サイバー攻撃からWebアプリケーションを守るには、脆弱性を作り込まない開発が肝要である。しかし依然として多くのWebアプリに脆弱性が発見されている。情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)によれば2020年第3四半期(7~9月)に報告されたWebアプリケーションに関する脆弱性は189件にのぼる。
報告された脆弱性のうち最も多いのは攻撃者が用意した不正なスクリプトを実行してしまう「XSS(クロス・サイト・スクリプティング)」で97件。次にWebサイトの入力フォームに悪意ある文字列を記述してデータベースを不正に操作する「SQLインジェクション」が44件と続く。これらの脆弱性の主な原因は不適切なコーディングによるものだ。脆弱性を排除するためにも入力情報をチェックする仕組みを取り入れる、不正なスクリプトを実行させない、といったセキュリティー対策を施した「セキュアコーディング」の教育が欠かせない。
しかし企業に属する全てのエンジニアにセキュアコーディングの教育を施すのは簡単ではない。集合研修ではエンジニアを会場に集めなければならない。しかも専門家によるプログラミング研修は高額だ。エンジニア1人当たり数十万円の研修費用を要することも少なくない。コストや時間が課題となり研修の実施に二の足を踏む企業は多いはずだ。
そんな企業の悩みを解決するeラーニングが登場した。東大発のベンチャー企業Flatt Securityが手がける「Flatt Security Learning Platform」である。
eラーニングでハッキングを体験
Flatt Security Learning Platformは脆弱性やセキュアコーディングの知識をeラーニングで習得する。Flatt Securityの米内貴志Flatt Security Learning Platform 技術責任者は同サービスの特徴を「受講者が実際にサイバー攻撃を仕掛けたり、脆弱性のあるプログラムを修正したりできること」と説明する。
Flatt Security Learning Platformでは大きく3つの学習コンテンツを提供する。1つめは同社が提供するセキュリティー診断サービスのノウハウを生かした「技術や脆弱性の解説」である。Webアプリに潜在しやすい脆弱性をランキングした「OWASP Top 10」に含まれる脆弱性など、Webアプリの代表的な脆弱性について座学で学ぶ。
