東陽テクニカは、イスラエルCheckmarx社の体験型AppSecマイクロラーニングサービス「Codebashing」の提供を24日より開始する。価格は税別57,500円(1ユーザー/年間)。
-
体験型マイクロラーニングサービス「Codebashing」(同社資料より)
-
学習の流れ(同社資料より)
Checkmarx社はセキュリティに特化したソースコード解析ツールを提供する企業で2006年に設立。同社のCodebashingは、ソフト開発者やWebサイト管理者が攻撃者の視点に立って、脆弱性の修正を行うことでWebサイトやアプリケーションのセキュリティ対策を学ぶことが可能なオンライン学習サービス。5~10分程度で細分化し、主要なプログラミング言語やフレームワークを対象に150以上のコンテンツを用意。プログラムの挙動とソースコードをアニメーションで比べながら、脆弱性の概要、攻撃手法、脅威、対策方法を演習を通じて学習できる。
Codebashing(東陽テクニカWebサイト内)
学習できる脆弱性の一例として公式サイトには、SQLインジェクション/DOMベースクロスサイトスクリプティング/コマンドインジェクション/ディレクトリ(パス)トラバーサル/クロスサイトスクリプティング/XMLエンティティ参照(XEE)インジェクション/セッション固定攻撃/クロスサイトリクエストフォージェリ/不十分なランダム値の使用/クリックジャッキング/デバッグコードの残存/安全でないURLリダイレクト/認証とセッション管理の不備/安全でないTLS検証/ユーザー列挙攻撃/安全でないデシリアライゼーション/権限昇格攻撃が掲載してある。
"はかる"技術の提供をコアとして広範な分野の測定機器を取り扱う東陽テクニカは、「Codebashing」を用いた社内教育の提案、ワークショップ開催などセキュリティ攻撃の脅威と対策の重要性を社会に広く浸透させたいとしている。
