クエスト
Secure Code Warrior には、開発者に受講させたい学習カリキュラムを作成する「クエスト」機能が搭載されています。「クエスト」機能では、管理者が学習目標(開発者に学んでほしい脆弱性の種類や、コンプライアンス要件)、学習対象者、期間を設定するだけで、自動的に最適な学習カリキュラムが作成されます。開発者は割り当てられたクエストから自身に合った言語を選択し、組織で必要なセキュアコーディングスキルを学習することができます。
狙い
クエストでは、個人や組織としてレベルアップが必要な特定言語の脆弱性に絞った学習が可能です。例えば、Secure Code Warriorの「トーナメント」機能を通して発見した弱点、または実際のアプリケーションに対し、セキュリティツールを使用して検出された主要な脆弱性に焦点を当て、学習を行います。個人やチーム、実際のプロジェクトにおける弱みを克服することで、主に以下の効果が期待できます。- はじめから脆弱性を作り込んでしまうことを防ぐ
- 繰り返し脆弱性を作り込んでしまうことを防ぐ
- 脆弱性を検知した時に素早く修正することを可能にする
理解度の低い脆弱性に絞った学習カリキュラムを作成
多忙な開発者にセキュアコーディング学習を行ってもらうためには、学習の効率性が求められます。例えば、5時間も費やす必要がある全般的な学習カリキュラムを渡しても、業務の合間に集中して学習する時間はありません。つまり、開発者やチームの理解度が低い脆弱性に対するピンポイントな学習を促す必要があります。クエストでは、特定の脆弱性に絞った学習カリキュラムを作成して開発者に割り当てることができるため、理解度の低い脆弱性に絞った効果的な学習を進めることを可能にします。個人やチームの弱みを学習することで、作り込んでしまう脆弱性の数を減らすことや、セキュリティツールで検出した脆弱性を素早く修正できるようになるといった効果が期待できます。例えば、以下のような学習フローが効率的な学習と言えます。
- トーナメントで弱みを把握する
- クエストで弱みに焦点を当て学習する
- クイズ*で理解度をチェックする
Secure Code Warrior 社によると、一気にたくさんの弱みを克服しようとするのではなく、最も理解度が低い脆弱性 Top3に注力し、確実に理解を高める学習運用が推奨されています。
テンプレートから学習カリキュラムを作成
クエストは、PCI DSSや学習者プロフィールごとの最も一般的な脆弱性など、さまざまなテンプレートから効率的に学習カリキュラムを作成できます。また、特定のコンセプトを選択することができ、大規模言語モデル(LLM)アプリケーションのOWASP Top 10や、脅威モデリングなどのコンセプト学習も可能です。以下は、クエストの作成画面となります。大きく3つの分野(セキュリティコンセプト・特定の脆弱性・コンプライアンス)から目標設定がおこなえます。
ガイドライン
ガイドラインでは、脆弱性の基礎からコーディングの悪い例、良い例などを添えてテキストベースで解説を提供します。例えば、「SQLインジェクションとは?」という特定の脆弱性の基礎から解説が始まり、この脆弱性を作り込んでしまうコード例や対策されたコード例などを解説しているため、特定の脆弱性についての理解を深めることができます。>>ガイドライン ページ
コーディングラボ
コーディングラボでは、VS Code を埋め込んだ環境を提供します。ガイドに沿って実際にコーディングをしながら、ステップ バイ ステップで特定の脆弱性に対するセキュアコーディングについて学習できます。>>コーディングラボ ページ
ミッション・ウォークスルー
ミッション・ウォークスルーでは、脆弱性を含んだ演習用アプリケーションを提供します。ガイドに沿って実際にアプリケーションに対して攻撃をしながら、ステップ バイ ステップで特定の脆弱性について理解を深めることができます。>>ミッション・ウォークスルー ページ
チャレンジ
チャレンジでは、脆弱性が含まれた実際のコードを提供します。コードに実装された脆弱性の種類や箇所を特定し、対策するための最適なソリューションを選ぶ問題を解くことで特定の脆弱性についての理解を深めることができます。>>チャレンジ ページ
デモサイトで体験
デモサイトでは、「ミッション・ウォークスルー」と呼ばれる問題形式に挑戦できます。ミッション・ウォークスルーでは、実際に脆弱性が実装されたアプリケーションに対して攻撃をしながらセキュアコーディングを学習することができます。| 動画 | ガイドライン | コーディングラボ | ミッション・ウォークスルー | チャレンジ | |
| デモサイト | 〇 |
