コンピュータサイエンス、ソフトウェア工学、サイバーセキュリティのいずれを教える場合でも、Aikido 学生に企業レベルのセキュリティツールを無料でAikido 。
Aikido プロチームが信頼するプラットフォームを教室に導入し、実践を通じて生徒の学習を支援します。教師はこれを授業に組み込むことで、複雑さやコストを増やすことなく、生徒に現実のセキュリティ課題に対する実践的な体験を提供できます。
このプログラムの背景にある「理由」が気になりますか? 私たちのストーリーはこちら→Aikido 始めた理由.
教師がAikidoを使う理由
Aikido 教授陣が理論を生き生きと伝えるAikido 。静的なスライドではなく、実際の脆弱性を実演することで実現します。これにより教授陣は、学生が実際のコード、クラウド構成、ランタイムセキュリティを扱う実践的な課題を設計できるようになります。さらに学習成果と進捗を追跡可能にしつつ、学生に実践的で即戦力となる経験を積ませることも可能にします。
教育関係者向け
ステップ1 – ワークスペースとチームの設定
業界のセキュリティチームと同様に、まずワークスペースを作成し、学生をチームにグループ分けします。例えば、50人のクラスを10人×5チーム、または5人×10チームに分割できます。コースアプリ、オープンソースプロジェクトのフォーク、専用教育リポジトリなどのリポジトリを接続し、学生が問題を発見・修正できるサンドボックス環境を提供します。
スクリーンショット:ワンクリック登録画面。教授がアカウントを作成し、リポジトリを安全に読み取り専用アクセスで接続する方法を示す。
ステップ2 – 生徒を招待する
生徒をワークスペースに招待し、アクセス権限を定義する役割を割り当てます。これにより、教室を整理整頓しながら、プロフェッショナルな環境で使用されるアクセス制御と説明責任の実践を体験させることができます。
スクリーンショット:教授が学生をリポジトリ、クラウド、コンテナ全体で特定のチームや役割に割り当てる方法を示す招待ユーザーフロー。
ステップ3 – 最初のスキャンを実行する
リポジトリが接続されると、Aikido それらをスキャンし、数分以内にメインフィードに情報を反映します。授業でこれを使用し、学生にプロフェッショナルなセキュリティダッシュボードを見せ、発見結果のカテゴリーを一緒に確認しながら、抽象的な概念を可視化された結果に変換しましょう。
スクリーンショット:最初のスキャン後のAikido フィード。カテゴリ別に深刻度レベル、修正時間の見積もり、ステータスフィルター付きで様々な問題が表示されています。
ステップ4 – オープンソース依存関係を探る
オープンソース依存関係は現代ソフトウェアの基盤を形成しますが、同時に継承されたリスクももたらします。学生はCVEがサプライチェーンに与える影響と、パッチ適用が重要な理由を学びます。簡単な演習として、各チームに脆弱なパッケージを割り当て、パッチを適用させ、スキャンを再実行して修正を確認させます。
スクリーンショット:ダッシュボードでハイライト表示された脆弱なオープンソース依存関係と詳細なCVE情報
誤検知を減らす
セキュリティアラートは圧倒されるほど多く、その多くは誤検知です。学生は「全検出結果」ビューと「Aikido 結果を比較することで、対応可能な問題に焦点を当てる方法を学びます。
スクリーンショット:全検出結果とAikido洗練された結果の比較。誤検知が71%削減され、対応可能な脆弱性が強調されている様子を示す。
到達可能性分析
すべての脆弱性が悪用可能とは限りません。依存関係パスを確認することで、学生は自身のコード内で実際に到達可能なCVEを特定し、実際のリスクに基づいて修正の優先順位付け方法を学びます。
スクリーンショット:CVE-2019-10746の依存関係チェーンと、脆弱なパッケージが実際に本番環境で使用されているかどうかを示す到達可能性分析グラフ。
ステップ5 – クラウド構成とコンプライアンスの分析
公開バケットや過度に許可されたIAMロールといったクラウドの誤設定は、侵害の最も一般的な原因の一つです。受講生は、技術的なミスがSOC2、ISO 27001、OWASP Top 10などのフレームワークに直接どのように関連するかを学びます。デモ用クラウド環境を使用して誤設定を示し、その後、受講生に問題を修正させ、コンプライアンススコアが向上するまで取り組みます。
スクリーンショット:クラウド設定の不備の結果として、AWS、Azure、GCP、DigitalOceanにまたがる接続済みアカウントが表示され、Azureデモ環境の詳細な調査結果(無効化されたセキュリティログを含む)と修復ガイダンスが示されている。
Asset Graph + Cloud Search
設定ミスが互いにどう関連しているかを可視化することで、学生はより優れた可視性と文脈がリスク軽減にどう役立つかを理解できます。Aikido クラウド全体を対象とした自然言語クエリをAikido 、学生が探したい内容を単純に記述するだけで、システムがそれを一連の論理的なステップに変換します。 例えば、学生が「S3バケットにアクセス権を持つEC2インスタンスを表示」と要求すると、Aikido インスタンス、IAMロール、バケットポリシー、権限間のAikido 、結果を段階的に提示します。
スクリーンショット:自然言語クエリ「米国IPアドレスに関連するデータ」を、EC2インスタンス、ロードバランサー、RDSデータベース、S3バケット、Lambda関数にわたる段階的なチェックに翻訳したクラウド検索結果。
ステップ6 – ドメインとAPIの検証
外部向けアプリやAPIは、攻撃者が最初に狙う標的となることが多い。学生は、DNS設定の不備、脆弱なヘッダー、公開されたエンドポイントがリスクを生む仕組みを学べる。小規模なWebアプリをスキャンした後、学生に認証や厳格なCSPヘッダーなどの対策適用を求め、再スキャンで改善効果を比較させる。
スクリーンショット:接続済みドメインとAPIの一覧(タイプ別分類)、深刻度レベルと未解決課題付き。例:認証が欠落しているREST API、高リスクまたは重大リスクのあるフロントエンドアプリ、「リスクなし」と安全とマークされたドメイン。
ステップ7 – ランタイム保護を有効にする
静的スキャンは潜在的な問題を指摘しますが、ランタイム保護は攻撃が試みられた際のリアルタイムの動作を示します。Zen 有効にすると、SQLインジェクションやSSRFの試行が即座にブロックされる様子を学生は確認できます。保護なしで同じ攻撃を実行すると、その対比が鮮明に浮かび上がります。
スクリーンショット:脆弱なPythonアプリケーションに対するSQLインジェクション、シェルインジェクション、SSRF攻撃の試みをリアルタイムで記録Zen 。
ステップ8 – AI AutoFixによる修正の実践
脆弱性の修正は発見と同じくらい重要です。AutoFixは依存関係、SAST、IaC、コンテナ全体でAIプルリクエストを生成します。学生はまず自身で修正を試み、その後AutoFixと比較してトレードオフや自動化を信頼すべきタイミングについて議論できます。
スクリーンショット:依存関係脆弱性(CVE付き)、推奨バージョンアップグレード、およびレビュー準備完了の自動生成プルリクエストを表示するAutoFixダッシュボード。
例: ハードニングされた Docker イメージ
スクリーンショット:AutoFixが脆弱なベースイメージを安全で強化された代替イメージに置き換え、問題を自動的に軽減します。
ステップ9 – 進捗状況の監視
セキュリティは一時的な修正ではなく、長期的な傾向が重要です。Aikido「経時的な傾向」レポートは未解決の問題が蓄積する様子を示し、チーム比較ではグループ間のパフォーマンスを浮き彫りにします。これらのレポートを活用して、継続的改善に関する教室内での競争や議論を促しましょう。
スクリーンショット:深刻度レベルごとに未解決課題がどのように変動するかを示す「経時的な傾向レポート」。脆弱性が蓄積している時期と修正されている時期を明確に把握できます。
スクリーンショット:グループ間の解決済み課題と新規発生課題の比較レポート。コンプライアンス整合スコアを併記し、教授陣が進捗をベンチマークし、教室内競争を創出できるようにする。
ステップ10 – 高度なモジュール
PRゲート
プロフェッショナルなチームでは、PRゲートを用いて不安定なコードが本番環境に到達する前にブロックされます。学生はPRゲートの使用方法を学び、選択した深刻度閾値を超える脆弱性を導入するマージを防止できます。
スクリーンショット:脆弱性を導入するプルリクエストをブロックするPRゲート設定画面。スキャンタイプ、深刻度閾値、CI/CD統合の詳細な制御機能を表示。
IDEプラグイン
セキュリティ対策はコーディング段階に前倒しすることも可能です。IDEプラグインを活用すれば、学生はコードをコミットする前にエディタ上で直接問題点を確認できます。課題として、VS Codeで検出項目をトリガーし、修正Aikido解決を確認するといった流れが考えられます。
スクリーンショット: VS Codeで問題をハイライト表示するIDEプラグイン
最初の1ヶ月はこんな風になるかもしれません
- 最初の週に、リポジトリを接続し、初期スキャンを実行して検出結果のカテゴリを導入する。
- 第2週では、依存関係とノイズ低減について探求します。
- 第3週では、到達可能性を考慮した優先順位付けを指導する。
- 第4週には、AutoFix比較を用いた補習演習を割り当ててください。
- 第5週目には、長期的なリスクパターンを明らかにするため、進捗状況をレポートで確認する。
教授陣の今後の手順
デモリポジトリを接続し、学生を招待して最初のスキャンを実行しましょう。ノイズ低減、到達可能性、実行時保護、AutoFixといった基本レッスンを活用し、卒業研究プロジェクトではプルリクエストゲートやIDEプラグインなどの高度なモジュールを追加できます。
Aikido、生徒は実社会で即戦力となるセキュリティスキルを、費用もかからず、複雑さも増すことなく習得できます。
今すぐソフトウェアを保護しましょう
.avif)
