はじめに
こんにちは、GMO Flatt Security の小島です。弊社では、KENRO byGMO(ケンロー)という脆弱性への攻撃と修正で学ぶハンズオン演習に特化した、開発者向けのセキュアコーディング学習サービスを開発しています。
本日はこのサービスに関連して、セキュアコーディング研修を始める上でどのような項目を検討すべきか、そしてその中で最も悩みのタネである外部の学習コンテンツの活用方法についてまとめたスライドを公開しました。
スライドは下記のSpeakerdeckのURLより無料・登録不要で閲覧・ダウンロードいただけます。
https://speakerdeck.com/flattsecurity/secure-coding-handbook
この記事では、そのスライドを公開のお知らせを兼ねて、公開の背景や概要について紹介できればと思います。
スライド公開の背景
KENRO byGMO (https://flatt.tech/kenro/ )は新卒研修や、チームでの学習教材としてご利用いただくことで、これまでに多くの開発組織におけるセキュアコーディングの取り組みを支援してきました。
一方で、セキュアコーディング研修に取り組むにあたり、以下のような課題を目にしてきました。
-
セキュアコーディング研修を始めていきたいが予算が限られている。しかし無料・安価に取り組むことのできる学習コンテンツを知らない。
- 配布している書籍や資料を活かしきれておらず、学習効果が見込めていない。
そこで、本スライドでは開発組織に役立てていただくことを目的に、開発組織のためのセキュアコーディング研修の始め方、その中でもとりわけ開発者向けセキュリティ学習教材の選び方・活用方法に焦点を当てた内容を公開しました。またサービスの宣伝にはなりますが、KENRO byGMOの研修での活用方法についても末尾でご紹介しています。
4月以降の新卒研修に向けて、既に具体的なコンテンツを検討されている方も多いかと思いますので、ぜひ参考にしていただければ幸いです。
TL;DR (スライドのまとめ)
セキュアコーディング研修は、新卒や中途入社にかかわらず開発者のセキュリティ理解度を揃える取り組みとしても有用な取り組みです。実際、開発者の20%は、自身にセキュアコーディングの知識がないと認識しているという調査もあります。ISMSの要求事項であるISO/IEC27001やPCI DSSでの推奨事項とされていることからも、セキュアコーディングの重要性は高さは伺えます。
また、セキュアコーディング研修の実施では、「何を」「いつ・誰が」「どのように」行うか、そしてどう改善していくかとして下記の観点について検討する必要があります。
- 研修コンテンツの学習の流れ
- 研修コンテンツの実施方法
- 研修の効果測定・改善
そして、これらを効率的に実現していくため、IPA等の公開資料(安全なウェブサイトの作り方等)、OWASP Juice Shop等のやられアプリなどの無料コンテンツを活用する他、予算に応じて書籍、集合研修、e-learningサービス、KENRO byGMOを組み合わせることで、より効果的な研修のプログラムにすることができます。
研修はセキュアコーディングの文化づくりの手段であり、そのために受講者が主体的に楽しみながら学べるよう工夫することが何より重要です。
スライド内容の抜粋
スライドの雰囲気をお伝えできるように、内容を一部抜粋して掲載します。詳細な内容はスライド本文にてご覧ください。
最後に
直近の弊社ブログ記事では脆弱性のリサーチに関するセキュリティ記事を多く発信をしていますが、今後は「エンジニアの背中を預かる」というミッションに則り、エンジニアがセキュリティに取り組むための武器となるような情報発信を強化していければと考えています。
また、本スライドを通じてKENRO byGMOについて興味を持ってくださった方は、下記記事の通り、すぐにコンテンツをトライアルすることが可能です。商談やクレジットカードの登録不要で、実際に脆弱性への攻撃と修正を行う演習コンテンツが受講可能です。
無料トライアルでは、「研修の担当者ではないが、どのようなコンテンツを試してみたい」「自社の研修コンテンツを作成する際の参考にしたい」といった方にもご活用いただけるかと思います。
ここまでお読みいただきありがとうございました。
