テクマトリックス株式会社
Starting-Leftを実現! 静的解析ツールの検出結果をベースとした実践的なセキュアコーディング学習が可能 セキュアコーディング学習で開発者視点のセキュリティ文化を醸成
テクマトリックス株式会社(本社:東京都港区、代表取締役社長:由利孝、以下「テクマトリックス」)は、豪州Secure Code Warrior Pty Ltd(本社:豪州ニューサウスウェールズ州、最高経営責任者:Pieter Danhieux、以下「Secure Code Warrior社」)が提供するセキュアコーディング学習プラットフォーム「Secure Code Warrior」について、国内総販売代理店権を取得し、2023年5月15日より販売を開始することを発表いたします。
世界中で猛威を振るっているサイバー攻撃は、日本企業にも多くの被害をもたらしています。サイバー攻撃は、事業継続に影響を及ぼすだけでなく、企業価値を低下させる要因にもなるため、各企業は、さまざまなセキュリティ対策を施し、防衛に注力しています。そのような状況において、ソフトウェアを提供するIT業界では、攻撃の端緒となるセキュリティ脆弱性をソースコードからできる限り排除するための、セキュアコーディングが注目されています。クレジットカード業界のセキュリティ基準であるPCI DSSや、Webアプリケーションに関するセキュリティ脆弱性や攻撃手法などの動向をまとめたOWASP Top10、NIST(米国標準技術研究所)が発表した大統領令14028条第4e項に基づくソフトウェア サプライチェーン セキュリティ ガイダンスといった基準や白書のいずれにもセキュアなコードで記述することが提言されています。ソフトウェアのセキュリティ確保に対する期待と難易度は日々高まっており、セキュアコーディングスキルの底上げとセキュリティ意識の維持向上はソフトウェア開発現場に求められる最重要課題になっていると言っても過言ではありません。このような市場の動向から、テクマトリックスは、ソフトウェア開発者のセキュアコーディングスキルの習得とアップデートを、高レベルでサポートする、Secure Code Warriorの販売を開始することにいたしました。
Secure Code Warriorは、セキュアなプログラムの開発やセキュリティに関する知識の向上を支援するさまざまなコンテンツを備えたラーニングプラットフォームです。60以上の開発言語をカバーし、150を超えるセキュリティ脆弱性を、24時間365日、いつでも学習できる環境を提供します。動画を見る、資料を読む、課題に挑戦する、ハッカーとして仮想空間で攻撃、あるいは、ハッカーからの攻撃を防御するといった多彩な学習アプローチを備えています。学習者は、都度提示されるヒントや、関連する動画、資料を参照しながら、トレーナーと一緒に学習しているような感覚で学習を進めることができます。さらに、課題の進捗や費やした時間といった学習者の習熟度を知るためのダッシュボードによって、管理者は学習状況をリアルタイムに確認できます。OWASP Top 10や、PCI DSS、EO-Critical Software、Secure Code Warrior社推奨など、多くの学習コーステンプレートが用意されており、目的に合わせて、カスタマイズできます。加えて、ゲーム感覚でセキュアコーディングスキルを競い合うトーナメントという機能が備わっており、組織全体のセキュアコーディングに対する意識や学習意欲の向上を促します。
Secure Code Warriorは、IT、金融、製造業、政府機関といった高いセキュリティを求められる業界の企業や組織に採用され、全世界で450以上の企業で利用されており、安全性の高いソフトウェアの開発に貢献しています。
【Secure Code Warriorの特長】
1.豊富なコンテンツでセキュアコーディングを学習
60以上の言語とフレームワークに対応した150種類のセキュリティ脆弱性の学習コンテンツが、動画や演習で用意されています。開発者が身に着けるべきセキュリティに関する知識や、規格や標準などのコンプライアンスの理解、セキュアなコードの記述・修正方法を学習できます。
2.学習コースを自在に組み立て。OWASP Top10やPCI DSSなどテンプレートも多数搭載
OWASP Top 10や、PCI DSS、NIST(米国立標準技術研究所)が公開したEO-Critical Software、Secure Code Warrior社推奨など、多くの学習コーステンプレートが用意されています。学習者のスキルや遵守するコンプライアンスに合わせて、テンプレートから選択したり、テンプレートをベースに独自にコースを設定したり、さらにはオリジナルのコースを設定することができます。
3.開発者のセキュアコーディングスキルを客観的に評価
理解状況を確認するためのテストを設けることが可能です。テスト結果は正解数や回答に要した時間などが集計され、学習者あるいはチーム全体の習熟度を確認できます。テストの結果や学習の進捗状況から、チームのスキルギャップや知識の偏りなどを分析することができます。
4.ゲーム感覚でセキュアコーディングスキルを競う
セキュアコーディングスキルを競い合う、「トーナメント」機能が搭載されています。プレイヤーは提示されたコードから脆弱性を特定し修正する課題で、対戦相手と競い合います。課題は、初歩的なものから難易度の高いものまで、実際のコード例に基づいて作成された実践的なものですが、ゲーム感覚で実施できるので参加者は楽しみながら挑むことができます。参加者は他者と比較することで自分のスキルレベルを認識でき、セキュリティ担当者は開発者にセキュリティ意識を根付かせるアプローチにこのトーナメント機能を利用できます。
5.CI/CDサイクルに統合。コーディングチェックで検出されたセキュリティ脆弱性を学習
SARIF形式のレポートを出力する静的解析ツールであれば、あらゆるツールと連携することができ、検出されたルール違反に関連する演習や動画、ドキュメントといった学習コンテンツをシームレスに提供することが可能です。静的解析ツールによって検出されたセキュリティ脆弱性を含むコードに対応した学習コンテンツを提示することで、その場での学習を可能にします。 また、CI/CDのパイプラインに静的解析ツールが組み込まれているのであれば、セキュアコーディングチェックから学習コンテンツの準備までを、一気通貫で自動化できます。
「Secure Code Warrior」の詳細・体験版はこちら
https://www.techmatrix.co.jp/product/scw/
