コースモジュールは、学習リソースと言語固有のコーディング課題から構成されており、サイバーセキュリティプログラム全体にセキュアコーディングの認識とコンピテンシーを組み込むことができます。
各コースは、組織固有のトレーニングまたは脆弱性要件に対応するように作成することができ、開発チームのための反復可能な学習経路を構築することができます。
以下の記事では、会社管理者またはチーム管理者がコースを作成し、公開するための手順を説明しています。
利用可能なすべてのコーステンプレートのリストについては、 こちらをクリックしてください。
ステップ1
トップメニューからガイド付き学習を開き、コース管理を選択します
ステップ 2
コース追加を選択し、コース作成ウィザードを開始します。
ステップ 3
コース作成ウィザードはあなたの要件に応じて、コースの焦点の選択から設定をガイドします。
既存のテンプレートを使用してコースを作成することも、ゼロからコースを作成することもできます。
オプション 1: 既存のテンプレートを使用してコースを作成する:
標準テンプレート
-
入門コース - 入門コースでは、Secure Code Warriorで活用できるインタラクティブな学習課題の概要を紹介します。この短期コースは、第一のプラットフォームアクティビティとして、すべての新規プラットフォームユーザーに推奨されます。
-
OWASP Top 10に関する認知向上概論(Webトップ10 2021の最新更新を含む)- Web言語用OWASP Top 10 (2021年)、モバイル言語用OWASP Top 10 (2016年)、API言語用OWASP Top 10 (2023年) に基づく課題が予め用意されている短期コースです。
-
OWASP Top 10に関する認知向上(Webトップ10 2021の最新更新を含む)- Web言語用OWASP Top 10 (2021年)、モバイル言語用OWASP Top 10 (2016年)、API言語用OWASP Top 10 (2023年) に基づく課題が予め用意されているコースです。
-
PCI DSS v4.0 推奨事項 - このコースでは、PCI DSS v4要件(ソフトウェア開発のコントロール2~8と10、モバイルのコントロール4.3と4.7 )に基づく課題を用意しています。
-
Secure Code Warrior推奨事項- このコースでは、独自の推奨事項に基づく課題を用意しています。OWASPやPCI-DSSの規格を考慮に入れていますが、最新の脆弱性を記載したリストを備えているほか、特定の言語やフレームワークにおける脆弱性の流行も考慮されています。
-
大統領令(EO)14028に基づく「EO-Critical Software(重要なソフトウェア)」使用におけるセキュリティ対策 - 2021年5月12日施行された「国家のサイバーセキュリティの向上に関する大統領令(EO)14028」による、重要なソフトウェア使用時のセキュリティ対策に関する米国標準技術研究所(NIST)のガイダンスに基づくコースです。
-
CERTの推奨事項 - このコースには、SEI CERTコーディング標準に基づくガイドラインと課題があらかじめ盛り込まれています。
-
認定プログラムレベル1 - OWASP 1-5 - OWASPカテゴリ1~5の脆弱性に対応する認定プログラムレベル1 - 初級レベル
-
認定プログラムレベル2 - OWASP 6-10 - OWASPカテゴリ1~5の総まとめとOWASPカテゴリ6~10の脆弱性に対応する認定プログラムレベル2 - 初級レベル
-
認定プログラムレベル3 - OWASPおよびSCW推奨事項 - OWASPカテゴリ1~10の総まとめとSCWの推奨事項カテゴリに対応する認定プログラムレベル3 - 中級レベル
-
認定プログラムレベル4 - OWASP 1-5向けのミッションおよび難問課題 - OWASPカテゴリ1~5のミッションと難問課題を含む認定プログラムレベル4 - 難問レベル
-
認定プログラムレベル5 - OWASP 6-10向けのミッションおよび難問課題 - OWASPカテゴリ6~10のミッションと難問課題を含む認定プログラムレベル5 - 難問レベル
-
ストーリーOWASP TOP 10(2021年)- このコースでは、OWASP TOP 10(2021年)の基本をストーリー仕立てでご紹介します。コースは、動画の視聴やガイドラインにある脆弱性の解説、攻略の実践、コードの分析、脆弱性のピンポイント修正など、複数の演習を積み重ねて学習していくようになっています。
-
OWASP Top 10 2017に関する認知向上 - Web言語用OWASP Top 10 (2017年)、モバイル言語用OWASP Top 10 (2016年)、API言語用OWASP Top 10 (2023年) に基づく課題が予め用意されているコースです。
-
PCI DSS v3.2.1 推奨事項 - このコースでは、PCI DSS要件(6.5 ソフトウェア開発のコントロール、4.3および4.7 モバイルのコントロール)に基づく課題を用意しています。
-
現代のCセキュリティ- このコースでは、セキュリティの観点からCの複雑さを調査し、文字列の取り扱い、メモリ管理、整数のオーバーフロー、形式の文字列攻撃などの主要な脆弱性をカバーし、それらを軽減する戦略を調べます。
-
最新のC ++セキュリティ - このコースでは、セキュリティの観点からC ++の複雑さを調査し、文字列の取り扱い、メモリ管理、整数のオーバーフロー、フォーマット文字列攻撃などの主要な脆弱性をカバーし、それらを軽減する戦略を調べます。
-
ミスラ - このコースでは、MISRAコンプライアンスをカバーし、決定可能性、タイプの安全性、未定義の行動に焦点を当てています。安全なプログラミングにおける一般的な落とし穴を避けるために、記憶の安全性と戦略のベストプラクティスを学びます。
-
OWASPトップ10 CI/CD - このコースでは、不適切なアクセス管理、依存関係の乱用、毒パイプライン、および資格障害の低いなどの問題など、OWASP CI/CDトップ10のセキュリティリスクをカバーしています。また、安全でないシステム構成、サードパーティのサービスリスク、および不十分な伐採に対処します。
-
GOのための安全なプログラミング - このコースでは、GOの安全なプログラミングをカバーし、Webインターフェイスのセキュリティ、並行性、セッション管理、暗号化、エラー処理に焦点を当て、共通の脆弱性を防ぐための戦略を網羅しています。
-
コンテナ化されたクラウドインフラストラクチャの安全な実装 - このコースでは、開発者のラップトップから生産にコンテナを安全な方法で持ち込むことができる最新のクラウドインフラストラクチャを構築することに焦点を当てます。
-
iOSの基礎 - このコースでは、iOSオペレーティングシステムのアーキテクチャとセキュリティ機能から、アプリの開発と展開の複雑さまで、幅広いトピックをカバーしています。
-
Kubernetesセキュリティ - 主要なプラットフォームセキュリティコントロールを効果的に使用することに焦点を当てて、iOSアプリケーションリスクを軽減するための防御プログラミング手法を学びます。
-
iOSの安全なプログラミング - 主要なプラットフォームセキュリティコントロールを効果的に使用することに焦点を当てて、iOSアプリケーションリスクを軽減するための防御プログラミング手法を学びます。
-
NIS2 - このNIS2トレーニングコースでは、サプライチェーンのセキュリティ、暗号化、暗号化、多要因認証などの実用的なトピックについて説明します。また、ネットワークセキュリティ、リスク管理、インシデント処理、脆弱性管理などの重要な要件にも触れています。
- COBOLセキュリティの基礎 - このコースでは、COBOLシステムのリスクを調査し、セキュリティの神話を暴き、脆弱性を調べます。セキュリティの問題を軽減するためのベストプラクティスと戦略をカバーしています。
セキュリティ意識とデザインテンプレートを選択する
-
Security Awarness 101 - 動画と初心者レベルの課題を含んでおり、ソフトウェアのセキュリティと一般的な脆弱性に関する入門編を紹介するコースです。
-
ソフトウェアセキュリティの基礎 - このコースでは、ソフトウェア開発ライフ サイクル (SDLC) を通じて、基本的なソフトウェア セキュリティの概念を紹介します。参加者は、ソフトウェア セキュリティ イニシアチブ (SSI) を確立し、安全なコード レビューを実施し、アプリケーション セキュリティ テストを実装する方法を学びます。
-
セキュリティ要件 - このコースでは、セキュリティ要件を収集、定義、検証する方法について説明します。参加者は、セキュリティ要件とは何か、そして組織の目標に沿った実用的なセキュリティ要件を作成する方法を学びます。
-
脅威のモデリング - このコースでは、参加者はソフトウェア システムに対する潜在的な脅威を特定し、軽減するための体系的な方法論を学びます。トピックには、システム アーキテクチャ、データ フロー、脅威の状況の理解、脅威モデリング ツールの適用などが含まれます。
-
オープンソース ソフトウェア (OSS) - このコースでは、オープンソース ソフトウェア、その利点と欠点、および関連するリスクを効果的に管理するための戦略について探ります。参加者は、顕著な OSS の脆弱性に関する実際のケーススタディを検討し、セキュリティ リスクを軽減するための重要な教訓とベスト プラクティスを理解します。
-
オープンソースのポリシーとリスク - このコースでは、主要なオープンソースライセンス、その義務、関連するセキュリティリスク、および組織全体の使用のための企業ポリシーを構築するための手順をカバーしています。
-
PCI DSS V4.0の概念とコンプライアンス -このコースは、PCI DSS関連アプリケーションに取り組む開発者のセキュリティトレーニングとして意図されています。このコースでは、開発者向けの年間PCI DSSトレーニング要件について説明し、必要なトレーニングを提供します。
-
アーキテクチャリスク分析 - アーキテクチャリスク分析(ARA)は、デザインの欠陥とシステム内にもたらされるリスクを発見することを目的とする一連の技術です。
-
攻撃と防御 - このコースでは、攻撃者が現実の世界で脆弱性を発見し、活用する方法と、強力な防衛線を構築する方法を教えてくれます。
-
リスクベースのセキュリティテスト戦略 - このリスクベースのセキュリティテストコースは、学習者に、ソフトウェアシステムのセキュリティ姿勢を効果的に評価および強化するための方法論、ツール、およびベストプラクティスの包括的な理解を提供します。学習者は、リスク評価、テスト計画、テスト設計、実行、およびレポートのコア概念を探求します
-
データサイエンティストとアナリストのセキュリティ - このコースでは、サイバーセキュリティ、データセキュリティ、高度なセキュリティ原則、データパイプラインセキュリティ、異常検出、SIEM、脅威インテリジェンス、安全なコーディングプラクティスなどの重要なトピックについて説明します。
-
OWASP 大規模言語モデル (LLM) アプリケーションのトップ 10 -このコースでは、大規模言語モデル (LLM) アプリケーションの OWASP TOP 10 を検討します。
-
データベースセキュリティ- このコースでは、脅威やコンプライアンスを理解することから、認証、暗号化、効果的な監視と監査の実装まで、データベースを保護するための重要な手順をカバーしています。
-
OAUTH 2.0セキュリティ- OAuth 2.0 は、API へのアクセスを保護するために広く使用されているフレームワークです。このコースでは、OAuth 2.0 の中核となる概念を紹介し、推奨されるフローを調査します。また、非推奨のフローについても簡単に説明し、一般的なセキュリティの落とし穴や誤解についても見ていきます。
-
自動車セキュリティの紹介 - このコースでは、自動車セキュリティの概要を提供し、脅威、基本、脅威のモデリング、およびISO 26262に深く潜り込んで脅威、脅威のモデリングと標準をカバーします。また、車両のセキュリティリスクを緩和するためのコーディングプラクティス、テスト、メンテナンスにも対応しています。
-
ヘルスケアの安全な開発 - このコースでは、ヘルスケアアプリケーションと医療機器ソフトウェアのコンプライアンスランドスケープを調査し、敏感な健康情報を保護するための法的要件とベストプラクティスに焦点を当てています。
-
GDPRの紹介 - このコースは、データ主体の権利とソフトウェア開発ライフサイクルに対するGDPRの影響に焦点を当てた、個人データ使用の原則、役割、および規制をカバーしています。
-
開発者および建築家向けのGDPR - この中間コースは、ソフトウェア開発者と建築家のGDPRの原則と要件をカバーしています。トピックには、同意の取得、個人データアクセスと共有の管理、データ主体アクセス要求、および国際データ転送が含まれます。
-
開発およびプロジェクトマネージャー向けのGDPR - この中間コースは、開発者とプロジェクトマネージャー向けのGDPRの原則をカバーしています。トピックには、設計によるデータ保護、データ主体の権利、設計および生産要件、プライバシー影響評価、データ共有、および国際転送が含まれます。
-
CCPAの紹介 - このコースでは、アプリケーションがCCPAへのコンプライアンスを確実に達成できるように、必要なすべてのガイドラインを提供します。消費者に提供されなければならない必要な通知を詳述し、それらを効果的に実装するためのプロセスの概要を説明します
-
クラウドセキュリティの紹介 - このコースでは、安全なクラウドインフラストラクチャを調査し、データ保護、アイデンティティ管理、コンプライアンス、コンテナ化されたサーバーレス環境のセキュリティに焦点を当てています。AWS、Azure、およびGCPの理論と実践的な例を通じて、参加者は、進化する課題のために安全なクラウドソリューションを設計および維持するスキルを獲得します。
-
AIでコーディング - このコースは、言語モデル(LLM)がどのように機能するか、およびコーディングに使用する方法を理解するのに役立ちます。セキュリティのリスクと法的問題を避けながら、コーディングでAIで作業する最良の方法を学びます
-
AIリスクとセキュリティの紹介 - この初心者コースでは、開発者と技術専門家にAIのリスクとセキュリティを紹介し、重要な概念、リスク評価、緩和戦略、回復力をカバーしています。また、AIガバナンスと説明責任を強調しています。
-
開発者と建築家向けの暗号化の紹介 - このコースでは、独自の安全なアプリケーションとシステムを設計および開発するのに役立つ暗号化の基本を教えます。
-
パスワードストレージを保護します- このコースは、パスワードセキュリティの進化する分野に関する詳細な洞察を提供し、ユーザーの資格情報を保護するための高度な戦略への基本的な概念を通じて学習者を導きます。
-
APIを強化します- このコースでは、攻撃者がAPIをターゲットにして攻撃的なテクニックを使用し、これらの脅威に対抗するために防御的なセキュリティ対策を実装する方法を探ります。コースの終わりまでに、APIセキュリティを強化するために一連のベストプラクティスが開発されます。
-
コードとしてインフラストラクチャを保護します - このコースでは、iOSオペレーティングシステムのアーキテクチャとセキュリティ機能から、アプリ開発と展開の複雑さまで、幅広いトピックをカバーしています。
-
Amazon Webサービスの保護(AWS)- このコースでは、AWSセキュリティの包括的な概要を提供し、クラウドセキュリティ、コンプライアンス、インフラストラクチャ、アプリケーションセキュリティ、アイデンティティとデータ管理、インシデント対応をカバーしています。
-
Microsoft Azureの保護 - このコースでは、Microsoft Azure Cloudプラットフォーム上に構築および展開されたソフトウェアを保護することの内外を探ります。Azure固有の機能を使用して、アプリケーションの生産データが適切に保護および監視されるようにする方法を学びます。
-
Googleクラウドプラットフォーム(GCP)の保護 - このコースでは、Google Cloudプラットフォームで安全な環境の構築と運用を導き、インフラストラクチャとデータを保護するためのセキュリティ機能とサービスをカバーしています。最後に、クラウドネイティブのアプリケーションとサービスを展開するための安全なGCPインフラストラクチャをセットアップできます。
-
アプリケーションセキュリティテストの概要 - このコースでは、SAST、DAST、および浸透テストをカバーするアプリケーションセキュリティテストの高レベルの概要を提供します。主要なツール、テクニック、および結果を解釈して、アプリケーションの脆弱性を識別し、軽減する方法を学びます。
- モノのインターネットを保護するための紹介 - このコースでは、プライバシーと脆弱性に焦点を当てたIoTの複雑さとセキュリティのチャレンジを調査します。 IoTベンダー、企業、または消費者として情報に基づいた意思決定を行うために必要な知識を提供します。
オプション2:ゼロからコースを構築する
-
特定の脆弱性をターゲットにする- 特定の脆弱性に対応したコースを作成することができます。このオプションを選択すると、プラットフォームはリストされた脆弱性に対して定義済みのモジュールを設定します。
- カスタム- 選択したプログラミング言語(フレームワーク)のビデオ、課題、難易度、およびプラットフォームで利用可能なヒントを完全に制御して、ゼロからコースを構築します。詳細はこちら 独自のコースモジュールを作成する
ステップ4
コースでカバーされるすべての言語に対して表示される1つのウェルカムメッセージまたはコース紹介メッセージを追加します。
ステップ 5
コースコンテンツ」セクションに移動すると、コースを高いレベルで表示したり、アクティビティを拡大して詳しく見ることができます。
さらに、以下のことができます:
- 一括アクションのために複数の言語およびモジュールを選択する
- テーブルの列および列の順序を管理する
- コースのコンテンツを検索、ソート、フィルタする
一括アクションの詳細についてはこちらの記事をご覧ください。
左のリストから必要な言語を選択してください。あなたのコースに必要のない言語:フレームワークを削除するには、一括アクションをクリックし、言語の削除オプションを選択してください。
ステップ 6
コンテンツテーブルで設定済みのコースモジュールを確認することができます。この段階で、必要に応じてモジュールを追加することもできます。
コースコンテンツキュレーションフローは管理者が選択した言語にコンテンツを追加できるよう、以下のように合理化されています:
1) 既存モジュールのコピー
既存モジュールのコピーオプションを選択します。
コピーしたい言語とモジュールを選択し、[コンテンツを追加] ボタンをクリックします
2) 新しいモジュールを追加する:
- テンプレートから新しいモジュールを追加する
- 新しい脆弱性モジュールを追加する
- 新しいカスタムモジュールを追加する
見る 独自のコースモジュールを作成する方法 をご覧ください。
ステップ 7
いよいよコース終了アクティビティを追加する番です。
グローバルコース終了メッセージ
これにより、開発者がコースを完了した場合、お祝いのメッセージを共有することができます。
コース終了評価
メッセージを共有し、そのコースの評価を完了するよう誘導することができます。あなたは2つのオプションから選択することができます:
- 単一のコース終了評価
- 各言語のコース終了評価を1つの画面で管理する
- 評価オプションを選択した場合、選択およびリンクできるように、事前に1つの評価を作成する必要があります。(詳細はこちらをご覧ください)
- また、評価はコースと同じ言語をカバーしている必要があります。
ステップ 8
その他の 設定 」タブをクリックしてください。
この時点でコース名と説明を設定してください。参加者 (およびあなた自身) がコースの内容を簡単に理解できるような命名規則を選択してください。
ここで終了日、バッジ、Eメール通知を選択することができます。
また、コースを公開する準備ができていない場合、「下書きとして保存」をクリックして、いつでも進捗状況を保存することができます。
-
コース終了日
- なし:期限なしでコースを作成する場合、このオプションを使用してください。
- 期限: 日数で期限を設定します。開発者は登録からこの期間内にコースを完了する必要があります。
-
終了日:コースの期限を設定します。終了日に達した場合、コースは期限切れとしてマークされ、開発者はコースを開始/再開することができなくなります。
-
通知
-
電子メール通知を有効にする
- 招待された開発者は、コースが公開されたときにEメールで通知を受け取ります。
- 招待された開発者は、コース終了日の3日前と5日前に、まだコースを開始していないか、完了していない場合、リマインダーを受け取ります。
- 終了日が変更された場合は、参加者全員に通知が送られる。
- まだコースを開始していない、または完了していない開発者は、ナッジ通知を受け取ります。
-
電子メール通知を有効にする
Microsoft Teams経由で通知を送信したい場合は、サポートチームまでご連絡ください。
-
LMS管理: LMSにインポートできるSCORMパッケージダウンロードを有効にするには、この設定をチェックしてください。これにより、自動的に全社的な自動割り当てを有効にし、通知を無効にし、コース終了日管理を無効にして、これらのオプションをLMSに委任することができます。さらに、受講者はLMS経由でこのコースにアクセスし、完了をLMSに報告する必要があります。
- コースアップデートの公開 各コースにはいくつかのオプションがあり、公開コースの編集方法や、コースの編集がコース参加者に与える影響を制御するよう設定することができます。詳細はコースの編集方法をご覧ください。
ステップ 9
これでコースを公開する準備ができました。コースを公開する場合は「コースを公開する」ボタンを、コースを試用する場合は「プレビューとして保存する」ボタンをクリックしてください。
次のステップ
コメント
0件のコメント
サインインしてコメントを残してください。