NRIセキュアテクノロジーズは2013年9月24日、セキュリティーに留意したアプリケーション開発を実現するためのeラーニング講座「TeamProfessor」 (写真)を発表、同日提供を開始した。管理者向けやプログラマー向けなど全60講座で構成する。開発会社は米Security Innovation。価格(税別)は5ライセンス(1人で5個の講座を受けた場合)で18万1500円からで、「集合研修と比べて約90%の費用削減が可能」(同社)としている。
セキュア(安全)なアプリケーションを開発するためのノウハウを学ぶeラーニング講座である。受講すると、セキュリティー脆弱性が少ないアプリケーションを開発できるようになる。講座は全60種類で、実装やセキュリティ管理などの役割ごとに五つのカテゴリーに分かれる。実装については、開発言語やプラットフォームを一通り網羅する。基礎面では、PCI DSSやMicrosoft SDL、OWASPなどの基準を学ぶことができる。
五つのカテゴリーは以下の通り。(1)「セキュリティアウエアネス関連コース」(全5コース)は、セキュリティの基礎を学ぶ。(2)「セキュリティエンジニアリング関連コース」(全10コース)は、要求事項の作成方法やレビューの実施方法など管理手法を学ぶ。(3)「セキュリティソフトウエア設計関連コース」(全8コース)は、ソフトウエアのアーキテクチャーやセキュリティ技術などを学ぶ。(4)「テスト/検証関連コース」(全10コース)は、テストの基礎と手法を学ぶ。(5)「セキュアコーディング関連コース」(全27コース)は、各言語/プラットフォームごとの実装手法を学ぶ。
全60種類のコースのうち、記事執筆時点(2013年9月24日時点)で日本語化済みのコースは6個あり、今後は順次日本語化を進めるとしている。全60種のコースは以下の通り。
| 難易度(4段階) | 講座番号 | 講座名 | 日本語化 |
|---|---|---|---|
| セキュリティアウェアネス関連コース | |||
| 初級 | AWA 101 | アプリケーションセキュリティの基礎 | 日本語化済み |
| AWA 102 | ソフトウェアセキュリティの認識 | ||
| AWA 103 | 情報セキュリティの6つの基本 | ||
| AWA 104 | PCI DSSの基礎 | ||
| AWA 105 | セキュリティ認識の基礎: モバイルとソーシャルメディア | 日本語化済み | |
| セキュリティエンジニアリング関連コース | |||
| 初級 | ENG 101 | マネージャーのためのMicrosoft SDL | |
| ENG 102 | Microsoft SDL入門 【Free】 | ||
| 初~中級 | ENG 201 | SDLCギャップ分析と修正方法 | |
| ENG 211 | アプリケーションセキュリティデザイン要求事項作成方法 | ||
| 中~上級 | ENG 301 | アプリケーションセキュリティ脅威モデルの作成方法 | |
| ENG 311 | 攻撃対象領域解析(Attack Surface Analysis)と削減 | ||
| ENG 312 | ソースコードレビューの実施方法 | ||
| ENG 391 | アプリケーションセキュリティ脅威モデル:組込みシステム | ||
| ENG 392 | 攻撃被害解析:組込みシステム | ||
| ENG 393 | セキュアソースコードレビュー演習:組込みシステム | ||
| セキュリティソフトウエア設計関連コース | |||
| 初級 | DES 101 | セキュアアーキテクチャの基礎 | |
| 初~中級 | DES 211 | OWASPトップ10 - 脅威とリスク軽減 【Free】 | 日本語化済み |
| DES 212 | アーキテクチャのリスク分析と修正 | ||
| DES 213 | セキュリティ ツールとテクノロジー | ||
| DES 292 | アーキテクチャのリスク分析:組込みシステム | ||
| 中~上級 | DES 301 | 暗号入門 | |
| DES 311 | セキュアアプリケーションアーキテクチャの構築 | ||
| DES 391 | セキュアアプリケーションアーキテクチャ:組込みシステム | ||
| テスト/検証関連コース | |||
| 初級 | TST 101 | セキュリティテストの基礎 | |
| TST 191 | セキュリティテストの基礎:組込みシステム | ||
| 初~中級 | TST 201 | セキュリティ欠陥のクラス | |
| TST 211 | OWASPトップ10のテスト方法 | ||
| TST 291 | セキュリティ欠陥のクラス:組込みシステム | ||
| 中~上級 | TST 301 | SW セキュリティテスト - ツール&テクニック | |
| TST 311 | ソフトウェアセキュリティの侵害方法 | ||
| 上級 | TST 401 | アドバンスドソフトウェアセキュリティテスト | |
| TST 411 | バッファオーバーフローの悪用 | ||
| TST 491 | アドバンスドセキュリティテスト:組込みシステム | ||
| セキュアコーディング関連コース | |||
| 初級 | COD 101 | セキュア開発の基礎 | 日本語化済み |
| COD 110 | セキュアモバイル開発の基礎 | ||
| COD 141 | セキュアデータベース開発の基礎 | ||
| COD 151 | Web 2.0セキュリティの基礎 | ||
| COD 190 | モバイル開発の基礎:組込みシステム | ||
| 初~中級 | COD 211 | ソースコードの作成 - JRE の基礎 | 日本語化済み |
| COD 212 | ソースコードの作成 - C/C++ の基礎 | ||
| COD 213 | ソースコードの作成 - Windows 7 の基礎 | ||
| COD 215 | ソースコードの作成 - .NET 4.0 の基礎 | 日本語化済み | |
| COD 217 | ソースコードの作成 - iPhone の基礎 | ||
| COD 218 | ソースコードの作成 - Android の基礎 | ||
| COD 221 | Webの脆弱性 - 脅威とその軽減 | ||
| COD 222 | 開発者のためのPCI 準拠ベストプラクティス | ||
| COD 231 | クロスサイトスクリプティング入門 - JSP 【Free】 | ||
| COD 232 | クロスサイト スクリプティング入門 - JASP.NET 【Free】 | ||
| COD 241 | セキュアコード作成:Oracleの基礎 | ||
| COD 242 | セキュアコード作成:SQLサーバ | ||
| COD 292 | C/C++コードの基礎:組込みシステム | ||
| 中~上級 | COD 311 | セキュアなASP.NETコードの作成 | |
| COD 312 | セキュアなC/C++コードの作成 | ||
| COD 313 | セキュアなJ2EEコードの作成 | ||
| COD 314 | セキュアなC#コードの作成 | ||
| COD 315 | セキュアなPHPコードの作成 | ||
| COD 317 | セキュアiPhoneコード:Objective C | ||
| COD 392 | セキュアC/C++コーディング:組込みシステム | ||
| 上級 | COD 411 | 整数オーバーフロー - 攻撃と対策 | |
| COD 412 | バッファオーバーフロー - 攻撃と対策 | ||
