コース


Secure Code Warrior には、開発者に受講させたい学習カリキュラムを作成する「コース」機能が搭載されています。「コース」機能では、60以上の言語やフレームワークから学習させたい脆弱性や出題形式を指定し、固有の学習カリキュラムを作成することができます。開発者は割り当てられたコースで組織で必要なセキュアコーディングスキルを学習することができます。

Prebuilt Modules - JP.gif

狙い

コースでは、個人や組織としてレベルアップが必要な特定言語の脆弱性に絞った学習が可能です。例えば、Secure Code Warriorの「トーナメント」機能や「トレーニング」機能を通して発見した弱点、または実際のアプリケーションに対し、セキュリティツールを使用して検出された主要な脆弱性に焦点を当て、学習を行います。個人やチーム、実際のプロジェクトにおける弱みを克服することで、主に以下の効果が期待できます。

  • はじめから脆弱性を作り込んでしまうことを防ぐ
  • 繰り返し脆弱性を作り込んでしまうことを防ぐ
  • 脆弱性を検知した時に素早く修正することを可能にする

コースでは、特定の開発者グループ向けに、難易度や出題形式などをカスタマイズできるため、ジュニア開発者やシニア開発者などのレベル感に合わせた学習を促すことも可能です。

理解度の低い脆弱性に絞った学習カリキュラムを作成

多忙な開発者にセキュアコーディング学習を行ってもらうためには、学習の効率性が求められます。例えば、5時間も費やす必要がある全般的な学習カリキュラムを渡しても、業務の合間に集中して学習する時間はありません。つまり、開発者やチームの理解度が低い脆弱性に対するピンポイントな学習を促す必要があります。

コースでは、特定の脆弱性に絞った学習カリキュラムを作成して開発者に割り当てることができるため、理解度の低い脆弱性に絞った効果的な学習を進めることを可能にします。個人やチームの弱みを学習することで、作り込んでしまう脆弱性の数を減らすことや、セキュリティツールで検出した脆弱性を素早く修正できるようになるといった効果が期待できます。例えば、以下のような学習フローが効率的な学習と言えます。

  1. トーナメントで弱みを把握する
  2. コースで弱みに焦点を当て学習する
  3. アセスメントで理解度をチェックする
*Secure Code Warrior 社によると、一気にたくさんの課題を克服しようとするのではなく、最も理解度が低い脆弱性 Top3に注力し、確実に理解を高める学習運用が推奨されています。

テンプレートから学習カリキュラムを作成

コースは、OWASP Top 10、PCI DSS、NIST(米国立標準技術研究所)が公開しているEO-Critical Software、またSecure Code Warrior推奨など、さまざまなテンプレートから効率的に学習カリキュラムを作成できます。また、IPAの安全なソフトウェアの作り方で規定されている脆弱性を学ぶコースや、ISO 27001-23の8.28に規定されているセキュリティに配慮したコーディングに対応するためのオリジナルのコースなども作成できます。

以下は、選択したコース言語で学習する内容をテンプレートから選択している操作の例です。

コースの出題形式

コースでは、5種類すべての出題形式を組み合わせて学習カリキュラムを作成できます。

 
       
コース
       



動画

動画では、セキュリティの基礎や、モバイル・Webアプリケーションなどに関するさまざまな脆弱性の概念を解説します。短い動画を視聴するだけで、特定の脆弱性についての概念を学習することができます。

>>動画 ページ

ガイドライン

ガイドラインでは、脆弱性の基礎からコーディングの悪い例、良い例などを添えてテキストベースで解説を提供します。例えば、「SQLインジェクションとは?」という特定の脆弱性の基礎から解説が始まり、この脆弱性を作り込んでしまうコード例や対策されたコード例などを解説しているため、特定の脆弱性についての理解を深めることができます。

>>ガイドライン ページ

コーディングラボ

コーディングラボでは、VS Code を埋め込んだ環境を提供します。ガイドに沿って実際にコーディングをしながら、ステップ バイ ステップで特定の脆弱性に対するセキュアコーディングについて学習できます。

>>コーディングラボ ページ

ミッション・ウォークスルー

ミッション・ウォークスルーでは、脆弱性を含んだ演習用アプリケーションを提供します。ガイドに沿って実際にアプリケーションに対して攻撃をしながら、ステップ バイ ステップで特定の脆弱性について理解を深めることができます。

>>ミッション・ウォークスルー ページ

課題

課題では、脆弱性が含まれた実際のコードを提供します。コードに実装された脆弱性の種類や箇所を特定し、対策するための最適なソリューションを選ぶ問題を解くことで特定の脆弱性についての理解を深めることができます。

>>課題 ページ

学習後の理解度をチェックするアセスメント

コースはセキュアコーディングの学習に焦点を当てていますが、学習の成果として理解度が高まったのかをチェックする事も重要です。理解度のチェックは、「アセスメント」機能で行うことができます。

デモサイトで体験

デモサイトでは、「ミッション・ウォークスルー」と呼ばれる問題形式に挑戦できます。ミッション・ウォークスルーでは、実際に脆弱性が実装されたアプリケーションに対して攻撃をしながらセキュアコーディングを学習することができます。

  動画 ガイドライン コーディングラボ ミッション・ウォークスルー 課題
デモサイト       〇 
 

お問い合わせ

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。