Flatt Security、セキュアコーディング習得を支援するSaaS型eラーニングサービス「Flatt Security Learning Platform」のβ版登録申込を開始。

「Flatt Security Learning Platform 」β版の登録申し込みページ
https://flatt.tech/learning_platform

「Flatt Security Learning Platform」提供の背景

昨今、複雑化の一途をたどるWebアプリケーションをセキュアに保つことはますます難しいものとなっています。
そのため、セキュリティを担保するには外部機関によるセキュリティ診断やペネトレーションテストなどの事後的な検査だけでは十分でなく、全ての開発者があらかじめセキュリティの知識を身につけた上で実装することが求められています。

アプリケーションを狙う攻撃者は常に新たな攻撃手法を開発するのに対し、 開発者が無防備ではアプリケーションを守ることは難しいでしょう。このような課題は、これまでFlatt Securityが様々な企業のセキュリティ診断を手がける中で感じてきたものでもあります。

また、DevSecOpsの名の下に開発工程にセキュリティチェックを組み込むことで、従来の事後的な検査よりも手戻りの少ない上流工程でセキュリティの担保を目指す「シフトレフト」の動きが今後加速するのも確実と言えるでしょう。

そして開発工程において最上流に位置するもの、それは開発を行うエンジニア自身だとFlatt Securityは考えます。開発者がセキュリティに責任を持つ時代が訪れているのです。

「Flatt Security Learning Platform」の概要

「Flatt Security Learning Platform」の受講ターゲットはサーバサイドアプリケーションを一回以上開発した経験を持つWebエンジニアを想定しています。

そのようなWebエンジニアが持つべきセキュリティに関する技術を

• セキュアに開発する技術
• 脆弱性を探し出し評価する技術
• 脆弱性を修正する技術

の3つに分解しました。
 

「Flatt Security Learning Platform」はWebアプリケーションに関するセキュリティをこれら3技術の観点から学習することで、より効果的な知識の獲得を実現することができるサービスです。

「資料に目を通して三択問題のテストを受けるだけ」という一般的なeラーニングとは異なり、本サービスでは攻撃者が用いる攻撃手法を体験したり、実際に脆弱なコードを修正したりと、より実践的なトレーニングを一元的に受講できます。

場所・時間にとらわれない学習の機会を、すべてのエンジニアに提供します。

「Flatt Security Learning Platform」の学習方法

各学習コンテンツに対して次の3つのメソッドが用意されており、受講者にこれまでにない学習体験を提供します。
 

（1）技術や脆弱性の解説

当社がセキュリティ診断などのサービスを提供する中で培ったセキュリティのノウハウを提供します。
受講者は様々なアーキテクチャにおけるセキュリティの知識と、最新の脆弱性の情報、セキュアコーディングを学ぶことができます。

（2）ハッキング演習

脆弱性は時にアプリケーションの運用に致命的な影響を与えます。この演習では受講者が攻撃者となりシステムを攻撃します。 脆弱性を悪用することによりアプリケーションにどのような被害を与えることができるのかをCTF形式の演習で学びます。

※CTF : Capture The Flag の略で、旗取りゲームを意味しそこから派生してコンピュータセキュリティの技術を競う大会を指します。

（3）システム堅牢化演習

脆弱性を見つける技術だけでは、開発者にとって十分ではありません。受講者は学習の総仕上げとして、脆弱なアプリケーションのソースコードを修正する演習を行います。独自のジャッジシステムによって修正されたコードに対して自動でテストが実行され、その結果が受講者に返されます。この技術が、Flatt Security Learning Platformを全自動学習プラットフォームたらしめています。

提供予定の学習コンテンツ

・基本的な脆弱性に関するコンテンツ
β 版では以下のトピックについての学習コンテンツをご提供いたします。

• SQL Injection 
• Cross-Site Scripting (XSS) 
• Cross-Site Request Forgery (CSRF) 
• OS Command Injection 
• Directory Traversal 
• Insecure Deserialization 
• XML eXternal Entity (XXE) 
• Open Redirection
• Clickjacking
• Header Injection 

・発展的なコンテンツ
近年採用が進んできている若い技術や、未だセキュリティ観点が断片的にしかまとめられていないような技術に関する、発展的な学習コンテンツの拡充も図っています。β 版では以下の学習コンテンツがご利用いただけます。

• GraphQL の基礎とセキュリティ
• JWT の基礎とセキュリティ
• WebSocket の基礎とセキュリティ

導入企業様のメリット

Flatt Security Learning Platformを用いて、セキュリティ予算を「人に投資する」ことは導入企業様に様々なメリットをもたらします。

（1）長期にわたって安全と開発スケジュールを守る

一度きりの事後的なセキュリティ診断と違い、開発者がセキュリティを身につけることは長期にわたって会社に安全性をもたらし続けます。また、大幅なスケジュール見直し・コスト増の原因となる事後改修も防げます。

（2）より低コストなセキュリティ対策

学習フローの自動化により、集合研修形式の類似サービスより低料金でのSaaSとしての提供を可能としました。また、社内での人材育成は採用コストのカットをも可能とします。

（3）エンジニアの満足度向上

高度なセキュリティ技術習得の機会を提供することは、貴社のエンジニア従業員の満足度向上をもたらす福利厚生となるでしょう。

開発・コンテンツ監修担当者

開発・コンテンツ監修の担当者はセキュリティ診断サービスへの従事に加えて、セキュリティ・キャンプ全国大会講師等対外的な活動実績の豊富なFlatt Securityのセキュリティエンジニア陣です。
「Flatt Security Learning Platform」を含む、弊社のプロダクト開発にかける想いをこちらのブログに掲載しています。ぜひご覧ください。

「Flatt Securityが事業にかける想いと目指すVision／代表 井手康貴×セキュリティエンジニア 米内貴志」
https://flattsecurity.hatenablog.com/entry/2020/08/05/120000

■会社情報

社名：株式会社Flatt Security
代表取締役社長：井手康貴
所在地：〒113-0033 東京都文京区本郷3丁目43−16 コア本郷ビル 2A
設立：2017年5月23日
Webサイト： https://flatt.tech
ブログ：https://blog.flatt.tech
事業内容：サイバーセキュリティ関連サービス