非Developer 向けのセキュリティ教育をサポート セキュアコーディング学習プラットフォーム「Secure Code Warrior」

テクマトリックス株式会社(本社：東京都港区、代表取締役社長：矢井 隆晴、以下「テクマトリックス」)は、豪州Secure Code Warrior Pty Ltd(本社：豪州ニューサウスウェールズ州、最高経営責任者：Pieter Danhieux、以下「Secure Code Warrior社」)が提供するセキュアコーディング学習プラットフォーム「Secure Code Warrior」について、セキュリティ標準規格と法規に関連する学習、脅威モデリング、セキュリティ要件や大規模言語モデル(LLM)などへの対応が開始されたことを発表いたします。テクマトリックスは、国内総販売代理店として、ソフトウェア開発に携わるお客様を対象に、本製品の日本国内での販売、マーケティング、ユーザーサポートなどの活動を展開してまいります。

世界中で猛威を振るっているサイバー攻撃は、日本企業にも多くの被害をもたらしています。サイバー攻撃は、事業継続に影響を及ぼすだけでなく、企業価値を低下させる要因にもなるため、各企業は、さまざまなセキュリティ対策を施し、防衛に注力しています。そのような状況において、ソフトウェアを提供するIT業界では、攻撃の端緒となるセキュリティ脆弱性をソースコードからできる限り排除するための、セキュアコーディングに注目があつまっています。ソフトウェアのセキュリティ確保に対する期待と難易度は日々高まっており、セキュアコーディングスキルの底上げとセキュリティ意識の維持向上は、ソフトウェア開発現場に求められる最重要課題になっていると言っても過言ではありません。ソフトウェア開発者のセキュアコーディングスキルの習得とアップデートを高レベルでサポートする、Secure Code Warriorは、IT、金融、自動車や医療機器を含めた製造業、政府機関といった高いセキュリ
ティを求められる業界の企業や組織に採用され、全世界で600以上の企業で利用されており、安全性の高いソフトウェアの開発に貢献しています。

企業は、安全性を確保するための標準規格や法規を遵守してソフトウェアの開発を行うことを求められています。セキュリティに関連した標準規格には、情報管理システムのセキュリティ強化の基準を示すISMS国際規格 ISO27001をはじめ、自動車業界向けのサイバーセキュリティ規格であるUNR155/UN-R156とISO21434、産業用制御機器などを対象とした規格のIEC62443、金融業界においては、クレ
ジットカードのセキュリティ基準PCI DSSなどがあります。また、各国で独自に制定されている法規には、デジタル製品と関連サービスのセキュリティ基準を強化するEUの法案EU Cyber Resilience Act、米国政府が国家のサイバーセキュリティを改善するために発令したアメリカ大統領令EO14028などがあり、サイバー攻撃からの防御、産業の信頼性の確保、国家の安全保障などを目的としています。

近年、ソフトウェア業界では、製品の企画や設計のフェーズからセキュリティを考慮し、セキュリティを効果的に組み込むことを目指すアプローチであるセキュリティ・バイ・デザインが注目されています。セキュリティを設計段階で組み込むことで、早期にセキュリティの問題を特定して修正を行うことができるため、セキュリティのリスクやコストの削減につながります。Secure Code Warriorでは従来から、コーディング担当者向けにセキュアコーディングを支援するために多数の脆弱性を学習するコンテンツを提供してきました。一方で今回のバージョンアップでは、脅威モデリングやセキュリティ要件など、コーディング以外の役割の方が気にするべき学習コンテンツが追加されました。セキュリティは常に状態が変化していくため最新の情報で学習することが重要であり、継続的な学習が必要です。オンライン学習プラットフォームであるSecure Code Warriorは、コンテンツの追加や更新が定期的に行われているため、最新の状態の学習コンテンツでセキュリティ教育を学ぶことが可能です。

Secure Code Warriorは、アプリケーション開発で使用するケースが増えている大規模言語モデル(LLM)の対応を開始しました。大規模言語モデル(LLM)を活用する際には、開発を効率化する一方で、セ
キュリティリスクを正しく理解し、開発を進めることが重要です。Secure Code Warriorでは、実践型コーディング演習のミッション・ウォークスルーという機能で、実際の大規模言語モデル(LLM)バックエンドを活用し、あらかじめ用意されたシナリオでコードを生成するように指示を行い、脆弱性がどのように現れるか、アプリケーションの挙動で確認することができます。自身で脆弱性を含むアプリケーションを攻撃することで、脆弱性が含まれた実装やその悪用された場合の影響を学べます。Secure Code Warriorでは、大規模言語モデル(LLM)の他にもCERT C/C++や、OWASP Top 10、Secure Code Warrior社推奨など、多くの学習コーステンプレートが用意されており、目的に合わせてカスタマイズできます。加えて、ゲーム感覚でセキュアコーディングスキルを競い合うトーナメントという機能が備わっており、セキュリティを意識するだけでなく、組織全体でセキュリティがあたりまえといったセ
キュアコーディングに対する意識や学習意欲の向上を促します。

Secure Code Warrior ライセンスプラン

Secure Code Warrior ビジネスプラン

• 提供形態：クラウドサービス(SaaS)

• 契約形態：サブスクリプション契約

• 契約期間：1年間

Secure Code Warrior デモサイト

Secure Code Warrior デモサイトは、実際のSecure Code Warrior ラーニング プラットフォーム上で、脆弱性を含むアプリケーションに対し攻撃をしてアプリケーションの挙動を確認する、ステップ バイ ステップで課題を解決するといった形でセキュアコーディング学習を無料でお試しいただけます。この無料のデモサイトでは、個人情報を登録することなく、すぐにSecure Code Warriorの基本機能をお試しいただけます。

【学べる脆弱性の課題一覧】

• Cross-site scripting(XSS)- 悪意のあるスクリプトを他ユーザーのWebブラウザーで実行

• Spring MvcRequestMatchers - 二重ワイルドカード ** の不適切な使用

• SQL Injection - SQLクエリを操作したデータベースへの不正な操作

• CodeStashBin - パスワードリセット機能の脆弱性

• Trojan Source - 信頼できないソースからのコンポーネントの使用

• Apache Path Traversal - 既知の脆弱なコンポーネントの使用

• Psychic Signatures - 既知の脆弱なコンポーネントの使用

• Log4j - 既知の脆弱なコンポーネントの使用

＜本件に関するお問い合わせ先＞

テクマトリックス株式会社

ソフトウェアエンジニアリング事業部 Secure Code Warrior 担当

E-mail：scw-info@techmatrix.co.jp

TEL：03-4405-7853