くの人々はゲーミフィケーション体験を本当に好みます。これは彼らの個性、動機、そして彼らを駆り立てる原動力に依存します。だからこそ、私たちは人々に全く異なる動機を提供しようと努めているのです。ある人々にとっては賞品が魅力的であり、別の人々にとっては達成感そのものが十分なのです」と彼女は語った。
ビアンカとIAGはSecure Code Warriorのゲーミフィケーション学習プラットフォームを専門的に披露し、彼らの競技会を「プログラミングゲーム」と称される楽しい競争体験へと変貌させた。スタッフは中世をテーマにしたハウス(ブランドプレイヤーグッズ付き)に配置され、文字通りHBO同名ドラマさながらの戦いを繰り広げた。
今回の選手権は国際的な舞台にまで発展し、まもなくオーストラリア対ニュージーランドの試合が開催される。これによりIAGは両国の主要な安全支援者を特定し、チームが共同でスキル向上を図る機会を得た。
結果
実際、『コードゲーム』は専門的なトレーニングプログラムである。インタラクティブな趣味のトーナメント形式で提供され、スタッフの多様な関与を維持しつつ、この演習の中核的な実用性は依然として変わらない:開発者に、IAGが開発したアプリケーション内の高リスク脆弱性を特定し阻止するために必要なスキルを提供することである。
開発者とセキュリティチームの両方がセキュリティを最優先に考える姿勢で業務に取り組み、最初から準備を整えることで、脆弱性を特定するだけでなく修正も可能になる。IAGは、これにより高コストなペネトレーションテスト活動が減少し、テストを実施するチームの負担が軽減されると予測している。
この極めて重要な能力の継続的な発展に加え、Game of Codesは関係構築にも貢献し、参加チーム間に友好的な感情と健全な競争心を醸成すると同時に、スコアリング大会の環境において個人が自身の安全なコーディング能力に自信を持つよう支援します。
ビアンカは、内部でのこの計画への支持が非常に大きく、行政部門からも積極的に歓迎されていると述べた。これにより、この計画の推進と組織内部の安全の擁護に熱心な個人が参加できる大使計画も実現した:
「一部の開発者にとって、これは良い露出機会であり、スキルを向上させる絶好の機会でもあります。彼らが自身の業務においてもこの経験から恩恵を受けていることは、非常に重要です。」
Game of Codes は「単なるゲーム」でもなければ、部門マネージャーがコンプライアンス研修を完了するためのより楽しい方法に過ぎません。これは高い定着率と魅力的なソリューションを提供し、セキュリティ初心者を迅速にセキュリティ擁護者に変えることで、大規模な脆弱性のリスクを最小限に抑える上で極めて重要です。
そしてビアンカ本人からの究極のアドバイス:
「もしあなたが何かプログラムをリリースして、人々がそれだけを使うことを期待するなら、それはうまくいきません。その周りに計画を設計し、そこで行動変容を促し、動機づけられるようにする必要があります。私たちが構築したのは、本質的に安全性を重視した開発者向け変更管理計画です。」
要点
- 経営幹部
メリットを実感
- 積極的な
セキュリティ文化を構築し
セキュリティ文化を構築し
- 開発チーム
スキルアップして従事
- アンバサダープログラムの紹介
アンバサダープログラム
Game of Codes のトレーニングコースを修了した後、私はセキュリティへの関心がさらに高まり、自動化テストを作成する際にもセキュリティを考慮するようになりました。私はアジャイルチームの上級テスターとして、これらのトレーニングコースを通じてセキュリティテストの知識をさらに学び、専門分野として追求する可能性を感じています。A 、IAG 上級テスター
事実概要
- ゲーミフィケーション学習に加え、IAGは開発者採用におけるスキルテストツールとしてSecure Code Warriorを活用している。
- 彼らは現在、この計画を開発チームの100%に拡大しており、そのうち55%が既にシステムで活動中です。
- 彼らは一連の重要な内部指標を策定し、それによって計画が一定期間においてリスクを最小限に抑え、コスト削減を達成する成功度合いを測定できるようにした。
%20(1).avif)