トレーニングが面倒に思えることもあると思いますが、その必要はありません。特に、Secure Code Warrior®プラットフォームを使っている場合はそうではありません。私たちは、ビデオゲームの楽しさ(クールに見えること、ミッションを完了すること、敵を粉砕すること)を取り入れ、セキュアコーディングを中心とした有益で現実的なスキル構築と組み合わせるよう努力してきました。
優れたセキュリティ・トレーニング・プログラムであっても、参加者全員にとって真に価値あるものとなるためには、エンゲージメントが必要です。その一助となるよう、私たちが長い時間をかけて学んだいくつかのヒントと推奨事項を列挙しました。
一般的なヒント
私たちの 大会のためのエンゲージメント・チートシートブランディングは、セキュリティ・トレーニング・プログラム全体に役立ちます。クールなテーマやブランディングは、特定のイベントだけに縛られる必要はありません。
研修プログラムに関連したブランドやテーマがあれば、ポスターやEメールのグラフィックなどで宣伝するのがずっと簡単になります。トレーニング・プログラムが目につきやすいものであればあるほど、トレーニング・プログラムの存在を多くの人に知ってもらうことができます。
ホットヒント:トーナメントでブランドやテーマを使用した場合、次のトーナメントまで、トレーニングを通してそれを使用してみてください。その時点で、次のテーマを開発者に選ばせるのもいいかもしれない。そうすることで、興味深く楽しいアイデアが生まれ、エンゲージメントを育むことができる。
トレーニングを奨励するもう一つの方法は、毎日または毎週専用の時間を作り、チームリーダーや上級開発者にこの「トレーニングの時間」を推進させることです。
開発者は時間管理が得意ですが、締め切りが迫っている中でトレーニングを行うのは大変なことです。開発者の中には、トレーニングをしているところを見られると、いつものプロジェクトに取り組んでいないように見える可能性があるため、神経質になる人もいるかもしれない。
このような状況を緩和する鍵は、トレーニングに関する前向きなサポート文化を発展させることだ。トレーニングやスキルアップは、誰もが行うことを批判されるようなことではありません。セキュリティ・チャンピオンは開発チームの一員であり、すぐにサポートが受けられるので、ここでも大きな助けとなる。
注:セキュリティ・チャンピオンについては、ここをクリックしてください。
スタートアップ
セキュリティ研修プログラムをトーナメントで開始したのであれば、その結果を検討し、改善すべき領域が何であるかに気づいたことでしょう。その結果と、貴社で発見された特定の脆弱性とを組み合わせることで、トレーニング計画を策定し、開発者が何から始めるべきかについてガイダンスを提供できるようになります。
チームがSecure Code Warriorプラットフォームに限定的にしか触れたことがない場合は、チームを集めてトレーニングデモを行うことを検討してください。チームやオフィスの場所ごとに集まったとしても、グループとして簡単なデモを行うことで、適切な質疑応答がしやすくなります。
いつものように、セキュリティ研修プログラムの進捗状況を定期的に報告し、セキュリティ目標の達成に向けて会社がどのような進捗状況にあるのかを報告する。目標達成はまさにチームの努力であり、貢献者は参加し、情報を得ていると感じるべきであるからである。
- 専用の 「セキュアコードウォーリアートレーニングSlack」または「Yammer」上に「Secure Code Warrior Training」専用のコミュニケーショ ンチャネルを作成し、全員が質問や学習、フィードバックを共有できるようにする。
- チームリーダやマネージャに、開発者と週 1 回または隔週でミーテ ィングを開いてもらい、ベストプラクティスを共有し、困っていることや役に 立ったことを知る。
- チームリードやセキュリティチャンピオンを活用して、エンゲージメントとサ ポートを構築する
- セキュリティチャンピオンやチームマネージャと 1 対 1 のミーティングを設定し、ビジネス目標に取り組む
- 社内 Wiki やセルフサービスのトレーニング ページを作成する
- 開発者に、Secure Code Warrior のトレーニングの経験についてソーシャル・メディア・プラットフォームで話すよう勧める。トレーニングは禁止事項である必要はありません。開発者がフィードバックを共有できるようにすれば、採用ツールにさえなるかもしれません。
トレーニング中
全員がSecure Code Warriorプラットフォームの使用に慣れてきたら、その勢いを持続させるさまざまな方法があります。
トレーニングがポジティブなものであることをアピールすることに重点を置くべきだ。前述したように、チームリーダーやセキュリティチャンピオンと協力して、トレーニング専用の時間を確保することで、トレーニングが非常にやりやすくなる。
- チャレンジは、わずか3~5分で終わるように設計されている。チームリーダーと協力して、この時間を日々の活動に組み込む方法を見つけよう。
- 毎日1~2チャレンジ、週に10~12チャレンジなど、達成可能な目標を見つける。
- チームのコミュニケーション・チャンネルを利用して、トレーニングがどのように進んでいるか、フィードバックや質問が残っていないかなどを確認する。
- 会社やチームのリーダーボードで定期的に最新情報を共有し、ハイスコアを披露して競争を促す
- コンスタントにスコアを上げる努力をしている開発者を評価し、報酬を与える
- 開発者が興味のある別の言語を使ってトレーニングするよう奨励する
- の「セキュリティの基礎」と「アプリケーションセキュリティの弱点」のビデオを共有したり、見たりする。 リソース タブを参照してください。
プラットフォームのヒンティングシステムは、特に新しい言語に挑戦するときなど、課題に対して不明な点がある場合に活用できますし、活用すべきです。このシステムは学習資産であるが、プラットフォームの楽しいゲーム化された側面の一部であるため、使用するとポイントが失われる。
ヒンティング・システムは、3~5分のビデオや短いあらすじで、脆弱性の概要を2つに分けて説明します:
- 脆弱性とは何か
- どのように発生するか
- 脆弱性が発生したときに起こる悪いこと
- 脆弱性を修正する方法
すべての情報を有益で適切なものに保つため、ヒントは素早く簡単に消化できるようになっている。有益な情報といえば、メトリックスと、メトリックスがトレーニングで果たす重要な役割についてお話ししましょう!
メトリックスは、管理者、開発者ともにプラットフォーム上で利用することができます。
- メトリクスを定期的にチェックすることで、進捗状況を確認し、自己学習に役立てることができます。
- メトリックスを使用して、重要な分野に焦点を当てたトレーニング計画を立てる。
メトリックス メトリクスタブから、OWASP が用意した 5 つのサブカテゴリを特徴とするスパイダー図を確認することができます。
- 認証とアクセス制御
- データの取り扱い
- セキュリティ構成
- 機密データ保護
- 安全な開発プラクティス
注:管理者の場合、図は青色になります。開発者の場合、図は黄色になります。
平均的な長所と短所に関して、スパイダー図がどこを指しているかに注目してください。これは、開発者が自分のセキュリティ意識をコントロールするための優れたツールです。
これらの数値が見えることで、トレーニングの課題に取り組むときに、どの分野をターゲットにすべきかを知ることができます。何に重点を置くべきかを選択できるようになることで、開発者は、自分が興味を持ち、納得できる方法でスキルをレベルアップさせることができる。
こうすることで、トレーニングは構造化されたものではなくなる。 開発者開発者のために構成されているのではなく 開発者によってによって構成されるのです。
エンゲージメントの例
テーマ:ミステリーデー
やり方まず、開始日と終了日を決める。これは、1週間から1ヶ月まで、どこでもよい。
次に、この2つの日付の間のランダムな日を選び、メモしておく。その日にトレーニングを行った開発者は、抽選で賞品がもらえます。
チームには、この日がどの日になるかは分からないので(これがゲームの名前の由来です)、くじに参加するチャンスを得るために、1日に最低1回はログインしてチャレンジをプレイするように促しましょう。
プラットフォームのレポート機能を使って、ミステリーデーのトレーニングによって抽選に参加する資格を得た人の名前を切り分けることができます。あとは、リストからランダムに名前を選び、ラッキーな当選者を発表するだけです!
コメント
0件のコメント
サインインしてコメントを残してください。