実践的な演習トレーニングを完全オンラインで実現
Flatt Security Learning Platformでは「サーバサイドアプリケーションを1回以上開発した経験を持つWebエンジニア」を主な受講ターゲットに設定し、その人材が持つべきセキュリティ技術を以下の3つに分解。必要なスキルを効果的に身に付けられるプログラムを整えたという。
特徴は「資料に目を通して三択問題のテストを受けるだけ」のありがちなeラーニングシステムとは異なり、攻撃者が用いる攻撃手法を体験したり、脆弱なコードを修正したりといった実践的なトレーニングが組み込まれていることだ。
まずはFlatt Securityがセキュリティ診断などのサービスを提供する中で培ってきた“現場で活用できる”セキュリティの知識や最新の脆弱性の情報、セキュアコーディングのスキルなどをインプット。そこで得られた知識などを用いて、受講者が攻撃者となりシステムを攻撃する「ハッキング演習」や脆弱なアプリケーションのソースコードを修正する「システム堅牢化演習」をこなしていく。
特にシステム堅牢化演習のために「独自のジャッジシステム」を開発していることがポイント。ユーザーが修正したコードをジャッジサーバーに提出すると、自動的にテストが実行されて結果が返される仕組みを作った。
Flatt Security代表取締役CEOの井手康貴氏によると、セキュリティ技術を学習する手段としては現在も集合研修が主流なのだそう。その場合は2日間の研修で1人あたり10〜20万円かかることも珍しくなく、結果として受講するエンジニアの数も限られていた。
その点Flatt Security Learning Platformでは裾野を広げて1人でも多くのエンジニアに学んでもらえることを重要視し、完全オンラインかつ既存の研修よりも低価格で受講できる環境を構築(コンテンツにもよるが目安としては1人あたり数万円から受講が可能)。今まであまり扱われることのなかった「脆弱性を修正する技術」に関するトレーニングも用意して、エンジニア自らが脆弱性に対応できるようになることを目指したという。
すでにサイバーエージェントやSmartHRなど5社がクローズドのアルファ版を試験的に活用しているそう。そこで得られたフィードバックなども踏まえてアップデートを加えたものを本日ベータ版として公開している。
開発工程でセキュリティチェックを組み込む「DevSecOps」
開発元のFlatt Securityは2017年5月の設立。エンジニアとしてFiNCやメルカリに在籍していた代表取締役の井手康貴氏など東大生メンバーが中心となってスタートしたチームだ。
