開発者トーナメント:セキュリティ文化とエンゲージメントを向上させるためのAppSecの秘密兵器
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
%20(1).avif)
.avif)
