ゲーミフィケーションがソフトウェアセキュリティのレベルアップの鍵となる理由
アプリケーションセキュリティマネージャー、CISO、CIO、サイバーセキュリティの専門家など、私自身のソフトウェア開発とセキュリティにおけるキャリアの中で、世界中のあらゆる種類の企業で働いている彼らの多くと話をしてきました。
状況がどれほど異なっていても、チームがどれほど経験を積んでいても、この絶え間なく変化するデジタル世界でどれだけの時間が経過しても、常に変わらない問題が1つあります。それは、開発チームをセキュリティに積極的に関与させることはめったにないということです。セキュリティはいまだに汚い言葉であり、チーム間の対立や業界の裏側の悩みの種となっています。
しかし、ソフトウェアセキュリティは、私たちの一般的な考え方では、この道を歩み続けるにはあまりにも重要です。セキュリティをすべての開発者の仕事に欠くことのできないものにするために、私たちは議論を変えなければなりません。そのための最善の方法の 1 つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
現在の風景
開発者は安全なコードの提供に関する実践的な知識をほとんど持たずに大学を卒業し、セキュリティトレーニングが優先されることはめったにない仕事に従事します(優先される場合、それは通常、健康と安全に関する必須のコンプライアンスビデオの一部であり、非常に退屈で、安全なコーディングに関心を持つ人は誰もいないでしょう)。多くの場合、セキュリティに関する最初の経験は、監査やテストのバグレポートで、将来のリリースが突然停止してしまい、創造力が瞬く間に最優先で中断されてしまいます。彼らはセキュリティ報告の責任者と対立しているため、彼らの心の中では「セキュリティ」は「批判」と同義語になっています。くそったれ。
正直なところ、ソフトウェアセキュリティに対するこのような否定的な認識が広まっているのは本当に残念です。結局のところ、私のキャリアの中で最高の思い出のいくつかは、ソフトウェアセキュリティについて学んだことに関するものです。私はハッキングを始めた初期の頃をカンファレンスに出席して過ごしました。そこでは、自分のスキルを同僚とテストする(そして正直に言うと、少し見せびらかす)だけでなく、私と同じくらいソフトウェアを壊すことを楽しんだ、志を同じくする人々と出会うことができてとても楽しかったです。
BruCon、DefCon、BlackHat... これらのイベントは、私のような人たちが友好的な競争で自分たちのスキルを発揮する機会を与えてくれました。このような反社会的な活動に参加したことは絶対に認めませんが、中には他の参加者の電話に侵入し、プレゼンテーション画面に情報を表示して全員に見せることで、ハッキングの腕前を披露する人もいました。ソフトウェアをより良くするために、こうした欠陥を見つけ、悪用して修正するというのがゲームになったのです。数年前、私は中東の何百人もの子供たちの前に立って、サイバーセキュリティについて教える機会に恵まれました。今でも生徒の中に8歳の女の子がいて、ゲームをしながらパスワードのブルートフォース処理とbase64エンコーディングについて学んでいたことを今でも覚えています。
ゲーミフィケーションはコーディングスキルの指導にも使用されます。世界中の教育機関がこのアプローチを利用して、高校生までの非常に幼い子供たちにコーディングを教えています。今では4歳の子どもたちも、次のようなホリデー・イニシアチブに定期的に参加しています。 コードキャンプ、そして子供たちにPythonや他の言語でのコーディング方法を教える素晴らしいオンラインプログラムがたくさんあります。スクリーンレス・コーディング・ツールという素晴らしいツールも購入しました キュベット、私の4歳の娘のために。
しかし、このような楽しさと進歩にもかかわらず、ギャップがあります。ゲーミフィケーションを活用して開発者に安全なコードを書く方法を教える可能性については誰も考えていませんでした。
まあ... ほとんど誰もいません。数年前、セキュリティを再び刺激的なものにし、開発者が参加してプレイを始めるモチベーションを高める必要があることに気づきました。
ゲーミフィケーション:シンプルな方法。
私の中には、セキュリティに関する知識を開発者に高め、力を与えたいという強い意欲があり、この情熱こそが、Secure Code Warriorを開発するきっかけとなりました。ソフトウェア・セキュリティは非常に重要で、本当にワクワクするものでもあります。
考えているのは私だけではありません。
ゲーミフィケーションは、ありふれたタスクをもっともっと楽しくし、プレイを続け、勝ち、進歩したいと思わせるほど人々を飽きさせません。Pokmon Goのやり方を見てください!最も怠惰な人でさえ、屋外で空想上の生き物を探したり、FitBitが歩数を達成することを多くの人の毎日の目標にしたりしています... これらの目標が達成されず、連勝が終わり、バッジを獲得できなかった場合、非常に失望感が襲います。
さて、セキュリティトレーニングに戻りましょう。私たちは、ゲーミフィケーションが組織のセキュリティ文化を真に変革し、アプリケーションセキュリティチームと開発チーム間の架け橋を築き、一般的に高水準のソフトウェア構築を支援するうえで重要であることを多くのクライアントに証明してきました。
今のところ、セキュリティは開発者の優先事項ではありません。親しみやすく、競争力があり、魅力的な要素をトレーニング方法に加えることで、「プレーする」だけでなく、より多くのポイントを獲得し、ハイスコアを破り、より正確になり、仲間のチームメンバーに挑戦するために戻ってこようというモチベーションを高めることができます。
トレーニングが成功すると次のようになることはすでにわかっています。
- 開発者は実際のコードや独自の言語/フレームワークで作業できます
- 課題は短く、一般的なセキュリティの脆弱性をすべて網羅しています
- チャレンジは常に拡張および更新されるため、開発者は時間をかけてスキルを磨き続けることができます。
- 課題の複雑さはさまざまであるため、上級開発者と経験の浅い開発者の両方にとって魅力的です。
- 開発者とそのマネージャーは、完了した課題、長所と短所、トレーニングに費やした時間、全体的な正確性など、進捗状況を確認できます。
ある大手クライアントは、ゲーム化プラットフォームの真の魅力を披露し、開発者にテーマ別のチームギアを用意し、ゲームの勝者に素晴らしい賞品を提供し、トーナメントを本当に忘れられないものにしました。それ以来、彼らは国際大会を開催してきて、今でもチーム全体が真剣なトレーニング時間を費やしています。
あなた自身のソフトウェア革命はここから始まります。オーストラリアの銀行業界は、従来の(または退屈な)トレーニングをひっくり返す真に革新的なアプローチで、不良コードとの闘いにおいてゲーミフィケーショントレーニングの採用を先導しています。クライアントがそのトレーニングで何をしたかをチェックしてみてください 次のレベルのトーナメント。準備はできていますか? チームをレベルアップ 私たちと一緒に?
私たちは話題を変え、セキュリティをすべての開発者の仕事に欠かせないものにするよう努めなければなりません。そのための最善の方法の 1 つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
私たちは話題を変え、セキュリティをすべての開発者の仕事に欠かせないものにするよう努めなければなりません。そのための最善の方法の 1 つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
アプリケーションセキュリティマネージャー、CISO、CIO、サイバーセキュリティの専門家など、私自身のソフトウェア開発とセキュリティにおけるキャリアの中で、世界中のあらゆる種類の企業で働いている彼らの多くと話をしてきました。
状況がどれほど異なっていても、チームがどれほど経験を積んでいても、この絶え間なく変化するデジタル世界でどれだけの時間が経過しても、常に変わらない問題が1つあります。それは、開発チームをセキュリティに積極的に関与させることはめったにないということです。セキュリティはいまだに汚い言葉であり、チーム間の対立や業界の裏側の悩みの種となっています。
しかし、ソフトウェアセキュリティは、私たちの一般的な考え方では、この道を歩み続けるにはあまりにも重要です。セキュリティをすべての開発者の仕事に欠くことのできないものにするために、私たちは議論を変えなければなりません。そのための最善の方法の 1 つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
現在の風景
開発者は安全なコードの提供に関する実践的な知識をほとんど持たずに大学を卒業し、セキュリティトレーニングが優先されることはめったにない仕事に従事します(優先される場合、それは通常、健康と安全に関する必須のコンプライアンスビデオの一部であり、非常に退屈で、安全なコーディングに関心を持つ人は誰もいないでしょう)。多くの場合、セキュリティに関する最初の経験は、監査やテストのバグレポートで、将来のリリースが突然停止してしまい、創造力が瞬く間に最優先で中断されてしまいます。彼らはセキュリティ報告の責任者と対立しているため、彼らの心の中では「セキュリティ」は「批判」と同義語になっています。くそったれ。
正直なところ、ソフトウェアセキュリティに対するこのような否定的な認識が広まっているのは本当に残念です。結局のところ、私のキャリアの中で最高の思い出のいくつかは、ソフトウェアセキュリティについて学んだことに関するものです。私はハッキングを始めた初期の頃をカンファレンスに出席して過ごしました。そこでは、自分のスキルを同僚とテストする(そして正直に言うと、少し見せびらかす)だけでなく、私と同じくらいソフトウェアを壊すことを楽しんだ、志を同じくする人々と出会うことができてとても楽しかったです。
BruCon、DefCon、BlackHat... これらのイベントは、私のような人たちが友好的な競争で自分たちのスキルを発揮する機会を与えてくれました。このような反社会的な活動に参加したことは絶対に認めませんが、中には他の参加者の電話に侵入し、プレゼンテーション画面に情報を表示して全員に見せることで、ハッキングの腕前を披露する人もいました。ソフトウェアをより良くするために、こうした欠陥を見つけ、悪用して修正するというのがゲームになったのです。数年前、私は中東の何百人もの子供たちの前に立って、サイバーセキュリティについて教える機会に恵まれました。今でも生徒の中に8歳の女の子がいて、ゲームをしながらパスワードのブルートフォース処理とbase64エンコーディングについて学んでいたことを今でも覚えています。
ゲーミフィケーションはコーディングスキルの指導にも使用されます。世界中の教育機関がこのアプローチを利用して、高校生までの非常に幼い子供たちにコーディングを教えています。今では4歳の子どもたちも、次のようなホリデー・イニシアチブに定期的に参加しています。 コードキャンプ、そして子供たちにPythonや他の言語でのコーディング方法を教える素晴らしいオンラインプログラムがたくさんあります。スクリーンレス・コーディング・ツールという素晴らしいツールも購入しました キュベット、私の4歳の娘のために。
しかし、このような楽しさと進歩にもかかわらず、ギャップがあります。ゲーミフィケーションを活用して開発者に安全なコードを書く方法を教える可能性については誰も考えていませんでした。
まあ... ほとんど誰もいません。数年前、セキュリティを再び刺激的なものにし、開発者が参加してプレイを始めるモチベーションを高める必要があることに気づきました。
ゲーミフィケーション:シンプルな方法。
私の中には、セキュリティに関する知識を開発者に高め、力を与えたいという強い意欲があり、この情熱こそが、Secure Code Warriorを開発するきっかけとなりました。ソフトウェア・セキュリティは非常に重要で、本当にワクワクするものでもあります。
考えているのは私だけではありません。
ゲーミフィケーションは、ありふれたタスクをもっともっと楽しくし、プレイを続け、勝ち、進歩したいと思わせるほど人々を飽きさせません。Pokmon Goのやり方を見てください!最も怠惰な人でさえ、屋外で空想上の生き物を探したり、FitBitが歩数を達成することを多くの人の毎日の目標にしたりしています... これらの目標が達成されず、連勝が終わり、バッジを獲得できなかった場合、非常に失望感が襲います。
さて、セキュリティトレーニングに戻りましょう。私たちは、ゲーミフィケーションが組織のセキュリティ文化を真に変革し、アプリケーションセキュリティチームと開発チーム間の架け橋を築き、一般的に高水準のソフトウェア構築を支援するうえで重要であることを多くのクライアントに証明してきました。
今のところ、セキュリティは開発者の優先事項ではありません。親しみやすく、競争力があり、魅力的な要素をトレーニング方法に加えることで、「プレーする」だけでなく、より多くのポイントを獲得し、ハイスコアを破り、より正確になり、仲間のチームメンバーに挑戦するために戻ってこようというモチベーションを高めることができます。
トレーニングが成功すると次のようになることはすでにわかっています。
- 開発者は実際のコードや独自の言語/フレームワークで作業できます
- 課題は短く、一般的なセキュリティの脆弱性をすべて網羅しています
- チャレンジは常に拡張および更新されるため、開発者は時間をかけてスキルを磨き続けることができます。
- 課題の複雑さはさまざまであるため、上級開発者と経験の浅い開発者の両方にとって魅力的です。
- 開発者とそのマネージャーは、完了した課題、長所と短所、トレーニングに費やした時間、全体的な正確性など、進捗状況を確認できます。
ある大手クライアントは、ゲーム化プラットフォームの真の魅力を披露し、開発者にテーマ別のチームギアを用意し、ゲームの勝者に素晴らしい賞品を提供し、トーナメントを本当に忘れられないものにしました。それ以来、彼らは国際大会を開催してきて、今でもチーム全体が真剣なトレーニング時間を費やしています。
あなた自身のソフトウェア革命はここから始まります。オーストラリアの銀行業界は、従来の(または退屈な)トレーニングをひっくり返す真に革新的なアプローチで、不良コードとの闘いにおいてゲーミフィケーショントレーニングの採用を先導しています。クライアントがそのトレーニングで何をしたかをチェックしてみてください 次のレベルのトーナメント。準備はできていますか? チームをレベルアップ 私たちと一緒に?
私たちは話題を変え、セキュリティをすべての開発者の仕事に欠かせないものにするよう努めなければなりません。そのための最善の方法の 1 つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
アプリケーションセキュリティマネージャー、CISO、CIO、サイバーセキュリティの専門家など、私自身のソフトウェア開発とセキュリティにおけるキャリアの中で、世界中のあらゆる種類の企業で働いている彼らの多くと話をしてきました。
状況がどれほど異なっていても、チームがどれほど経験を積んでいても、この絶え間なく変化するデジタル世界でどれだけの時間が経過しても、常に変わらない問題が1つあります。それは、開発チームをセキュリティに積極的に関与させることはめったにないということです。セキュリティはいまだに汚い言葉であり、チーム間の対立や業界の裏側の悩みの種となっています。
しかし、ソフトウェアセキュリティは、私たちの一般的な考え方では、この道を歩み続けるにはあまりにも重要です。セキュリティをすべての開発者の仕事に欠くことのできないものにするために、私たちは議論を変えなければなりません。そのための最善の方法の 1 つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
現在の風景
開発者は安全なコードの提供に関する実践的な知識をほとんど持たずに大学を卒業し、セキュリティトレーニングが優先されることはめったにない仕事に従事します(優先される場合、それは通常、健康と安全に関する必須のコンプライアンスビデオの一部であり、非常に退屈で、安全なコーディングに関心を持つ人は誰もいないでしょう)。多くの場合、セキュリティに関する最初の経験は、監査やテストのバグレポートで、将来のリリースが突然停止してしまい、創造力が瞬く間に最優先で中断されてしまいます。彼らはセキュリティ報告の責任者と対立しているため、彼らの心の中では「セキュリティ」は「批判」と同義語になっています。くそったれ。
正直なところ、ソフトウェアセキュリティに対するこのような否定的な認識が広まっているのは本当に残念です。結局のところ、私のキャリアの中で最高の思い出のいくつかは、ソフトウェアセキュリティについて学んだことに関するものです。私はハッキングを始めた初期の頃をカンファレンスに出席して過ごしました。そこでは、自分のスキルを同僚とテストする(そして正直に言うと、少し見せびらかす)だけでなく、私と同じくらいソフトウェアを壊すことを楽しんだ、志を同じくする人々と出会うことができてとても楽しかったです。
BruCon、DefCon、BlackHat... これらのイベントは、私のような人たちが友好的な競争で自分たちのスキルを発揮する機会を与えてくれました。このような反社会的な活動に参加したことは絶対に認めませんが、中には他の参加者の電話に侵入し、プレゼンテーション画面に情報を表示して全員に見せることで、ハッキングの腕前を披露する人もいました。ソフトウェアをより良くするために、こうした欠陥を見つけ、悪用して修正するというのがゲームになったのです。数年前、私は中東の何百人もの子供たちの前に立って、サイバーセキュリティについて教える機会に恵まれました。今でも生徒の中に8歳の女の子がいて、ゲームをしながらパスワードのブルートフォース処理とbase64エンコーディングについて学んでいたことを今でも覚えています。
ゲーミフィケーションはコーディングスキルの指導にも使用されます。世界中の教育機関がこのアプローチを利用して、高校生までの非常に幼い子供たちにコーディングを教えています。今では4歳の子どもたちも、次のようなホリデー・イニシアチブに定期的に参加しています。 コードキャンプ、そして子供たちにPythonや他の言語でのコーディング方法を教える素晴らしいオンラインプログラムがたくさんあります。スクリーンレス・コーディング・ツールという素晴らしいツールも購入しました キュベット、私の4歳の娘のために。
しかし、このような楽しさと進歩にもかかわらず、ギャップがあります。ゲーミフィケーションを活用して開発者に安全なコードを書く方法を教える可能性については誰も考えていませんでした。
まあ... ほとんど誰もいません。数年前、セキュリティを再び刺激的なものにし、開発者が参加してプレイを始めるモチベーションを高める必要があることに気づきました。
ゲーミフィケーション:シンプルな方法。
私の中には、セキュリティに関する知識を開発者に高め、力を与えたいという強い意欲があり、この情熱こそが、Secure Code Warriorを開発するきっかけとなりました。ソフトウェア・セキュリティは非常に重要で、本当にワクワクするものでもあります。
考えているのは私だけではありません。
ゲーミフィケーションは、ありふれたタスクをもっともっと楽しくし、プレイを続け、勝ち、進歩したいと思わせるほど人々を飽きさせません。Pokmon Goのやり方を見てください!最も怠惰な人でさえ、屋外で空想上の生き物を探したり、FitBitが歩数を達成することを多くの人の毎日の目標にしたりしています... これらの目標が達成されず、連勝が終わり、バッジを獲得できなかった場合、非常に失望感が襲います。
さて、セキュリティトレーニングに戻りましょう。私たちは、ゲーミフィケーションが組織のセキュリティ文化を真に変革し、アプリケーションセキュリティチームと開発チーム間の架け橋を築き、一般的に高水準のソフトウェア構築を支援するうえで重要であることを多くのクライアントに証明してきました。
今のところ、セキュリティは開発者の優先事項ではありません。親しみやすく、競争力があり、魅力的な要素をトレーニング方法に加えることで、「プレーする」だけでなく、より多くのポイントを獲得し、ハイスコアを破り、より正確になり、仲間のチームメンバーに挑戦するために戻ってこようというモチベーションを高めることができます。
トレーニングが成功すると次のようになることはすでにわかっています。
- 開発者は実際のコードや独自の言語/フレームワークで作業できます
- 課題は短く、一般的なセキュリティの脆弱性をすべて網羅しています
- チャレンジは常に拡張および更新されるため、開発者は時間をかけてスキルを磨き続けることができます。
- 課題の複雑さはさまざまであるため、上級開発者と経験の浅い開発者の両方にとって魅力的です。
- 開発者とそのマネージャーは、完了した課題、長所と短所、トレーニングに費やした時間、全体的な正確性など、進捗状況を確認できます。
ある大手クライアントは、ゲーム化プラットフォームの真の魅力を披露し、開発者にテーマ別のチームギアを用意し、ゲームの勝者に素晴らしい賞品を提供し、トーナメントを本当に忘れられないものにしました。それ以来、彼らは国際大会を開催してきて、今でもチーム全体が真剣なトレーニング時間を費やしています。
あなた自身のソフトウェア革命はここから始まります。オーストラリアの銀行業界は、従来の(または退屈な)トレーニングをひっくり返す真に革新的なアプローチで、不良コードとの闘いにおいてゲーミフィケーショントレーニングの採用を先導しています。クライアントがそのトレーニングで何をしたかをチェックしてみてください 次のレベルのトーナメント。準備はできていますか? チームをレベルアップ 私たちと一緒に?
私たちは話題を変え、セキュリティをすべての開発者の仕事に欠かせないものにするよう努めなければなりません。そのための最善の方法の 1 つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
アプリケーションセキュリティマネージャー、CISO、CIO、サイバーセキュリティの専門家など、私自身のソフトウェア開発とセキュリティにおけるキャリアの中で、世界中のあらゆる種類の企業で働いている彼らの多くと話をしてきました。
状況がどれほど異なっていても、チームがどれほど経験を積んでいても、この絶え間なく変化するデジタル世界でどれだけの時間が経過しても、常に変わらない問題が1つあります。それは、開発チームをセキュリティに積極的に関与させることはめったにないということです。セキュリティはいまだに汚い言葉であり、チーム間の対立や業界の裏側の悩みの種となっています。
しかし、ソフトウェアセキュリティは、私たちの一般的な考え方では、この道を歩み続けるにはあまりにも重要です。セキュリティをすべての開発者の仕事に欠くことのできないものにするために、私たちは議論を変えなければなりません。そのための最善の方法の 1 つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
現在の風景
開発者は安全なコードの提供に関する実践的な知識をほとんど持たずに大学を卒業し、セキュリティトレーニングが優先されることはめったにない仕事に従事します(優先される場合、それは通常、健康と安全に関する必須のコンプライアンスビデオの一部であり、非常に退屈で、安全なコーディングに関心を持つ人は誰もいないでしょう)。多くの場合、セキュリティに関する最初の経験は、監査やテストのバグレポートで、将来のリリースが突然停止してしまい、創造力が瞬く間に最優先で中断されてしまいます。彼らはセキュリティ報告の責任者と対立しているため、彼らの心の中では「セキュリティ」は「批判」と同義語になっています。くそったれ。
正直なところ、ソフトウェアセキュリティに対するこのような否定的な認識が広まっているのは本当に残念です。結局のところ、私のキャリアの中で最高の思い出のいくつかは、ソフトウェアセキュリティについて学んだことに関するものです。私はハッキングを始めた初期の頃をカンファレンスに出席して過ごしました。そこでは、自分のスキルを同僚とテストする(そして正直に言うと、少し見せびらかす)だけでなく、私と同じくらいソフトウェアを壊すことを楽しんだ、志を同じくする人々と出会うことができてとても楽しかったです。
BruCon、DefCon、BlackHat... これらのイベントは、私のような人たちが友好的な競争で自分たちのスキルを発揮する機会を与えてくれました。このような反社会的な活動に参加したことは絶対に認めませんが、中には他の参加者の電話に侵入し、プレゼンテーション画面に情報を表示して全員に見せることで、ハッキングの腕前を披露する人もいました。ソフトウェアをより良くするために、こうした欠陥を見つけ、悪用して修正するというのがゲームになったのです。数年前、私は中東の何百人もの子供たちの前に立って、サイバーセキュリティについて教える機会に恵まれました。今でも生徒の中に8歳の女の子がいて、ゲームをしながらパスワードのブルートフォース処理とbase64エンコーディングについて学んでいたことを今でも覚えています。
ゲーミフィケーションはコーディングスキルの指導にも使用されます。世界中の教育機関がこのアプローチを利用して、高校生までの非常に幼い子供たちにコーディングを教えています。今では4歳の子どもたちも、次のようなホリデー・イニシアチブに定期的に参加しています。 コードキャンプ、そして子供たちにPythonや他の言語でのコーディング方法を教える素晴らしいオンラインプログラムがたくさんあります。スクリーンレス・コーディング・ツールという素晴らしいツールも購入しました キュベット、私の4歳の娘のために。
しかし、このような楽しさと進歩にもかかわらず、ギャップがあります。ゲーミフィケーションを活用して開発者に安全なコードを書く方法を教える可能性については誰も考えていませんでした。
まあ... ほとんど誰もいません。数年前、セキュリティを再び刺激的なものにし、開発者が参加してプレイを始めるモチベーションを高める必要があることに気づきました。
ゲーミフィケーション:シンプルな方法。
私の中には、セキュリティに関する知識を開発者に高め、力を与えたいという強い意欲があり、この情熱こそが、Secure Code Warriorを開発するきっかけとなりました。ソフトウェア・セキュリティは非常に重要で、本当にワクワクするものでもあります。
考えているのは私だけではありません。
ゲーミフィケーションは、ありふれたタスクをもっともっと楽しくし、プレイを続け、勝ち、進歩したいと思わせるほど人々を飽きさせません。Pokmon Goのやり方を見てください!最も怠惰な人でさえ、屋外で空想上の生き物を探したり、FitBitが歩数を達成することを多くの人の毎日の目標にしたりしています... これらの目標が達成されず、連勝が終わり、バッジを獲得できなかった場合、非常に失望感が襲います。
さて、セキュリティトレーニングに戻りましょう。私たちは、ゲーミフィケーションが組織のセキュリティ文化を真に変革し、アプリケーションセキュリティチームと開発チーム間の架け橋を築き、一般的に高水準のソフトウェア構築を支援するうえで重要であることを多くのクライアントに証明してきました。
今のところ、セキュリティは開発者の優先事項ではありません。親しみやすく、競争力があり、魅力的な要素をトレーニング方法に加えることで、「プレーする」だけでなく、より多くのポイントを獲得し、ハイスコアを破り、より正確になり、仲間のチームメンバーに挑戦するために戻ってこようというモチベーションを高めることができます。
トレーニングが成功すると次のようになることはすでにわかっています。
- 開発者は実際のコードや独自の言語/フレームワークで作業できます
- 課題は短く、一般的なセキュリティの脆弱性をすべて網羅しています
- チャレンジは常に拡張および更新されるため、開発者は時間をかけてスキルを磨き続けることができます。
- 課題の複雑さはさまざまであるため、上級開発者と経験の浅い開発者の両方にとって魅力的です。
- 開発者とそのマネージャーは、完了した課題、長所と短所、トレーニングに費やした時間、全体的な正確性など、進捗状況を確認できます。
ある大手クライアントは、ゲーム化プラットフォームの真の魅力を披露し、開発者にテーマ別のチームギアを用意し、ゲームの勝者に素晴らしい賞品を提供し、トーナメントを本当に忘れられないものにしました。それ以来、彼らは国際大会を開催してきて、今でもチーム全体が真剣なトレーニング時間を費やしています。
あなた自身のソフトウェア革命はここから始まります。オーストラリアの銀行業界は、従来の(または退屈な)トレーニングをひっくり返す真に革新的なアプローチで、不良コードとの闘いにおいてゲーミフィケーショントレーニングの採用を先導しています。クライアントがそのトレーニングで何をしたかをチェックしてみてください 次のレベルのトーナメント。準備はできていますか? チームをレベルアップ 私たちと一緒に?
私たちは話題を変え、セキュリティをすべての開発者の仕事に欠かせないものにするよう努めなければなりません。そのための最善の方法の 1 つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。
始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
