セキュアコーディング習得を支援するSaaS型eラーニングサービス「Flatt Security Learning Platform」がJavaに対応
株式会社Flatt Security
2021年01月28日
株式会社Flatt Security
脆弱なソースコードを修正する「堅牢化演習」が、大手企業を中心に需要の声をいただいていたJavaに対応。2月にはGoを追加予定。
サイバーセキュリティ事業を展開する株式会社Flatt Security(本社:東京都文京区、代表取締役社長:井手康貴)は1月28日、Webエンジニアのセキュアコーディング習得を支援するSaaS型eラーニングサービス「Flatt Security Learning Platform」において脆弱性が埋め込まれたソースコードを修正する「堅牢化演習」の対応言語として新たにJavaを追加したことをお知らせします。 「Flatt Security Learning Platform 」サービスページ https://flatt.tech/learning_platform
■Flatt Security Learning Platformについて
「Flatt Security Learning Platform」はWebエンジニアのためのセキュリティ学習プラットフォームです。「資料に目を通して三択問題のテストを受けるだけ」という一般的なeラーニングとは異なり、攻撃者が用いる手法を体験する「ハッキング演習」や、脆弱なソースコードを修正する「堅牢化演習」を通じて、より実践的なトレーニングを一元的に受講できます。
2020年11月4日にβ版を提供開始し、2021年4月に正式版をローンチ予定となっています。
■「堅牢化演習」のJava対応の背景
Webアプリケーションにまつわる基本的な脆弱性の原理は、特定のプログラミング言語に依存することなく学習できるものです。
そのため、本サービス内で提供中の「堅牢化演習」においても、これまではPythonのソースコードを用いた学習コンテンツのみを提供しておりました。
しかし馴染みのないプログラミング言語では言語の学習に労力を要する可能性があり、その場合サービス本来の学習体験を損なってしまいます。そこで、よりよい学習体験を提供するため、複数の言語をサポートする機能を新規開発し、対応言語を拡充するに至りました。
■複数の言語をサポートする新機能について
元々はPythonのソースコードのみダウンロード可能でしたが、今回の機能追加により画像のようなUIを通じて「堅牢化演習」で複数のソースコードから利用したい言語のものをダウンロードできるようになりました。修正済ソースコードの提出・テストの実行・実行結果の確認はどの言語のソースコードをダウンロードしてもこれまでと同様に行えます。
※現在利用できる言語は従来より対応していたPythonと今回追加したJavaで、Goは2021年2月中に提供を開始する予定です。
また、学習コンテンツ中に含まれるサンプルコードに関しても表示を複数の言語に切り替えることが可能となりました。
例えば上の画像ではJavaのサンプルコードを表示していますが、ビューワの左上部分を操作することによりPHPもしくはPythonのサンプルコードに切り替えることができます。
これによって各企業様の開発組織により即した形で学習を進めることが可能となりました。
■管理画面の機能拡充に向け開発中
※画像は開発中の管理画面のイメージです。
また、2021年4月にローンチ予定の正式版では、社内全体での研修や新卒研修など大規模なセキュアコーディング研修にもご活用いただけるように、大幅に管理画面をアップデート予定です。β版の管理画面で利用できる機能は「新規ユーザーの招待」「ユーザーの受講状況の簡易的な閲覧」などに限られていました。
正式版では複数のユーザーを部署ごとなどの単位でまとめて管理する「グループ管理機能」、「受講完了予定日の通知機能」、上の画像右側のようにビジュアライズされたデータを元に受講状況を確認できる「進捗管理機能」が追加される予定です。
また、これらの機能の利用にあたってはCSVでの一括追加・更新や、グループや受講コースごとのフィルタリングなどを行うことができます。
これにより、大人数を管理する必要のある教育担当者の皆様にとってもますます使いやすいプロダクトとなりました。今後も受講者の皆様だけでなく、マネジメントを担当する皆様にも最適な体験を提供できるようサービスの改善に努めて参ります。
■「Flatt Security Learning Platform」の学習方法
(1)技術や脆弱性の解説
当社がセキュリティ診断などのサービスを提供する中で培ったセキュリティのノウハウを提供します。
受講者は様々なアーキテクチャにおけるセキュリティの知識と、最新の脆弱性の情報、セキュアコーディングを学ぶことができます。
(2)ハッキング演習
脆弱性は時にアプリケーションの運用に致命的な影響を与えます。この演習では受講者が攻撃者となりシステムを攻撃します。 脆弱性を悪用することによりアプリケーションにどのような被害を与えることができるのかをCTF形式の演習で学びます。
※CTF : Capture The Flag の略で、旗取りゲームを意味しそこから派生してコンピュータセキュリティの技術を競う大会を指します。
(3)システム堅牢化演習
脆弱性を見つける技術だけでは、開発者にとって十分ではありません。受講者は学習の総仕上げとして、脆弱なアプリケーションのソースコードを修正する演習を行います。独自のジャッジシステムによって修正されたコードに対して自動でテストが実行され、その結果が受講者に返されます。この技術が、Flatt Security Learning Platformを全自動学習プラットフォームたらしめています。
※本機能は特許出願中です。
■Flatt Securityはお客様のニーズに合わせたセキュリティサービスを提供します
Flatt Securityは本プレスリリースで紹介した「Flatt Security Learning Platform」の他にも、Web・スマートフォンアプリ・スマートフォンゲーム・ネットワークに顧客情報の流出やデータ改ざんに繋がる脆弱性がないかセキュリティエンジニアが診断する「セキュリティ診断サービス」、弊社が独自に用意したデータセットを用いてアンチウイルスソフトウェアの検証を行う「アンチウイルスソフト性能検証サービス」を提供しています。
各サービスの詳細・お問い合わせは以下のURLよりアクセス可能です。
Flatt Security Learning Platform:https://flatt.tech/learning_platform
セキュリティ診断サービス:https://flatt.tech/assessment/detail
アンチウイルスソフト性能検証サービス:https://flatt.tech/service/antivirus
◼︎会社情報
社名:株式会社Flatt Security
代表取締役社長:井手康貴
所在地:〒113-0033 東京都文京区本郷3丁目43−16 コア本郷ビル 2A
設立:2017年5月23日
Webサイト: https://flatt.tech
ブログ:https://blog.flatt.tech
事業内容:サイバーセキュリティ関連サービス
◼︎商標について
OracleおよびJavaは、オラクルおよびその関連会社の登録商標です。その他の社名、商品名等は各社の商標または登録商標である場合があります。
