創造の歴史
このイニシアチブを作成するというアイデアは、2012年5月にセキュリティ開発会議でアドビがアドビのセキュリティトレーニングプログラムについて語ったときに生まれました。 それから、なぜシスコでこのようなプログラムを作成しないのかというアイデアを得ました。 さらに、問題は長らく待ち望まれていました。 そのような開発者トレーニングプログラムはありませんでした。 安全なプログラミングの原則( Cisco Secure Development Lifecysle 、 CSDL )は多くの人に知られていましたが、実際にそれらを適用してエラー数と潜在的な脆弱性を減らす方法を誰もが理解していませんでした。 さらに、開発者は伝統的に、バリケードの反対側でセキュリティの世界がどのように発展しているのか、攻撃者がどのように行動するのか、何ができるのか、そして彼らの願望はどこに向けられるのかについてほとんど考えませんでしたか?
このアイデアはアイデアですが、私たちは別の安全訓練の組織と打ち負かされた軌道に沿って行きたくありませんでした。 それにもかかわらず、なぜ多くのトレーニングプログラムを隠すのは、企業のプログラムでさえ、無料のプログラムでさえ、多くの従業員によって罰と不可避の悪と見なされています。 そのような態度で、それは待つ価値がありませんでした。 したがって、安全なプログラミングの実践と、近年積極的に開発している信頼できるシステムの作成と、自社製品のインシデント対応ユニットの経験( Cisco Product Security Incident Response Team 、PSIRT)を組み合わせることにしました。 また、この組み合わせにゲームコンポーネントを課すことで、ポイントを獲得し、他の人から認識を獲得し、同時に目立たずに新しい知識と能力を獲得できるエキサイティングなゲームに、自分の自由意志の従業員を巻き込みます。 ご存知のように、ゲーム形式で取得された情報は、美しいプレゼンテーションやビデオを着ていても、通常の理論よりもはるかに長い期間記憶されています。
すぐに言ってやった。 基礎は、哲学と技術の研究、ホールでの学習(いわゆる道場)、およびさまざまな学位(ベルト)を経て学習者の特定の成果を反映した生活の中での武道のトレーニングのアイデアでした。 プログラムメンバーは、Cisco Security Ninjaと呼ばれます。 なぜ忍者なのか? おそらく、何十年または何世紀にもわたって、これらの日本の戦士を中心に多くの伝説が発展し、その名前が多くの秘密を獲得したからでしょう。 「秘密」のCSDLの概要は、適切なトレーニングを受けた開発者とエンジニアの特徴です。
このイニシアチブのモットーは、「セキュリティは目的地ではなく方法である」という言葉を言い換えることでした。
シスコセキュリティニンジャベルト
武道の従来の10ベルトとは異なり、私たちは白、緑、青、茶色、黒の5つに制限することに決めました。その「レシート」は、特定の知識とスキルの受け入れを示し、対応する試験に合格することでした。
さらなる成長の基礎となる第1レベルでは、初心者に情報セキュリティの基本概念、用語、セキュアプログラミングの基礎、CSDLを紹介します。 このレベルのトレーニングは、紹介、用語、情報セキュリティの基礎、適合性評価、ハッカーと攻撃、一般的なセキュリティ神話、CSDL、入力検証、リソースオーバーラン、認証、承認、セキュリティ保護された構成、情報漏洩、 暗号化 、 セキュリティの16モジュールで構成されていますハードウェアレベルで 、PSIRT。
グリーンベルトとは、研修生の役割に応じて、さまざまなセキュリティの概念に関する高度な知識を得るだけでなく、セキュリティの原則と実践の実用化を意味します。 製品マネージャ、プログラムマネージャ、マネージャ、設計エンジニア、開発エンジニア、テストエンジニアの6人を特定しました。 グリーンベルトを取得するには、さまざまな攻撃(XSS、CSRF、SQLインジェクション、ソーシャルエンジニアリング、ハードウェアレベルの攻撃)とCSDL(脅威のモデリング、脆弱性検索、コード分析、典型的なプログラミングエラー)の研究から始めて、約50のモジュールを完了する必要がありましたC)Linux保護の基礎、セキュアブート、SSL、 サプライチェーン管理、および「管理」トピックの学習。
次の3つのゾーンは、理論的または実用的なトピックの調査を意味するものではなく、シスコの活動におけるセキュアプログラミングプラクティスの実装の促進を意味します。 そして、ベルトが高ければ高いほど、そのようなアクションをより多く実行する必要があります。 「より高い」ベルトを獲得するプロセスの不確実性を排除するために、青/茶色/黒のベルトを受け取る候補者が行うべきすべての活動は4つのグループに分けられるべきです-発明(例えば、有用なツールまたはプロセスの作成またはコミュニティの維持)、トレーニング(指導、コース、プレゼンテーションの実施、開発(問題の分析、内部ワーキンググループまたは委員会への参加、セキュリティ機能の開発)および実装(テスト、機能、CSDLプロセスなど)。
各アクションについて、特定のポイントが計算されます。その量は、費やされた時間(1ポイント= 1時間)とアクティビティの規模(チーム内、チーム内アクティビティ、外部など)によって異なります。 次に、これらのポイントが合計され、合計金額に応じて、この度またはその度が割り当てられます。 たとえば、青いベルトを取得するには、75ポイントのみを「獲得」するだけで十分です。黒のベルトには、上記の4つのアクティビティグループすべてから少なくとも400ポイントが必要です。 黒帯は、武道だけでなく、Cisco Security Ninjaプログラムでも最高のステップです。 これは、シスコの内部と外部の両方での認識を意味します。
数字で見るCisco Security Ninja
2012年12月にプログラムを開始し、一部の同僚に「試してみてください」と依頼しました。 2013年2月に肯定的なフィードバックを受け取った後、Cisco Security Ninjaプログラムが正式に開始されました。 2013年12月、「ホワイト」ベルトの最初のトレーニングプログラムに(「グリーン」ベルトの)拡張プログラムが追加され、数か月後、ロールベースのトレーニングが追加されました。 2014年12月には、青、茶色、黒のベルトを取得するための残りの3つのプログラムが開始されました。
2014年に、このプログラムは会社の経営陣のレベルでサポートを受け、すべての利害関係者に少なくとも白帯を与えることを強く推奨し始めました。 今日まで、このプログラムは厳密に自発的に参加する従業員には必須ではありません。 2015年3月に、ベルトを受け取った20,000人の従業員の境界に達しました。そのうち47人が黒帯、22人が茶色、72人が青、2640人が緑(うち私は)を受け取りました。
トレーニングと試験のための道場
道場は、東洋武術のトレーニング、競技会、認定が行われる場所です。 そのような道場(Cisco Security Dojo)があります。 これは、さまざまなイベントやツールを含む特別に設計されたプラットフォームであり、さまざまな形式でトレーニングを受け、関連する試験に合格し、当然の結果を得ることができました。 また、このプラットフォームの助けを借りて、すべてのセキュリティ忍者は自分と同僚のステータスを追跡し、活動を記録して高度を達成し、他の多くのタスクを実行できます。
ゲーミフィケーション
プログラムの最も重要な要素の1つは、2万人以上の人々が参加できるようにすることであり、ゲーミフィケーションはさまざまな要素によって実現されました。
- セキュリティと安全なプログラミングの重要な概念と原則が面白いユーモラスな方法で説明された情報セキュリティの隠phor。
- トレーニングコースの特定の規定を説明する3つのイラストで構成されるコミック「リトルニンジャ」。
- 面白いクリップ「私たちはみんなセキュリティ忍者」。忍者の衣装を着た従業員が偶然、日常の活動(カフェ、ジム、休暇中、電話中など)でつまずきます。
- 「ポップアイドル」-特定のIS問題について話した、社内外の人々
一般に、ゲーミフィケーションは、情報セキュリティのトピックを伝える非常に興味深い方法です。 会社でよく使用します。 情報セキュリティスタンド、フラッシュゲーム、スマートフォン用ゲーム、CTFなどがあります。
認識
私たちのプログラムの重要な要素の1つは、訓練を受けて1つまたは別のベルトを正常に受け取った専門家の認識です。 さまざまなオプションを使用します-証明書、企業ポータルのプロファイルで使用できるロゴ、または電子メールメッセージの署名、企業バッジを着用するための対応するストラップ、金銭的インセンティブ。
主な成功要因
過去3年間で、プログラムの成功のための10の基準を策定することができました。
- モジュールあたり20分以内。 またはさらに良い10。 長いモジュールは短いモジュールよりも見にくいです。 しかし、それらの作成はより困難です。 YouTubeで企業チャンネルの動画をよく録画していますが、適切なコンテンツを限られた時間内に配置することがいかに難しいかをよく理解しています。
- 専門家のコホート。 コンテンツを作成し、場合によってはその記録に参加する必要があります。
- 認識。 普遍的なレシピはありません-それはすべて特定の組織に依存します。 私たちのケースでは、安価で効果的なオプションを見つけることができました。これにより、最終的に会社全体の3分の1未満をセキュリティ忍者の仲間入りさせることができました。
- ウイルスマーケティング。 友人と「クールなトリック」や「秘密に触れる」ことを喜んで共有している従業員自身がプログラムに関する情報を広めるプロセスに参加することができます。
- トレーニングコースのデザイナー。 英語では、これらのスペシャリストはインストルメンタルデザイナーと呼ばれ、コースだけでなく、非常に重要なテストや試験の設計にも携わっています。
- 競争 マネージャーは、互いに競争することを好む-部下の統計情報を含むサイトを立ち上げて、このような機会を与えます。 彼らはユニットがより良くなるように動機付けます。
- ルールを破る。 Cisco Security Ninjaプログラムを立ち上げたとき、従来のトレーニングを実施するためのルールを知りませんでした。 私たちは必要だと思ったことをやり、冗談と冗談で元気にやりました。 人々はこれを感じ、ゲームの要素を使ったトレーニングにより簡単に関与します。
- 創造的な人々。 このようなプログラムを起動することは、「一時的な」タスクではありません。 棒から何かをする人や結果に興味のない人には役に立たないでしょう。 創造的なアプローチだけが、最小限のリソースで私たちがしたことをするのに役立ちました。
- 管理の関与。 さて、追加の説明は必要ありません。
- ゲーミフィケーション ゲームに関与する動きを示し、より多くのことを達成するのに役立つインターフェイスを作成しました。 人々は彼らのために作られた道場を使うことを楽しんだ。
結論として
実装したCisco Security Ninjaプログラムにより、2万人の従業員が製品の情報セキュリティを確保するプロセスに関与するだけでなく、ソリューションのセキュリティレベルを高めるなど、いくつかの問題を一度に解決することができました。 このプログラムを別の組織で繰り返すことはできますか? 同じ形ではありそうもない。 それでも、文化、成熟度レベル、および企業自体は互いに大きく異なる可能性があります。 しかし、重要な成功要因は誰にとっても同じです。 主なことは、じっと座っていないことです!
そして、覚えておいてください:セキュリティは移動であり、目的地ではありません!